nuova-ISO-27001

Pubblicata la nuova ISO/IEC 27001:2022

7 Novembre 2022

La tanto attesa revisione dello standard ISO/IEC 27001 è stata finalmente rilasciata il 25 ottobre 2022 nella versione 27001:2022. Già dal titolo rinnovato (Information security, cybersecurity and privacy protection — Information security management systems — Requirements) si capisce come lo schema abbia ampliato le maglie per inglobare temi attuali quali la privacy e la cybersecurity, diventando ancora di più GDPR friendly.

Principali novità della nuova ISO 27001

Non si può parlare di una rivoluzione dato che i requisiti sono rimasti pressoché gli stessi, ma sicuramente di un riassetto necessario per ricomprendere quegli aspetti tecnologici e normativi che dovevano colmare un gap di 9 anni. I controlli, rispetto alle precedenti 14 sezioni, sono stati riorganizzati in 4:

  1. Organizzativi
  2. Fisici
  3. Sulle persone
  4. Tecnologici

In totale sono scesi a 93 poiché, a fronte di 11 controlli nuovi, altri sono stati accorpati o eliminati.

Sono proprio i controlli introdotti a dare l’idea di come si sia andati nella direzione indicata dal NIST, per quanto riguarda la sicurezza tecnologica, e dal Regolamento Europeo 2016/679 in ambito di tutela dei dati personali. Una visione in linea con i principi di resilienza dei sistemi, riservatezza, integrità e disponibilità dei dati, tanto care al GDPR da prevedere controlli sulla cancellazione – A.8.10 (data retention) – e sul mascheramento delle informazioni – A.8.11 (pseudonimizzazione e anonimizzazione).

Si contempla, inoltre, il filtraggio del web – A.8.23 – tramite black list o monitoraggio degli indirizzi IP al fine di evitare la navigazione su siti potenzialmente pericolosi .

Road map di allineamento

Se la vostra azienda sta affrontando la certificazione secondo lo schema ISO 27001:2013 niente paura, fino al 31 ottobre 2023 è possibile proseguire con questo standard, se invece il processo non è ancora iniziato allora il consiglio è di utilizzare da subito la nuova versione 2022.

Dal 31 ottobre 2023 l’edizione ISO/IEC 27001:2013 andrà in pensione e sarà possibile certificarsi solo con la nuova release. Chi invece è già certificato avrà 3 anni di tempo per conformarsi all’ultima versione, orizzonte degli eventi 31 ottobre 2025.

 

- Stefano Carlesso -

richiedi informazioni

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci