SICUREZZA DELLE INFORMAZIONI: COSA CAMBIA CON LA NUOVA ISO 27001:2022

Ad ottobre 2022 è stata pubblicata la nuova versione della norma ISO 27001, lo standard internazionale per la gestione della sicurezza delle informazioni. La revisione 2022 sostituisce la precedente del 2013, introducendo aggiornamenti significativi per rispondere alle sfide sempre più complesse della sicurezza delle informazioni.

Un framework per la protezione dei dati

La ISO 27001 fornisce alle organizzazioni, di qualsiasi dimensione e settore, un framework di riferimento per implementare un sistema di gestione efficace per la sicurezza delle informazioni. L’obiettivo è quello di proteggere il patrimonio informativo aziendale, compresi i dati personali, garantendone integrità, riservatezza e accessibilità.

Le novità

La nuova versione richiede controlli più solidi per garantire la protezione dei dati e la continuità operativa in uno scenario informatico in continua evoluzione. Ecco i principali cambiamenti:

– Inclusione del tema privacy: il nuovo titolo “Information security, cybersecurity and privacy protection” sottolinea l’importanza della protezione dei dati personali in linea con il GDPR.

– Riorganizzazione dei controlli: l’allegato A, che elenca i controlli da implementare, è stato riassettato e ridotto da 114 a 93 voci, raggruppate in 4 categorie: controlli organizzativi, fisici, sulle persone e tecnologici. Questo a testimoniare che non si tratta solo di “una questione informatica”.

– Nuovi controlli: sono stati introdotti 11 nuovi controlli per affrontare le sfide emergenti, tra cui:

• • • Il controllo “5.7 – Threat intelligence” richiede l’adozione di processi e di strumenti che consentano l’individuazione e la prevenzione delle minacce informatiche emergenti
    • Il controllo “5.23 Information security for use of Cloud services” focalizza l’attenzione sulla sicurezza dei servizi Cloud
    • Il controllo “5.30 – ICT readiness for business continuity” affronta il tema della continuità operativa, che deve essere pianificata e monitorata al fine di assicurare che le strategie siano supportate dall’infrastruttura esistente
    • Il controllo “7.4 – Physical security monitoring” richiede l’adozione di soluzioni per il controllo e il monitoraggio delle sedi, degli uffici e dei locali tecnologici
    • Il controllo “8.9 – Configuration management” introduce tema della configurazione sicura dei sistemi e dell’hardening
    • Il controllo “8.10 – Information deletion” richiama il concetto della cancellazione dei dati personali e lo estende all’intero patrimonio informativo dell’Azienda
    • Il controllo “8.11 – Data masking” parla di anonimizzazione, pseudonimizzazione e mascheramento
    • Il controllo “8.12 – Data leakage prevention” richiede l’adozione di processi e di strumenti che consentano di identificare, monitorare e proteggere le informazioni e i dati personali al fine di prevenirne l’uso illecito o la trasmissione non autorizzata
    • Il controllo “8.16 – Monitoring activities” pone l’attenzione al monitoraggio di reti, sistemi, dispositivi e applicazioni al fine di rilevare eventuali anomalie
    • Il controllo “8.23 – Web filtering” sottolinea l’importanza di presidiare la navigazione Web

Cosa fare per adeguarsi alla nuova norma?

Le aziende già certificate ISO 27001:2013 hanno tempo fino al 25 ottobre 2025 per adeguarsi alla nuova versione. A partire dal 30 aprile 2024, tutte le nuove certificazioni saranno rilasciate solo in base alla norma ISO/IEC 27001:2022.

Se vuoi implementare la nuova versione all’interno della tua organizzazione, il nostro team di consulenti qualificati, ti accompagna durante tutto l’iter di certificazione, dall’implementazione del sistema fino all’affiancamento durante la verifica da parte dell’ente di certificazione scelto.

Scrivici all’indirizzo info@soltre.it, o chiamaci  0532 1650037 / 392 7883521.