ISO/IEC 27002: cosa cambia nel nuovo standard

La terza edizione della ISO/IEC 27002, “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni” arriva dopo 9 anni di lavori e porta con sé alcune novità.

I controlli, che adottano la nuova definizione di “misura che mantiene e/o modifica il rischio”, sono modificati da un punto di vista strutturale: non più aggregati per ambiti, come in passato, ma per macro-temi, corrispondenti ai 4 controlli centrali della sicurezza delle informazioni (fisici, tecnologici, organizzativi e delle persone).

A cambiare è anche il numero di controlli della ISO/IEC 27002:2022, in seguito alla loro riduzione, all’accoppiamento di alcuni e all’introduzione di nuovi. Inoltre, a ciascuno di essi sono stati aggiunti 5 attributi esemplificativi, utilizzabili dagli enti per raggruppare i controlli a seconda delle proprie necessità.

Viste le modifiche sui controlli, la nuova ISO richiede una revisione anche della ISO/IEC 27001, in particolare sui riferimenti che essa fa all’allegato A della vecchia 27002.  A tal proposito, presumibilmente già nelle prossime settimane, il Comitato Tecnico ISO/IEC JTC 1/SC 27 si adopererà per offrire un emendamento all’allegato.