26 OTT

ISO 27001:2022 nuovi standard per sicurezza dati e cybersecurity

Il 25/10/2022 pubblicata la nuova ISO/IEC 27001, nuovi standard su sicurezza delle informazioni e Privacy

La nuova ISO/IEC 27001:2022 è la norma di riferimento per i Sistemi di Gestione della Sicurezza delle Informazioni e come le altre norme ISO prevede requisiti e controlli per certificare il rispetto dello standard qualitativo.
La certificazione ISO 27001:2022 è la versione più recente della norma, considerata un aggiornamento per stare al passo con i tempi. Infatti presenta molteplici modifiche rispetto alla precedente e le più significative riguardano i controlli di sicurezza.
La maggior parte di questi controlli di sicurezza sono in realtà degli aggiornamenti dei precedenti.

La ISO/IEC 27001:2022 ha come obiettivo quello di fornire alle organizzazioni certificate gli strumenti base per proteggere il proprio patrimonio delle informazioni, compresi i dati personali. Bisogna considerare che gli attacchi informatici di ogni genere, sono dei gravi problemi che possono colpire ogni azienda ed organizzazione, nessuna esclusa.

Questo problema è sempre più frequente, infatti come pubblicato dal World Economic Forum, il rapporto annuale del Global Cybersecurity Outlook 2022, indica che gli attacchi informatici sono aumentati del 125% rispetto all’anno precedente e la tendenza per l'anno in corso non è certo in decrescita.
Questo può costare caro all'organizzazione, fino a minare la propria continuità aziendale.

Le aziende che non intendono incorrere in problematiche di questo tipo, corrono ai ripari implementando un Sistema di Gestione della Sicurezza delle Informazioni.

La Nuova ISO 27001:2022: cos'è e cosa apporta alle aziende certificate?

La nuova ISO 27001 non viene definita come una norma tecnica, ma differentemente può essere intesa come un framework di requisiti e controlli da gestire centralmente, che attraversa i vari processi aziendali integrabile con altri sistemi di gestione.
La nuova norma, quindi ha l'intenzione di garantire all'organizzazione:

• disponibilità e riservatezza dei dati;
• un approccio dinamico e in continua evoluzione basato sull'identificazione delle minacce e delle vulnerabilità;
• la protezione delle informazioni in tutte le forme e supporti;
• difesa agli attacchi informatici;
• eliminazione misure inefficaci.

La Nuova ISO 27001:2022: quali sono le modifiche, i nuovi controlli e gli aggiornamenti?

La nuova norma apporta cambiamenti per allinearsi alla nuova “high-level structure” e questi sono perlopiù formali.
Ma ci sono tuttavia alcuni cambiamenti che avranno un impatto sui sistemi di gestione per la sicurezza delle informazioni esistenti, come:

• Nel punto 4 (contesto dell’organizzazione) si aggiunge un punto 4.2 c) che richiede non solo di individuare i requisiti delle parti interessate ma anche di individuare quali di essi saranno affrontati dal sistema di gestione;
• Nel punto 4.4, che richiede di attuare il sistema di gestione per la sicurezza delle informazioni nel suo complesso, sono stati espressamente citati i processi necessari al sistema di gestione e le loro interazioni, prima erano dati per sottintesi;
• Gli obiettivi richiamati al punto 6.2 dovranno ora essere anche monitorati per effetto dell’aggiunta del punto d;
• Tutto il punto 6.3 (pianificazione dei cambiamenti) viene introdotto per la prima volta e richiede che i cambiamenti al sistema di gestione siano sempre portati a termine in modo pianificato.
• Al punto 7.4 (comunicazione), sono stati rimossi i due sottopunti d) ed e) relativi a chi deve comunicare e tramite quale processo, rimpiazzandoli con un nuovo sottopunto d) su come si deve comunicare.

Per quanto riguarda i controlli invece anche questi hanno subito modifiche rilevanti; accorpando alcuni controlli passando da 114 a 93, riorganizzare i controlli in 4 sezioni invece delle precedenti 14 e infine introducendo 11 nuovi controlli.

I requisiti per la transizione dalla vecchia alla nuova norma ISO 27001:2022

Le pubblicazioni del Mandatory Documenti (MD) di IAF, (che è l'organismo che controlla gli accordi di mutuo riconoscimento tra organismi di accreditamento, uno su tutti l'italiano Accredia), riportano i requisiti che gli organismi di accreditamento membri di IAF e quelli di certificazione accreditata devono rispettare.

I requisiti per la transizione sono stati pubblicati nel giugno 2022, con ampio anticipo rispetto alla pubblicazione della nuova ISO/IEC 27001, siccome questa era ormai in stato di bozza finale.

La MD pubblicata da IAF indica che gli organismi di certificazioni dovranno aver concluso la transizione dei certificati ISO/IEC 27001:2013 alla ISO/IEC 27001:2022 entro 3 anni dalla pubblicazione della norma stessa. Quindi tutte le organizzazioni dovranno aver ricevuto un audit di transizione al massimo entro il 31 ottobre 2025.

Per quanto concerne le nuove certificazioni, gli organismi di certificazione dovranno offrirle entro il 31 ottobre 2023, un anno dopo la pubblicazione della norma.

La nuova norma ISO 27001:2022, Privacy e GDPR

La nuova norma non soddisfa i requisiti imposti dal GDPR, art.42 "Certificazione", ma resta comunque un caposaldo per quanto riguarda sicurezza delle informazioni.

Infatti ha introdotto i concetti di cybersecurity e di protezione dei dati personali, questo rafforza come questo standard ISO possa in ogni caso essere considerato come un potente mezzo di supporto, oltre che di contrasto alle minacce informatiche.
È giusto anche ricordare che tra i "controlli" della norma ISO 27001 sono sempre stati presenti elementi dedicati alla protezione dei dati.

Richiedeteci maggiori informazioni.

---

Tutte le news