Pubblicata ad ottobre la nuova norma ISO/IEC 27001:2022 sulla Sicurezza delle informazioni, sicurezza informatica e protezione della privacy che stabilisce i requisiti per i Sistemi di gestione della sicurezza delle informazioni e sostituisce la precedente versione ISO/IEC 27001:2013 e le versioni nazionali come la UNI CEI EN ISO/IEC 27001:2017.
Per affrontare le sfide globali della sicurezza informatica e migliorare la fiducia digitale, è stata appena pubblicata una versione nuova e migliorata di ISO/IEC 27001. Lo standard più noto al mondo sulla gestione della sicurezza delle informazioni aiuta le organizzazioni a proteggere le proprie risorse informative, vitali nel mondo sempre più digitale di oggi.
La criminalità informatica sta diventando sempre più grave e sofisticata poiché gli hacker sviluppano tecniche di criminalità informatica più avanzate. Il Rapporto Global Cybersecurity Outlook del World Economic Forum indica che gli attacchi informatici sono aumentati del 125% a livello globale nel 2021, con prove che suggeriscono un continuo aumento fino al 2022. In questo panorama in rapida evoluzione, i leader devono adottare un approccio strategico ai rischi informatici.
Gli attacchi informatici sono costosi, dirompenti e rappresentano una minaccia crescente per le imprese, i governi e la società allo stesso modo. Ecco come proteggere i propri beni.
Per affrontare queste sfide alla sicurezza informatica, le organizzazioni devono migliorare la propria resilienza e implementare sforzi di mitigazione delle minacce informatiche. Ecco come la ISO/IEC 27001 andrà a beneficio delle organizzazioni per:
- Proteggere le informazioni in tutte le forme, compresi i dati cartacei, cloud e digitali
- Aumentare la resilienza agli attacchi informatici
- Fornire un framework gestito centralmente che protegge tutte le informazioni in un’unica posizione
- Garantire la protezione a livello di organizzazione, anche contro i rischi basati sulla tecnologia e altre minacce
- Rispondere alle minacce alla sicurezza in evoluzione
- Ridurre i costi e la spesa per tecnologie di difesa inefficaci
- Proteggere l’integrità, la riservatezza e la disponibilità dei dati.
Le organizzazioni che adottano la resilienza informatica attraverso una sicurezza dalle vulnerabilità informatiche emergono rapidamente come leader nel loro settore e stabiliscono lo standard per il loro ecosistema. L’approccio olistico di ISO/IEC 27001 significa che l’intera organizzazione è coperta, non solo l’IT. Persone, tecnologia e processi ne traggono vantaggio.
Quando un’organizzazione utilizza ISO/IEC 27001, dimostra agli stakeholder e ai clienti che si impegna a gestire le informazioni in modo sicuro. È un ottimo modo per promuovere la propria organizzazione, celebrarne i risultati e dimostrare che ci si può fidare.
La norma specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell’organizzazione.
Il documento include anche i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni adattati alle esigenze dell’organizzazione.
I requisiti stabiliti nella nuova norma sono generici e si intendono applicabili a tutte le organizzazioni, indipendentemente dal tipo, dimensione o natura. L’esclusione di uno qualsiasi dei requisiti specificati nelle clausole da 4 a 10 non è accettabile quando un’organizzazione dichiara la conformità alla ISO 27001.
Sono previsti nuovi controlli nell’Annex A e sarà definito un piano di transizione per le aziende certificate ISO/IEC 27001:2013 e versioni nazionali come la UNI CEI EN ISO/IEC 27001:2017 alla nuova versione della norma ISO/IEC 27001:2022.
Versione 2017
La versione precedente della norma è la UNI CEI EN ISO/IEC 27001:2017 (pubblicata il 30 marzo 2017), che non è altro che la versione ISO/IEC 27001:2013 con due corrigendum (emessi dall’ISO nel 2014 e 2015).
- requisito A.8.1.1: l’inventario, la classificazione e trattamento degli “asset” riguarda ora anche le “informazioni” cui gli asset sono associati.
- requisito 6.1.3: la Dichiarazione di Applicabilità deve specificare se sono implementati o meno i “controlli necessari”, e non solo i controlli riferiti all’Annex A.
Non essendo stati introdotti nuovi requisiti, la norma ISO precedente era rimasta in edizione 2013, per cui l’unico impatto sui certificati emessi si era avuto sul riferimento normativo nazionale in essi riportato.
Sito internet: ISO su nuova norma ISO 27001:2022 – Wikipedia su Versione nazionale 2017