iso-27001 - RunkIntel

# ISO 27001:2022 - Sistema de Gestão de Segurança da Informação > [!abstract] Síntese > A ISO/IEC 27001:2022 é o padrão internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Atualização públicada em outubro de 2022, com prazo de transição até outubro de 2025. No [[brasil|Brasil]], a certificação ISO 27001 tornou-se requisito de fato para contratos com governo federal, grandes empresas e organismos financeiros - e funciona como base estrutural para atender [[lgpd|LGPD]], [[bacen-4893|BACEN Res. 4893]] e [[pci-dss|PCI-DSS]] simultaneamente. --- ## Visão Geral A ISO 27001 define os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI. Diferente de frameworks como NIST CSF (guia de referência) ou PCI-DSS (padrão contratual), a ISO 27001 é um **padrão certificável** - organizações passam por auditoria externa por organismos acreditados (como Bureau Veritas, DNV, SGS, BVQI) para obter e renovar a certificação. A versão 2022 substituiu a versão 2013 com mudanças estruturais importantes: o Anexo A foi reestruturado de 14 seções (114 controles) para **4 temas temáticos (93 controles)**, incorporando controles novos para cloud, threat intelligence e segurança física. --- ## Estrutura da ISO 27001:2022 ```mermaid graph TB ISO["🔒 ISO 27001:2022 Sistema de Gestão (SGSI)"] ISO --> CONTEXT["4. Contexto Partes interessadas e escopo"] ISO --> LEADERSHIP["5. Liderança Política e comprometimento"] ISO --> PLANNING["6. Planejamento Riscos e objetivos"] ISO --> SUPPORT["7. Apoio Recursos e competência"] ISO --> OPERATION["8. Operação Tratamento de riscos"] ISO --> PERFORMANCE["9. Avaliação Auditoria e revisão"] ISO --> IMPROVEMENT["10. Melhoria Não conformidade e ação corretiva"] ISO --> ANNEXA["📋 Anexo A 93 Controles"] ANNEXA --> A5["Org. Controls (37)"] ANNEXA --> A6["People Controls (8)"] ANNEXA --> A7["Physical Controls (14)"] ANNEXA --> A8["Tech. Controls (34)"] style ISO fill:#1a1a2e,stroke:#e94560,color:#fff style ANNEXA fill:#16213e,stroke:#0f3460,color:#fff ``` --- ## Novidades da Versão 2022 | Aspecto | ISO 27001:2013 | ISO 27001:2022 | | ------- | -------------- | --------------- | | Estrutura do Anexo A | 14 seções, 114 controles | 4 temas, 93 controles | | Controles novos | - | 11 novos controles | | Controles mesclados | - | 57 controles de 2013 mesclados | | Controles retirados | - | 0 | | Cloud Security | Limitado | Controle específico (A.8.23) | | Threat Intelligence | Não explícito | Controle específico (A.5.7) | | ICT Readiness (BCDR) | Implícito | Controle explícito (A.5.30) | | Data Masking | Não explícito | Controle específico (A.8.11) | --- ## 11 Novos Controles do Anexo A (2022) | ID | Controle | Relevância CTI | | -- | -------- | -------------- | | A.5.7 | Threat Intelligence | Alta - exige uso ativo de CTI | | A.5.23 | Information security for use of cloud services | Alta - cloud security | | A.5.30 | ICT readiness for business continuity | Média - BCDR | | A.7.4 | Physical security monitoring | Baixa | | A.8.9 | Configuration management | Alta - baseline de segurança | | A.8.10 | Information deletion | Média - retenção de dados | | A.8.11 | Data masking | Média - privacidade / LGPD | | A.8.12 | Data leakage prevention | Alta - DLP | | A.8.16 | Monitoring activities | Alta - SIEM / SOC | | A.8.23 | Web filtering | Baixa / Média | | A.8.28 | Secure coding | Alta - SDLC seguro | > [!tip] Controle A.5.7 - Threat Intelligence > O novo controle de Threat Intelligence (A.5.7) exige que organizações certificadas coletem, análisem e usem inteligência sobre ameaças para informar suas decisões de segurança. Isso cria oportunidade para justificar investimentos em plataformas de CTI como o RunkIntel. --- > [!latam] Relevância para o Brasil > O Brasil é o país da América Latina com maior número de certificações ISO 27001 e o 10º no ranking global (ISO Survey 2023). A certificação tornou-se requisito de fato para contratos com o Governo Federal, grandes corporações e o setor financeiro regulado pelo **BACEN**. Com o prazo de transição da versão 2013 para 2022 encerrado em outubro de 2025, organizações brasileiras certificadas precisaram revisar seus controles - especialmente os 11 novos controles do Anexo A 2022 relacionados a threat intelligence (A.5.7) e cloud security (A.5.23). A norma local é a **ABNT NBR ISO/IEC 27001:2023**, publicada em português pela ABNT. ## ISO 27001 no Brasil ### Adoção e Certificação O Brasil é o país da América Latina com mais certificações ISO 27001 - e o 10º globalmente (dados ISO Survey 2023). A versão ABNT é a **ABNT NBR ISO/IEC 27001:2023**, publicada como tradução oficial pela ABNT. **Setores com maior adoção:** - [[financial|Financeiro]] - exigência de fato em grandes bancos e IFs - [[technology|Tecnologia]] - requisito para contratos governamentais (SGSI exigido em licitações federais) - [[healthcare|Saúde]] - crescente exigência pós-LGPD - [[government|Governo]] - Instrução Normativa SGD 1/2021 referencia ISO 27001 ### Prazo de Transição Organizações certificadas na versão 2013 devem migrar para a versão 2022 até **31 de outubro de 2025**. Certificados 2013 emitidos após essa data não serão reconhecidos por organismos IAF-acreditados. --- ## Mapeamento ISO 27001 × LGPD A ISO 27001 funciona como estrutura para implementar os requisitos técnicos da [[lgpd|LGPD]]: | Requisito LGPD | Controles ISO 27001:2022 Relevantes | | -------------- | ------------------------------------ | | Art. 46 - Medidas de segurança | A.8.1 (Endpoint devices), A.8.2 (Privileged access), A.8.5 (Secure authentication) | | Art. 48 - Notificação de incidente | A.5.24 (IR planning), A.5.25 (Assessment of IS events) | | Art. 18 - Direitos do titular | A.5.34 (Privacy protection) | | Transferência internacional | A.5.33 (Protection of records) | | DPIA (relatório de impacto) | A.5.8 (IS in project management) | --- ## Mapeamento ISO 27001 × [[bacen-4893|BACEN Res. 4893]] | Requisito BACEN 4.893 | Controles ISO 27001:2022 | | --------------------- | ------------------------ | | Política de cibersegurança | A.5.1 (Policies for IS) | | Plano de resposta a incidentes | A.5.24–A.5.28 (IR cluster) | | Testes de segurança | A.8.8 (Management of tech vulns), A.5.36 (Compliance) | | Controles de acesso | A.8.2–A.8.5 (Access controls cluster) | | Gestão de terceiros | A.5.19–A.5.22 (Supplier relationships) | --- ## Processo de Certificação ```mermaid graph TB A["📋 Definir Escopo e Política SGSI"] --> B["🔍 Avaliação de Riscos Identificar ameaças e vulnerabilidades"] B --> C["🛡️ Declaração de Aplicabilidade Selecionar controles do Anexo A"] C --> D["⚙️ Implementação Controles técnicos e procedimentos"] D --> E["🔄 Auditoria Interna Verificar implementação"] E --> F["📊 Revisão pela Direção Aprovar estado do SGSI"] F --> G["🏢 Stage 1 Audit Auditoria documental (OAC externo)"] G --> H["🏢 Stage 2 Audit Auditoria no local (OAC externo)"] H --> I["✅ Certificado ISO 27001 Válido por 3 anos"] I --> J["🔄 Auditorias de Manutenção Anuais (anos 2 e 3)"] J --> K["🔄 Recertificação A cada 3 anos"] style I fill:#1a1a2e,stroke:#27ae60,color:#fff ``` --- ## Referências - [ISO/IEC 27001:2022 - Official Standard](https://www.iso.org/standard/82875.html) - [ABNT NBR ISO/IEC 27001:2023](https://www.abnt.org.br/) - [ISO Survey 2023 - Certificações por País](https://www.iso.org/the-iso-survey.html) - [IAF - Prazo de Transição 27001:2022](https://iaf.nu/) - [ABNT/CB21 - Comitê Brasileiro de Segurança da Informação](https://www.abnt.org.br/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**