Certificazione di sistema ISO IEC 27001 - sicurezza delle informazioni

Certificazione sulla Sicurezza delle Informazioni ISO IEC 27001

Sistemi di gestione della sicurezza delle informazioni

Sistemi di gestione della sicurezza delle informazioni

Cos'è la certificazione ISO 27001?

ISO/IEC 27001 è lo standard internazionale di riferimento della serie ISO/IEC 27000 per la gestione della sicurezza delle informazioni. In tutto il mondo, le organizzazioni implementano e mantengono sistemi di gestione della sicurezza delle informazioni ISO 27001 (ISMS) per mantenere al sicuro le informazioni di rilievo per l’azienda. Lo standard delinea un processo di gestione dei rischi che coinvolge persone, processi e sistemi IT, fornendo così un approccio olistico alla sicurezza delle informazioni.

A ottobre 2022 è stata pubblicata la nuova edizione ISO/IEC 27001:2022.

 

L'EDIZIONE 2022 DELLA NORMA ISO 27001

 

  • Il nuovo titolo della norma

    27002:2013 - Information technology - Security techniques - Code of practice for information security controls
    27002:2022 - Information security, cybersecurity, and privacy protection - Information security controls

    L’edizione 2022 introduce in maniera chiara tre livelli distinti:
    - information security
    - cybersecurity
    - privacy protection


    Ora lo standard 27001, insieme alla sua linea guida ISO IEC 27002:2022, guarda alla protezione del dato e dell’informazione da tre diversi angolazioni in quanto viene alla luce in un contesto cambiato dall’ultima versione avvenuta nove anni prima circa, arco di tempo molto amio per l’evoluzione della tecnologia.

  • Nuove clausole

    Tra le introduzioni più rilevanti abbiamo quella della nuova clausola 6.3 (Pianificazione delle modifiche) che viene introdotta per la prima volta nella nuova 27001:2022 e richiede che le modifiche al sistema di gestione siano sempre completate in modo pianificato.

    La gestione delle modifiche, implicita nella versione precedente, viene ora resa esplicita:

    "Quando l'organizzazione determina la necessità di apportare modifiche al sistema di gestione della sicurezza delle informazioni, le modifiche devono essere eseguite in modo pianificato".

    La necessità di cambiamenti e modifiche al sistema di gestione può derivare dal processo di miglioramento continuo, da nuovi rischi emersi durante l'analisi, da incidenti di sicurezza verificatisi nel corso dell'anno o da un cambiamento più profondo dell'organizzazione, delle sue risorse e dei suoi processi.
    Con la nuova clausola introdotta dalla 27001:2022 l'organizzazione deve dimostrare che è in atto un processo controllato per la gestione del cambiamento. Essa infatti deve dare prova di una pianificazione strutturata e di una valutazione dell'impatto che una modifica al sistema di gestione può avere sulla sicurezza delle informazioni. L'organizzazione deve dimostrare che, nella fase di pianificazione, siano state valutate le risorse in grado di implementare efficacemente il cambiamento. L'organizzazione deve dimostrare che la richiesta di modifica passi attraverso un flusso di lavoro di approvazione e autorizzazione e che una nuova modifica venga comunicata attraverso il processo di comunicazione interna dell'organizzazione.

    Il sistema di gestione è esso stesso un asset che, nel suo ciclo di vita, può essere rivisto, aggiornato e modificato, ma sempre in modo controllato.

  • Annex A e controlli

    La caratteristica più evidente della nuova edizione è che la struttura è molto diversa da quella di tutte le precedenti edizioni.

    I controlli di sicurezza elencati nel suo Annex A, sono stati aggiornati: sono ora organizzati in quattro “temi”, come li definisce la linea guida:
    controlli organizzativi – 37 controlli
    controlli fisici – 14 controlli
    controlli delle persone – 8 controlli
    controlli tecnologici – 34 controlli

    Il numero di controlli è diminuito da 114 a 93. Sono stati introdotti 11 nuovi controlli e alcuni controlli sono stati accorpati per evitare ridondanze.

    I nuovi controlli tecnologici si concentrano ad esempio sulla configurazione sicura di hardware, software, servizi e reti (8.9 Configuration management), sullo sviluppo sicuro del codice (8.28 Secure coding), sulla gestione degli accessi al web (8.23 Web filtering), ma anche sulla cancellazione delle informazioni (8.10 Information deletion) e sull’offuscamento dei dati (8.11 Data masking) o sulla prevenzione della perdita dei dati (8.12 Data leakage prevention).

    Un’altra importante novità introdotta dalla nuova versione è la definizione di “attributi” per ciascun controllo di sicurezza; ad ogni controllo sono ora associati cinque attributi, ai quali sono associati specifici valori.
    L’associazione degli attributi ai controlli permette agli utilizzatori di riordinare e raggruppare i controlli secondo viste, in accordo alle specifiche esigenze. 

  • Transizione

    IAF ha pubblicato la Issue n. 2 del documento MD 26 che indica i requisiti per la transizione alla ISO IEC 27001:2022

    La tempistica definita per le nuove certificazioni e i rinnovi, prevede che dal 1° maggio 2024 dovranno essere condotti audit in riferimento alla nuova versione della norma. Si allunga così di sei mesi la deadline stabilità inizialmente (1° novembre 2023).

    Rimane invariata la tempistica di transizione per le aziende già certificate (entro 31 ottobre 2025).
    Da novembre 2025, quindi, tutti i certificati riferiti alla 27001:2013 non saranno più validi.

 

Qual è lo scopo della norma ISO 27001?

  • Protezione della riservatezza delle informazioni, integrità dei dati aziendali e disponibilità dei sistemi IT. 
  • Garanzia per tutte le parti coinvolte e per i clienti del mantenimento dei più alti standard di sicurezza delle informazioni 
  • Riduzione delle interruzioni dei processi critici e delle perdite finanziarie associate ad eventuali violazioni di sicurezza

RICHIEDI UN'OFFERTA

 

Come si ottiene la certificazione ISO 27001?

Le aziende che vogliono certificarsi secondo la ISO 27001 devono rivolgersi a un ente terzo accreditato come TÜV Italia, che valuterà se il sistema di gestione della sicurezza delle informazioni messo in atto è efficace nel proteggere le informazioni e gestire i rischi e, in caso di esito positivo, emetterà la certificazione.

TÜV Italia dispone dell’accreditamento e di esperti auditor in grado di valutare e certificare secondo la ISO 27001 le organizzazioni in tutti i settori. Grazie alla nostra rete di professionisti in tutto il mondo, siamo in grado di fornire questo servizio di certificazione a livello internazionale. 
Gli accreditamenti detenuti garantiscono che il marchio di certificazione venga accettato in tutto il mondo, rendendolo un potente strumento di distinzione nel mercato. 

ESPLORA

ISO 27001
White paper

ISO 27001: Sicurezza delle informazioni e percorso di certificazione

Scarica il white paper gratuito sulla ISO 27001

Scarica ora il white paper

La norma ISO 9001 e le sue applicazioni pratiche in azienda
White paper

Orientarsi nella ISO 9001:2015

Un esame sintetico ma dettagliato della revisione della ISO 9001:2015

Scarica ora il white paper

TUTTE LE RISORSE

Come possiamo aiutarti?

Site Selector