Anexo A

ISO/IEC
27001:2022
Estrutura do Anexo A: os 14 grupos viraram 4

Controles Controles de Controles físicos Controles

organizacionais pessoas (14 controles - seção 7) tecnológicos
(37 controles - seção (8 controles - seção (34 controles - seção
5) 6) 8)

Antes: 114 controles Agora: 93 controles

2
 NÃO HOUVE EXCLUSÃO DE
REQUISITOS
renomeados novos agrupados

mantidos
3
11 NOVOS
REQUISITOS
 ISO/IEC 27001:2022

ORGANIZACIONAL ORGANIZACIONAL ORGANIZACIONAL FÍSICO TECNOLÓGICO

5.7. Inteligência contra 5.23. Segurança da 5.30. Prontidão de ICT para 7.4. Monitoramento de 8.9. Gestão de configuração
ameaças (threat intelligence) informação para o uso de continuidade de negócios segurança física
serviços em nuvem

TECNOLÓGICO TECNOLÓGICO TECNOLÓGICO TECNOLÓGICO TECNOLÓGICO

8.10. Deleção de informações 8.11. Mascaramento de dados 8.21. Prevenção contra 8.16. Monitoramento de 8.23. Filtragem web
vazamento de dados atividades

TECNOLÓGICO

8.28. Codificação segura

5
23 controles

renomeados
ISO/ IEC 27001:2013
9.2.1. Registro e
cancelamento de registro de
6.2.2. Teletrabalho
usuários
ISO/IEC 27001:2022
9.2.3. Gestão de direitos de 9.4.2. Procedimentos de 9.4.5. Controle de acesso ao
acesso privilegiado logon Seguro código-fonte de programas

6.7. Trabalho remoto 5.16. Gestão de identidades 8.2. Direitos de acesso 8.5. Autenticação segura 8.4. Acesso ao código-fonte
privilegiado

7.3.1. Término ou mudança 11.2.6. Segurança de

nas responsabilidades do 11.1.1. Perímetro de equipamentos e ativos fora 11.2.9. Políticas de mesa 12.2.1. Controles contra
emprego segurança física dos limites da Organização limpa e tela limpa malware

6.5. Responsabilidades após o 7.1. Perímetros de segurança 7.9. Segurança de ativos fora 7.7. Mesa limpa e tela limpa 8.7. Proteção contra malware
término ou mudança do física dos limites da Organização
emprego

7
ISO/ IEC 27001:2013
12.7.1. Controles de auditoria
de sistemas de informação
8.34. Proteção de sistemas de
informação durante testes de
auditoria
15.1.1. Política de segurança
14.3.1. Proteção dos dados de
teste
8.33. Informações de teste
ISO/IEC 27001:2022
14.2.5. Princípios de
14.1.1. Política de engenharia de sistemas
13.1.1. Controles de redes 13.1.3. Segregação em redes
desenvolvimento seguro seguros
8.20. Segurança de redes 8.22. Segregação de redes 8.25. Ciclo de vida de 8.27. Princípios de arquitetura
desenvolvimento seguro e engenharia de sistemas
seguros
15.1.2. Abordando a 15.1.3. Cadeia de suprimentos
da informação no 16.1.1. Responsabilidades e
segurança nos acordos com de tecnologia da informação
relacionamento com procedimentos
fornecedores e
fornecedores
comunicação (ICT)
5.19. Segurança da 5.20. Abordando a segurança 5.21. Gerenciando a segurança 5.24. Planejamento e
informação no da informação nos acordos da informação na cadeia de preparação para gestão de
relacionamento com com fornecedores tecnologia da informação e incidentes de segurança da
fornecedores comunicação (ICT) informação
8
ISO/ IEC 27001:2013 ISO/IEC 27001:2022
16.1.4. Avaliação de e decisão 17.2.1. Disponibilidade de 18.1.4. Privacidade e proteção
sobre eventos de segurança instalações de processamento de informação pessoal
da informação de informações identificável

5.25. Avaliação e decisão 8.14. Redundância de 5.34. Privacidade e proteção

sobre eventos de segurança da instalações de processamento de PII
informação de informações

9
57 controles
agrupados
em 24
 ISO/IEC 27001:2013 ISO/IEC 27001:2022
• 5.1.1. Políticas para segurança da informação
• 5.1.2. Análise crítica das políticas para segurança da informação • 5.1. Políticas para segurança da informação

• 6.1.5. Segurança da informação no gerenciamento de projetos

• 14.1.1. Análise e especificação de requisitos de segurança da informação • 5.8. Segurança da informação no gerenciamento de projetos

• 6.2.1. Política para dispositivos móveis

• 11.2.8. Equipamentos de usuário desacompanhados • 8.1. Dispositivos de end point de usuários

• 8.1.1. Inventário de ativos

• 8.1.2. Proprietários dos ativos • 5.9. Inventário de informações e outros ativos associados

• 8.1.3. Uso aceitável dos ativos

• 8.2.3. Manuseio dos ativos • 5.10. Uso aceitável das informações e outros ativos associados

• 8.3.1. Gestão de mídias removíveis

• 8.3.2. Descarte de mídias • 7.10. Mídias de armazenamento
• 8.3.3. Transferência de mídias físicas

• 9.1.1. Política de controle de acesso

• 9.1.2. Acesso às redes e aos serviços de rede • 5.15. Controle de acesso

• 9.2.2. Provisionamento de acesso aos usuários

• 9.2.5. Revisão dos direitos de acesso de usuários • 5.18. Direitos de acesso
• 9.2.6. Remoção ou ajuste dos direitos de acesso de usuários

11
 ISO/IEC 27001:2013 ISO/IEC 27001:2022
• 9.2.4. Gestão das informações secretas de autenticação de usuários
• 9.3.1. Uso das informações secretas de autenticação • 5.17. Informações de autenticação
• 9.4.3. Sistema de gerenciamento de senhas
• 10.1.1. Política para o uso de controles criptográficos • 8.24. Uso de criptografia
• 10.1.2. Gestão de chaves
• 11.1.2. Controles de entrada física • 7.2. Entradas físicas
• 11.1.6. Áreas de entrega e expedição
• 12.1.2. Gestão de mudanças
• 14.2.2. Procedimentos de controle de mudanças em sistemas
• 14.2.3. Análise técnica de aplicações após mudanças em plataformas • 8.32. Gestão de mudanças
operacionais
• 14.2.4. Restrições em mudanças de pacotes de software
• 12.1.4. Separação dos ambientes de desenvolvimento, testes e operação
• 14.2.6. Ambiente seguro para desenvolvimento • 8.31. Separação dos ambientes de desenvolvimento, testes e produção
• 12.4.1. Registro de eventos (logs)
• 12.4.2. Proteção das informações de registro (logs)
• 8.15. Registros de eventos (logs)
• 12.4.3. Registros (logs) de administradores e operadores
• 12.5.1. Instalação de softwares em sistemas operacionais
• 12.6.2. Restrições à instalação de softwares • 8.19. Instalação de softwares em sistemas operacionais
• 12.6.1. Gestão de vulnerabilidades técnicas
• 18.2.3. Análise crítica de Compliance técnica • 8.8. Gestão de vulnerabilidades técnicas

12
 ISO/IEC 27001:2013 ISO/IEC 27001:2022
• 13.2.1. Políticas e procedimentos para transferência de informações
• 13.2.2. Acordos sobre transferência de informações • 5.14. Transferência de informações
• 13.2.3. Mensagens eletrônicas

• 14.1.2. Segurança de serviços de aplicação em redes públicas

• 14.1.3. Protegendo transações de aplicativos de serviços • 8.24. Requisitos de segurança de aplicações

• 14.2.8. Teste de segurança de sistemas

• 14.2.9. Testes de aceitação de sistemas • 8.29. Testes de segurança e aceitação no desenvolvimento

• 15.2.1. Monitoramento e análise crítica dos serviços de fornecedores • 5.22. Monitoramento, análise crítica e mudanças nos serviços de
• 15.2.2. Gerenciando mudanças nos serviços de fornecedores fornecedores

• 16.1.2. Reportando eventos de segurança da informação

• 16.1.3. Reportando fraquezas em segurança da informação • 6.8. Reportando eventos de segurança da informação

• 17.1.1. Planejando a continuidade da segurança da informação

• 17.1.2. Implementando a continuidade da segurança da informação
• 17.1.3. Verificação, análise crítica e avaliação da continuidade da • 5.29. Segurança da informação durante disrupções
segurança da informação

• 18.1.1. Identificação da legislação e requisitos contratuais aplicáveis

• 18.1.5. Regulamentos sobre controles criptográficos • 5.31. Requisitos legais, estatutários, regulatórios e contratuais

• 18.2.2. Compliance com políticas e normas de segurança • 5.36. Conformidade com políticas, regras e normas de segurança da
• 18.2.3. Análise crítica de Compliance técnica informação

13
 Razões para o agrupamento:

Uma segurança mais

Os controles relacionados eficiente pode ser
naturalmente fazem parte OU alcançada considerando-
de um processo maior os como um único
controle

14
35 controles
mantidos
 ISO/IEC 27001:2013 ISO/IEC 27001:2022
1. Papéis e responsabilidades em segurança da informação 5.2. Papéis e responsabilidades em segurança da informação

2. Segregação de funções 5.3 . Segregação de funções

3. Contato com autoridades 5. Contato com autoridades

4. Contato com grupos especiais de interesse 6. Contato com grupos especiais de interesse

5. Verificação de antecedentes 7. Verificação de antecedentes

6. Termos e condições de emprego 8. Termos e condições de emprego

7. Responsabilidades da gerência 5.4. Responsabilidades da gerência

8. Conscientização, educação e treinamento em segurança da informação 6.3. Conscientização, educação e treinamento em segurança da informação

9. Processo disciplinar 6.4. Processo disciplinar

8.1.4. Retorno de ativos 5.11. Retorno de ativos
10. Classificação da informação 12. Classificação da informação
11. Rotulagem da informação 13. Rotulagem da informação
9.4.1. Restrição de acesso à informação 8.3. Restrição de acesso à informação

16
 ISO/IEC 27001:2013 ISO/IEC 27001:2022
9.4.4. Uso de programas utilitários privilegiados 8.18. Uso de programas utilitários privilegiados

3. Segurança de escritórios, salas e instalações 7.3. Segurança de escritórios, salas e instalações

5. Proteção contra ameaças externas e ambientais

4. Proteção contra ameaças externas e ambientais

6. Trabalhando em áreas seguras

5. Trabalhando em áreas seguras
7.8. Localização e proteção de equipamentos
11.2.1 Localização e proteção de equipamentos
7.11. Utilidades de suporte
6. Utilidades de suporte
11.2. Segurança do cabeamento

7. Segurança do cabeamento 13. Manutenção de equipamentos

8. Manutenção de equipamentos 14. Descarte ou reutilização segura de equipamentos

11.2.7. Descarte ou reutilização segura de equipamentos 5.37. Procedimentos

8.6. Gestão operacionais documentados
de capacidade
12.1.1. Procedimentos operacionais documentados 8.13. Backcup de informações
12.1.3. Gestão de capacidade 8.17. Sincronização de relógios
12.3.1. Backcup de informações

12.4.4. Sincronização de relógios

17
 ISO/IEC 27001:2013 ISO/ IEC 27001:2022
13.1.2. Segurança dos serviços de rede 8.21. Segurança dos serviços de rede

13.2.4. Acordos de confidencialidade ou não-divulgação 6.6. Acordos de confidencialidade ou não-divulgação

14.2.7. Desenvolvimento terceirizado 8.30. Desenvolvimento terceirizado

16.1.5. Resposta a incidentes de segurança da informação 5.26. Resposta a incidentes de segurança da informação

16.1.6. Aprendendo a partir dos incidentes de segurança da informação 5.27. Aprendendo a partir dos incidentes de segurança da informação

16.1.7. Coleta de evidências 5.28. Coleta de evidências

18.1.2. Direitos de propriedade intelectual 5.32. Direitos de propriedade intelectual

18.1.3. Proteção de registros 5.33. Proteção de registros

18.2.1. Análise crítica independente de segurança da informação 5.35. Análise crítica independente de segurança da informação

18
Obrigado!
19
www.inkconsultoria.com

20