Escolar Documentos
Profissional Documentos
Cultura Documentos
ISO/IEC
27001:2022
Estrutura do Anexo A: os 14 grupos viraram 4
mantidos
3
11 NOVOS
REQUISITOS
ISO/IEC 27001:2022
5.7. Inteligência contra 5.23. Segurança da 5.30. Prontidão de ICT para 7.4. Monitoramento de 8.9. Gestão de configuração
ameaças (threat intelligence) informação para o uso de continuidade de negócios segurança física
serviços em nuvem
8.10. Deleção de informações 8.11. Mascaramento de dados 8.21. Prevenção contra 8.16. Monitoramento de 8.23. Filtragem web
vazamento de dados atividades
TECNOLÓGICO
5
23 controles
renomeados
ISO/ IEC 27001:2013 ISO/IEC 27001:2022
9.2.1. Registro e
cancelamento de registro de 9.2.3. Gestão de direitos de 9.4.2. Procedimentos de 9.4.5. Controle de acesso ao
6.2.2. Teletrabalho
usuários acesso privilegiado logon Seguro código-fonte de programas
6.7. Trabalho remoto 5.16. Gestão de identidades 8.2. Direitos de acesso 8.5. Autenticação segura 8.4. Acesso ao código-fonte
privilegiado
6.5. Responsabilidades após o 7.1. Perímetros de segurança 7.9. Segurança de ativos fora 7.7. Mesa limpa e tela limpa 8.7. Proteção contra malware
término ou mudança do física dos limites da Organização
emprego
7
ISO/ IEC 27001:2013 ISO/IEC 27001:2022
14.2.5. Princípios de
12.7.1. Controles de auditoria 14.1.1. Política de engenharia de sistemas
13.1.1. Controles de redes 13.1.3. Segregação em redes
de sistemas de informação desenvolvimento seguro seguros
8.34. Proteção de sistemas de 8.20. Segurança de redes 8.22. Segregação de redes 8.25. Ciclo de vida de 8.27. Princípios de arquitetura
informação durante testes de desenvolvimento seguro e engenharia de sistemas
auditoria seguros
8
ISO/ IEC 27001:2013 ISO/IEC 27001:2022
16.1.4. Avaliação de e decisão 17.2.1. Disponibilidade de 18.1.4. Privacidade e proteção
sobre eventos de segurança instalações de processamento de informação pessoal
da informação de informações identificável
9
57 controles
agrupados
em 24
ISO/IEC 27001:2013 ISO/IEC 27001:2022
• 5.1.1. Políticas para segurança da informação
• 5.1.2. Análise crítica das políticas para segurança da informação • 5.1. Políticas para segurança da informação
11
ISO/IEC 27001:2013 ISO/IEC 27001:2022
• 9.2.4. Gestão das informações secretas de autenticação de usuários
• 9.3.1. Uso das informações secretas de autenticação • 5.17. Informações de autenticação
• 9.4.3. Sistema de gerenciamento de senhas
• 10.1.1. Política para o uso de controles criptográficos • 8.24. Uso de criptografia
• 10.1.2. Gestão de chaves
• 11.1.2. Controles de entrada física • 7.2. Entradas físicas
• 11.1.6. Áreas de entrega e expedição
• 12.1.2. Gestão de mudanças
• 14.2.2. Procedimentos de controle de mudanças em sistemas
• 14.2.3. Análise técnica de aplicações após mudanças em plataformas • 8.32. Gestão de mudanças
operacionais
• 14.2.4. Restrições em mudanças de pacotes de software
• 12.1.4. Separação dos ambientes de desenvolvimento, testes e operação
• 14.2.6. Ambiente seguro para desenvolvimento • 8.31. Separação dos ambientes de desenvolvimento, testes e produção
• 12.4.1. Registro de eventos (logs)
• 12.4.2. Proteção das informações de registro (logs)
• 8.15. Registros de eventos (logs)
• 12.4.3. Registros (logs) de administradores e operadores
• 12.5.1. Instalação de softwares em sistemas operacionais
• 12.6.2. Restrições à instalação de softwares • 8.19. Instalação de softwares em sistemas operacionais
• 12.6.1. Gestão de vulnerabilidades técnicas
• 18.2.3. Análise crítica de Compliance técnica • 8.8. Gestão de vulnerabilidades técnicas
12
ISO/IEC 27001:2013 ISO/IEC 27001:2022
• 13.2.1. Políticas e procedimentos para transferência de informações
• 13.2.2. Acordos sobre transferência de informações • 5.14. Transferência de informações
• 13.2.3. Mensagens eletrônicas
• 15.2.1. Monitoramento e análise crítica dos serviços de fornecedores • 5.22. Monitoramento, análise crítica e mudanças nos serviços de
• 15.2.2. Gerenciando mudanças nos serviços de fornecedores fornecedores
• 18.2.2. Compliance com políticas e normas de segurança • 5.36. Conformidade com políticas, regras e normas de segurança da
• 18.2.3. Análise crítica de Compliance técnica informação
13
Razões para o agrupamento:
14
35 controles
mantidos
ISO/IEC 27001:2013 ISO/IEC 27001:2022
1. Papéis e responsabilidades em segurança da informação 5.2. Papéis e responsabilidades em segurança da informação
4. Contato com grupos especiais de interesse 6. Contato com grupos especiais de interesse
8. Conscientização, educação e treinamento em segurança da informação 6.3. Conscientização, educação e treinamento em segurança da informação
16
ISO/IEC 27001:2013 ISO/IEC 27001:2022
9.4.4. Uso de programas utilitários privilegiados 8.18. Uso de programas utilitários privilegiados
16.1.5. Resposta a incidentes de segurança da informação 5.26. Resposta a incidentes de segurança da informação
16.1.6. Aprendendo a partir dos incidentes de segurança da informação 5.27. Aprendendo a partir dos incidentes de segurança da informação
18.2.1. Análise crítica independente de segurança da informação 5.35. Análise crítica independente de segurança da informação
18
Obrigado!
19
www.inkconsultoria.com
20