.

Os requisitos da ISO 27001:2022 para um sistema de gestão de segurança da informação (SGSI) são abordados na norma. Existem 10 seções (cláusulas) na ISO 27001, no entanto, apenas as seções 4-10 contêm requisitos que sua organização deve implementar para passar na auditoria. Abaixo, detalharemos toda a norma e cada requisito que sua organização deve implementar para se tornar certificada pela ISO 27001:2022.

 

As cláusulas 0-3 não são requisitos que sua organização deve atender, mas sim uma introdução, explicações, referências e definições.

 

Cláusula 0: Introdução

 

Esta seção apresenta o propósito, os princípios e os conceitos-chave da norma, incluindo o pensamento baseado no risco e a abordagem do processo.

 

Cláusula 1: Âmbito de aplicação

 

Esta seção define o escopo da norma ISO 27001:2022. Em resumo, o escopo inclui a especificação de requisitos para um SGSI de qualquer organização.

 

Cláusula 2: Referências Normativas

 

A norma de apoio referenciada na ISO 27001:2022, e que é indispensável para a sua aplicação, é a ISO 27000:2018, que abrange terminologia e fundamentos. Este e outros padrões de suporte compõem a série 27001.

 

Seção 3: Termos e Definições

 

A terminologia utilizada em toda esta norma vem diretamente da ISO/IEC 27000, Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Visão geral e vocabulário.

 

Agora vamos olhar para um resumo das principais Cláusulas (4-10) da norma 27001:2022. Clique em cada um para obter mais detalhes.

 

 

Cláusula 4: Contexto da Organização

 

Quando você está implementando seu SGSI, a primeira etapa para os requisitos da ISO/IEC 27001 é alinhar seus objetivos e intenções de negócios com o SGSI. Ao longo desta etapa, será imperativo determinar questões externas e internas, necessidades e expectativas das partes interessadas. Saiba Mais:

Mantenha-se atualizado com o Grupo DOCStore Brasil

 

Assine nossa newsletter para receber as últimas notícias e informações sobre produtos

4.1 – Compreender a Organização e o seu Contexto

4.2 – Compreender as Necessidades e Expectativas das Partes Interessadas

 

4.3 – Determinar o Âmbito dos Sistemas de Gestão da Segurança da Informação

 

4.4 – Sistemas de Gestão da Segurança da Informação

 

Cláusula 5: Liderança

 

A seção 5 dos requisitos da ISO 27001:2022 aborda a responsabilidade da liderança.

 

A alta administração deve demonstrar liderança e comprometimento, estabelecer e comunicar um SGSI e garantir que as responsabilidades e as autoridades sejam atribuídas, comunicadas e compreendidas. As empresas precisam fornecer recursos e pessoas de apoio necessárias para a ISO 27001.

 

5.1 – Liderança e Compromisso

5.2 – Política de Segurança da Informação

 

5.3 –Papéis Organizacionais, Responsabilidades e Autoridades

 

Cláusula 6: Planejamento

 

A Cláusula 6 dos requisitos da ISO 27001 aborda o planejamento – especificamente o planejamento de ações para abordar riscos, oportunidades e objetivos. Para entender o gerenciamento de riscos no contexto da ISO 27001, saiba mais sobre os requisitos:

 

 

6.1 – Ações para Enfrentar Riscos e Oportunidades

 

6.1.1 – Geral

 

6.1.2 – Avaliação de Riscos de Segurança da Informação

 

6.1.3 – Tratamento de Riscos de Segurança da Informação

 

6.2 – Objetivos de Segurança da Informaçãoe Planejamento para Alcançá-los
 

Cláusula 7: Suporte

 

A cláusula 7 dos requisitos da ISO 27001:2022 abrange o suporte necessário para o SGSI. Recursos, competência dos funcionários, conscientização, comunicação e informações documentadas são os principais recursos necessários para apoiar o SGSI e cada um tem sua própria subcláusula dedicada a garantir que eles estejam sendo cumpridos. Para saber mais sobre a cláusula 7, veja abaixo:

 

7.1 – Recursos

7.2 – Competência 

 

7.3 – Conscientização

 

7.4 – Comunicação

7.5 – Informação Documentada

7.5.1 – Geral

7.5.2 – Criação e atualização

7.5.3 – Controle da informação documentada

Cláusula 8: Operação

 

A cláusula 8 abrange as operações necessárias para apoiar os processos de SGSI. Os processos são obrigatórios para implementar e manter a segurança da informação. Cada um dos processos deve ser planejado, implementado e controlado para atender aos requisitos da ISO 27001:2022.

 

8.1 – Planejamento e Controle Operacional 

 

8.2 – Avaliação de Riscos de Segurança da Informação

 

8.3 – Tratamento de Riscos de Segurança da Informação

 

Cláusula 9: Avaliação de Desempenho

 

A cláusula 9 do SGSI exige que sua organização monitore, meça, analise e avalie seu SGSI. Saiba mais sobre as subcláusulas da seção 9:

 

9.1 – Monitorização, Medição, Análise e Avaliação

 

9.2 – Auditoria Interna

 

9.2.1 – Geral

 

9.2.2 – Programa de auditoria interna

 

9.3 – Revisão da Gestão

 

9.3.1 – Geral

9.3.2 – Contribuições da revisão da gestão

9.3.3 – Resultados da revisão da gestão
 

Cláusula 10: Melhoria

 

Os requisitos da ISO 27001:2022 para a cláusula 10 são baseados na melhoria contínua. A melhoria acompanha a avaliação e aborda quaisquer não conformidades. Ao trabalhar para melhorar seu SGSI, um processo de melhoria contínua deve ser implementado: Plan-Do-Check-Act (PDCA). Embora o PDCA não seja mais obrigatório, ainda é o ciclo recomendado para melhorias. Saiba mais sobre a Cláusula 10:

 

10.1 – Não conformidade e Ação Corretiva

 

10.2 – Melhoria Contínua