Pubblicazione nuova ISO 27001
Il 25 ottobre 2022 è stata pubblicata la nuova versione dello standard ISO/IEC 27001 relativa ai sistemi di gestione della sicurezza delle informazioni.
Standard che, ricordiamo, è stato realizzato dall’International Organization for Standardization (ISO) in collaborazione con l’International Electrotechnical Commission (IEC), con l’obiettivo di aiutare le organizzazioni, di ogni dimensione e settore, a proteggere le loro informazioni in modo sistematico ed economicamente conveniente attraverso l’adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI)
La nuova versione, disponibile al momento solo in lingua inglese sul sito di ISO (scaricabile a pagamento a questa pagina) ha apportato diverse modifiche alla precedente versione dello standard, pubblicata nel 2013.
Quanto è cambiato dalla versione 2013 alla versione 2022
In linea generale, si può tranquillamente affermare che le modifiche apportate dalla ISO/IEC 27001:2022 sono di entità moderata e non richiederanno grandi stravolgimenti al Sistema di Gestione della Sicurezza delle Informazioni.
Tuttavia sono molteplici le differenze che possono essere riassunte come segue:
- Inclusione del tema privacy – a partire dal nome dello standard, che da “Information technology – Security techniques […]” passa a “Information security, cybersecurity and privacy protection […]”
- Nuovi requisiti inseriti nella parte centrale dello standard, tra cui il fatto che i cambiamenti a livello di Sistema di Gestione della Sicurezza delle Informazioni devono essere svolti in modo pianificato e non improvvisato
- Riorganizzazione dei controlli dell’Allegato A, che passano da 114 a 93
Controlli ISO 27001:2022
Come accennato sopra, la versione 2022 dello standard ISO 27001 ha portato a grandi cambiamenti nei controlli dell’Allegato A. Almeno a livello strutturale. Come si può infatti notare leggendo i diversi controlli, sono molte più le variazioni a livello di forma che di sostanza.
Infatti vi sono:
- 11 nuovi controlli
- 57 controlli accorpati
- 1 controllo diviso
- 23 controlli rinominati
- 35 controlli non hanno subito modifiche.
In merito ai nuovi controlli, alcuni sono in realtà molto simili ad alcuni della precedente versione mentre altri sono stati aggiunti in modo da rispondere alle nuove tendenze dell’IT e della sicurezza.
Mappatura dei controlli ISO 27001 2022 vs 2013
Per passare dalla versione 2013 alla versione 2022 senza dover redigere da zero il SGSI e la dichiarazione di applicabilità, è utile servirsi di una mappatura dei controlli che permetta di capire come sono stati rinominati e/o riorganizzati i diversi controlli.
Ad esempio il controllo della versione 2013 “A.6.2.1 Mobile Device Policy” nella versione 2022 diventa “8.1 User Endpoint Devices”.
Mappatura che è stata realizzata dai professionisti Axsym e resa disponibile all’interno della nostra guida “Cosa cambia con la nuova ISO 27001:2022” scaricabile al seguente link.
Quando diventerà obbligatoria la versione 2022
Da novembre 2025.
Dal 31 ottobre 2025 infatti scadranno tutte le certificazione ISO 27001 realizzate sulla versione 2013.
Fino ad allora, le organizzazioni potranno decidere se continuare ad adottare per un certo periodo la versione 2013 e quando passare definitivamente alla versione 2022.
Desideri maggiori informazioni su cosa fare se la tua organizzazione è certificata ISO 27001:2013?
Scarica la guida o richiedi una consulenza ai nostri esperti!
