A ISO/IEC 27001:2022 veio substituir a versão anterior de 2013, trazendo atualizações importantes na gestão da segurança da informação. Se a sua organização está certificada pela ISO/IEC 27001:2013, é fundamental preparar a transição atempadamente, evitando riscos de não conformidade.

Qual é o prazo para a transição?
De acordo com o IAF (International Accreditation Forum), as organizações certificadas pela ISO/IEC 27001:2013 têm até 31 de outubro de 2025 (prazo final para completar a transição para a ISO/IEC 27001:2022). Após esta data, os certificados na versão antiga deixarão de ser válidos.

O que mudou na ISO/IEC 27001:2022?
Embora a estrutura da norma principal (cláusulas 4 a 10) tenha sofrido apenas ajustes menores, houve mudanças significativas nos controlos do Anexo A, agora alinhados com a ISO/IEC 27002:2022. As principais alterações foram:
– Número de controlos: De 114 controlos (em 14 domínios) → para 93 controlos (em 4 temas)
– 11 novos controlos, incluindo: Inteligência de ameaças, Segurança de serviços em nuvem, Monitorização de atividades, Gestão de configuração, Eliminação de dados
– Agrupamento e modernização de controlos: Alguns foram fundidos ou renomeados para refletir a terminologia atual e as tecnologias emergentes.

Como preparar a transição?
A transição deve ser tratada como um projeto estruturado. Aqui ficam os passos recomendados:
– Revisão da norma ISO/IEC 27001:2022
– Gap analysis entre o SGSI atual e os novos requisitos
– Plano de ação com prazos e responsabilidades
– Atualização de documentação e do Anexo A com a nova estrutura
– Formação interna para a equipa responsável
– Auditorias internas e revisão pela gestão
– Agendar auditoria de transição com o organismo certificador

A nova versão da ISO/IEC 27001 é mais moderna, flexível e alinhada com os desafios atuais da cibersegurança. Preparar a transição com tempo e método garante não só a conformidade como uma verdadeira melhoria do desempenho em segurança da informação.