+39 075 609699 info@lusios.it

Pubblicata la ISO 27001:2022 – una nuova era per i sistemi di gestione della sicurezza delle informazioni

Lusios S.r.l.

A fine ottobre 2022 è stata pubblica l’ultima versione dello standard internazionale ISO/IEC 27001 con i requisiti per i sistemi di gestione per la sicurezza delle informazioni.

La nuova versione dello standard ISO 27001 aiuta le organizzazioni a gestire i controlli in modo più efficace raggruppandoli in quattro “temi” chiari: organizzativo, personale, tecnologico e fisico. Questo cambiamento chiave mira a ottenere maggiore chiarezza, attenzione e responsabilità per la sicurezza delle informazioni all’interno di un’organizzazione.

La nuova ISO/IEC 27001 anche ulteriori modifiche rispetto alla versione precedente, ma quelle veramente significative sono quelle relative ai controlli di sicurezza presenti nell’Appendice A. In particolare, lo standard presenta i controlli di sicurezza delle informazioni recentemente aggiornati delineati dalla ISO 27002:2022, che rappresentano la revisione più significativa;  ora sono presenti 93 controlli invece di 114.

Sono stati introdotti 11 nuovi controlli, mentre altri sono stati uniti o rimossi.

I controlli aggiunti rispetto alla precedente edizione sono:

  • 5.7 Threat intelligence: suggerisce di monitorare canali di comunicazione per ricevere informazioni sulle minacce che potrebbero compromettere le informazioni;
  • 5.23 Information security for use of cloud services: misure di sicurezza da prevedere quando si usano fornitori di servizi cloud;
  • 5.30 ICT readiness for business continuity: richiede che venga pianificata la continuità operativa per i sistemi informatici;
  • 7.4 Physical security monitoring: relativo agli strumenti attivi di controllo della sicurezza fisica (telecamere e allarmi);
  • 8.9 Configuration management, per la configurazione sicura di server, dispositivi e applicazioni;
  • 8.10 Information deletion, relativo alla necessità di cancellare le informazioni al termine dei tempi di conservazione previsti;
  • 8.11 Data masking, sull’anonimizzazione e pseudonimizzazione dei dati, introdotto per la sempre maggiore importanza assunta dalle tematiche di trattamento dei dati personali;
  • 8.12 Data leakage prevention, sull’uso di strumenti con funzionalità di DLP;
  • 8.16 Monitoring activities, in precedenza, incluso tra i controlli relativi al logging;
  • 8.23 Web filtering, in precedenza incluso tra i controlli di rete;
  • 8.28 Secure coding, in precedenza incluso nel controllo relativo alla politica di sviluppo sicuro.

L’introduzione dei concetti di cybersecurity e di protezione dei dati personali è un ulteriore elemento che rafforza quanto questo standard può essere considerata come una potente misura di accountability a supporto di quanto richiede il GDPR.

La nuova versione della ISO/IEC 27001 risulta essere in sintesi:

  • allineata alla nuova “high-level structure” (capitoli da 1 a 10);
  • allineata alla nuova ISO/IEC 27002 (appendice A);

Le organizzazioni con la certificazione ISO 27001:2013 esistente avranno tre anni per passare al nuovo standard.

QUI disponibile  l’abstract ISO della nuova norma ISO/IEC 27001:2022.