Uscita la nuova ISO 27001:2022 per la sicurezza delle informazioni, cybersecurity, privacy

Come atteso, il 25 ottobre 2022 è uscita la terza edizione della ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”; si tratta della norma di riferimento sui Sistemi di gestione della sicurezza delle informazioni che prevede requisiti e controlli per garantire il rispetto dello standard. In questo articolo si desidera illustrare la struttura della nuova edizione della norma e fornire alcune indicazioni specifiche.

La ISO/IEC 27001:2022 - L’obiettivo della norma è quello di fornire alle organizzazioni gli strumenti di base per proteggere il patrimonio delle informazioni (compresi i dati personali; considerando che gli attacchi informatici sono in continua crescita, non risparmiano alcun tipo di azienda ed utilizzano tecniche sempre più sofisticate. Il rapporto annuale - Global Cybersecurity Outlook 2022 - del pubblicato dal World Economic Forum indica che attacchi informatici sono aumentati del 125% rispetto all’anno precedente e la tendenza prosegue anche per il 2022.

La ISO/IEC 27001:2022 non è una norma “tecnica”, ma al contrario un framework – di requisiti e controlli – da gestire centralmente, che attraversa i vari processi aziendali (e non solo quelli che impattano sull’ICT), integrabile con altri sistemi di gestione.

I princìpi che hanno guidato la nuova revisione della norma (compresi i controlli di cui di seguito si dà conto) sono orientati a garantire: la disponibilità, riservatezza e disponibilità dei dati; un approccio dinamico (in continua evoluzione) basato su individuazione delle minacce e delle vulnerabilità; la protezione delle informazioni in tutte le forme e supporti (cartacei, cloud, digitali e verbali); - l’aumento della resilienza agli attacchi informatici; l'eliminazione di misure che si dimostrano inefficaci.

Le modifiche ai requisiti e controlli - La norma come noto prevede, a differenza di altre norme sui sistemi di gestione, sia un apparato di requisiti che di controlli.

I requisiti non hanno subito modifiche significative rispetto alla versione precedente; la struttura del documento si basa su quella impostata in 10 capitoli linea con l’Annex SL. Tutti i requisiti devono essere applicati.

La modifica più significativa, rispetto alla precedente versione del 2013, riguarda la dichiarazione di applicabilità così come richiesta dal capitolo 6 che non deve essere più necessariamente redatta sulla base dei controlli dell’Allegato A. Il documento può seguire un qualunque impianto di controlli purché sia compliance con quelli dell’Allegato A ed eventualmente ne aggiunga di nuovi.

Questo modello, per quanto nuovo nell’approccio, di fatto ricalca quanto anche già previsto nella precedente versione della norma che permetteva un set di controlli comunque più ampio di quello previsto dall’Allegato A. Si consiglia, qualora si decidesse di applicare questo approccio, di predisporre una tabella di correlazione tra il set di controlli applicato e quello previsto dall’Allegato A in modo da facilitare la lettura.

Non si rilevano ulteriori significative modifiche per quanto riguarda i requisiti e questo può facilitare sicuramente la transazione.

L'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy, docente al Corso 'Sistemi di gestione della sicurezza delle informazioni', approfondisce questa trattazione nel suo articolo.

Il link per proseguire la lettura