2013Em 2005, foi lançada a norma ISO/IEC 27001, adotada mundialmente como padrão para Gestão de Segurança da Informação, com mais de 16,000+ organizações certificadas em mais de 100 países. Em outubro de 2013, é lançada a revisão da norma, que busca alinhamento com o novo formato de Sistemas de Gestão.

A nova versão da norma segue os padrões do Anexo SL das Diretivas da ISO, buscando alinhar com os demais sistemas de gestão. Encontramos esse padrão em normas como: 9001, 14001, 20000 e 22301. As normas que seguem esse padrão, possuem as seguintes cláusulas principais:

00. Introdução
01. Escopo
02. Referências Normativas
03. Termos e Definições
04. Contexto da Organização
05. Leadership
06. Planejamento
07. Suporte
08. Operação
09. Avaliação de Performance
10. Melhoria

Comparando a ISO/IEC 27001:2005 com a ISO/IEC 27001:2013, houve um aumento dos controles mandatórios: passou de 102 (2005) para 148 (2013). Para as organizações que fizeram o investimento adequado no seu Sistema de Gestão de Segurança da Informação e dedicaram os esforços necessários para a implantação e amadurecimento do mesmo dentro da organização, a migração não terá muita dificuldade.

A nova versão da norma possui uma ênfase maior nos controles mandatórios, exigidos durante a auditoria de certificação. Caso um controle não esteja implantado, ou esteja implantado de forma ineficiente, é considerado uma não conformidade, a organização não é recomendada para a certificação, ou é descertificada. A mudança deixa clara a crescente importância dos Sistemas de Gestão e a necessidade de maior atenção para a Gestão de Segurança da Informação.

Transição

Após o lançamento da nova versão da norma, as organizações terão um período para se adaptar as mudanças. Empresas em processo de certificação para ISO/IEC 27001:2005, podem continuar o processo e se candidatar a certificação até dia 25 de setembro de 2014.

Empresas já certificadas, devem atualizar sua certificação para a ISO/IEC 27001:2013 até dia 25 de setembro de 2015. Demais empresas podem se candidatar a ISO/IEC 27001:2013 a partir de 25 de setembro de 2013.

Leia Também:

Como fazer a transição da ISO 27001 versão 2005 para a versão 2013

Publicada a ISO 31004 – Guia de implementação da ISO 31000

O caminho para uma Gestão de Riscos mais efetiva – As novas versões da ISO 27001 e da ISO 27002

Fonte: Grupo IT2S