Transizione ISO 27001 - I Cambiamenti Che Devi Conoscere

17 febbraio 2023

Dopo il recente aggiornamento della ISO 27002, Ottobre 2022 ha visto la pubblicazione dello standard ISO 27001:2022 per la Gestione della Sicurezza delle Informazioni.

I concetti e la pratica della sicurezza delle informazioni si sono evoluti enormemente da quando l'ultima versione dello standard ISO 27001 è stata rilasciata nel 2013.

Tra le principali minacce che hanno preceduto lo standard del 2013 che ha influito sulla sicurezza dei dati aziendali c'erano Denial of Service (DoS), malware e spyware.

Da allora, le minacce si sono sviluppate, diventando più efficaci e pericolose. Accelerate dalla pandemia, le minacce alle imprese e ai dati hanno visto uno spostamento verso metodi più avanzati di ransomware da parte di attori come criminalità organizzata e stati nazionali.

Quindi, quali sono i principali cambiamenti nella ISO 27001:2022?

Il primo cambiamento è il nome: 'Information security, cybersecurity and privacy protection — Information security management systems – Requirements'.

Il cambio di nome evidenzia il legame tra sicurezza delle informazioni, sicurezza informatica e privacy. La pratica di proteggere i sistemi critici e le informazioni sensibili da attacchi informatici, fisici e misti si collega direttamente alla protezione dei dati, garantendo che le informazioni che si desidera mantenere al sicuro come azienda rimangano tali.

Questo è sempre stato importante, ma ora è molto più diffuso a causa della rapida crescita del lavoro da remoto e della domanda di soluzioni basate su cloud.

Nei requisiti 4-10 della norma ISO 27001:2022, ci sono poche modifiche. Tuttavia, sono state apportate alcune modifiche alla struttura, alla terminologia, all'ordine delle parole e, in alcuni casi, alla chiarezza dei requisiti.

Per esempio:

Aggiunta di sottoclausole/punti:

4.2 Comprendere le esigenze e le aspettative delle parti interessate
6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli
9.3 Riesame della Direzione

Chiarimenti aggiuntivi:

5.3 Ruoli organizzativi, responsabilità e autorità. In particolare, la comunicazione all'interno dell'organizzazione
6.1.3 Trattamento dei rischi per la sicurezza delle informazioni. Note aggiornate.

Si noti che esiste la nuova sottoclausola 6.3 Pianificazione delle modifiche, che dovrà essere considerata e implementata come parte del sistema di gestione della sicurezza delle informazioni.

La più grande modifica allo standard aggiornato riguarda i controlli dell'allegato A, che sono completamente affrontati nella ISO 27002.

I 14 gruppi di controllo e gli obiettivi originali non esistono più e sono stati sostituiti con quattro gruppi di controllo:

Organizzativo
Persone
Fisico
Tecnologia

Il numero complessivo dei controlli è stato ridotto da 114 a 93.

Nessun controllo è stato eliminato ma diversi sono stati consolidati, con l'aggiunta di 11 nuovi controlli. I quattro gruppi di controllo sono noti come "temi" e suggeriscono l'uso di attributi per svilupparli ulteriormente, tuttavia non vi è alcun obbligo di utilizzare questi attributi.

I nuovi controlli aggiunti all'allegato A sono necessarie e aiutano ad aggiornare la ISO 27001, allineandoli più facilmente al nostro attuale ambiente di sicurezza.

Questi nuovi controlli includono:

Sicurezza delle informazioni per l'utilizzo dei servizi cloud
Attività di monitoraggio
Intelligenza sulle minacce
Prontezza ICT per la continuità operativa
Monitoraggio della sicurezza fisica
Gestione della configurazione
Cancellazione delle informazioni
Mascheramento dei dati
Protezione contro la fuga di dati
Filtraggio web
Codifica sicura

Probabilmente scoprirai che stai già facendo molte di queste cose e dovrai solo incorporarle nel tuo ISMS.

Come sempre, il team NQA è qui per supportarti durante tutto il processo di transizione. Se hai domande o hai bisogno di aiuto, contataci cliccando qui.