Guida alla Transizione ISO 27001:2022 per i Clienti
Dal 1° maggio 2024, tutte le certificazioni iniziali (nuove) saranno conformi all'edizione ISO 27001:2022. Inoltre, tutti gli audit di ricertificazione dovranno essere conformi all'edizione 2022.
Se avete un audit di ricertificazione programmato dopo il 1° maggio 2024, questo sarà conforme all'edizione 2022 e il documento di Gap Analysis dovrà essere completato.
Panoramica delle modifiche
Sono state apportate modifiche all'interno della norma ISO 27001 per allinearsi meglio alla struttura armonizzata per le norme sui sistemi di gestione (ad esempio, l'Annex SL).
In particolare, sono state apportate modifiche ai seguenti requisiti:
-
4.2 Comprensione delle necessità e delle aspettative delle parti interessate
-
4.4 Sistema di gestione della sicurezza delle informazioni
-
5.3 Ruoli organizzativi, responsabilità e autorità
-
6.2.d Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli
-
6.3 Pianificazione delle modifiche
-
9.3.2.c Input per il riesame della direzione
-
I controlli dell'Annex A sono stati raggruppati da 14 obiettivi di controllo a 4 ampi temi che includono: Controlli Organizzativi, Persone, Fisici e Tecnologici
-
Il numero complessivo di controlli nell'Annex A è di 93 rispetto ai 114 della precedente edizione
-
Tuttavia, diversi controlli precedenti sono stati consolidati in nuovi controlli più ampi; e sono stati aggiunti 11 nuovi controlli, tra cui:
-
Intelligence sulle minacce
-
Sicurezza delle informazioni per l'uso dei servizi cloud
-
Monitoraggio della sicurezza fisica
-
Gestione delle configurazioni
-
Cancellazione delle informazioni
-
Mascheramento dei dati
-
Prevenzione della perdita di dati
-
Filtraggio web
-
Codifica sicura
-
-
Inoltre, ISO 27002:2022 identifica 5 attributi di controllo per classificare variamente i controlli; gli attributi includono:
-
Tipo di controllo
-
Proprietà della sicurezza delle informazioni
-
Concetti di cybersecurity
-
Capacità operative
-
Domini di sicurezza
-
- ISO 27002:2022 definisce anche uno scopo per ciascun controllo individuale per spiegare meglio l'intento di ciascun controllo
I tuoi prossimi passi
Per garantire il successo dei clienti nella loro transizione, NQA consiglia i seguenti passaggi:
Preparazione per la tua Transizione ISO 27001
-
Le organizzazioni devono effettuare la transizione del loro sistema di gestione in conformità con i requisiti della ISO 27001:2022 prima che venga condotto l'audit di transizione. Questo dovrebbe includere eventuali modifiche alla documentazione, insieme a prove di nuovi o modificati requisiti di processo e un documento di analisi delle lacune completato in tempo per l'audit.
-
In particolare, le organizzazioni devono condurre un audit interno e un riesame della direzione dei nuovi/requisiti modificati prima che venga condotto l'audit di transizione NQA.
-
Le organizzazioni possono effettuare una valutazione delle lacune di transizione da parte di NQA prima del loro audit di transizione ufficiale. Questo potrebbe essere effettuato in concomitanza con un'analisi di sorveglianza ISO 27001:2013 precedente, o in qualsiasi altro momento autonomo prima del loro audit di transizione.
Strumenti e informazioni utili
Abbiamo prodotto una Guida ai Gap e un Strumento di Analisi dei Gap per aiutarti nella transizione, quindi scarica questi documenti per saperne di più e iniziare la tua transizione.
L'altra data importante da segnare in agenda è:
-
31 ottobre 2025 - Fine del periodo di transizione
Certificati per ISO/IEC 27001:2013 non saranno più validi dopo questa data.
Supporto aggiuntivo
Il team NQA è qui per supportarti durante tutto il processo di transizione. Se hai domande o hai bisogno di aiuto, possiamo offrirti supporto con:
-
Pre-Audit / Gap Analysis - NQA può fornire un Pre-Audit o una Gap Analysis del tuo ISMS revisionato per determinare il livello di conformità del tuo ISMS ai requisiti della ISO 27001:2022.
-
Blog - NQA ha post del blog per supportare la tua transizione. Questi continueranno nei prossimi mesi.
Se hai domande o hai bisogno di parlare con qualcuno riguardo la tua transizione, per favore contattaci.