I processi aziendali a valore aggiunto sono guidati da informazioni e dati. Senza lo scambio di informazioni, nulla funziona nella nostra economia digitale. I nostri servizi di base si basano su infrastrutture critiche la cui funzionalità dipende fortemente dallo scambio di informazioni e dati. La sicurezza delle informazioni si estende alla realtà del nostro lavoro e della nostra vita. Proteggere le operazioni quotidiane basate sulle informazioni, i dati critici e la proprietà intellettuale dalle minacce informatiche è quindi un imperativo per le aziende di tutte le dimensioni. In quest'epoca di attacchi informatici industrializzati, adattarsi ai rischi di sicurezza informatica in continua evoluzione richiede un approccio tempestivo e flessibile alla costruzione della resilienza aziendale.


Ed è proprio qui che entra in gioco la nuova ISO/IEC 27001:2022, che si concentra sull'orientamento ai processi nella gestione della sicurezza delle informazioni. Per oltre due decenni, lo standard ISO 27001 è stato una base consolidata, ma ormai datata, per i sistemi di gestione della sicurezza delle informazioni. Nonostante la sua età, secondo l'indagine ISO, lo standard è riuscito a crescere con un aumento del 32% dei certificati nell'ultimo anno 2021. Sullo sfondo della crescente domanda di un quadro di valutazione della sicurezza delle informazioni contemporaneo, il 25 ottobre 2022 è stata pubblicata la nuova ISO/IEC 27001:2022. Cosa c'è in serbo?

Loading...

Panoramica delle nuove caratteristiche della ISO 27001:2022

La norma ISO 27001 descrive il quadro di riferimento per un sistema di gestione della sicurezza delle informazioni (ISMS) - e questo per le aziende indipendentemente dalla struttura organizzativa, dalle dimensioni o dall'orientamento. Il perno è la gestione del rischio. Le minacce informatiche in continua evoluzione sfruttano sempre nuove potenziali vulnerabilità nelle aziende con l'obiettivo di attaccare e compromettere i flussi di informazioni e quindi i processi aziendali. I rischi derivanti da questo meccanismo sui tre obiettivi di protezione essenziali della sicurezza delle informazioni - riservatezza, integrità e disponibilità - devono essere identificati e gestiti.

L'aggiornamento della norma ISO/IEC 27001:2022 affronta le migliori pratiche per la gestione di questi rischi per la sicurezza delle informazioni. L'elenco dei possibili controlli di sicurezza delle informazioni nell'allegato A della nuova ISO/IEC 27001:2022 è identico a quello della guida riveduta ISO/IEC 27002:2022. La guida all'implementazione è già stata adottata nel febbraio di quest'anno con una tassonomia più semplice e controlli di sicurezza contemporanei. Con la pubblicazione della nuova ISO/IEC 27001:2022, il tandem di successo degli standard ISO 27001/27002, con le sue preziose misure raccomandate, è ancora una volta all'avanguardia.

ISO/IEC 27001:2022-10 - Sicurezza delle informazioni, cybersecurity e protezione della privacy - Sistemi di gestione della sicurezza delle informazioni - Requisiti
Lo standard è disponibile in inglese sulla homepage dell'ISO.

Un altro cambiamento significativo della nuova ISO/IEC 27001:2022 è che, con l'adeguamento alla cosiddetta Struttura Armonizzata, il requisito da tempo atteso dell'orientamento ai processi viene posto al centro di un ISMS efficace. La base di sistemi di gestione efficaci è costituita da processi chiari e dalle loro interazioni, nonché da criteri orientati agli obiettivi per il controllo di tali processi.

Di seguito, esamineremo più da vicino le tre aree di cambiamento della nuova versione della ISO 27001.

 

La struttura di alto livello diventa struttura armonizzata

A partire da maggio 2021, la precedente High Level Structure (HLS) sarà sostituita dalla Harmonized Structure (HS). La HS è la struttura di base e il modello per lo sviluppo di nuove e future revisioni degli standard di sistema di gestione ISO esistenti. La ISO/IEC 27001:2022 è una delle prime norme sui sistemi di gestione a essere adattata alla HS. I vari chiarimenti, le aggiunte, ma anche le cancellazioni presenti nel SA rispetto all'HLS sono piuttosto interessanti per gli utenti che hanno familiarità con lo standard.

Per la ISO/IEC 27001:2022, tuttavia, è direttamente visibile una significativa derivazione dalla SA. In futuro, la clausola 6.3 richiederà che le modifiche all'ISMS siano implementate in modo pianificato. Questo requisito è familiare ad altri sistemi di gestione ed esprime l'aspettativa che un processo di cambiamento relativo all'ISMS sia stato padroneggiato. Ad esempio, la transizione dalla precedente ISO/IEC 27001:2013 alla nuova ISO/IEC 27001:2022 può essere intesa come una modifica all'ISMS che deve essere attuata in modo pianificato con tutti i suoi effetti e interazioni.

ISO 27001 - Sistema di gestione della sicurezza delle informazioni

Sistema di gestione completo secondo lo standard ISO ★ Implementazione efficace di un processo di gestione del rischio ★ Miglioramento continuo del livello di sicurezza

Più informazioni sulla ISO 27001

Modifiche normative nella norma ISO/IEC 27001:2022

Una modifica molto significativa riguarda il contesto dell'organizzazione nella clausola 4.4, con il requisito di identificare i processi necessari e le loro interazioni all'interno dell'ISMS che sono richiesti per la sua implementazione e il suo mantenimento. Questo requisito esplicito porta la ISO/IEC 27001:2022 in linea con l'approccio di best practice di altri sistemi di gestione secondo HS (HLS). Il sistema di gestione della sicurezza delle informazioni deve basarsi su processi stabiliti e tracciabili e sulle loro interazioni. I controlli di sicurezza delle informazioni di cui all'Allegato A sono quindi progettati e adattati a questi processi.

La successiva modifica rilevante della clausola 8.1 sottolinea inoltre l'importanza dell'orientamento ai processi, che è comune a tutti i sistemi di gestione basati su HS. Le organizzazioni devono realizzare i processi come parte della loro pianificazione operativa e del controllo per implementare le misure di gestione dei rischi per la sicurezza delle informazioni. La novità è che ora devono essere definiti i criteri dei processi. Il controllo dei processi deve essere implementato in conformità a tali criteri.

Inoltre, sono stati apportati chiarimenti e specificazioni di minore importanza nelle clausole seguenti:

  • La clausola 5.3 viene integrata con il requisito esplicito che le responsabilità e le autorità per i ruoli relativi alla sicurezza delle informazioni siano rese note all'interno dell'organizzazione.
  • La clausola 7.4 regolamenta la necessità di una comunicazione interna ed esterna relativa all'ISMS. Oltre alle disposizioni ancora applicabili su cosa, quando e con chi, il come della comunicazione è una semplificazione praticabile rispetto ai requisiti precedenti.
  • Le clausole 9.2 Audit interno e 9.3 Riesame della direzione sono state adattate alla struttura armonizzata. La Clausola 9.2 è ora suddivisa in 9.2.1 e 9.2.2, mentre la Clausola 9.3 è suddivisa in tre parti 9.3.1, 9.3.2 e 9.3.3.
  • L'ordine in cui sono strutturate le clausole 10.1 e 10.2 è stato adattato alla struttura armonizzata. L'aspetto del miglioramento continuo prospettico precede ora la gestione retrospettiva delle non conformità e delle azioni correttive della Clausola 10.2 nella Clausola 10.1, senza ulteriori modifiche di contenuto. Questo adeguamento sottolinea l'importanza del processo di miglioramento continuo (CIP).

I requisiti chiave e inequivocabili della ISO/IEC 27001 che fanno riferimento all'insieme dei controlli dell'Allegato A sono, secondo la Clausola 6.1.3 c), il processo di confronto tra i controlli di sicurezza delle informazioni specifici dell'organizzazione e quelli dell'Allegato A e, secondo la Clausola 6.1.3 d), la preparazione di una Dichiarazione di Applicabilità (SoA). Questi requisiti fondamentali rimangono invariati!

Le spiegazioni nelle note informative (non normative) della clausola 6.1.3 c), con il riferimento all'Allegato A come elenco di possibili controlli di sicurezza delle informazioni, indicano la possibilità di selezionare misure aggiuntive da ulteriori fonti supplementari all'Allegato A.

 

Il nuovo Allegato A della ISO/IEC 27001:2022

L'elenco dei possibili controlli di sicurezza delle informazioni (IS) nell'allegato A della norma ISO/IEC 27001:2022 è derivato in modo identico dalla ISO/IEC 27002:2022. Il catalogo dei controlli di sicurezza generali è stato pubblicato nel febbraio 2022. Pertanto, le modifiche all'Allegato A della ISO/IEC 27001:2022 erano prevedibili da tempo. In precedenza, l'Allegato A comprendeva un totale di 114 controlli che potevano essere utilizzati per affrontare i rischi per la sicurezza delle informazioni nell'ambito di 35 obiettivi di controllo organizzati in 14 clausole.

A parte il fatto che la nuova ISO/IEC 27001:2022 elimina gli obiettivi di controllo, i controlli sulla sicurezza delle informazioni dell'Allegato A sono stati rivisti, aggiornati, integrati e riorganizzati con alcuni nuovi controlli.

Le precedenti 14 clausole dell'Allegato A sono ora incentrate sui 4 argomenti seguenti:

A.5 Controlli organizzativi (con 37 controlli).

A.6 Controlli personali (con 8 controlli)

A.7 Controlli fisici (con 14 controlli).

A.8 Controlli tecnici (con 34 controlli).

L'Allegato A della nuova versione della ISO/IEC 27001:2022 comprende ora un totale di 93 controlli, di cui i seguenti 11 sono nuovi:

A.5.7 Informazioni sulle minacce

A.5.23 Sicurezza delle informazioni per l'utilizzo di servizi cloud

A.5.30 Prontezza ICT per la continuità operativa

A.7.4 Monitoraggio della sicurezza fisica

A.8.9 Gestione della configurazione

A.8.10 Cancellazione delle informazioni

A.8.11 Mascheramento dei dati

A.8.12 Prevenzione delle fughe di dati

A.8.16 Monitoraggio delle attività

A.8.23 Filtraggio del Web

A.8.28 Codifica sicura

Mentre l'Allegato A della ISO/IEC 27001:2022 si limita a dare un nome ai controlli, la guida all'implementazione della ISO/IEC 27002:2022 fornisce ulteriori opzioni per la loro categorizzazione. Ad ogni controllo vengono assegnati cinque attributi che consentono di avere diverse visioni e prospettive. Gli attributi o i loro valori possono essere utilizzati per filtrare, ordinare o visualizzare per diverse viste organizzative.

I cinque attributi sono:

Tipo di controllo è un attributo per la visualizzazione dei controlli dal punto di vista di quando e come una misura modifica il rischio legato al verificarsi di un incidente di sicurezza delle informazioni.

Proprietà di sicurezza delle informazioni è un attributo per la visione dei controlli dal punto di vista dell'obiettivo di protezione che la misura è destinata a supportare.

Concetti di sicurezza informatica (Cybersecurity Concepts) esamina i controlli dal punto di vista della loro corrispondenza con il quadro di sicurezza informatica descritto in ISO/IEC TS 27110.

Operational Capability considera i controlli dal punto di vista delle loro capacità operative di sicurezza delle informazioni e supporta una visione pratica delle misure da parte degli utenti.

Domini di sicurezza è un attributo che consente di considerare i controlli dal punto di vista di quattro domini di sicurezza delle informazioni.

Cosa significa l'aggiornamento per la vostra certificazione?

La nuova e migliorata versione della norma ISO/IEC 27001 è stata pubblicata il 25 ottobre 2022. Ciò comporta i seguenti tempi e scadenze di transizione per gli utenti dello standard:

 

  • Data ultima per gli audit iniziali/di ricertificazione secondo la precedente ISO 27001:2013
    -> Successivamente al 30 aprile 2024 DQS condurrà gli audit esclusivamente in accordo al nuovo standard ISO/IEC 27001:2022
  • Transizione di tutti i certificati esistenti alla nuova ISO/IEC 27001:2022
    -> E' previsto un periodo di transizione di 3 anni a partire dal 31 Ottobre 2022.
    -> I certificati rilasciati in accordo alla ISO/IEC 27001:2013 o alla DIN EN ISO/IEC 27001:2017 avranno validità sino al 31 Ottobre 2025 3 anni, successivamente andranno ritirati.

 

ISO 27001 - Sistema di gestione della sicurezza delle informazioni

Sistema di gestione completo secondo lo standard ISO ★ Implementazione efficace di un processo di gestione del rischio ★ Miglioramento continuo del livello di sicurezza

Più informazioni sulla ISO 27001

La nuova ISO/IEC 27001:2022 - Conclusione

È disponibile la nuova ISO/IEC 27001:2022. Questo segna l'inizio del periodo di transizione di 3 anni.

In sintesi, le principali novità sono le seguenti:

  • Conformità del sistema di gestione alla Struttura Armonizzata.
  • Enfasi sull'orientamento ai processi, sulle loro interazioni e sui loro criteri.
  • Categorizzazione semplificata e snella dei controlli in blocchi tematici.
  • Misure contemporanee allineate ai metodi organizzativi attuali e alle minacce associate.
  • Attributi per l'allineamento dei controlli alle varie metodologie di gestione del rischio, compresi i framework globali di cybersecurity.
gerber-hermsdorf-werner-korall-audit dqs
Loading...

Hai qualche domanda?

Contattaci!

Senza impegno e gratuitamente.

Fiducia e competenza

I nostri testi e le nostre brochure sono scritti esclusivamente dai nostri esperti di standard o da revisori di lunga data. Se avete domande sul contenuto del testo o sui servizi offerti al nostro autore, non esitate a inviarci un'e-mail.

Autore
Markus Jegelka

Esperto DQS per i sistemi di gestione della sicurezza delle informazioni (ISMS) e auditor di lunga data per le norme ISO 9001, ISO/IEC 27001 e per il catalogo della sicurezza IT secondo il paragrafo 11.1a della legge tedesca sull'industria energetica (EnWG).

Loading...