ISO 27001: pubblicata la nuova edizione
La nuova pubblicazione sostituisce l'edizione 2013 e porta con sè importanti novità
PBR, 21 Novembre 2022
Recentemente, ISO (International Standard Organization) ha rilasciato la nuova edizione dello standard ISO 27001, norma internazionale che definisce i requisiti per i sistemi di gestione per la sicurezza delle informazioni.
La nuova edizione sostituisce la precedente in vigore dal 2013, incluse le due successive rettifiche tecniche dello standard.
La ISO 27001 è organizzata diversamente rispetto agli altri principali standard per i sistemi gestionali; infatti, include una prima sezione che descrive i requisiti per il sistema di gestione secondo il modello HLS (High Level Structure), successivamente troviamo l'Allegato A che elenca una serie (molto estesa!) di controlli di sicurezza.
La nuova edizione introduce alcuni cambiamenti sia nella parte che descrive il modello gestionale sia in quella contenente i controlli di sicurezza.
Le modifiche sulla prima parte dello standard sono precisazioni, miglioramenti e allineamenti ma non sconvolgono l'impianto generale.
Le novità più significative coinvolgono infatti i controlli dell'Allegato A: questi sono stati riorganizzati e rafforzati in materia di privacy e di cybersecurity.
Cybersecurity
Il termine cybersecurity racchiude in sé tecnologie e strumenti per la protezione dei sistemi informatici; si può considerare come un campo della sicurezza informatica che abbraccia anche altri argomenti.
L'Allegato A dello standard è stato modificato e riorganizzato significativamente rendendolo coerente con lo standard ISO 27002:2022 - Information Security Control, norma pubblicata a marzo di quest'anno.
I controlli sono ora 93, prima erano 114, sono stati organizzati secondo 4 tematiche:
- People (8)
- Physical (14)
- Technological (34)
- Organizational (37)
Ogni tematica è a sua volta profilata secondo specifici attributi
I nuovi controlli di sicurezza introdotti riguardano:
- Threat intelligence
- Physical security monitoring
- Monitoring activities
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Web filtering
- Secure coding
- Information security for use of cloud services
- ICT Readiness for business continuity
Per quanto riguarda la certificazione dei sistemi di gestione secondo la nuova edizione della ISO 27001, vivremo un breve periodo di preparazione che coinvolgerà sia Accredia sia gli organismi di certificazione, i quali dovranno formare gli auditor ed aggiornare le procedure di verifica.
Successivamente, per un periodo di 12 mesi, le organizzazioni avranno la possibilità di certificarsi secondo nuova o vecchia edizione.
Le società già certificate potranno migrare alla nuova edizione entro 36 mesi dall'entrata in vigore della nuova norma.
Perchè certificarsi ISO 27001?
Il mercato, soprattutto in alcuni settori, richiede la certificazione del sistema secondo ISO 27001 come prerequisito per poter operare.
Ai fornitori che trattano informazioni critiche per valore, tipologia o volumi, è richiesto un impegno per una sicura gestione delle informazioni.
Inoltre, attraverso la certificazione ISO 27001, il management ha la possibilità di regolamentare la gestione della sicurezza delle informazioni, applicando un set di controlli che costituiscono lo stato dell'arte in termini di sicurezza.
L'applicazione del modello ISO 27001 consente inoltre di organizzare, nella logica della gestione, i reparti IT che troppo spesso operano in modo autoreferenziale e non armonico con l'organizzazione.