Il 25 ottobre 2022 è stata pubblica l’ultima versione dello standard internazionale ISO/IEC 27001:2022 con i nuovi requisiti per i sistemi di gestione per la sicurezza delle informazioni.

La nuova norma presenta diverse modifiche rispetto alla versione precedente, ma quelle più rilevanti sono quelle relative ai controlli di sicurezza presenti nell’Appendice A.

Le principali modifiche apportate sono:

·strutturale per allineamento alla nuova “high-level structure” (capitoli da 1 a 10);

·contenuti: inclusione dei due “technical corrigendum” pubblicati nel 2014 e nel 2015;

·contenuti allineamento alla nuova ISO/IEC 27002 (appendice A, richiamata dal punto 6.1.3)

Allineamento High-Level Structure

Alcuni cambiamenti apportati per allineamento alla nuova “HLS” sono formali, come ad esempio la sostituzione di “la presente norma internazionale” con “il presente documento” o l’aggiunta di paragrafi (solo come titoli, non come contenuti) nei punti 9.2 (audit interno) e 9.3 (riesame della direzione) e l’inversione dei punti 10.1 (miglioramento continuo) e 10.2 (non conformità e azioni correttive).

Altri cambiamenti invece risultano più impattanti sulla gestione della sicurezza delle informazioni, ad esempio, nel punto 4.4, vengono espressamente citati i processi necessari al sistema di gestione e le loro interazioni quando invece nella versione precedente questi erano sottointesi oppure l’introduzione del punto 6.3 (pianificazione dei cambiamenti) che richiede che i cambiamenti al sistema di gestione siano sempre portati a termine in modo pianificato.

Per effetto della revisione della ISO/IEC 27002 (pubblicata a Febbraio 2022), invece, al punto 6.1.3 si esplicita che la lista dei controlli di questa norma non è più “comprensiva” ma è solo una delle “possibili” liste di controlli.

Inclusione dei due “technical corrigendum”

Dei “due” technical corrigendum del 2014 e 2015 in realtà se ne vede incluso solo uno in quanto il primo derivava da una correzione apportata alla ISO/IEC 27002:2013 e quindi oggi non più presente nello standard e non più applicabile. La correzione del 2015 invece relativa alla Dichiarazione di applicabilità (Statement of Applicability o SoA), è di tipo editoriale, ma con un impatto tecnico significativo, questa infetti chiarisce che i controlli della Dichiarazione di applicabilità non devono essere necessariamente quelli dell’Annex A della ISO/IEC 27001.

Allineamento alla nuova ISO/IEC 27002

L’Appendice A della ISO/IEC 27001:2022 è stata modificata per allinearla alla ISO/IEC 27002:2022. I controlli previsti da questa norma sono stati ridotti da 114 a 93 e riorganizzati in 4 “temi” (People, Physical, Technological, Organizational) al posto dei 14 “punti” precedenti.

Nell’Appendice A della ISO/IEC 27001:2022 non risultano i sotto controlli della ISO/IEC 27002:2022 perché essa riporta solo i controlli.

Oltre all’introduzione di nuovi controlli altri hanno cambiato significativamente il nome, il che denuncia alcuni cambiamenti di contenuto, come ad esempio “Identity management”, che in precedenza si chiamava “Registrazione e de-registrazione degli utenti” o “Information security during disruption”, che in precedenza “Pianificazione della continuità della sicurezza delle informazioni”.

Quando ci si può certificare 27001:2022?

Gliorganismi di certificazioni dovranno concludere la transizione dei certificati ISO/IEC 27001:2013 alla ISO/IEC 27001:2022 entro 3 anni dalla pubblicazione della norma, quindi tutte le aziende certificate 27001:2013 devono ricevere un audit di transizione al massimo entro il 31 ottobre 2025; per queste aziende sarà possibile svolgere gli audit di transizione durante un audit di sorveglianza o ri-certificazione già programmato oppure durante un audit separato.

Per quanto riguarda le nuove certificazioni, gli organismi di certificazione dovranno offrirle entro il 31 ottobre 2023, ovvero un anno dopo la pubblicazione della norma.

Per maggiori informazioni potete contattare il Vostro consulente di riferimento.