A più di anno dall’uscita, la revisione della ISO 27001, ovvero la norma “Information security, cybersecurity and privacy protection” oggi è stata recepita dai professionisti del settore che ne hanno esaminato tutte le differenze e mappato i controlli previsti.
Questa nuova revisione ha sicuramente messo in risalto caratteristiche legate al mondo della sicurezza in ambito cybersecurity, dando la possibilità alle organizzazioni di avere uno strumento altamente valido in grado di proteggere i propri dati e le proprie informazioni in maniera sicura e conforme anche contro le minacce emerse da questo scenario sempre più pericoloso.
In un’ottica più ampia, le modifiche sono state introdotte per rendere la norma più moderna e flessibile, in linea con le esigenze attuali delle organizzazioni. In particolare, la riduzione del numero dei controlli e la loro organizzazione per aree tematiche ha voluto rendere più semplice l’implementazione e la gestione del Information Security Management System (ISMS).
Entrando velocemente più nello specifico, le principali differenze tra le due versioni possono essere riassunte come segue:
- Annex A: controlli di sicurezza
- Il numero dei controlli è stato ridotto da 114 a 93.
- I controlli sono stati raggruppati in 4 aree tematiche:
- Organizzativa
- Persone
- Tecnologica
- Processi e risorse
- Sono stati aggiunti 11 nuovi controlli, mentre nessuno è stato eliminato.
- Altre modifiche nelle clausole:
- 4.2, “Comprensione dei requisiti e delle aspettative delle parti interessate”, è stata modificata per richiedere un’analisi delle esigenze e delle aspettative delle parti interessate che saranno soddisfatte attraverso l’ISMS.
- 6.1, “Definizione dei processi e dei loro criteri di prestazione”, è stata modificata per chiarire che i processi devono essere definiti in modo da raggiungere i risultati desiderati.
- 8.3, “Valutazione del rischio”, è stata modificata per richiedere l’utilizzo di una metodologia basata sulla valutazione del rischio.
- 10.2, “Riesame da parte della direzione”, è stata modificata per richiedere che il revisore sia indipendente dall’organizzazione.
TRANSIZIONI E SCADENZE
È importante sottolineare che la ISO/IEC 27001:2022 ha delle tempistiche da rispettare per chi le organizzazioni era certificate ISO 27001:2013 e che intendono adeguarsi e per chi intraprende il cammino della certificazione da zero.
Per quanto riguarda le prime, ovvero quelle che hanno ricevuto una certificazione in conformità con la norma ISO/IEC 27001:2013 (UNI CEI EN ISO/IEC 27001:2017), dovranno adeguarsi entro il 31 ottobre 2025, termine fissato per la fine della transizione in cui tutte le vecchie certificazioni scadranno o saranno ritirate.Per queste organizzazioni è necessario che rimangano concentrate su queste date e prepararsi opportunamente per il passaggio con i giusti tempi.
Mentre per il secondo gruppo, è importante sapere che dal 30 aprile 2024 tutte le nuove certificazioni e i rinnovi saranno rilasciati esclusivamente in conformità con la norma ISO/IEC 27001:2022.
Le certificazioni sono un investimento di prestigio ma soprattutto di grande valore per le organizzazioni. Ottenere una certificazione significa essere in grado di gestire i propri processi aziendali utilizzando le migliori pratiche standardizzate, e quindi anche riconosciute, a livello internazionale. Nello specifico la 27001 è il pilastro fondamentale in ogni azienda per la protezione dei propri dati sensibili. Ed è per questo che dovrebbero, per chi non lo ha già fatto, munirsi di un sistema di gestione completo poiché le minacce che minano la sicurezza delle informazioni sono in costante aumento indistintamente dalla dimensione dell’azienda stessa.