Sintesi

ISO/IEC 27001 è lo standard applicato a livello globale per la certificazione di un sistema di gestione della sicurezza delle informazioni. Il suo scopo è proteggere le informazioni sulla base di un'analisi dei rischi aziendali in materia di riservatezza, integrità e disponibilità.

La versione ISO/IEC 27001:2022 è stata pubblicata alla fine di ottobre 2022 e non sono state apportate modifiche di rilievo. Poiché a uno standard non dovrebbero essere apportate più di due modifiche (AMD - Amendment), è in corso di pubblicazione la versione 2022.

Le modifiche si trovano principalmente nell'Allegato A - Obiettivi e misure, che derivano dalla recente pubblicazione della norma ISO/IEC 27002:2022.

La ISO/IEC 27001 è strutturata come la ISO 9001:2015, ma non include i processi aziendali, bensì le misure per garantire la sicurezza delle informazioni. Sebbene un sistema di gestione conforme alla ISO 9001:2015 non sia un prerequisito, è la base ideale. Se questo manca, è necessario descrivere i processi in cui sono integrate le misure.

Sviluppo

La storia

Il predecessore della ISO/IEC 27001:2013 è la ISO/IEC 27001:2005, che è stata adottata quasi invariata dal British Standard BS 7799-2. Già nel 1993, il Dipartimento del Commercio e dell'Industria (DTI) del Regno Unito pubblicò una raccolta di best practice in materia di sicurezza delle informazioni - il Code of Practice - che divenne il British Standard BS 7799-1 nel 1995. Il codice ha guadagnato rapidamente popolarità nel mondo anglosassone ed è cresciuto il desiderio di poter ottenere una certificazione. Per soddisfare questa richiesta, è stato creato il BS 7799-2, un catalogo di requisiti in base ai quali un'organizzazione può essere certificata. Sebbene entrambi gli standard fossero molto riconosciuti a livello internazionale, rimasero appannaggio degli addetti ai lavori fino a quando la BS 7799-1 divenne ISO 17799 nel 2000 e la BS 7799-2 divenne ISO/IEC 27001 cinque anni più tardi. Il progetto era quello di creare un'intera famiglia di standard per la sicurezza delle informazioni. Inizialmente, la ISO 17799 è stata rinominata ISO/IEC 27002 nel 2007.

Altri standard sono già stati pubblicati o seguiranno:

• ISO/IEC 27002 Procedure di sicurezza informatica
• ISO/IEC 27003 Guida all'implementazione
• ISO/IEC 27004 Metriche e misure per la gestione della sicurezza delle informazioni (attualmente in fase di sviluppo)
• ISO/IEC 27005 Gestione del rischio ISMS
• ISO/IEC 27006 Requisiti per gli organismi di certificazione
• ISO/IEC 27011 Linee guida per gli organismi di telecomunicazione
• ISO/IEC 27017 Procedure per i servizi cloud
• ISO/IEC 27018 Protezione della privacy nei cloud pubblici
• ISO/IEC 27701 Protezione dei dati
• ISO/IEC 27799 Linee guida per l'informatica sanitaria

e molte altre linee guida per l'applicazione specifica del settore e per argomenti specifici di un sistema di gestione della sicurezza delle informazioni (ISMS), il cui elenco è disponibile sul sito web dell'ISO.

Nuova versione ISO/IEC 27001:2022

La nuova versione è stata pubblicata alla fine di ottobre 2022.

Cosa è cambiato?

L'allegato A è stato principalmente sostituito; corrisponde alla norma ISO/IEC 27002:2022.

Solo due modifiche redazionali in 6.1.3 c) e 6.1.3 d) per chiarimenti.

Norme transitorie:

Il periodo di transizione è di 3 anni e termina il 31 ottobre 2025.

Quando è possibile modificare la certificazione in base al nuovo standard?

• in occasione della prossima ricertificazione (dal 30.04.2024 solo in base alla versione 2022)
  (è richiesto un tempo aggiuntivo di almeno 0,5 giorni, da completare entro il 31 ottobre 2025)
• In occasione di un audit di sorveglianza
  (è richiesto almeno 1,0 giorni di tempo aggiuntivo)
• tra due audit (è richiesto almeno 1,0 giorno di tempo aggiuntivo)

Nuova versione ISO/IEC 27002:2022 (corrisponde all'allegato A di ISO/IEC 27001)

La nuova versione è stata pubblicata nel febbraio 2022.

Cosa è cambiato?

La struttura è stata radicalmente modificata:

prima 14 capitoli - ora 4 capitoli:

• Organizational controls (37)
• People controls (8)
• Physical controls (14)
• Technological controls (34)

Il numero di misure (controlli) è indicato tra parentesi. Attualmente sono presenti 93 misure, rispetto alle 11 in più (114) precedenti. Tuttavia, ciò non significa che il numero di temi sia diminuito. Dal punto di vista tematico, sono state aggiunte 11 nuove misure e ne sono state eliminate 3 (11.2.5 Rimozione degli asset, 8.2.3 Gestione degli asset, 16.1.3 Segnalazione delle carenze nella sicurezza delle informazioni).

Diversi controlli sono stati consolidati in 19 controlli di nuova formulazione, mentre 61 rimangono invariati. 

I nuovi controlli sono:

1. Threat intelligence: 
   L'organizzazione deve cercare attivamente di comprendere gli aggressori e i loro metodi sullo sfondo del proprio panorama informatico.
2. Information security for use of cloud services: 
   Le iniziative cloud devono essere considerate in modo olistico, dall'introduzione e dal funzionamento fino alla strategia di uscita.
3. ICT Readiness for Business Continuity: 
   I requisiti per il paesaggio informatico devono essere derivati dai requisiti per la continuità aziendale.
4. Physical security monitoring: 
   L'attenzione si concentra maggiormente sulla prevenzione degli accessi fisici non autorizzati e sull'utilizzo di sistemi di allarme e di monitoraggio per prevenire o individuare rapidamente tali accessi.
5. Configuration management: 
   La configurazione sicura dei sistemi IT e l'hardening stanno diventando sempre più importanti.
6. Information deletion: 
   La cancellazione sicura e, in particolare, il rispetto dei requisiti esterni, come i concetti di cancellazione in relazione alla protezione dei dati, devono essere implementati.
7. Data masking: 
   Per aumentare la protezione dei dati vengono utilizzate varie tecniche di mascheramento, come l'anonimizzazione e la pseudonimizzazione.
8. Data leakage prevention: 
   La prevenzione della fuga di dati (Data Leakage Prevention, DLP) sta ricevendo nuova attenzione e ha lo scopo di aiutare a prevenire la fuga di dati non autorizzata.
9. Monitoring activities: 
   Il comportamento della rete e delle applicazioni deve essere monitorato per rilevare le anomalie.
10. Web filtering: 
    L'accesso a siti web esterni che possono contenere codice dannoso deve essere impedito utilizzando metodi di filtraggio web.
11. Secure coding: 
    Programmazione sicura, uso di strumenti, monitoraggio delle librerie e dei repository utilizzati, commento e tracciamento delle modifiche e prevenzione di metodi di programmazione non sicuri.

Tutti i controlli ora contengono attributi:

• Control type:
  Preventive, Detective, and Corrective
• Information security properties:
  Confidentiality, Integrity, and Availability
• Cybersecurity concepts:
  Identify, Protect, Detect, Respond, and Recover
• Operational capabilities:
  Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, and Information security assurance
• Security domains:
  Governance and ecosystem, Protection, Defense, and Resilience

Procedura e FAQ