×
Revisione degli standard relativi ai clienti certificati:
Norma di accreditamento ÄŒSN EN ISO/IEC 27001:2022
La ISO/IEC 27001:2013 è stata sostituita dalla ISO/IEC 27001:2022, in base alla quale tutte le organizzazioni certificate devono essere certificate entro un periodo di transizione.
Il periodo di transizione è fissato, secondo il documento IAF MD 26, a 36 mesi dall'ultimo giorno del mese di pubblicazione della ISO/IEC 27001:2022 (cioè il 31 ottobre 2025).
Il CO richiederà un aumento del tempo di audit nell'ambito dei requisiti per il passaggio alla nuova norma:
1) In caso di audit di ricertificazione, 0,5 giorni di audit.
2) nel caso di un audit di sorveglianza, di 1 giorno di audit.
GENERALE
Confronto tra le modifiche apportate ai requisiti della ISO/IEC 27001:2013 (:2017) e della ISO/IEC 27001:2022
Contenuto della norma:
Requisiti di base
L'allegato A della norma contiene l'interpretazione e l'applicazione della norma.
Generale
Struttura
La norma ISO/IEC 27001:2022 si basa sulla nuova "High-Level Structure" (HLS), una struttura unificata per tutti gli standard di sistema di gestione (MSS) ISO nuovi e rivisti. Questa struttura facilita l'integrazione di diversi standard in sistemi di gestione comuni.
- Contesto dell'organizzazione
La nuova versione dello standard pone maggiore enfasi sulla valutazione dei rischi. Le organizzazioni devono condurre un'analisi del rischio più completa e dettagliata per identificare e gestire meglio le minacce alla sicurezza delle informazioni.
- Considerazione degli sviluppi tecnologici:
La norma ISO/IEC 27001:2022 riflette le nuove sfide e le tendenze tecnologiche emerse dal rilascio della versione precedente. Particolare attenzione è rivolta alle nuove minacce, come gli attacchi informatici basati sull'intelligenza artificiale, l'Internet delle cose (IoT) e altre tecnologie emergenti.
Rafforzamento dell'attenzione alla leadership e all'impegno del senior management
Lo standard sottolinea l'importanza di coinvolgere la leadership dell'organizzazione nel processo di gestione della sicurezza delle informazioni.
L'alta dirigenza deve dimostrare il proprio impegno nei confronti della sicurezza delle informazioni e deve assicurarsi di disporre di risorse adeguate.
- Coinvolgimento di fornitori e partner:
La nuova versione enfatizza il coinvolgimento dei fornitori e dei partner dell'organizzazione nel sistema di gestione della sicurezza delle informazioni, soprattutto quando vengono forniti servizi o prodotti chiave.
- Considerazione del rischio legato al comportamento umano:
La ISO/IEC 27001:2022 sottolinea l'importanza di considerare il comportamento umano come un aspetto fondamentale della sicurezza delle informazioni. Le organizzazioni devono migliorare la loro capacità di identificare e gestire i rischi legati al comportamento dei dipendenti e degli altri utenti.
Cambiamenti significativi
Capitolo 4
- 4.2 - Comprendere le esigenze e le aspettative degli stakeholder: È stato aggiunto un nuovo punto che richiede un'analisi dei requisiti delle parti interessate che saranno affrontati attraverso il sistema ISMS. attraverso l'ISMS.
- 4.4 - Sistema di gestione della sicurezza delle informazioni: lo standard richiede l'identificazione dei processi necessari e delle loro interazioni all'interno dell'ISMS. In sostanza, l'ISMS deve quindi includere i processi che supportano l'ISMS, non solo quelli specificamente elencati nello standard.
Capitolo 6
- 6.2 - Obiettivi di sicurezza delle informazioni e pianificazione del loro raggiungimento: fornisce ora ulteriori indicazioni sugli obiettivi della sicurezza delle informazioni. Questo fornisce un quadro più chiaro di come gli obiettivi debbano essere periodicamente  monitorati periodicamente e documentati formalmente.
- 6.3 - Pianificazione del cambiamento: Questa clausola è stata aggiunta per definire uno standard per la pianificazione delle modifiche. Essa stabilisce che se sono necessari cambiamenti nell'ISMS, questi devono essere sufficientemente pianificati.
Capitolo 8
- 8.1 - Pianificazione e gestione operativa: Sono state aggiunte ulteriori indicazioni sulla pianificazione e gestione operativa. L'ISMS deve ora stabilire i criteri per le azioni elencate nell'articolo 6 e controllare tali azioni in base ai criteri.
Modifiche minori
Capitolo 5
- 5.3 - Ruoli organizzativi, responsabilità e autorità : Un aggiornamento linguistico minore ha chiarito che la comunicazione dei ruoli rilevanti per la sicurezza delle informazioni deve essere comunicata all'interno dell'organizzazione.
Capitolo 7
-7.4 - Comunicazione: le clausole subordinate a-c rimangono invariate. Ma le clausole subordinate d (chi deve comunicare) ed e (il processo di comunicazione) sono state semplificate e riunite nella nuova clausola subordinata d (come comunicare).
Capitolo 9
- 9.2 - Audit interno: Questa clausola è stata modificata, ma non in modo sostanziale. In pratica, è stato solo unito ciò che già esisteva tra le clausole 9.2.1 e 9.2.2 in un'unica sezione.
- 9.3 Riesame della direzione: È stata aggiunta una nuova clausola per chiarire che il riesame della gestione dell'organizzazione deve includere la considerazione di qualsiasi cambiamento nelle esigenze e nelle aspettative degli stakeholder. È importante prendere nota di qualsiasi cambiamento in quanto strumentale all'ambito dell'ISMS come identificato nell'articolo 4 (e basato su tali esigenze e aspettative). Ad esempio, se il consiglio di amministrazione di un'organizzazione vuole diventare pubblico, l'organizzazione deve considerare come un cambiamento di priorità possa influire sull'ISMS.
Capitolo 10
- 10 - Miglioramento: le modifiche strutturali a questo articolo elencano ora il miglioramento continuo per primo (10.1) e la non conformità e le azioni correttive per secondo (10.2).
Allegato A
    Significativo:
- Sono stati aggiunti 11 nuovi punti
- 57 punti sono stati accorpati
- 23 punti sono stati rinominati
- 3 punti sono stati eliminati
Nella ISO 27001:2013, i controlli sono stati organizzati in 14 aree diverse. Nel nuovo aggiornamento, i punti sono invece collocati nelle seguenti quattro aree:
- Controlli sulle persone (8 punti)
- Controlli organizzativi (37 punti)
- Controlli tecnologici (34 punti)
- Controlli fisici (14 punti)
Il cambiamento di nomenclatura contribuisce a una migliore comprensione del modo in cui i controlli dell'Allegato A aiutano a proteggere le informazioni. Le precedenti denominazioni delle aree erano state scritte per i professionisti dell'IT, piuttosto che per i dirigenti. Le aziende dovranno aggiornare la loro dichiarazione di applicabilità per riflettere questa nuova struttura, nel tentativo di ottenere la certificazione ISO/IEC 27001:2022.
Sono stati inoltre aggiunti ulteriori valori di attributo per descrivere meglio i controlli dell'Allegato A e aiutarli a classificarli, ma questi sono disponibili solo nella ISO/IEC 27001:2022.
Nuove clausole dell'Allegato A
- A.5.23 Sicurezza delle informazioni per l'utilizzo di servizi cloud: questo controllo evidenzia la necessità di migliorare la sicurezza delle informazioni nel cloud e richiede alle organizzazioni di definire standard di sicurezza per i servizi cloud e di disporre di processi per la loro gestione di sicurezza per i servizi cloud e di disporre di processi e procedure specifiche per i servizi cloud.
- A.5.30 Preparazione ICT per la continuità operativa: Questo controllo richiede alle organizzazioni di garantire che le TIC possano essere recuperate o utilizzate in caso di interruzione interruzione.
- A.7.4 Monitoraggio della sicurezza fisica: Questo controllo richiede alle organizzazioni di monitorare le aree fisiche sensibili (centri dati, impianti di produzione, ecc.) per garantire che l'accesso a tali aree sia consentito solo alle persone autorizzate che l'accesso a queste strutture sia consentito solo a persone autorizzate - in modo che l'organizzazione venga avvisata in caso di violazione.
- A.8.9 Gestione della configurazione: Questo controllo richiede che l'organizzazione gestisca la configurazione della propria tecnologia per garantire che rimanga sicura e per prevenire modifiche non autorizzate.
- A.8.10 Cancellazione delle informazioni: Questo controllo richiede la cancellazione dei dati quando non sono più necessari per evitare la fuga di informazioni sensibili e per rispettare i requisiti di privacy protezione dei dati.
- A.8.11 Mascheramento dei dati: Questo controllo richiede alle organizzazioni di utilizzare il mascheramento dei dati in conformità con la politica di controllo degli accessi dell'organizzazione per proteggere le informazioni sensibili.
- A.8.12 Prevenzione della fuga di dati: Questo controllo richiede alle organizzazioni di implementare misure per prevenire la perdita di dati e la divulgazione di informazioni sensibili da sistemi, reti e altri dispositivi.
- A.8.16 Attività di monitoraggio: Questo controllo richiede alle organizzazioni di monitorare i sistemi per rilevare attività insolite e di implementare procedure appropriate di risposta agli incidenti.
- A.8.23 Filtraggio web: Questo controllo richiede alle organizzazioni di gestire i siti web a cui gli utenti accedono per proteggere i sistemi IT.
- A.8.28 Codifica sicura: Questo controllo richiede che i principi di codifica sicura siano implementati come parte del processo di sviluppo del software dell'organizzazione per ridurre le vulnerabilità della sicurezza.
