La nuova ISO/IEC 27001:2022

Il 25 ottobre 2022 è uscita la nuova ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”; si tratta della norma di riferimento sui Sistemi di gestione della sicurezza delle informazioni che prevede requisiti e controlli per garantire il rispetto dello standard. 

L’obiettivo della norma è quello di fornire alle organizzazioni gli strumenti di base per proteggere il patrimonio delle informazioni (compresi i dati personali); considerando che gli attacchi informatici sono in continua crescita, non risparmiano alcun tipo di azienda ed utilizzano tecniche sempre più sofisticate.

I princìpi che hanno guidato la nuova revisione della norma sono orientati a garantire:

- la disponibilità, riservatezza e disponibilità dei dati;

- un approccio dinamico (in continua evoluzione) basato su individuazione delle minacce e delle vulnerabilità;

- la protezione delle informazioni in tutte le forme e supporti (cartacei, cloud, digitali e verbali);

- l’aumento della resilienza agli attacchi informatici;

- eliminazione di misure che si dimostrano inefficaci.

La modifica più significativa, rispetto alla precedente versione del 2013, riguarda la dichiarazione di applicabilità così come richiesta dal capitolo 6 che non deve essere più necessariamente redatta sulla base dei controlli dell’Allegato A. Il documento può seguire un qualunque impianto di controlli purché sia compliance con quelli dell’Allegato A ed eventualmente ne aggiunga di nuovi.

Non si rilevano ulteriori significative modifiche per quanto riguarda i requisiti e questo può facilitare sicuramente la transazione.

Per quanto riguarda i controlli invece questi hanno subito modifiche rilevanti:

- passando da 114 a 93 - alcuni controlli sono stati accorpati;

- riorganizzati in 4 sezioni invece delle precedenti 14;

- introducendo 11 nuovi controlli.

Ricordiamo che a febbraio è stata pubblicata la ISO/IEC 27002:2022 “Information security, cybersecurity and privacy protection — Information security controls”. I controlli per altro sono la parte caratterizzante del documento: la ISO/IEC 27002:2022 fornisce le linee guida e una serie di informazioni di supporto per la corretta applicazione dei controlli previsti dallo standard.

I tempi di transizione dei certificati ISO/IEC 27001:2013 - Le aziende certificate a fronte della ISO/IEC 27001:2013 hanno tempo fino al 31 ottobre 2025 per effettuare la transizione.  

Vieni a scoprire come 7Consulting può seguire la tua organizzazione alla certificazione e adeguamento al nuovo standard ISO/IEC 27001:2022.

Certificazioni e sviluppo di sistemi di gestione (7consulting.net)

 

Tags: , , ,

Add comment

  Country flag

biuquote
  • Comment
  • Preview
Loading

Ho letto la Privacy Policy e acconsento alla memorizzazione dei miei dati nel vostro archivio secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR. (Potrai cancellarli o chiederne una copia facendo esplicita richiesta a info@7consulting.net)