
Pubblicata la nuova ISO/IEC 27001:2022
7 Novembre 2022
La tanto attesa revisione dello standard ISO/IEC 27001 è stata finalmente rilasciata il 25 ottobre 2022 nella versione 27001:2022. Già dal titolo rinnovato (Information security, cybersecurity and privacy protection — Information security management systems — Requirements) si capisce come lo schema abbia ampliato le maglie per inglobare temi attuali quali la privacy e la cybersecurity, diventando ancora di più GDPR friendly.
Principali novità della nuova ISO 27001
Non si può parlare di una rivoluzione dato che i requisiti sono rimasti pressoché gli stessi, ma sicuramente di un riassetto necessario per ricomprendere quegli aspetti tecnologici e normativi che dovevano colmare un gap di 9 anni. I controlli, rispetto alle precedenti 14 sezioni, sono stati riorganizzati in 4:
- Organizzativi
- Fisici
- Sulle persone
- Tecnologici
In totale sono scesi a 93 poiché, a fronte di 11 controlli nuovi, altri sono stati accorpati o eliminati.
Sono proprio i controlli introdotti a dare l’idea di come si sia andati nella direzione indicata dal NIST, per quanto riguarda la sicurezza tecnologica, e dal Regolamento Europeo 2016/679 in ambito di tutela dei dati personali. Una visione in linea con i principi di resilienza dei sistemi, riservatezza, integrità e disponibilità dei dati, tanto care al GDPR da prevedere controlli sulla cancellazione – A.8.10 (data retention) – e sul mascheramento delle informazioni – A.8.11 (pseudonimizzazione e anonimizzazione).
Si contempla, inoltre, il filtraggio del web – A.8.23 – tramite black list o monitoraggio degli indirizzi IP al fine di evitare la navigazione su siti potenzialmente pericolosi .
Road map di allineamento
Se la vostra azienda sta affrontando la certificazione secondo lo schema ISO 27001:2013 niente paura, fino al 31 ottobre 2023 è possibile proseguire con questo standard, se invece il processo non è ancora iniziato allora il consiglio è di utilizzare da subito la nuova versione 2022.
Dal 31 ottobre 2023 l’edizione ISO/IEC 27001:2013 andrà in pensione e sarà possibile certificarsi solo con la nuova release. Chi invece è già certificato avrà 3 anni di tempo per conformarsi all’ultima versione, orizzonte degli eventi 31 ottobre 2025.
Nuovi controlli della ISO 27001:2022
Di seguito una serie di link che portano a contenuti specifici relativi ai nuovi controlli previsti dalla nuova ISO 27001:2022.
- Stefano Carlesso -