Fique por dentro – ISO 27001:2022: Universo Segurança da Informação.

Acesse o conteúdo completo – ISO 27001:2022: Universo Segurança da Informação.



Baixar apostila para concurso

Introdução

Para quem estava com saudades, vamos retomar a nossa série especial de temas sobre Segurança da Informação. No artigo de hoje, atendendo a muitos pedidos de um querido amigo concurseiro, você verá um resumo exclusivo sobre a NBR ISO/IEC 27001:2022.

Vamos explicar tudo para você ao longo do artigo, mas deixamos claro desde já que essa norma brasileira (adaptada da internacional) não é novidade no mundo dos concursos e da Segurança da Informação. A última versão havia sido publicada em 2013.

Após um hiato de quase 10 anos, houve uma atualização em 2022. Em outras palavras, vamos apresentar neste artigo a versão de 2022 da norma, traduzida do inglês para o português, para deixar você bem preparado para as próximas provas. Veja o nosso roteiro:

  • Escopo da NBR ISO/IEC 27001:2022
  • Cláusulas da NBR ISO/IEC 27001:2022
  • Mapa Mental das Cláusulas
  • Áreas e Controles de Segurança da Informação

Recomendamos que leia o artigo caso esteja estudando para concursos específicos da área de Tecnologia da Informação (TI) ou concursos gerais que cobrem a disciplina de Segurança da Informação no edital. Esperamos você nas próximas seções!

O artigo de hoje é um pouquinho mais longo do que o normal. Afinal, como ainda não há muitos materiais de concursos disponíveis sobre a atualização da NBR ISO/IEC 27001:2022, optamos por fazer algo mais completo para te ajudar bastante na preparação. Vamos começar então?

Tempo de leitura aproximada: 15 a 20 minutos

Escopo da NBR ISO/IEC 27001:2022

A norma visa fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI), considerado estratégico para a organização.

Os critérios para a composição do SGSI são influenciados pelos objetivos e necessidades organizacionais, requisitos de segurança, processos adotados, além do tamanho e estrutura. Adicionalmente, os critérios tendem a se modificar com o passar do tempo.

Momento Curiosidade: As siglas ISO e IEC são internacionais, indicando que a norma é um padrão mundial. ISO significa International Organization for Standardization, enquanto IEC significa International Electrotechnical Commission.

Mais Curiosidade: NBR é abreviação de norma brasileira. Ou seja, a NBR ISO/IEC 27001:2022 é a norma internacional ISO/IEC 27001:2022 adaptada para o Brasil.

A NBR ISO/IEC 27001:2022 é dividida em uma série de cláusulas e controles de Segurança da Informação, assim como na versão anterior. A maior parte das mudanças ocorreu nos controles. Vamos falar sobre esses tópicos nas próximas seções. Continue com a gente!

Cláusulas da NBR ISO/IEC 27001:2022

As cláusulas da NBR ISO/IEC 27001:2022 estão divididas em contexto da organização, liderança, planejamento, suporte, operação, avaliação de performance e melhorias. Nesta seção, vamos abordar resumidamente cada uma delas:

Contexto da Organização, Liderança e Planejamento na NBR ISO/IEC 27001:2002

Contexto da Organização: a organização deve analisar problemas relevantes externos e internos, observando como eles afetam o alcance dos resultados do SGSI. Para a análise, é importante entender as necessidades e expectativas das partes interessadas e determinar o escopo do SGSI.


Liderança: a alta cúpula deve demonstrar liderança e compromisso com o SGSI, além de estabelecer uma Política de Segurança da Informação (PSI) e garantir que as responsabilidades e as autoridades relevantes para a Segurança da Informação foram atribuídas e comunicadas na organização.


Planejamento: envolve ações para identificar, avaliar e tratar riscos e oportunidades, além de definir os objetivos de Segurança da Informação e estratégias para alcançá-los. Em caso de eventuais mudanças necessárias no curso do SGSI, estas devem ser encaradas de maneira planejada.

Suporte, Operação, Avaliação de Performance e Melhorias na NBR ISO/IEC 27001:2022

Suporte: abrange recursos; competências ligadas à Segurança da Informação; conhecimento, benefícios e implicações de sua não conformidade; comunicação interna e externa e informação documentada para estabelecer, implementar, manter e continuamente melhorar o SGSI.


Operação: a organização deve planejar, implementar e controlar os processos, produtos e serviços necessários ao alcance dos requisitos de Segurança da Informação, incluindo eventuais mudanças relacionadas, além de prover ações destinadas à avaliação e tratamento dos seus riscos.

Você Sabia? Algumas características do Suporte e da Operação aparecem em outras cláusulas, o que pode dificultar um pouco o entendimento. Pense que o Suporte são elementos diversos para apoiar o SGSI, enquanto a Operação é mais focada nos itens que já estão em produção no momento.

Avaliação de Performance: consiste em atividades que envolvem o monitoramento, medição, análise e avaliação do SGSI, bem como programas de auditoria interna em intervalos planejados e revisões gerenciais para garantir sua adequação e eficácia contínuas.


Melhorias: a organização deve continuamente melhorar a adequação e a eficácia do SGSI, por meio da identificação de não conformidades, da avaliação da necessidade de ações para eliminar as suas causas, de forma que não se repitam, e da implementação de medidas corretivas.

Mapa Mental das Cláusulas

Chegou um dos momentos mais esperados da leitura. Se você já acompanha o nosso trabalho há algum tempo, então sabe que geralmente fazemos uma revisão no final do artigo. Porém, resolvemos fazer algo diferente hoje: vamos liberar um mapa mental no meio da publicação.

Optamos por essa mudança porque a próxima seção já será naturalmente esquematizada, pela própria forma de apresentar as informações. Ou seja, o artigo ficará bem dinâmico.  Esperamos que ele seja útil no seu aprendizado, porque tudo é feito pensando em facilitar a sua vida.

Figura 1 - Mapa Mental das Cláusulas da NBR ISO/IEC 27001:2022.
Figura 1 – Mapa Mental das Cláusulas da NBR ISO/IEC 27001:2022.

Áreas e Controles de Segurança da Informação

Os controles são tradicionais nas publicações da NBR ISO/IEC 27001. Na versão de 2013, eram 114 controles. Por outro lado, na versão de 2022, são apenas 93 controles. Observe que houve uma redução.

Da mesma forma, as áreas em que os controles estão agrupados também diminuíram: passaram de 14 para somente 4. Vale ressaltar que não há hierarquia entre as áreas, tampouco entre os controles.

Figura 2 - Áreas dos Controles na NBR ISO/IEC 27001:2022.
Figura 2 – Áreas dos Controles na NBR ISO/IEC 27001:2022.

Ou seja, podemos sintetizar que a versão de 2022 foi levemente enxugada, quando comparada à versão de 2013. Porém, a nova versão passou pela atualização de conteúdo que uma década exige.  

Bom, vamos deixar você por alguns instantes com os benditos quadros dos controles. Faça uma primeira leitura atenta, sem desespero, porque teremos notícias boas lá na frente para ajudar na memorização.

Controles Organizacionais na NBR ISO/IEC 27001:2022

Controles Organizacionais
1 Políticas para Segurança da Informação
2 Papéis e Responsabilidades de Segurança da Informação
3 Segregação de Funções
4 Responsabilidades de Gestão
5 Contato com Autoridades
6 Contato com Grupos de Interesses Especiais
7 Inteligência contra Ameaças
8 Segurança da Informação no Gerenciamento de Projetos
9 Inventário de Informações e outros Ativos Associados
10 Uso Aceitável da Informação e outros Ativos Associados
11 Devolução de Ativos
12 Classificação das Informações
13 Rotulagem das Informações
14 Transferência das Informações
15 Controle de Acesso
16 Gerenciamento de Identidade
17 Informações de Autenticação
18 Direitos de Acesso
19 Segurança da Informação em Relacionamentos com Fornecedores
20 Abordagem da Segurança da Informação nos Contratos com Fornecedores
21 Gerenciamento de Segurança da Informação na Cadeia de Suprimentos de Tecnologia da Informação e Comunicação (TIC)
22 Monitoramento, Revisão e Gerenciamento de Mudanças de Serviços de Fornecedores
23 Segurança da Informação para Uso de Serviços em Nuvem
24 Preparação e Planejamento de Gerenciamento de Incidentes de Segurança da Informação
25 Avaliação e Decisão sobre Eventos de Segurança da Informação
26 Resposta aos Incidentes de Segurança da Informação
27 Aprendizado com Incidentes de Segurança da Informação
28 Coleta de Evidências
29 Segurança da Informação durante Interrupção
30 Disponibilidade de TIC para a Continuidade do Negócio
31 Requisitos Legais, Estatutários, Regulatórios e Contratuais
32 Direitos de Propriedade Intelectual
33 Proteção de Registros
34 Privacidade e Proteção de Informações de Identificação Pessoal (IIP)
35 Revisão Independente de Segurança da Informação
36 Conformidade com Políticas, Regras e Padrões de Segurança da Informação
37 Procedimentos Operacionais Documentados
Tabela 1 – Controles Organizacionais da ISO/IEC 27001:2022.

Controles Pessoais e Físicos na NBR ISO/IEC 27001:2022

Controles Pessoais
1 Seleção
2 Termos e Condições de Contratação
3 Treinamento, Educação e Conscientização em Segurança da Informação
4 Processo Disciplinar
5 Responsabilidades após Término ou Mudança de Contratação
6 Acordos de Confidencialidade ou Não Divulgação
7 Trabalho Remoto
8 Relatórios de Eventos de Segurança da Informação
Tabela 2 – Controles Pessoais da ISO/IEC 27001:2022.
Controles Físicos
1 Perímetros de Segurança Física
2 Entrada Física
3 Proteção de Escritórios, Salas e Instalações
4 Monitoramento de Segurança Física
5 Proteção contra Ameaças Físicas e Ambientais
6 Trabalho em Áreas Seguras
7 Mesa e Tela Limpas
8 Localização e Proteção de Equipamentos
9 Segurança de Ativos Fora do Local
10 Mídia de Armazenamento
11 Utilitários de Suporte
12 Segurança de Cabeamento
13 Manutenção de Equipamento
14 Descarte ou Reutilização Segura de Equipamento
Tabela 3 – Controles Físicos da NBR ISO/IEC 27001:2022.

Controles Tecnológicos na NBR ISO/IEC 27001:2022

Controles Tecnológicos
1 Dispositivos de Endpoint do Usuário
2 Direitos de Acesso Privilegiados
3 Restrição de Acesso à Informação
4 Acesso ao Código-Fonte
5 Autenticação Segura
6 Gerenciamento de Capacidade
7 Proteção contra Malware
8 Gerenciamento de Vulnerabilidades Técnicas
9 Gerenciamento de Configuração
10 Exclusão de Informações
11 Mascaramento de Dados
12 Prevenção de Vazamento de Dados
13 Backup de Informações
14 Redundância de Recursos de Processamento de Informações
15 Registro de Logs
16 Atividades de Monitoramento
17 Sincronização de Relógio
18 Uso de Programas Utilitários Privilegiados
19 Instalação de Software em Sistemas Operacionais
20 Segurança de Redes
21 Segurança de Serviços de Rede
22 Segregação de Redes
23 Filtragem da Web
24 Uso de Criptografia
25 Ciclo de Vida de Desenvolvimento Seguro
26 Requisitos de Segurança de Aplicações
27 Princípios de Arquitetura e Engenharia em Sistemas Seguros
28 Codificação Segura
29 Testes de Segurança em Desenvolvimento e Aceitação
30 Desenvolvimento Terceirizado
31 Separação de Ambientes de Desenvolvimento, Teste e Produção
32 Gerenciamento de Mudanças
33 Informações de Teste
34 Proteção de Sistemas de Informação durante Testes de Auditoria
Tabela 4 – Controles Tecnológicos da ISO/IEC 27001:2022.

Dicas Infalíveis para Decorar os Controles

Obviamente, sabemos que é uma tarefa árdua decorar todos os controles e suas descrições. Tente ao menos decorar os nomes dos controles, listados nas tabelas. Por ser uma norma recente, é bem provável que a banca pergunte o nome do controle e a área relacionada na prova.

Para você que tem dificuldade com muito conteúdo, aí vai uma dica: procure decorar apenas os Controles Pessoais e os Controles Físicos, porque eles são a minoria. Na hora da prova, você vai ter 22 deles memorizados, de 2 áreas completas. 

Quanto aos Controles Tecnológicos, tente ler o quadro várias vezes e decorar as palavras-chave que aparecem repetidamente e possuem cunho técnico, tais como dados, teste, redes etc. Na hora da prova, você vai acertar intuitivamente, por saber do que o assunto trata.

Por fim, os Controles Organizacionais são os que sobraram. Se a banca perguntar algum que não consta na lista dos que você decorou, nem está relacionado com os termos de tecnologia, então só pode fazer parte dos Controles Organizacionais. Ou seja, você consegue acertar por eliminação.

Atenção: Caso o seu concurso tenha prova discursiva, a nossa recomendação é que escolha 3 itens dentre os Controles Tecnológicos e os Controles Organizacionais para decorar. Se a banca pedir para você citar exemplos de cada uma delas, já vai garantir a questão.

Conclusão

Hoje falamos sobre a nova versão da NBR ISO/IEC 27001:2022. Fique atento, pois há uma tendência forte da atualização da norma brasileira ser cobrada nas próximas provas de TI que exijam a disciplina de Segurança da Informação. Seja esperto e saia na frente da concorrência!

Recomendamos que você faça muitas questões para treinar os tópicos apresentados. Nem só de teoria vive o concurseiro. Exercícios são fundamentais para fixar o aprendizado. O acesso ao Sistema de Questões do Estratégia Concursos é feito pelo link: https://concursos.estrategia.com/.

Além dos exercícios, não deixe de revisar o tópico periodicamente. As revisões são um artifício essencial para a memorização do conteúdo. Aproveite o mapa mental disponibilizado gratuitamente neste artigo, pois ele pode ser um poderoso aliado para turbinar o seu aprendizado.

Por fim, se você quiser aprofundar o conteúdo ou tirar dúvidas específicas, busque o material do Estratégia Concursos. Nós oferecemos diversos cursos em pdf, videoaulas e áudios para você ouvir onde quiser. Saiba mais por meio do link http://www.estrategiaconcursos.com.br/cursos/.

Bons estudos e até a próxima!

Cristiane Selem Ferreira Neves é Bacharel em Ciência da Computação e Mestre em Sistemas de Informação pela Universidade Federal do Rio de Janeiro (UFRJ), além de possuir a certificação Project Management Professional pelo Project Management Institute (PMI). Já foi aprovada nos seguintes concursos: ITERJ (2012), DATAPREV (2012), VALEC (2012), Rioprevidência (2012/2013), TJ-RJ (2022) e TCE-RJ (2022). Atualmente exerce o cargo efetivo de Auditora de Controle Externo – Tecnologia da Informação no Tribunal de Contas do Estado do Rio de Janeiro (TCE-RJ), além de ser produtora de conteúdo dos Blogs do Estratégia Concursos, OAB e Carreiras Jurídicas.

Concursos Abertos

Quer Saber Tudo de Concursos Previstos?

Confira Nossos Artigos

Concursos 2023

Concursos 2024

Fonte: Estratégia Concursos

Download disponível – ISO 27001:2022: Universo Segurança da Informação.



Baixar apostila para concurso

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Sair da versão mobile