1 Marzo 2023
Nuova Norma ISO/IEC 27001:2022
Lo scorso 2022-10-25, la ISO ha emesso la nuova revisione della ISO/IEC 27001 “Information Security, cybersecurity and privacy protection – Information security management systems – Requirements”. (“Nuova Norma ISO/IEC 27001:2022”)
Il titolo stesso ci dice di come, in linea con i tempi, lo standard si sia evoluto spostando l’attenzione su aspetti che oggi sono di rilevanza strategica come la cyber security e la protezione della privacy.
In un mondo sempre più digitale, la famiglia degli standard ISO 27000 continua ad essere un riferimento fondamentale per le aziende chiamate ad affrontare i mutevoli scenari della sicurezza delle informazioni.
Le modifiche più significative si troviamo all’interno dell’Appendice A, relativamente alle contromisure di sicurezza. In particolare, sono stati introdotti i concetti di “Cybersecurity” e “Privacy Protection”, inoltre sono stati applicati gli aggiornamenti periodici all’High Level Structure e inclusi i due “technical corrigendum” .
La grande novità di questa revisione, è la ristrutturazione dell’Appendice A che ha ridotto i controlli da 114 a 93 riorganizzando gli stessi in 4 aree tematiche.
Accredia ha stabilito con la circolare DC 04/2023 del 2023-01-25, le seguenti modalità di transizione:
- entro 2025-10-31 tutte le certificazione basate sulla ISO/IEC 27001:2013/2017 scadranno o saranno ritirate;
- Novembre 2023-11-01 tutte le nuove certificazioni dovranno essere emesse a fronte della 27001:2022;
- l’attività di transizione dei certificati dovrà prevedere una durata minima di 0,5 gg/u aggiuntivi rispetto all’audit previsto;
- l’audit di transizione si baserà sulla revisione dei documenti che su quella dei controlli tecnologici;
- l’audit di transizione dovrà includere una gap analisys della ISO/IEC 27001:2022 e la definizione delle eventuali modifiche integrative;
- dovrà essere aggiornata la Dichiarazione di Applicabilità (SoA) e, se previsto, l’aggiornamento del piano di trattamento dei rischi;
- dovrà essere verificata l’implementazione e l’efficacia dei controlli nuovi o modificati, scelti dai clienti;
- Il certificato verrà aggiornato al completamento con successo dell’Audit di transizione e la scadenza dello stesso rimarrà invariata (o aggiornata in caso di rinnovo).
L’adeguamento è auspicabile che venga eseguito contestualmente alla prima verifica utile di sorveglianza o rinnovo.
Lo staff di Dasa resta a disposizione per ogni ulteriore chiarimento sulla “Nuova Norma ISO/IEC 27001:2022”.