Lo standard ISO/IEC 27001 è il principale standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS), e della cybersecurity in generale. A seguito della revisione dell’ottobre 2022, la nuova ISO/IEC 27001:2022 ha sostituito la precedente ISO/IEC 27001:2013. La nuova versione contiene modifiche attese da tempo relativamente alle misure di sicurezza informatica, alla protezione dei dati e alle misure concrete di sicurezza del cloud.
Per fare chiarezza, informare e illustrare bene tutte le novità, TÜV SÜD ha realizzato un White Paper, scaricabile qui, che fornisce una panoramica aggiornata della norma ISO/IEC 27001, del suo sviluppo e dei passi concreti da compiere per ottenere la nuova certificazione.
Nuovi controlli
I principali cambiamenti della nuova ISO/IEC 27001:2022 rispetto alla precedente, riguardano i controlli definiti nell’Allegato A, che sono stati ridotti da 114 a 93 e riclassificati in quattro gruppi:
- Controlli organizzativi (37 controlli)
- Controlli sulle persone (8 controlli)
- Controlli fisici (14 controlli)
- Controlli tecnologici (34 controlli).
- Sono stati aggiunti 11 nuovi controlli, che affrontano questioni come il mascheramento dei dati (un metodo per rendere i dati inutilizzabili per gli hacker), le attività di monitoraggio (per rilevare attività informatiche insolite) e la sicurezza delle informazioni per l’uso di servizi cloud.
Il periodo di transizione termina nell’autunno del 2025
Dalla pubblicazione del nuovo standard si applica un periodo di transizione di 36 mesi; ciò significa che i certificati esistenti devono essere convertiti al nuovo standard ISO/IEC 27001:2022 entro l’autunno del 2025. Le aziende già in possesso della certificazione ISO/IEC 27001:2013 hanno quindi circa tre anni per completare la transizione dei loro certificati. Tuttavia, TÜV SÜD consiglia alle aziende di iniziare prima possibile ad affrontare le modifiche del nuovo standard, data l’importanza cruciale per la sicurezza delle informazioni.