Al momento stai visualizzando Pubblicata la ISO/IEC 27001:2022, nuova era per la sicurezza delle informazioni

Pubblicata la ISO/IEC 27001:2022, nuova era per la sicurezza delle informazioni

La nuova ISO/IEC 27002:2022 non rappresenta un semplice restyling di una norma già nota, ma un radicale cambiamento maggiormente in linea con i tempi che, soprattutto, introduce nuovi controlli in tema di cyber security e privacy.

La nuova versione dello standard ISO 27001 aiuta le organizzazioni a gestire i controlli in modo più efficace raggruppandoli in quattro “temi” chiari: organizzativo, personale, tecnologico e fisico. Questo cambiamento chiave mira a ottenere maggiore chiarezza, attenzione e responsabilità per la sicurezza delle informazioni all’interno di un’organizzazione.

Lo standard presenta anche i controlli di sicurezza delle informazioni recentemente aggiornati delineati dalla ISO 27002:2022, che rappresentano la revisione più significativa, vengono considerati novantatré controlli, undici dei quali sono completamente nuovi, nove dei quali, volendone analizzare gli attributi (Preventive, Detective, Corrective), sono di tipo preventivo e questo la dice lunga sull’attenzione posta dalla nuova norma all’importanza di anticipare situazioni potenzialmente pericolose predisponendo correttamente il contesto aziendale alla sicurezza delle informazioni.

Dando uno sguardo alla nuova tassonomia (Organizational, People, Physical, Technological), sette degli undici nuovi controlli sono riferiti al dominio tecnologico, tre a quello organizzativo e uno a quello fisico; l’unico dominio che non presenta novità è quello riferito alle persone.

I nuovi controlli tecnologici si concentrano sulla configurazione sicura di hardware, software, servizi e reti (8.9 Configuration management), sullo sviluppo sicuro del codice per ridurre il numero di potenziali vulnerabilità (8.28 Secure coding), sulla gestione degli accessi al web (8.23 Web filtering), ma soprattutto sulla cancellazione delle informazioni (8.10 Information deletion), offuscamento e prevenzione della perdita dei dati (8.11 Data masking – 8.12 Data leakage prevention).

Con l’introduzione di questi 3 controlli tecnologici la ISO/IEC 27002:2002 compie un passo significativo di avvicinamento al GDPR e risulta essere più armonizzata nei confronti della ISO/IEC 27701:2019 che tratta appunto la realizzazione e il mantenimento di un sistema di gestione sulla privacy delle informazioni (PIMS).

È bene però precisare che i controlli non portano valore aggiunto dal punto di vista tecnico, ma specificano e suggeriscono comportamenti di massima da adottare per cancellare, pseudonimizzare e anonimizzare le informazioni oltreché prevenire violazioni dei dati.

Le organizzazioni con la certificazione ISO 27001:2013 esistente avranno tre anni per passare al nuovo standard e il team ACS Registrars Italia srl fornirà supporto in ogni fase con una gamma completa di servizi.

Per ulteriori informazioni sulla ISO 27001:2022 e sui passaggi che puoi intraprendere per prepararti alla transizione il team ACS Registrars vanta un’esperienza pluriennale e saprà guidarti nella scelta del servizio più adatto alle tue esigenze, garantendoti massimo impegno e professionalità.