Lo standard del sistema di gestione della sicurezza delle informazioni ISO/IEC 27001 fornisce alle aziende un quadro per la gestione dei rischi e la protezione dalle minacce per proteggere le risorse informative, che includono dalle informazioni finanziarie alle proprietà intellettuale ai dettagli dei dipendenti e altro ancora.
Oggi, la sicurezza delle informazioni sta scalando le priorità nell'agenda di quasi tutte le aziende. Con nuovi scenari. l'urgenza sta cambiando. Tra una maggiore adozione del cloud e delle tecnologie di automazione, sicurezza informatica, privacy, malware e ransomware, le aziende sono costrette a rivalutare il proprio contesto, i principali rischi e minacce e le parti interessate in modo strutturato e affidabile.
Dopo l'ultima versione rilasciata nel lontano 2013, era necessaria una nuova versione per aiutare le aziende a navigare in nuovi scenari e assicurarsi che efficaci controlli di sicurezza fossero in atto.
La nuova ISO/IEC 27001:2022
La nuova versione ISO/IEC 27001:2022 tratta i nuovi scenari che le aziende devono fronteggiare. Le modifiche sono principalmente nell'Annex A, anticipato dalla pubblicazione della ISO/IEC 27002, dove sono stati aggiunti, eliminati o accorpati alcuni controlli di sicurezza.
Le modifiche si allargano ad includere gli aspetti di sicurezza informatica e privacy e il control language (CL) viene aggiornato e vengono aggiunte ulteriori indicazioni.
Questo aiuta le aziende a gestire i rischi, ad assicurarsi che nulla venga perso e tutto sia debitamente seguito. L'ultima versione è stata rilasciata nel 2013. Non sorprende che le modifiche ai controlli di sicurezza siano piuttosto significative con 11 nuovi, 58 aggiornati e 24 accorpati.
Gli scenari di cambiamento affrontati in particolare sono:
- Introduzione di tecnologie digitali come Cloud e automazione;
- Adozione recente e crescente di tali tecnologie;
- Identificazione dei rischi per la sicurezza informatica e la privacy;
- Comprensione del panorama mutevole delle minacce, ad es. nuovi tipi di malware e ransomware;
- Allineamento con altre best practice, ad es. NIST, COBIT, ecc.
- Aggiornamento del control language (CL) e aggiunta di ulteriori indicazioni
Le principali aree interessate dalle modifiche sono:
- leadership;
- sicurezza aziendale;
- Funzioni IT;
- altre funzioni di supporto;
- delivery (per i service providers).
Per essere conformi, le organizzazioni devono aggiornare le proprie valutazioni del rischio e ridefinire i controlli di sicurezza. Oltre alle modifiche ai controlli, l'edizione 2022 è anche stata allineata con i più recenti aggiornamenti della High Level Structure (HLS) dell'ISO. Queste modifiche si basano sull'ultima versione dell'Annex SL delle Direttive ISO/IEC Parte 1 (2022). Tuttavia, queste modifiche sono considerate minori, poiché l'edizione 2013 è stata uno dei primi standard ad adottare l'HLS.
Tempistica per la transizione
La nuova versione di ISO/IEC 27001 è stata rilasciata il 25 ottobre 2022. Il periodo di transizione è fissato in 3 anni. Pertanto, gli attuali certificati 2013 devono essere trasferiti alla nuova versione entro il 31 ottobre 2025.
L'audit di transizione può essere effettuato durante qualsiasi audit programmato durante il periodo di transizione di 3 anni, ma può anche essere eseguito come audit di transizione speciale.
Prepararsi per la transizione
Ti consigliamo di iniziare a prepararti per la transizione il prima possibile e di pianificarla adeguatamente per avere il tempo di incorporare le modifiche necessarie nel tuo sistema di gestione. Passi consigliati per la transizione:
- Conosci i contenuti e i requisiti della nuova norma. Focus sulle modifiche implicate dallo standard rivisto.
- Assicurati che il personale pertinente nella tua organizzazione sia formato e comprenda i requisiti e le modifiche chiave.
- Identifica le lacune che devono essere colmate per soddisfare i nuovi requisiti e stabilisci un piano di attuazione.
- Implementa azioni e aggiorna il tuo sistema di gestione per soddisfare i nuovi requisiti.
Come DNV può supportare
Sia che tu sia attualmente certificata/o ISO/IEC 27001 sia che tu sia interessata/o ad una certificazione ma non conosca ancora lo standard, DNV può supportare la certificazione e la transizione del tuo sistema di gestione della sicurezza delle informazioni.
In qualità di ente di certificazione leader a livello mondiale, collaboriamo con piccole e grandi aziende in tutto il mondo per le loro esigenze di sicurezza delle informazioni e privacy.
Se ti stai preparando per la transizione dalla versione 2013 alla versione 2022, possiamo supportarti con:
- Formazione, in cui apprendere i dettagli della revisione e ottienere una panoramica di base dei cambiamenti chiave e del processo di transizione.
- Strumenti di autovalutazione online e gap analysis onsite/off site per misurare quanto e come il tuo sistema di gestione soddisfa i nuovi requisiti.
- Audit di transizione per allineare la tua certificazione alla nuova versione dello standard.
Possiamo supportarti in ogni fase del percorso.
Stai esplorando per la prima volta la certificazione ISO/IEC 27001? Visita la nostra pagina del servizio del sistema di gestione della sicurezza delle informazioni per saperne di più sulle sue funzionalità, vantaggi e percorso verso la certificazione.