Sistemi di gestione della sicurezza delle informazioni
Sistemi di gestione della sicurezza delle informazioni
ISO/IEC 27001 è lo standard internazionale di riferimento della serie ISO/IEC 27000 per la gestione della sicurezza delle informazioni. In tutto il mondo, le organizzazioni implementano e mantengono sistemi di gestione della sicurezza delle informazioni ISO 27001 (ISMS) per mantenere al sicuro le informazioni di rilievo per l’azienda. Lo standard delinea un processo di gestione dei rischi che coinvolge persone, processi e sistemi IT, fornendo così un approccio olistico alla sicurezza delle informazioni.
A ottobre 2022 è stata pubblicata la nuova edizione ISO/IEC 27001:2022.
27002:2013 - Information technology - Security techniques - Code of practice for information security controls
27002:2022 - Information security, cybersecurity, and privacy protection - Information security controls
L’edizione 2022 introduce in maniera chiara tre livelli distinti:
- information security
- cybersecurity
- privacy protection
Ora lo standard 27001, insieme alla sua linea guida ISO IEC 27002:2022, guarda alla protezione del dato e dell’informazione da tre diversi angolazioni in quanto viene alla luce in un contesto cambiato dall’ultima versione avvenuta nove anni prima circa, arco di tempo molto amio per l’evoluzione della tecnologia.
Tra le introduzioni più rilevanti abbiamo quella della nuova clausola 6.3 (Pianificazione delle modifiche) che viene introdotta per la prima volta nella nuova 27001:2022 e richiede che le modifiche al sistema di gestione siano sempre completate in modo pianificato.
La gestione delle modifiche, implicita nella versione precedente, viene ora resa esplicita:
"Quando l'organizzazione determina la necessità di apportare modifiche al sistema di gestione della sicurezza delle informazioni, le modifiche devono essere eseguite in modo pianificato".
La necessità di cambiamenti e modifiche al sistema di gestione può derivare dal processo di miglioramento continuo, da nuovi rischi emersi durante l'analisi, da incidenti di sicurezza verificatisi nel corso dell'anno o da un cambiamento più profondo dell'organizzazione, delle sue risorse e dei suoi processi.
Con la nuova clausola introdotta dalla 27001:2022 l'organizzazione deve dimostrare che è in atto un processo controllato per la gestione del cambiamento. Essa infatti deve dare prova di una pianificazione strutturata e di una valutazione dell'impatto che una modifica al sistema di gestione può avere sulla sicurezza delle informazioni. L'organizzazione deve dimostrare che, nella fase di pianificazione, siano state valutate le risorse in grado di implementare efficacemente il cambiamento. L'organizzazione deve dimostrare che la richiesta di modifica passi attraverso un flusso di lavoro di approvazione e autorizzazione e che una nuova modifica venga comunicata attraverso il processo di comunicazione interna dell'organizzazione.
Il sistema di gestione è esso stesso un asset che, nel suo ciclo di vita, può essere rivisto, aggiornato e modificato, ma sempre in modo controllato.
La caratteristica più evidente della nuova edizione è che la struttura è molto diversa da quella di tutte le precedenti edizioni.
I controlli di sicurezza elencati nel suo Annex A, sono stati aggiornati: sono ora organizzati in quattro “temi”, come li definisce la linea guida:
• controlli organizzativi – 37 controlli
• controlli fisici – 14 controlli
• controlli delle persone – 8 controlli
• controlli tecnologici – 34 controlli
Il numero di controlli è diminuito da 114 a 93. Sono stati introdotti 11 nuovi controlli e alcuni controlli sono stati accorpati per evitare ridondanze.
I nuovi controlli tecnologici si concentrano ad esempio sulla configurazione sicura di hardware, software, servizi e reti (8.9 Configuration management), sullo sviluppo sicuro del codice (8.28 Secure coding), sulla gestione degli accessi al web (8.23 Web filtering), ma anche sulla cancellazione delle informazioni (8.10 Information deletion) e sull’offuscamento dei dati (8.11 Data masking) o sulla prevenzione della perdita dei dati (8.12 Data leakage prevention).
Un’altra importante novità introdotta dalla nuova versione è la definizione di “attributi” per ciascun controllo di sicurezza; ad ogni controllo sono ora associati cinque attributi, ai quali sono associati specifici valori.
L’associazione degli attributi ai controlli permette agli utilizzatori di riordinare e raggruppare i controlli secondo viste, in accordo alle specifiche esigenze.
IAF ha pubblicato la Issue n. 2 del documento MD 26 che indica i requisiti per la transizione alla ISO IEC 27001:2022
La tempistica definita per le nuove certificazioni e i rinnovi, prevede che dal 1° maggio 2024 dovranno essere condotti audit in riferimento alla nuova versione della norma. Si allunga così di sei mesi la deadline stabilità inizialmente (1° novembre 2023).
Rimane invariata la tempistica di transizione per le aziende già certificate (entro 31 ottobre 2025).
Da novembre 2025, quindi, tutti i certificati riferiti alla 27001:2013 non saranno più validi.
Le aziende che vogliono certificarsi secondo la ISO 27001 devono rivolgersi a un ente terzo accreditato come TÜV Italia, che valuterà se il sistema di gestione della sicurezza delle informazioni messo in atto è efficace nel proteggere le informazioni e gestire i rischi e, in caso di esito positivo, emetterà la certificazione.
TÜV Italia dispone dell’accreditamento e di esperti auditor in grado di valutare e certificare secondo la ISO 27001 le organizzazioni in tutti i settori. Grazie alla nostra rete di professionisti in tutto il mondo, siamo in grado di fornire questo servizio di certificazione a livello internazionale.
Gli accreditamenti detenuti garantiscono che il marchio di certificazione venga accettato in tutto il mondo, rendendolo un potente strumento di distinzione nel mercato.
Scarica il white paper gratuito sulla ISO 27001
Scarica ora il white paper
Un esame sintetico ma dettagliato della revisione della ISO 9001:2015
Scarica ora il white paper
Oltre 250 corsi di formazione in aula, online e in modalità e-learning
Scarica il catalogo corsi 2025
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa