Il 15 febbraio 2022 è stata pubblicata la nuova edizione della norma ISO/IEC 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni”.
COLLANA EDITORIALE ISO 27001 – SOFTWARE, KIT DOCUMENTALE, CORSO ON LINE
-
Kit Esperto ISO 27001:2022 – Sistema di gestione sicurezza informazioni
In offerta! 520,00€ Iva esclusa Aggiungi al carrello -
Corso online Esperto ISO 27001:2022
In offerta! 238,40€ Iva esclusa Aggiungi al carrello -
Ebook – Come utilizzare le check list per ottimizzare i processi e ridurre gli errori
In offerta! 29,00€ Iva esclusa Aggiungi al carrello -
Raccolta software per gestire i Sistemi di Gestione ISO
In offerta! 1.200,00€ Iva esclusa Aggiungi al carrello -
Raccolta Kit Documentali sistemi di gestione ISO – versione 2.0 – 2023
In offerta! 960,00€ Iva esclusa Aggiungi al carrello -
Kit documentazione ISO 27001:2022 + Raccolta 29 policies/politiche ISO 27001:2022
In offerta! 398,40€ Iva esclusa Aggiungi al carrello -
Raccolta 29 Policy/Politiche – ISO 27001:2022
In offerta! 239,20€ Iva esclusa Aggiungi al carrello -
Kit documentazione ISO 27001:2022 manuale, procedure, modulistica
In offerta! 239,20€ Iva esclusa Aggiungi al carrello
Quadro di sintesi dell’impatto sulla ISO/IEC 27001:2013 a seguito della pubblicazione della ISO/IEC 27002:2022:
– I requisiti della ISO/IEC 27001:2013 – paragrafi da 4 a 10, non sono stati modificati
– Solo i controlli di sicurezza elencati nella ISO/IEC 27001:2013, allegato A, sono stati aggiornati
– Il numero di controlli è diminuito da 114 a 93
– I controlli sono organizzati in 4 sezioni invece delle precedenti 14
– Sono stati definiti 11 nuovi controlli, alcuni controlli sono stati accoppiati.
Struttura della ISO/IEC 27002:2022 – La caratteristica più evidente della nuova edizione è che la struttura è molto diversa da quella di tutte le precedenti edizioni.
Nella ISO/IEC 27002:2013, in comune con la ISO/IEC 27002:2005 e risalendo fino a BS7799:1995, i controlli sulla sicurezza delle informazioni erano stati raggruppati per ambito.
Nella nuova edizione i controlli sono invece aggregati per “macro-tema”. Sono stati, infatti, individuati quattro macro-temi che coincidono con i 4 tradizionali pilastri a cui è associata la sicurezza delle informazioni:
– controlli organizzativi – 37 controlli
– controlli fisici – 14 controlli
– controlli delle persone – 8 controlli
– controlli tecnologici – 34 controlli
Un elemento che contraddistingue il documento è la presenza degli attributi che caratterizzano i controlli. Gli attributi hanno lo scopo di consentire ad ogni organizzazione di raggruppare i controlli in modo diversi (viste) per soddisfare le proprie particolari esigenze. Tale aspetto può essere considerato un vero punto di forza del documento. Ad ogni controllo sono associati 5 attributi.
Gli attributi citati nella nuova edizione hanno valenza di esempi e le organizzazioni che applicano la ISO/IEC 27001 sono incoraggiate a definire i propri attributi (un allegato illustra come operare in tal senso).
Per ogni controllo è definito:
– Nome del controllo
– Attributi del controllo
– Testo di controllo
– Scopo di controllo
– Guida all’implementazione
– Altre informazioni
Controlli – La nuova edizione adotta la nuova definizione ISO 31000 di controllo, ovvero “Misura che mantiene e/o modifica il rischio”. Questa definizione risolve una critica che è stata spesso sollevata alla precedente versione.
La quale (vedi ad esempio ISO/IEC 27000:2018 “Information technology — Security techniques — Information security management systems — Overview and vocabulary”) non includeva la capacità di un controllo limitata al solo mantenimento di un rischio.
Inoltre, nella versione in vigore sono stati eliminati dei controlli dai più percepiti come duplicati, ovvero lo stesso controllo “generico” era espresso più volte in contesti di rischio diversi. L’allegato B della nuova edizione, illustra la corrispondenza tra i controlli della nuova edizione e quelli della ISO/IEC 27002:2013.
Impatto su ISO/IEC 27001 – La pubblicazione della terza edizione della ISO/IEC 27002 impone di fatto una revisione della ISO/IEC 27001.
Il riferimento alla ISO/IEC 27002 nella ISO/IEC 27001, allegato A è ad oggi un riferimento datato e superato. Ciò implica, ora che è stata pubblicata la nuova edizione della ISO/IEC 27002, che l’edizione precedente (ISO/IEC 27002:2013) è stata ritirata e quindi l’attuale edizione della ISO/IEC 27001 si riferisce ad una norma inesistente. Deve quindi essere aggiornata.
Fonte: Federprivacy
Autore: Monica Perego
Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy