Il 25 ottobre 2022 è stata pubblicata la norma ISO/IEC 27001:2022, che rappresenta il nuovo standard dei Sistemi di Gestione per la sicurezza delle informazioni, la cybersecurity e la privacy.
L’obiettivo della norma, che può essere integrata con altri sistemi di gestione, è di fornire alle aziende gli strumenti per proteggere il patrimonio delle informazioni in proprio possesso, compresi i dati personali. È composta da un insieme di requisiti e controlli, che devono essere gestiti centralmente e che interessano diversi processi aziendali, non soltanto quelli dell’ICT.
I princìpi che hanno guidato l’aggiornamento della norma puntano a garantire:
- la riservatezza e la disponibilità dei dati;
- un approccio in costante evoluzione, basato sull’individuazione di minacce e vulnerabilità;
- la protezione delle informazioni in tutte le sue forme e su tutti i tipi di supporti;
- una maggiore resilienza agli attacchi informatici;
- l’eliminazione di misure che risultano inefficaci.
Rispetto alla versione del 2013, i requisiti non hanno ricevuto sostanziali aggiornamenti. Si segnala soltanto che non è più necessario che la “dichiarazione di applicabilità”, richiesta nel capitolo 6, sia redatta sulla base dei controlli dell’Allegato A: ciò significa che il documento può seguire qualsiasi modalità di controllo, purché siano conformi a quelli dell’Allegato A.
Per quanto riguarda i controlli, sono state effettuate le seguenti modifiche:
- accorpamento di alcuni controlli, con passaggio da 114 controlli a 93;
- controlli riorganizzati in 4 sezioni, anziché nelle precedenti 14 sezioni;
- introduzione di 11 nuovi controlli.
Inoltre, lo standard introduce i concetti di cybersecurity e protezione dei dati personali, rendendo quindi la sua applicazione in azienda un efficace strumento di accountability rispetto a quanto richiesto dal GDPR. Le aziende già certificate ISO/IEC 27001:2013 avranno tempo fino al 31 ottobre 2025 per effettuare la transizione allo standard del 2022.
Per maggiori informazioni contattateci senza impegno presso il nostro ufficio di Roma (RM) allo +39 3287236407 oppure alla mail info@rdconsulting.it, saremo lieti di fornire tutte le risposte che cercate!