Nel mese di ottobre 2022 è stata emessa la nuova versione della norma ISO/IEC 27001:2022, che sostituisce la norma ISO/IEC 27001:2013. È stato stabilito un periodo di transizione di 3 anni, che termina il 31 ottobre 2025. Attualmente, QSCert è in processo di accreditamento per le attività di audit conformemente alla norma ISO/IEC 27001:2022, con l’obiettivo di completare tale processo entro la fine del 30 settembre 2023.
Principali Cambiamenti nella Nuova Versione della Norma:
La nuova versione della norma presenta importanti cambiamenti, tra cui:
- Riferimenti all’Allegato A ai controlli presenti nella norma ISO/IEC 27002:2022, il quale include informazioni dettagliate sul titolo e il contenuto di ciascun controllo.
- Rispetto alla versione precedente, il numero di controlli nella norma ISO/IEC 27002:2022 è diminuito, passando da 114 controlli distribuiti in 14 clausole a 93 controlli organizzati in 4 clausole.
- All’interno dei controlli della norma ISO/IEC 27002:2022, 11 di essi sono nuovi, 24 controlli sono stati combinati da controlli esistenti e 58 controlli sono stati aggiornati.
- È stata rivista la struttura dei controlli, introducendo gli attributi e gli scopi per ciascun controllo, non utilizzando più l’obiettivo per un gruppo di controlli.
Misure Necessarie per le Organizzazioni Certificate:
Le organizzazioni certificate secondo la norma ISO/IEC 27001:2022 dovranno adottare i seguenti passaggi:
- Assicurarsi di avere a disposizione le versioni elettroniche/cartacee delle norme ISO/IEC 27001:2022 e ISO/IEC 27002:2022.
- Aggiornare la documentazione interna, in particolare la Dichiarazione di Applicabilità, e implementare nel sistema di gestione i nuovi controlli e quelli aggiornati dalla norma ISO/IEC 27002:2022.
- Garantire la formazione del management, dei dipendenti rilevanti e degli auditor interni in relazione ai nuovi requisiti introdotti.
- Verificare l’implementazione del sistema di gestione della sicurezza delle informazioni rispetto ai nuovi controlli presenti nella Dichiarazione di Applicabilità mediante un’audit interno.
L’Assistenza Offerta da QSCert:
QSCert offre un programma di formazione dedicato a coloro che desiderano approfondire ulteriormente i dettagli delle nuove norme e dei cambiamenti introdotti. Questa formazione può risultare estremamente utile per le organizzazioni che vogliono affrontare con successo la transizione verso la nuova norma ISO/IEC 27001:2022.
In conclusione, l’ottenimento dell’accreditamento da parte di QSCert secondo la norma ISO/IEC 27001:2022 rappresenta un passo significativo verso il miglioramento e il rafforzamento dei sistemi di gestione della sicurezza delle informazioni. Le organizzazioni certificate possono beneficiare dei cambiamenti introdotti, ma è essenziale affrontare le necessarie azioni per adeguarsi ai nuovi requisiti e garantire la sicurezza delle informazioni nel panorama digitale in continua evoluzione.