Revisione ISO27001 Sicurezza delle Informazioni

Il 25 ottobre 2022 è uscita la terza edizione della norma ISO/IEC 27001 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”; si tratta della norma di riferimento sui Sistemi di gestione della sicurezza delle informazioni.
L’obiettivo della norma ISO 27001 è quello di fornire alle organizzazioni gli strumenti per proteggere il proprio patrimonio informativo così da garantire la continua integrità, riservatezza e disponibilità di tutti i dati (informazioni relative alla proprietà intellettuale, informazioni finanziarie, dati di clienti, dipendenti e fornitori).
La versione 2022 della norma ISO 27001 tratta i nuovi scenari che le aziende – tra una maggiore adozione di tecnologie di automazione e cloud, e il panorama mutevole delle minacce per la sicurezza informatica – devono sempre più fronteggiare rivalutando il contesto in cui operano e i rischi che devono affrontare in modo strutturato ed affidabile.
Le modifiche riguardano principalmente i controlli di sicurezza elencati nell’allegato A della norma. Si è infatti passati dai precedenti 114 controlli agli attuali 93 (11 nuovi, 58 aggiornati e 24 accorpati).
I nuovi controlli si concentrano su:
• configurazione sicura di hardware, software, servizi e reti
• sviluppo sicuro del codice per ridurre il numero di potenziali vulnerabilità
• gestione degli accessi al web
• cancellazione delle informazioni
• offuscamento e prevenzione della perdita dei dati
Tempistica per la transizione
La Revisione ISO27001 è stata rilasciata il 25 ottobre 2022 ed il periodo di transizione è fissato in 3 anni. Pertanto, le aziende certificate ISO 27001 devono passare alla nuova versione prima di novembre 2025.
È quindi opportuno che le organizzazioni si preparino per la transizione il prima possibile, pianificandola adeguatamente per avere il tempo di incorporare, nel sistema di gestione aziendale, le modifiche necessarie.