Il 25 ottobre 2022 è stata pubblicata la norma ISO/IEC 27001:2022, che rappresenta il nuovo standard dei Sistemi di Gestione per la sicurezza delle informazioni, la cybersecurity e la privacy.
La norma (intitolata “Information security, cybersecurity and privacy protection – Information security management system – Requirements”) introduce gli aggiornamenti rispetto alla precedente ISO/IEC 27001:2013, che presentiamo di seguito.
LE FINALITA’ DI ISO/IEC 27001:2022
L’obiettivo della norma è di fornire alle Aziende gli strumenti per proteggere il patrimonio delle informazioni in proprio possesso, compresi i dati personali.
E’ composta da un insieme di Requisiti e Controlli, che devono essere gestiti centralmente e che interessano diversi processi aziendali, non soltanto quelli dell’ICT. E’ inoltre integrabile con altri Sistemi di gestione.
I princìpi che hanno guidato l’aggiornamento della norma puntano a garantire:
- La riservatezza e la disponibilità dei dati;
- Un approccio in costante evoluzione, basato sull’individuazione di minacce e vulnerabilità;
- La protezione delle informazioni in tutte le sue forme e su tutti i tipi di supporti (digitale, cartaceo, ecc.);
- Una maggiore resilienza agli attacchi informatici;
- L’eliminazione di misure che risultano inefficaci.
LE MODIFICHE RISPETTO AL VECCHIO STANDARD
Rispetto alla versione del 2013 i Requisiti non hanno ricevuto sostanziali aggiornamenti. Si segnala soltanto che non è più necessario che la “dichiarazione di applicabilità”, richiesta nel capitolo 6, sia redatta sulla base dei controlli dell’Allegato A. Ciò significa che il documento può seguire qualsiasi modalità di controllo, purché siano conformi a quelli dell’Allegato A.
Per quanto riguarda i Controlli, sono state effettuate le seguenti modifiche:
- Accorpamento di alcuni controlli, con passaggio da 114 controlli a 93;
- Controlli riorganizzati in 4 sezioni, anziché nelle precedenti 14 sezioni;
- Introduzione di 11 nuovi controlli.
Inoltre lo Standard introduce i concetti di cybersecurity e protezione dei dati personali, rendendo quindi la sua applicazione in Azienda un efficace strumento di accountability rispetto a quanto richiesto dal GDPR.
LA TRANSIZIONE A ISO/IEC 27001:2022
Le Aziende già certificate ISO/IEC 27001:2013 avranno tempo fino al 31 ottobre 2025 per effettuare la transizione allo Standard del 2022.
Se la tua Azienda è interessata ad effettuare la migrazione a ISO/IEC 27001:2022 o a sviluppare per la prima volta un Sistema di Gestione basato su questo Standard, non esitare a contattarci!
Saremo in grado di affiancarti in tutto il processo di messa in opera del Sistema di Gestione, fino alla sua Certificazione.