Pubblicato il di

Pubblicata la nuova norma ISO 27001:2022

Dopo una falsa partenza, in cui l’aggiornamento è stato proposto come un emendamento piuttosto che una nuova versione, la nuova ISO27001 2022 è stata pubblicata dall’ISO ed è disponibile tramite il loro sito Web alla somma di 118 franchi svizzeri. Sono passati nove anni, un mese, da quando è uscita la versione precedente, quindi cosa c’è di nuovo in questa edizione, e dove andiamo da qui?

È giusto dire che questo aggiornamento è stato guidato quasi esclusivamente da due forze; il desiderio di far corrispondere i requisiti del sistema di gestione con l’ultima struttura e formulazione dell’allegato SL e la necessità di allineare l’allegato A della norma con la versione 2022 della guida ISO27002.

Prendiamo a turno questi due fattori ed esploriamo cosa è cambiato.

Il sistema di gestione

ISO27001 è stato uno dei primi standard ad adottare la struttura di alto livello dell’Annex SL nel 2013 e da allora la struttura è stata leggermente modificata da ISO con il rilascio di aggiornamenti a ISO9001 e altri dal 2015 in poi. Ma i cambiamenti sono piccoli ed è improbabile che la maggior parte delle organizzazioni certificate abbiano notti insonni.

La formulazione cambia

In primo luogo, ci sono alcune modifiche di formulazione nelle seguenti clausole:

  • 4.2 Comprendere i bisogni e le aspettative delle parti interessate
    • Viene aggiunto un terzo punto per specificare “quale di questi requisiti sarà affrontato attraverso il sistema di gestione della sicurezza delle informazioni”.
  • 4.4 Sistema di gestione della sicurezza delle informazioni
    • Viene aggiunta la frase “compresi i processi necessari e le loro interazioni”, che richiede una maggiore definizione dei processi dell’ISMS.
  • 5.3 Ruoli, responsabilità e poteri organizzativi
    • La frase “all’interno dell’organizzazione” è aggiunta alla fine della prima frase.
  • 6.1.3 Trattamento dei rischi per la sicurezza delle informazioni
    • Le note vengono sostituite.
  • 6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli
    • All’elenco viene aggiunta la necessità di monitorare gli obiettivi.
  • 7.4 Comunicazione
    • L’attuale formulazione sui processi di comunicazione è stata sostituita con un semplice “come comunicare”.
  • 8.1 Pianificazione e controllo operativo
    • È stata aggiunta la necessità di stabilire criteri per i processi dell’ISMS.

Modifiche alle intestazioni

C’è una nuova sotto-clausola 6.3 Pianificazione delle modifiche che si occupa delle modifiche al sistema di gestione e richiede che tutte le modifiche siano considerate dal punto di vista del loro scopo e delle conseguenze, dell’integrità dell’ISMS, delle risorse disponibili e di eventuali modifiche alle responsabilità e alle autorità sono coinvolti. Ciò richiederà un semplice processo di pianificazione, con l’evidenza che queste aree sono state prese in considerazione.

All’interno della clausola 9 ( Valutazione della performance ) le sottoclausole 9.2 ( Audit interno ) e 9.3 ( Riesame della direzione ) sono state ulteriormente suddivise in 9.2.1 Generale , 9.2.2 Programma di audit interno , 9.3.1 Generale , 9.3.2 Input del riesame della direzione e 9.3.3 Risultati rispettivamente del riesame della direzione. I due sottotitoli nella clausola 10 sono stati scambiati. Ciò serve principalmente a facilitare la leggibilità ea corrispondere all’ultima definizione dell’allegato SL (noto anche come “Struttura armonizzata”).

Il nuovo insieme di controlli dell’allegato A

Si è già scritto molto sulle modifiche all’allegato A, poiché sappiamo esattamente cosa cambierà da tempo, da quando la revisione del documento guida ISO27002 è stata pubblicata all’inizio del 2022.

Come previsto, ora ci sono un totale di novantatre controlli, raggruppati in quattro temi:

  • A.5 Controlli organizzativi
  • A.6 Controlli sulle persone
  • A.7 Controlli fisici
  • A.8 Controlli tecnologici

Dato che la versione del 2013 aveva centoquattordici controlli, si potrebbe pensare che il numero di controlli si sia ridotto di ventuno. Ma no, l’affermazione chiara è che non solo tutti i controlli precedenti sono incorporati nel nuovo set, ce ne sono in effetti undici nuovi:

  • A.5.7 Intelligence sulle minacce
  • A.5.23 Sicurezza delle informazioni per l’utilizzo dei servizi cloud
  • A.5.30 Prontezza ICT per la continuità aziendale
  • A.7.4 Monitoraggio della sicurezza fisica
  • A.8.9 Gestione della configurazione
  • A.8.10 Cancellazione delle informazioni
  • A.8.11 Mascheramento dei dati
  • A.8.12 Prevenzione della fuga di dati
  • A.8.16 Attività di monitoraggio
  • A.8.23 Filtraggio Web
  • A.8.28 Codifica sicura

Alcuni di questi potrebbero essere giustamente visti come chiarimenti di controlli precedenti (come il monitoraggio della sicurezza fisica e la codifica sicura ), alcuni apportano contenuti che in precedenza rientravano in altri standard (ad esempio, Sicurezza delle informazioni per l’uso dei servizi cloud , da ISO27017) e alcuni sono davvero nuovi: non ricordo che ci fosse alcun riferimento all’intelligence sulle minacce nel vecchio set di controllo.

Oltre agli undici nuovi, ve ne sono ventiquattro che sono stati fusi e cinquantotto rivisti, per un totale di novantatré.

Che succede ora?

Quindi la ISO27001 del 2022 è più “armonizzata” e ha una nuova brillante serie di controlli dell’allegato A. Che succede ora? Bene, se la tua organizzazione è già certificata secondo lo standard, hai tre anni per passare alla nuova versione. Il primo che sarai probabilmente in grado di farlo sarà intorno alla fine del terzo trimestre del 2023 poiché gli organismi di certificazione devono prima ottenere il loro accreditamento.

Se stai attualmente lavorando per la certificazione per la versione 2013, l’ultima data in cui potrai farlo sarà aprile 2024. La grande decisione, quindi, sarà quella di decidere se continuare in quella direzione o spostare i tuoi sforzi direttamente alla versione 2022 dello standard.

Share