ISO/IEC 27001 Nova edição da Norma: mudanças e prazo - RINA.org

ISO/IEC 27001 Nova edição da Norma: mudanças e prazo

15 May 2023

As empresas devem se preparar para a transição para a ISO/IEC 27001:2022

ISO 27001Em 25 de outubro de 2022, a International Organization for Standadization (ISO) publicou a terceira edição da Norma ISO/IEC 27001.

A Norma ISO/IEC 27001 permite aos clientes gerenciar todos os riscos de Segurança da Informação por meio de um Sistema de Gestão elegível para certificação, com o objetivo de resguardar a confidencialidade, integridade e disponibilidade das informações relacionadas ao negócio, e aprimorar os aspectos tecnológicos, operacionais, processuais, humanos e ambientais.

Quais são as mudanças?

A principal alteração diz respeito a lista e definição dos controles aplicáveis que gerenciam a segurança da informação, contida no Anexo A: alguns controles foram atualizados em linha com a evolução da tecnologia e dos cenários de risco e, em relação à versão 2013 da Norma, os controles estão agora reduzidos a 93 em 4 grupos. Alguns controles foram revisados, enquanto novos controles foram adicionados e outros reagrupados.

Outra mudança é o título: agora contém os termos “segurança cibernética” e “proteção de privacidade”, ampliando assim o escopo da Norma.

Cronograma e prazos

O International Accreditation Forum (IAF) estabeleceu um prazo de 3 anos a partir da data de publicação da Norma para a conclusão da transição.
Datas a recordar:

  • A partir de 30 de abril de 2024 todas as novas certificações e recertificações deverão ser emitidas exclusivamente em conformidade com a Norma ISO/IEC 27001:2022.
  • O último dia de validade dos certificados emitidos em conformidade com a ISO/IEC 27001:2013 será 31 de outubro de 2025.

Após a conclusão bem-sucedida da auditoria de transição e após a validação pelo RINA, o certificado será reemitido em conformidade com a nova versão da Norma, mantendo o número de identificação e o vencimento do ciclo de certificação atual não será alterado, a menos que a transição seja verificada na auditoria de recertificação.

Se a atividade de transição não for concluída com sucesso até esse prazo, o certificado expirará e não poderá ser reconhecido. Assim, será necessário apresentar um novo pedido seguindo o procedimento previsto para a certificação inicial.

Para mais informações não hesite em contactar-nos

Elaine Lopes


Add to my contacts