A fine ottobre 2022 è stata pubblica l’ultima versione dello standard internazionale ISO/IEC 27001 con i requisiti per i sistemi di gestione per la sicurezza delle informazioni.
La nuova versione dello standard ISO 27001 aiuta le organizzazioni a gestire i controlli in modo più efficace raggruppandoli in quattro “temi” chiari: organizzativo, personale, tecnologico e fisico. Questo cambiamento chiave mira a ottenere maggiore chiarezza, attenzione e responsabilità per la sicurezza delle informazioni all’interno di un’organizzazione.
La nuova ISO/IEC 27001 anche ulteriori modifiche rispetto alla versione precedente, ma quelle veramente significative sono quelle relative ai controlli di sicurezza presenti nell’Appendice A. In particolare, lo standard presenta i controlli di sicurezza delle informazioni recentemente aggiornati delineati dalla ISO 27002:2022, che rappresentano la revisione più significativa; ora sono presenti 93 controlli invece di 114.
Sono stati introdotti 11 nuovi controlli, mentre altri sono stati uniti o rimossi.
I controlli aggiunti rispetto alla precedente edizione sono:
- 5.7 Threat intelligence: suggerisce di monitorare canali di comunicazione per ricevere informazioni sulle minacce che potrebbero compromettere le informazioni;
- 5.23 Information security for use of cloud services: misure di sicurezza da prevedere quando si usano fornitori di servizi cloud;
- 5.30 ICT readiness for business continuity: richiede che venga pianificata la continuità operativa per i sistemi informatici;
- 7.4 Physical security monitoring: relativo agli strumenti attivi di controllo della sicurezza fisica (telecamere e allarmi);
- 8.9 Configuration management, per la configurazione sicura di server, dispositivi e applicazioni;
- 8.10 Information deletion, relativo alla necessità di cancellare le informazioni al termine dei tempi di conservazione previsti;
- 8.11 Data masking, sull’anonimizzazione e pseudonimizzazione dei dati, introdotto per la sempre maggiore importanza assunta dalle tematiche di trattamento dei dati personali;
- 8.12 Data leakage prevention, sull’uso di strumenti con funzionalità di DLP;
- 8.16 Monitoring activities, in precedenza, incluso tra i controlli relativi al logging;
- 8.23 Web filtering, in precedenza incluso tra i controlli di rete;
- 8.28 Secure coding, in precedenza incluso nel controllo relativo alla politica di sviluppo sicuro.
L’introduzione dei concetti di cybersecurity e di protezione dei dati personali è un ulteriore elemento che rafforza quanto questo standard può essere considerata come una potente misura di accountability a supporto di quanto richiede il GDPR.
La nuova versione della ISO/IEC 27001 risulta essere in sintesi:
- allineata alla nuova “high-level structure” (capitoli da 1 a 10);
- allineata alla nuova ISO/IEC 27002 (appendice A);
Le organizzazioni con la certificazione ISO 27001:2013 esistente avranno tre anni per passare al nuovo standard.
QUI disponibile l’abstract ISO della nuova norma ISO/IEC 27001:2022.