Aggiornamento dello standard ISO 27001: prime osservazioni in merito
Lo scorso 23 settembre è stata pubblicata, e di recente resa disponibile al momento solo in lingua inglese, la nuova versione dello standard ISO 27001, a nove anni dalla precedente edizione del 2013.
Già il cambiamento del titolo – da “Information technology — Security techniques — Information security management systems — Requirements” a ”Information security, cybersecurity and privacy protection — Information security management systems — Requirements”- trasmette immediatamente l’intento di integrare lo standard in modo più chiaro e diretto con altri requisiti normativi, in primis l’accountability propria del GDPR, sebbene, anche tra i controlli, fossero sempre stati dedicati punti di attenzione alla protezione dei dati personali.
Parlando appunto dei controlli, le modifiche apportate altro non fanno se non recepire le indicazioni già riportate nell’aggiornamento, di febbraio 2022, dello standard ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection — Information security controls, in particolare:
- l’accorpamento di alcuni controlli, che passano ora da 114 a 93;
- la riorganizzazione dalle 14 precedenti sezioni alle 4 attuali, coincidenti con i 4 pilastri fondamentali della sicurezza delle informazioni:
- controlli organizzativi – 37 controlli,
- controlli fisici – 14 controlli,
- controlli delle persone – 8 controlli,
- controlli tecnologici – 34 controlli;
- l’introduzione di 11 nuovi controlli, alcuni dei quali già presenti nella precedente edizione, ma non ritenuti sufficientemente ed immediatamente chiari ed evidenti (ad es. il “monitoraggio delle attività” “offuscato” all’interno del logging)
Tra i requisiti invece, la novità più significativa che si ritiene opportuno segnalare riguarda la c.d. “dichiarazione di applicabilità”, richiesta dal capitolo 6 dello standard al fine di stabilire gli obiettivi per la sicurezza delle informazioni e la pianificazione per conseguirli, la quale non dovrà essere più necessariamente redatta sulla base dei controlli dell’Allegato A, ma potrà seguire un qualunque impianto di controlli purché sia in linea con quelli dell’Allegato A ed eventualmente ne aggiunga di nuovi.
A tal riguardo, si ritrova una connessione con il più ampio respiro dato al capitolo 8 sulla pianificazione e il controllo operativi, il quale ha già fatto presupporre, ad esempio, l’opportunità per le organizzazioni di integrare in modo più sistematico lo svolgimento di una Business Impact Analysis sulle loro varie componenti (risorse, processi, etc.), applicando eventualmente anche le linee guida dello standard ISO 22317:2021.
Concludendo, si segnalano le tempistiche di transizione al nuovo standard per le organizzazioni certificate ISO/IEC 27001:2013, entro il 31 ottobre 2025, sebbene sia plausibile che già gli audit di verifica, quanto meno dal prossimo anno, inizieranno a tenere conto, almeno in parte, dei nuovi requisiti richiesti.