Il 25 ottobre 2022 è uscita la nuova ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”; si tratta della norma di riferimento sui Sistemi di gestione della sicurezza delle informazioni che prevede requisiti e controlli per garantire il rispetto dello standard.
L’obiettivo della norma è quello di fornire alle organizzazioni gli strumenti di base per proteggere il patrimonio delle informazioni (compresi i dati personali); considerando che gli attacchi informatici sono in continua crescita, non risparmiano alcun tipo di azienda ed utilizzano tecniche sempre più sofisticate.
I princìpi che hanno guidato la nuova revisione della norma sono orientati a garantire:
- la disponibilità, riservatezza e disponibilità dei dati;
- un approccio dinamico (in continua evoluzione) basato su individuazione delle minacce e delle vulnerabilità;
- la protezione delle informazioni in tutte le forme e supporti (cartacei, cloud, digitali e verbali);
- l’aumento della resilienza agli attacchi informatici;
- eliminazione di misure che si dimostrano inefficaci.
La modifica più significativa, rispetto alla precedente versione del 2013, riguarda la dichiarazione di applicabilità così come richiesta dal capitolo 6 che non deve essere più necessariamente redatta sulla base dei controlli dell’Allegato A. Il documento può seguire un qualunque impianto di controlli purché sia compliance con quelli dell’Allegato A ed eventualmente ne aggiunga di nuovi.
Non si rilevano ulteriori significative modifiche per quanto riguarda i requisiti e questo può facilitare sicuramente la transazione.
Per quanto riguarda i controlli invece questi hanno subito modifiche rilevanti:
- passando da 114 a 93 - alcuni controlli sono stati accorpati;
- riorganizzati in 4 sezioni invece delle precedenti 14;
- introducendo 11 nuovi controlli.
Ricordiamo che a febbraio è stata pubblicata la ISO/IEC 27002:2022 “Information security, cybersecurity and privacy protection — Information security controls”. I controlli per altro sono la parte caratterizzante del documento: la ISO/IEC 27002:2022 fornisce le linee guida e una serie di informazioni di supporto per la corretta applicazione dei controlli previsti dallo standard.
I tempi di transizione dei certificati ISO/IEC 27001:2013 - Le aziende certificate a fronte della ISO/IEC 27001:2013 hanno tempo fino al 31 ottobre 2025 per effettuare la transizione.
Vieni a scoprire come 7Consulting può seguire la tua organizzazione alla certificazione e adeguamento al nuovo standard ISO/IEC 27001:2022.
Certificazioni e sviluppo di sistemi di gestione (7consulting.net)