Artigo

Universo Segurança da Informação: NBR ISO/IEC 27001:2022

Introdução

Para quem estava com saudades, vamos retomar a nossa série especial de temas sobre Segurança da Informação. No artigo de hoje, atendendo a muitos pedidos de um querido amigo concurseiro, você verá um resumo exclusivo sobre a NBR ISO/IEC 27001:2022.

Vamos explicar tudo para você ao longo do artigo, mas deixamos claro desde já que essa norma brasileira (adaptada da internacional) não é novidade no mundo dos concursos e da Segurança da Informação. A última versão havia sido publicada em 2013.

Após um hiato de quase 10 anos, houve uma atualização em 2022. Em outras palavras, vamos apresentar neste artigo a versão de 2022 da norma, traduzida do inglês para o português, para deixar você bem preparado para as próximas provas. Veja o nosso roteiro:

  • Escopo da NBR ISO/IEC 27001:2022
  • Cláusulas da NBR ISO/IEC 27001:2022
  • Mapa Mental das Cláusulas
  • Áreas e Controles de Segurança da Informação

Recomendamos que leia o artigo caso esteja estudando para concursos específicos da área de Tecnologia da Informação (TI) ou concursos gerais que cobrem a disciplina de Segurança da Informação no edital. Esperamos você nas próximas seções!

O artigo de hoje é um pouquinho mais longo do que o normal. Afinal, como ainda não há muitos materiais de concursos disponíveis sobre a atualização da NBR ISO/IEC 27001:2022, optamos por fazer algo mais completo para te ajudar bastante na preparação. Vamos começar então?

Tempo de leitura aproximada: 15 a 20 minutos

Escopo da NBR ISO/IEC 27001:2022

A norma visa fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI), considerado estratégico para a organização.

Os critérios para a composição do SGSI são influenciados pelos objetivos e necessidades organizacionais, requisitos de segurança, processos adotados, além do tamanho e estrutura. Adicionalmente, os critérios tendem a se modificar com o passar do tempo.

Momento Curiosidade: As siglas ISO e IEC são internacionais, indicando que a norma é um padrão mundial. ISO significa International Organization for Standardization, enquanto IEC significa International Electrotechnical Commission.

Mais Curiosidade: NBR é abreviação de norma brasileira. Ou seja, a NBR ISO/IEC 27001:2022 é a norma internacional ISO/IEC 27001:2022 adaptada para o Brasil.

A NBR ISO/IEC 27001:2022 é dividida em uma série de cláusulas e controles de Segurança da Informação, assim como na versão anterior. A maior parte das mudanças ocorreu nos controles. Vamos falar sobre esses tópicos nas próximas seções. Continue com a gente!

Cláusulas da NBR ISO/IEC 27001:2022

As cláusulas da NBR ISO/IEC 27001:2022 estão divididas em contexto da organização, liderança, planejamento, suporte, operação, avaliação de performance e melhorias. Nesta seção, vamos abordar resumidamente cada uma delas:

Contexto da Organização, Liderança e Planejamento na NBR ISO/IEC 27001:2002

Contexto da Organização: a organização deve analisar problemas relevantes externos e internos, observando como eles afetam o alcance dos resultados do SGSI. Para a análise, é importante entender as necessidades e expectativas das partes interessadas e determinar o escopo do SGSI.


Liderança: a alta cúpula deve demonstrar liderança e compromisso com o SGSI, além de estabelecer uma Política de Segurança da Informação (PSI) e garantir que as responsabilidades e as autoridades relevantes para a Segurança da Informação foram atribuídas e comunicadas na organização.


Planejamento: envolve ações para identificar, avaliar e tratar riscos e oportunidades, além de definir os objetivos de Segurança da Informação e estratégias para alcançá-los. Em caso de eventuais mudanças necessárias no curso do SGSI, estas devem ser encaradas de maneira planejada.

Suporte, Operação, Avaliação de Performance e Melhorias na NBR ISO/IEC 27001:2022

Suporte: abrange recursos; competências ligadas à Segurança da Informação; conhecimento, benefícios e implicações de sua não conformidade; comunicação interna e externa e informação documentada para estabelecer, implementar, manter e continuamente melhorar o SGSI.


Operação: a organização deve planejar, implementar e controlar os processos, produtos e serviços necessários ao alcance dos requisitos de Segurança da Informação, incluindo eventuais mudanças relacionadas, além de prover ações destinadas à avaliação e tratamento dos seus riscos.

Você Sabia? Algumas características do Suporte e da Operação aparecem em outras cláusulas, o que pode dificultar um pouco o entendimento. Pense que o Suporte são elementos diversos para apoiar o SGSI, enquanto a Operação é mais focada nos itens que já estão em produção no momento.

Avaliação de Performance: consiste em atividades que envolvem o monitoramento, medição, análise e avaliação do SGSI, bem como programas de auditoria interna em intervalos planejados e revisões gerenciais para garantir sua adequação e eficácia contínuas.


Melhorias: a organização deve continuamente melhorar a adequação e a eficácia do SGSI, por meio da identificação de não conformidades, da avaliação da necessidade de ações para eliminar as suas causas, de forma que não se repitam, e da implementação de medidas corretivas.

Mapa Mental das Cláusulas

Chegou um dos momentos mais esperados da leitura. Se você já acompanha o nosso trabalho há algum tempo, então sabe que geralmente fazemos uma revisão no final do artigo. Porém, resolvemos fazer algo diferente hoje: vamos liberar um mapa mental no meio da publicação.

Optamos por essa mudança porque a próxima seção já será naturalmente esquematizada, pela própria forma de apresentar as informações. Ou seja, o artigo ficará bem dinâmico.  Esperamos que ele seja útil no seu aprendizado, porque tudo é feito pensando em facilitar a sua vida.

Figura 1 - Mapa Mental das Cláusulas da NBR ISO/IEC 27001:2022.
Figura 1 – Mapa Mental das Cláusulas da NBR ISO/IEC 27001:2022.

Áreas e Controles de Segurança da Informação

Os controles são tradicionais nas publicações da NBR ISO/IEC 27001. Na versão de 2013, eram 114 controles. Por outro lado, na versão de 2022, são apenas 93 controles. Observe que houve uma redução.

Da mesma forma, as áreas em que os controles estão agrupados também diminuíram: passaram de 14 para somente 4. Vale ressaltar que não há hierarquia entre as áreas, tampouco entre os controles.

Figura 2 - Áreas dos Controles na NBR ISO/IEC 27001:2022.
Figura 2 – Áreas dos Controles na NBR ISO/IEC 27001:2022.

Ou seja, podemos sintetizar que a versão de 2022 foi levemente enxugada, quando comparada à versão de 2013. Porém, a nova versão passou pela atualização de conteúdo que uma década exige.  

Bom, vamos deixar você por alguns instantes com os benditos quadros dos controles. Faça uma primeira leitura atenta, sem desespero, porque teremos notícias boas lá na frente para ajudar na memorização.

Controles Organizacionais na NBR ISO/IEC 27001:2022

Controles Organizacionais
1Políticas para Segurança da Informação
2Papéis e Responsabilidades de Segurança da Informação
3Segregação de Funções
4Responsabilidades de Gestão
5Contato com Autoridades
6Contato com Grupos de Interesses Especiais
7Inteligência contra Ameaças
8Segurança da Informação no Gerenciamento de Projetos
9Inventário de Informações e outros Ativos Associados
10Uso Aceitável da Informação e outros Ativos Associados
11Devolução de Ativos
12Classificação das Informações
13Rotulagem das Informações
14Transferência das Informações
15Controle de Acesso
16Gerenciamento de Identidade
17Informações de Autenticação
18Direitos de Acesso
19Segurança da Informação em Relacionamentos com Fornecedores
20Abordagem da Segurança da Informação nos Contratos com Fornecedores
21Gerenciamento de Segurança da Informação na Cadeia de Suprimentos de Tecnologia da Informação e Comunicação (TIC)
22Monitoramento, Revisão e Gerenciamento de Mudanças de Serviços de Fornecedores
23Segurança da Informação para Uso de Serviços em Nuvem
24Preparação e Planejamento de Gerenciamento de Incidentes de Segurança da Informação
25Avaliação e Decisão sobre Eventos de Segurança da Informação
26Resposta aos Incidentes de Segurança da Informação
27Aprendizado com Incidentes de Segurança da Informação
28Coleta de Evidências
29Segurança da Informação durante Interrupção
30Disponibilidade de TIC para a Continuidade do Negócio
31Requisitos Legais, Estatutários, Regulatórios e Contratuais
32Direitos de Propriedade Intelectual
33Proteção de Registros
34Privacidade e Proteção de Informações de Identificação Pessoal (IIP)
35Revisão Independente de Segurança da Informação
36Conformidade com Políticas, Regras e Padrões de Segurança da Informação
37Procedimentos Operacionais Documentados
Tabela 1 – Controles Organizacionais da ISO/IEC 27001:2022.

Controles Pessoais e Físicos na NBR ISO/IEC 27001:2022

Controles Pessoais
1Seleção
2Termos e Condições de Contratação
3Treinamento, Educação e Conscientização em Segurança da Informação
4Processo Disciplinar
5Responsabilidades após Término ou Mudança de Contratação
6Acordos de Confidencialidade ou Não Divulgação
7Trabalho Remoto
8Relatórios de Eventos de Segurança da Informação
Tabela 2 – Controles Pessoais da ISO/IEC 27001:2022.

Controles Físicos
1Perímetros de Segurança Física
2Entrada Física
3Proteção de Escritórios, Salas e Instalações
4Monitoramento de Segurança Física
5Proteção contra Ameaças Físicas e Ambientais
6Trabalho em Áreas Seguras
7Mesa e Tela Limpas
8Localização e Proteção de Equipamentos
9Segurança de Ativos Fora do Local
10Mídia de Armazenamento
11Utilitários de Suporte
12Segurança de Cabeamento
13Manutenção de Equipamento
14Descarte ou Reutilização Segura de Equipamento
Tabela 3 – Controles Físicos da NBR ISO/IEC 27001:2022.

Controles Tecnológicos na NBR ISO/IEC 27001:2022

Controles Tecnológicos
1Dispositivos de Endpoint do Usuário
2Direitos de Acesso Privilegiados
3Restrição de Acesso à Informação
4Acesso ao Código-Fonte
5Autenticação Segura
6Gerenciamento de Capacidade
7Proteção contra Malware
8Gerenciamento de Vulnerabilidades Técnicas
9Gerenciamento de Configuração
10Exclusão de Informações
11Mascaramento de Dados
12Prevenção de Vazamento de Dados
13Backup de Informações
14Redundância de Recursos de Processamento de Informações
15Registro de Logs
16Atividades de Monitoramento
17Sincronização de Relógio
18Uso de Programas Utilitários Privilegiados
19Instalação de Software em Sistemas Operacionais
20Segurança de Redes
21Segurança de Serviços de Rede
22Segregação de Redes
23Filtragem da Web
24Uso de Criptografia
25Ciclo de Vida de Desenvolvimento Seguro
26Requisitos de Segurança de Aplicações
27Princípios de Arquitetura e Engenharia em Sistemas Seguros
28Codificação Segura
29Testes de Segurança em Desenvolvimento e Aceitação
30Desenvolvimento Terceirizado
31Separação de Ambientes de Desenvolvimento, Teste e Produção
32Gerenciamento de Mudanças
33Informações de Teste
34Proteção de Sistemas de Informação durante Testes de Auditoria
Tabela 4 – Controles Tecnológicos da ISO/IEC 27001:2022.

Dicas Infalíveis para Decorar os Controles

Obviamente, sabemos que é uma tarefa árdua decorar todos os controles e suas descrições. Tente ao menos decorar os nomes dos controles, listados nas tabelas. Por ser uma norma recente, é bem provável que a banca pergunte o nome do controle e a área relacionada na prova.

Para você que tem dificuldade com muito conteúdo, aí vai uma dica: procure decorar apenas os Controles Pessoais e os Controles Físicos, porque eles são a minoria. Na hora da prova, você vai ter 22 deles memorizados, de 2 áreas completas. 

Quanto aos Controles Tecnológicos, tente ler o quadro várias vezes e decorar as palavras-chave que aparecem repetidamente e possuem cunho técnico, tais como dados, teste, redes etc. Na hora da prova, você vai acertar intuitivamente, por saber do que o assunto trata.

Por fim, os Controles Organizacionais são os que sobraram. Se a banca perguntar algum que não consta na lista dos que você decorou, nem está relacionado com os termos de tecnologia, então só pode fazer parte dos Controles Organizacionais. Ou seja, você consegue acertar por eliminação.

Atenção: Caso o seu concurso tenha prova discursiva, a nossa recomendação é que escolha 3 itens dentre os Controles Tecnológicos e os Controles Organizacionais para decorar. Se a banca pedir para você citar exemplos de cada uma delas, já vai garantir a questão.

Conclusão

Hoje falamos sobre a nova versão da NBR ISO/IEC 27001:2022. Fique atento, pois há uma tendência forte da atualização da norma brasileira ser cobrada nas próximas provas de TI que exijam a disciplina de Segurança da Informação. Seja esperto e saia na frente da concorrência!

Recomendamos que você faça muitas questões para treinar os tópicos apresentados. Nem só de teoria vive o concurseiro. Exercícios são fundamentais para fixar o aprendizado. O acesso ao Sistema de Questões do Estratégia Concursos é feito pelo link: https://concursos.estrategia.com/.

Além dos exercícios, não deixe de revisar o tópico periodicamente. As revisões são um artifício essencial para a memorização do conteúdo. Aproveite o mapa mental disponibilizado gratuitamente neste artigo, pois ele pode ser um poderoso aliado para turbinar o seu aprendizado.

Por fim, se você quiser aprofundar o conteúdo ou tirar dúvidas específicas, busque o material do Estratégia Concursos. Nós oferecemos diversos cursos em pdf, videoaulas e áudios para você ouvir onde quiser. Saiba mais por meio do link http://www.estrategiaconcursos.com.br/cursos/.

Bons estudos e até a próxima!

Cristiane Selem Ferreira Neves é Bacharel em Ciência da Computação e Mestre em Sistemas de Informação pela Universidade Federal do Rio de Janeiro (UFRJ), além de possuir a certificação Project Management Professional pelo Project Management Institute (PMI). Já foi aprovada nos seguintes concursos: ITERJ (2012), DATAPREV (2012), VALEC (2012), Rioprevidência (2012/2013), TJ-RJ (2022) e TCE-RJ (2022). Atualmente exerce o cargo efetivo de Auditora de Controle Externo – Tecnologia da Informação no Tribunal de Contas do Estado do Rio de Janeiro (TCE-RJ), além de ser produtora de conteúdo dos Blogs do Estratégia Concursos, OAB e Carreiras Jurídicas.

Concursos Abertos

Quer Saber Tudo de Concursos Previstos?

Confira Nossos Artigos

Concursos 2023

Concursos 2024

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Veja os comentários
  • A legenda dos controles está equivocada. "Tabela 4 – Controles Tecnológicos da ISO/IEC 27001:2022." Trata-se dos controles da ISO 27002:2022.
    Bruna Coutinho em 16/07/24 às 09:07
    • Olá, Bruna!

      A lista de controles tecnológicos da tabela 4 está descrita no Anexo A da ISO 27001:2022, mais precisamente a partir da página 15 da versão original. Talvez cause uma certa confusão porque, como a própria norma diz, os controles de segurança da informação são diretamente derivados e alinhados com os listados na ISO 27002:2022.

      Vamos lembrar rapidamente as definições. A ISO 27001:2022 fornece requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI), enquanto a ISO 27002:2022 fornece um conjunto de referências de controles genéricos de Segurança da Informação, incluindo guia de implementação. Ou seja, perceba que existe uma correlação entre as normas.

      Bons estudos!
      Cristiane Selem Ferreira Neves em 01/08/24 às 19:55
  • Excelente resumo.
    Jefferson Santana em 18/04/24 às 12:37
    • Obrigada, Jefferson! Fique atento porque em breve teremos novos artigos no Blog! Bons estudos!
      Cristiane Selem Ferreira Neves em 14/06/24 às 20:58
  • Obrigado
    gustavo em 29/02/24 às 14:31
    • Por nada, Gustavo! Não deixe de conferir os próximos artigos da nossa equipe! Bons estudos!
      Cristiane Selem Ferreira Neves em 14/06/24 às 20:59