Modifiche normative nella norma ISO/IEC 27001:2022
Una modifica molto significativa riguarda il contesto dell'organizzazione nella clausola 4.4, con il requisito di identificare i processi necessari e le loro interazioni all'interno dell'ISMS che sono richiesti per la sua implementazione e il suo mantenimento. Questo requisito esplicito porta la ISO/IEC 27001:2022 in linea con l'approccio di best practice di altri sistemi di gestione secondo HS (HLS). Il sistema di gestione della sicurezza delle informazioni deve basarsi su processi stabiliti e tracciabili e sulle loro interazioni. I controlli di sicurezza delle informazioni di cui all'Allegato A sono quindi progettati e adattati a questi processi.
La successiva modifica rilevante della clausola 8.1 sottolinea inoltre l'importanza dell'orientamento ai processi, che è comune a tutti i sistemi di gestione basati su HS. Le organizzazioni devono realizzare i processi come parte della loro pianificazione operativa e del controllo per implementare le misure di gestione dei rischi per la sicurezza delle informazioni. La novità è che ora devono essere definiti i criteri dei processi. Il controllo dei processi deve essere implementato in conformità a tali criteri.
Inoltre, sono stati apportati chiarimenti e specificazioni di minore importanza nelle clausole seguenti:
- La clausola 5.3 viene integrata con il requisito esplicito che le responsabilità e le autorità per i ruoli relativi alla sicurezza delle informazioni siano rese note all'interno dell'organizzazione.
- La clausola 7.4 regolamenta la necessità di una comunicazione interna ed esterna relativa all'ISMS. Oltre alle disposizioni ancora applicabili su cosa, quando e con chi, il come della comunicazione è una semplificazione praticabile rispetto ai requisiti precedenti.
- Le clausole 9.2 Audit interno e 9.3 Riesame della direzione sono state adattate alla struttura armonizzata. La Clausola 9.2 è ora suddivisa in 9.2.1 e 9.2.2, mentre la Clausola 9.3 è suddivisa in tre parti 9.3.1, 9.3.2 e 9.3.3.
- L'ordine in cui sono strutturate le clausole 10.1 e 10.2 è stato adattato alla struttura armonizzata. L'aspetto del miglioramento continuo prospettico precede ora la gestione retrospettiva delle non conformità e delle azioni correttive della Clausola 10.2 nella Clausola 10.1, senza ulteriori modifiche di contenuto. Questo adeguamento sottolinea l'importanza del processo di miglioramento continuo (CIP).
I requisiti chiave e inequivocabili della ISO/IEC 27001 che fanno riferimento all'insieme dei controlli dell'Allegato A sono, secondo la Clausola 6.1.3 c), il processo di confronto tra i controlli di sicurezza delle informazioni specifici dell'organizzazione e quelli dell'Allegato A e, secondo la Clausola 6.1.3 d), la preparazione di una Dichiarazione di Applicabilità (SoA). Questi requisiti fondamentali rimangono invariati!
Le spiegazioni nelle note informative (non normative) della clausola 6.1.3 c), con il riferimento all'Allegato A come elenco di possibili controlli di sicurezza delle informazioni, indicano la possibilità di selezionare misure aggiuntive da ulteriori fonti supplementari all'Allegato A.
Il nuovo Allegato A della ISO/IEC 27001:2022
L'elenco dei possibili controlli di sicurezza delle informazioni (IS) nell'allegato A della norma ISO/IEC 27001:2022 è derivato in modo identico dalla ISO/IEC 27002:2022. Il catalogo dei controlli di sicurezza generali è stato pubblicato nel febbraio 2022. Pertanto, le modifiche all'Allegato A della ISO/IEC 27001:2022 erano prevedibili da tempo. In precedenza, l'Allegato A comprendeva un totale di 114 controlli che potevano essere utilizzati per affrontare i rischi per la sicurezza delle informazioni nell'ambito di 35 obiettivi di controllo organizzati in 14 clausole.
A parte il fatto che la nuova ISO/IEC 27001:2022 elimina gli obiettivi di controllo, i controlli sulla sicurezza delle informazioni dell'Allegato A sono stati rivisti, aggiornati, integrati e riorganizzati con alcuni nuovi controlli.
Le precedenti 14 clausole dell'Allegato A sono ora incentrate sui 4 argomenti seguenti:
A.5 Controlli organizzativi (con 37 controlli).
A.6 Controlli personali (con 8 controlli)
A.7 Controlli fisici (con 14 controlli).
A.8 Controlli tecnici (con 34 controlli).
L'Allegato A della nuova versione della ISO/IEC 27001:2022 comprende ora un totale di 93 controlli, di cui i seguenti 11 sono nuovi:
A.5.7 Informazioni sulle minacce
A.5.23 Sicurezza delle informazioni per l'utilizzo di servizi cloud
A.5.30 Prontezza ICT per la continuità operativa
A.7.4 Monitoraggio della sicurezza fisica
A.8.9 Gestione della configurazione
A.8.10 Cancellazione delle informazioni
A.8.11 Mascheramento dei dati
A.8.12 Prevenzione delle fughe di dati
A.8.16 Monitoraggio delle attività
A.8.23 Filtraggio del Web
A.8.28 Codifica sicura
Mentre l'Allegato A della ISO/IEC 27001:2022 si limita a dare un nome ai controlli, la guida all'implementazione della ISO/IEC 27002:2022 fornisce ulteriori opzioni per la loro categorizzazione. Ad ogni controllo vengono assegnati cinque attributi che consentono di avere diverse visioni e prospettive. Gli attributi o i loro valori possono essere utilizzati per filtrare, ordinare o visualizzare per diverse viste organizzative.
I cinque attributi sono:
Tipo di controllo è un attributo per la visualizzazione dei controlli dal punto di vista di quando e come una misura modifica il rischio legato al verificarsi di un incidente di sicurezza delle informazioni.
Proprietà di sicurezza delle informazioni è un attributo per la visione dei controlli dal punto di vista dell'obiettivo di protezione che la misura è destinata a supportare.
Concetti di sicurezza informatica (Cybersecurity Concepts) esamina i controlli dal punto di vista della loro corrispondenza con il quadro di sicurezza informatica descritto in ISO/IEC TS 27110.
Operational Capability considera i controlli dal punto di vista delle loro capacità operative di sicurezza delle informazioni e supporta una visione pratica delle misure da parte degli utenti.
Domini di sicurezza è un attributo che consente di considerare i controlli dal punto di vista di quattro domini di sicurezza delle informazioni.