Le norme ISO, si sa, sono fatte per durare nel tempo. Tant’è che le aziende che desiderano certificare il proprio sistema di gestione della sicurezza informatica secondo lo standard in materia più diffuso al mondo si basano ancora oggi su un set di requisiti (ISO 27001:2013) sostanzialmente invariato da quasi 10 anni.
Ma questa situazione sta per cambiare!
La politica ISO di revisione quinquennale ha portato infatti alla pubblicazione di nuove versioni in materia: ISO 27002 (Controlli) in febbraio 2022, e ISO 27001 (Requisiti) in ottobre 2022.
Vediamo quali sono i cambiamenti rispetto alle versioni precedenti e come impatteranno le aziende già certificate o in corso di certificazione.
Le modifiche principali riguardano i controlli minimi da prendere in considerazione, elencati nell’Annex A della 27001 e dettagliati nella 27002. La stessa definizione di controllo è stata cambiata, e probabilmente darà luogo a qualche dibattito accademico.
Da un punto di vista più pratico, il raggruppamento dei controlli in 4 categorie intuitive (persone, politiche e processi, tecnologia, fisici) e l’introduzione di attributi usati in altri framework (ad es. NIST) sicuramente faciliteranno i processi di mappatura e gestione generale.
Sono stati inoltre aggiunti alcuni controlli che di fatto venivano già implementati da anni, come quelli associati a GDPR. Nessun controllo esistente nella versione precedente è stato propriamente eliminato: piuttosto, lo si ritroverà in una forma leggermente diversa all’interno di quelli nuovi, come indicato nella tabella di mappatura presente nello Standard 27002.
In quanto ai requisiti della norma, la nuova 27001 impone maggiore consapevolezza su certi obblighi dell’organizzazione, ad esempio:
- Indirizzamento dei requisiti degli stakeholder tramite il sistema di gestione,
- Implementazione del ciclo PDCA e dimostrazione di miglioramenti tangibili (non limitandosi a un approccio statico di tipo “compliance checklist”),
- Accountability in contesti di tipo cloud.
La nuova versione (ISO 27001:2022) sostituisce la precedente (ISO 27001:2013) già da ora; tuttavia:
- le organizzazioni che hanno certificato il proprio sistema di gestione secondo la versione del 2013 hanno 3 anni di tempo per aggiornarlo alla versione del 2022
- gli enti certificatori hanno un anno di tempo per prepararsi a certificare sistemi di gestione secondo la versione 2022.
Alla data di pubblicazione di quest’articolo, è possibile certificarsi solo alla versione 2013; è probabile che questa situazione duri per tutta la prima metà del 2023. Di conseguenza, alle aziende in procinto di ottenere o rinnovare la propria certificazione ISO 27001 si consiglia di prepararsi già alla nuova versione, mantenendo mappature di conversione dei controlli relativi alle due versioni.
Ovviamente le informazioni riportate in questo articolo non hanno carattere esaustivo, ma vogliono solamente dare qualche indicazione di massima ai nostri clienti e visitatori. Per ottenere maggiori informazioni su come affrontare il percorso di certificazione o implementazione della nuova versione della norma al vostro sistema di gestione della sicurezza informatica, ci potete contattare su info@sadunconsulting.it oppure al numero di telefono 055 0207955.