Con la revisione della ISO 27002:2022, è stato fornito un set di riferimento per i controlli di sicurezza delle informazioni da utilizzare in base alla gestione del rischio di sicurezza delle informazioni, con l’obiettivo di migliorare gli altri standard della famiglia 27000.
L’ambiente di minacce in continua crescita, le vulnerabilità della sicurezza e la rapida crescita della tecnologia digitale sembrano soddisfare le esigenze mancanti con l’aggiornamento della ISO 27002:2022.
Cosa c’è di nuovo nella ISO 27002:2022?
La ISO 27002:2013 era suddivisa in 14 clausole e conteneva 114 controlli. La versione 2022 è stata ristrutturata e comprende 93 controlli suddivisi in 4 sezioni:
5. Organizzativo (37 controlli)
6. Persone (8 controlli)
7. Fisico (14 controlli)
8. Tecnologico (34 controlli)
Le risposte alle vostre domande essenziali
1 – Qual è la differenza tra ISO 27001 e ISO 27002?
La ISO 27001 è lo standard principale e le aziende possono certificarsi; le aziende non possono ottenere la certificazione ISO 27002:2022 in quanto è solo uno standard di supporto.
Nell’allegato A, la ISO 27001 fornisce solo un elenco di controlli di sicurezza, ma non spiega come possono essere implementati; la ISO 27002 elenca gli stessi controlli e fornisce indicazioni su come implementarli. Tuttavia, questa guida della ISO 27002 non è obbligatoria, per cui le aziende possono decidere se utilizzarla o meno.
2 – Quando avverranno questi cambiamenti?
La ISO 27002 è stata aggiornata il 15 febbraio 2022 e l’allegato A della ISO 27001 sarà allineato a queste modifiche.
L’aggiornamento dell’Allegato A della ISO 27001 avverrà nel 2022, la data non è ancora stata annunciata.
3 – Vogliamo iniziare a implementare la ISO 27001, dobbiamo aspettare la pubblicazione delle modifiche o iniziare subito?
Se il vostro cliente attuale o potenziale sta aspettando la vostra certificazione, dovreste iniziare il prima possibile; se invece potete aspettare la fine del 2022 con il vostro progetto, potete aspettare lo standard aggiornato.
In altre parole, questa decisione non ha nulla a che fare con gli standard: dipende dalla rapidità con cui si ha bisogno della certificazione ISO 27001.
4- Ora, se iniziamo con l’applicazione della ISO 27001, continueremo con i nuovi set di controllo o con quelli vecchi?
Dovreste iniziare con i controlli esistenti, poiché le modifiche alla ISO 27001 non sono ancora state pubblicate.
La migrazione alla nuova revisione dello standard sarà uno sforzo minore, poiché le modifiche ai controlli sono solo moderate e avrete tutto il tempo di aggiornare la documentazione per i nuovi controlli.
5- Abbiamo già implementato la ISO 27001, cosa dobbiamo modificare nella nostra documentazione?
Le modifiche agli standard sono per lo più legate alla riorganizzazione dei controlli, quindi non saranno necessarie modifiche alle sezioni tecnologiche, ma solo alla documentazione.
Poiché le modifiche sono moderate, si consiglia di non aggiungere nuovi documenti e di non eliminare quelli esistenti.
6- Quando dobbiamo cambiare i nostri documenti?
Il periodo di transizione per queste modifiche non è ancora stato reso noto, ma probabilmente sarà di 24 mesi dalla data ufficiale di aggiornamento della ISO 27001:2022.
Pertanto, avrete tutto il tempo necessario per adeguarvi.
7 – L’organismo di certificazione deve verificare la presenza di modifiche nei documenti?
Sì, se la vostra azienda è certificata, l’organismo di certificazione verificherà se avete adattato i vostri documenti durante il periodo di transizione.
Poiché lo faranno durante i regolari audit di sorveglianza, non sarà necessario pianificare un nuovo audit.
Impatto sulle norme ISO 27000 pertinenti
Esistono molti standard e quadri relativi o basati sulla norma ISO 27002:2013. La sostituzione dello standard con una nuova versione avrà sicuramente un impatto su di loro.
Innanzitutto, si prevede che la ISO 27001 riceverà un aggiornamento poco dopo la finalizzazione e la pubblicazione della ISO 27002:2022. Secondo le attuali conoscenze, l’aggiornamento della ISO 27001 si limiterà a piccole modifiche del testo e a una revisione completa dell’Allegato A in conformità con l’aggiornamento della ISO 27002.
È previsto l’aggiornamento di standard comuni come ISO 27701, ISO 27017 e ISO 27018.
Sebbene la struttura generale dello standard sia simile a quella di altri standard, è stato apportato un cambiamento importante nella struttura delle sezioni di controllo. La ISO 27002:2013, che consiste in 14 clausole, sarà sostituita da 4 clausole, come mostrato nel prossimo confronto.
Cosa dobbiamo fare?
In primo luogo, si tenga presente che, in circostanze normali, la pubblicazione di un nuovo standard da confermare costituirà un periodo di transizione. Normalmente il periodo di transizione è di 24 mesi, a seconda del punto in cui si trova la certificazione nell’attuale ciclo di certificazione.
Potete iniziare a prepararvi acquistando la versione pubblicata della ISO 27002:2022.
Cosa si può fare in questa fase?
Anche se non si limita all’elenco che segue, queste possono essere le prime cose da fare;
– Acquistare lo standard aggiornato,
– Confronto tra il nuovo e il vecchio standard,
– Effettuare un’analisi dei rischi e verificare l’analisi GAP,
– Selezionate i controlli applicabili e impostate le politiche, gli standard e gli aggiornamenti del vostro ISMS.
– Aggiornare la dichiarazione di applicabilità,
– Aggiornare il programma di audit interno per includere controlli selezionati e aggiornati …. ecc.
–
Messaggio da CFE