Logo Library
Richiedi un preventivo
Home Risorse Blog Febbraio 2023

Transizione ISO 27001 - I Cambiamenti Che Devi Conoscere

17 febbraio 2023
Dopo il recente aggiornamento della ISO 27002, Ottobre 2022 ha visto la pubblicazione dello standard ISO 27001:2022 per la Gestione della Sicurezza delle Informazioni.

I concetti e la pratica della sicurezza delle informazioni si sono evoluti enormemente da quando l'ultima versione dello standard ISO 27001 è stata rilasciata nel 2013.

Tra le principali minacce che hanno preceduto lo standard del 2013 che ha influito sulla sicurezza dei dati aziendali c'erano Denial of Service (DoS), malware e spyware.

Da allora, le minacce si sono sviluppate, diventando più efficaci e pericolose. Accelerate dalla pandemia, le minacce alle imprese e ai dati hanno visto uno spostamento verso metodi più avanzati di ransomware da parte di attori come criminalità organizzata e stati nazionali.

Quindi, quali sono i principali cambiamenti nella ISO 27001:2022?  

Il primo cambiamento è il nome: 'Information security, cybersecurity and privacy protection — Information security management systems – Requirements'.

Il cambio di nome evidenzia il legame tra sicurezza delle informazioni, sicurezza informatica e privacy. La pratica di proteggere i sistemi critici e le informazioni sensibili da attacchi informatici, fisici e misti si collega direttamente alla protezione dei dati, garantendo che le informazioni che si desidera mantenere al sicuro come azienda rimangano tali.

Questo è sempre stato importante, ma ora è molto più diffuso a causa della rapida crescita del lavoro da remoto e della domanda di soluzioni basate su cloud.

Nei requisiti 4-10 della norma ISO 27001:2022, ci sono poche modifiche. Tuttavia, sono state apportate alcune modifiche alla struttura, alla terminologia, all'ordine delle parole e, in alcuni casi, alla chiarezza dei requisiti.

Per esempio:

Aggiunta di sottoclausole/punti:

  • 4.2 Comprendere le esigenze e le aspettative delle parti interessate

  • 6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli

  • 9.3 Riesame della Direzione

Chiarimenti aggiuntivi:

  • 5.3 Ruoli organizzativi, responsabilità e autorità. In particolare, la comunicazione all'interno dell'organizzazione

  • 6.1.3 Trattamento dei rischi per la sicurezza delle informazioni. Note aggiornate.

Si noti che esiste la nuova sottoclausola 6.3 Pianificazione delle modifiche, che dovrà essere considerata e implementata come parte del sistema di gestione della sicurezza delle informazioni.

La più grande modifica allo standard aggiornato riguarda i controlli dell'allegato A, che sono completamente affrontati nella ISO 27002.

I 14 gruppi di controllo e gli obiettivi originali non esistono più e sono stati sostituiti con quattro gruppi di controllo:

  • Organizzativo

  • Persone

  • Fisico

  • Tecnologia

Il numero complessivo dei controlli è stato ridotto da 114 a 93.

Nessun controllo è stato eliminato ma diversi sono stati consolidati, con l'aggiunta di 11 nuovi controlli. I quattro gruppi di controllo sono noti come "temi" e suggeriscono l'uso di attributi per svilupparli ulteriormente, tuttavia non vi è alcun obbligo di utilizzare questi attributi.

I nuovi controlli aggiunti all'allegato A sono necessarie e aiutano ad aggiornare la ISO 27001, allineandoli più facilmente al nostro attuale ambiente di sicurezza.

Questi nuovi controlli includono:

  • Sicurezza delle informazioni per l'utilizzo dei servizi cloud

  • Attività di monitoraggio

  • Intelligenza sulle minacce

  • Prontezza ICT per la continuità operativa

  • Monitoraggio della sicurezza fisica

  • Gestione della configurazione

  • Cancellazione delle informazioni

  • Mascheramento dei dati

  • Protezione contro la fuga di dati

  • Filtraggio web

  • Codifica sicura

Probabilmente scoprirai che stai già facendo molte di queste cose e dovrai solo incorporarle nel tuo ISMS.

Come sempre, il team NQA è qui per supportarti durante tutto il processo di transizione. Se hai domande o hai bisogno di aiuto, contataci cliccando qui.