Guida alla transizione da ISO 27001:2013 a ISO 27001:2022

Pubblicato per la prima volta nel 2005 e successivamente rivisto nel 2013, lo standard è stato aggiornato nel 2022 per riflettere l'evoluzione del panorama della sicurezza informatica e della protezione dei dati. Questa guida fornisce una panoramica delle principali modifiche tra ISO 27001:2013 e ISO 27001:2022 e offre indicazioni su come effettuare la transizione alla nuova versione dello standard.

‍

Principali modifiche tra ISO 27001:2013 e ISO 27001:2022

La revisione del 2022 introduce cambiamenti significativi volti a rafforzare la sicurezza delle informazioni e ad allineare lo standard alle nuove sfide e tecnologie. Le principali modifiche includono:

• Struttura aggiornata: diverse clausole di gestione sono state riviste, con particolare attenzione alle seguenti:
  • Clausola 3 – aggiunti link per i database ISO e IEC
  • Clausola 4.2(c) – aggiunto un nuovo punto elenco, che richiede un'analisi di quali requisiti delle parti interessate saranno affrontati tramite l'ISMS
  • Clausola 4.4 – aggiunto un requisito per stabilire, implementare, mantenere e migliorare continuamente i processi e le loro interazioni
  • Clausola 5.1 – aggiunta una nota per chiarire il termine "business"
  • Clausola 6.2 – aggiunta di nuovi punti (d), (e), (f) e (g) che enfatizzano il monitoraggio, la comunicazione e l'aggiornamento dei piani.
  • Clausola 6.3 – aggiunta una nuova sezione per la "Pianificazione delle Modifiche"
  • Clausola 9.2 – suddivisione in due sottosezioni: 9.2.1 (Generale) e 9.2.2 (Programma di audit interno).

• Controlli aggiornati: l'Allegato A, che elenca i controlli di sicurezza, è stato riorganizzato, ridotto e aggiornato.
  • Nuova struttura: i controlli sono ora raggruppati in 4 categorie (organizzativi, persone, fisici e tecnologici) anziché 14.
  • Numero di controlli: il numero totale di controlli è stato ridotto da 114 a 93.
  • Nuovi controlli: sono stati introdotti 11 nuovi controlli per affrontare le minacce emergenti, tra cui l'intelligence sulle minacce, la sicurezza dei servizi cloud e la prevenzione della perdita di dati.
  • Controlli uniti: 57 controlli sono stati uniti in 24 controlli più ampi.
  • Controlli modificati: molti controlli esistenti sono stati rivisti e aggiornati.

• Maggiore attenzione alla gestione del rischio e alle tecnologie emergenti: la nuova versione dello standard pone maggiore enfasi sulla gestione del rischio e include nuovi controlli che affrontano le tecnologie emergenti come il cloud computing. Un'importante novità è l'introduzione di cinque attributi per classificare i controlli: tipo di controllo, proprietà di sicurezza delle informazioni, concetti di sicurezza informatica, capacità operative e domini di sicurezza. Questo cambiamento riflette un approccio più olistico alla sicurezza delle informazioni, che integra la sicurezza informatica e la protezione dei dati.

‍

Guida alla transizione

Le organizzazioni certificate ISO 27001:2013 hanno tempo fino al 31 ottobre 2025 per effettuare la transizione a ISO/IEC 27001:2022. Dopo tale data, le certificazioni basate sulla versione del 2013 non saranno più valide.

Ecco i passaggi chiave per una transizione efficace:‍

‍1 - Comprendere la struttura di ISO 27001:2022: familiarizzare con la nuova struttura dello standard, inclusi i cambiamenti nelle clausole di gestione e nell'Allegato A.

2 -Rivedere le principali modifiche: analizzare in dettaglio le differenze tra la versione del 2013 e quella del 2022, concentrandosi sulle nuove clausole, sui controlli aggiornati e sull'enfasi sulla sicurezza informatica e sulla privacy.

3- Valutare l'impatto delle modifiche: determinare in che modo le modifiche influenzeranno l'ISMS esistente e quali aggiornamenti sono necessari per garantire la conformità alla nuova versione dello standard.

4 - Aggiornare l'ISMS: rivedere e aggiornare le politiche, le procedure e i controlli esistenti per allinearli ai requisiti di ISO 27001:2022. Questo può includere l'adozione di nuovi controlli, la modifica di quelli esistenti o l'eliminazione di quelli non più rilevanti. È importante ricordare che le organizzazioni possono scegliere controlli da qualsiasi fonte, purché siano in grado di raggiungere gli obiettivi di gestione del rischio.

5 - Eseguire una valutazione del rischio: è possibile scegliere tra due opzioni:

• Confrontare la valutazione del rischio esistente con i controlli dell'Allegato A: verificare se la valutazione del rischio attuale copre adeguatamente i nuovi controlli e aggiornare i piani di trattamento del rischio se necessario.
• Eseguire una nuova valutazione del rischio: identificare i controlli rilevanti dal nuovo Allegato A e garantire la copertura di tutti i controlli applicabili.

6- Aggiornare la Dichiarazione di Applicabilità (SoA): la SoA deve essere aggiornata per riflettere i nuovi controlli aggiunti o modificati.

7 - Definire ruoli e risorse: identificare le risorse necessarie per l'implementazione e il mantenimento dell'ISMS, inclusi il personale, le competenze, le tecnologie e il budget. La tabella seguente fornisce una panoramica dei ruoli e dello sforzo necessari per l'implementazione iniziale di ISO 27001:

8 - Implementare i nuovi controlli: adottare misure concrete per implementare i nuovi controlli, come definito nei piani di trattamento del rischio. Per una guida dettagliata su come affrontare i nuovi controlli, consultare la sezione "Come affrontare i nuovi controlli".

9 - Eseguire audit interni: condurre audit interni regolari per verificare la conformità dell'ISMS ai requisiti dello standard. Gli audit interni devono essere condotti da personale qualificato e indipendente dai processi oggetto di revisione per garantire l'obiettività e l'imparzialità del processo

10 - Sottoporsi a un audit di transizione: contattare un organismo di certificazione accreditato per pianificare e completare un audit di transizione. L'audit di transizione può essere effettuato in concomitanza con il prossimo audit di sorveglianza o di ricertificazione oppure separatamente.

‍

ISMS: cos’è, quali vantaggi offre e come strutturarlo

‍

Come affrontare i nuovi controlli

La versione 2022 di ISO 27001 introduce 11 nuovi controlli che richiedono un'attenta pianificazione e implementazione. Ecco alcuni suggerimenti su come affrontare questi nuovi controlli:

• A.5.7 Threat intelligence: definire processi per raccogliere, analizzare e utilizzare le informazioni sulle minacce per implementare controlli preventivi nei sistemi IT, migliorare la valutazione del rischio e introdurre nuovi metodi per i test di sicurezza17. Sensibilizzare i dipendenti sull'importanza di segnalare le minacce e formarli su come e a chi comunicarle17.
• A.5.23 Information security for use of cloud services: valutare i rischi specifici associati all'utilizzo dei servizi cloud e implementare controlli di sicurezza appropriati, come la crittografia dei dati, il controllo degli accessi e la gestione delle vulnerabilità.
• A.5.30 ICT readiness for business continuity: garantire che i sistemi ICT siano in grado di supportare la continuità aziendale in caso di interruzioni o disastri. Sviluppare e testare piani di disaster recovery e business continuity che includano la protezione dei dati, il ripristino dei sistemi e la comunicazione con le parti interessate.
• A.7.4 Physical security monitoring: implementare sistemi di monitoraggio per proteggere le risorse fisiche, come videosorveglianza, controllo degli accessi e sistemi di allarme. Monitorare e registrare gli accessi alle aree sensibili e implementare procedure per la gestione degli incidenti di sicurezza fisica.
• A.8.9 Configuration management: stabilire un processo per proporre, rivedere e approvare le configurazioni di sicurezza, nonché i processi per la gestione e il monitoraggio delle configurazioni17. Sensibilizzare i dipendenti sull'importanza di un controllo rigoroso della configurazione di sicurezza e formarli su come definire e implementare le configurazioni di sicurezza17. Documentare le regole di configurazione nelle procedure operative di sicurezza17.
• A.8.10 Information deletion: implementare procedure sicure per la cancellazione delle informazioni, garantendo che i dati sensibili siano eliminati in modo permanente e irreversibile quando non sono più necessari. Utilizzare metodi di cancellazione sicuri, come la sovrascrittura dei dati o la distruzione fisica dei supporti di memorizzazione.
• A.8.11 Data masking: utilizzare tecniche di mascheramento dei dati per proteggere le informazioni sensibili, come la sostituzione dei dati reali con dati fittizi o l'offuscamento dei dati. Implementare il mascheramento dei dati in ambienti di sviluppo e test, nonché in altre situazioni in cui è necessario proteggere i dati sensibili.
• A.8.12 Data leakage prevention: implementare misure per prevenire la fuga di dati, come l'utilizzo di software DLP, la formazione dei dipendenti e il controllo degli accessi. Monitorare il traffico di rete e l'utilizzo dei dispositivi per identificare e bloccare potenziali fughe di dati.
• A.8.16 Monitoring activities: monitorare le attività dei sistemi e delle reti per identificare anomalie e potenziali minacce alla sicurezza. Utilizzare strumenti di monitoraggio, come SIEM e sistemi di rilevamento delle intrusioni, per raccogliere e analizzare i dati di log.
• A.8.23 Web filtering: implementare soluzioni di filtraggio web per bloccare l'accesso a siti web dannosi o inappropriati. Definire politiche di filtraggio web e configurare i firewall e i proxy web per bloccare l'accesso ai siti web non autorizzati.
• A.8.28 Secure coding: stabilire principi di codifica sicura da seguire dagli sviluppatori di software interni. Mantenere un ambiente di sviluppo sicuro, implementare misure per prevenire modifiche non autorizzate al codice sorgente, documentare accuratamente le modifiche e fornire una formazione adeguata ai programmatori.

È fondamentale che tutte le parti interessate, inclusi i dipendenti, siano coinvolte nel processo di implementazione dei nuovi controlli. La formazione e la sensibilizzazione dei dipendenti sono essenziali per garantire il successo dell'implementazione e il mantenimento della sicurezza delle informazioni.

‍

Scopri di più sulla Certificazione ISO 27001

‍

Requisiti di audit e certificazione

I requisiti di audit e certificazione per ISO 27001:2022 sono simili a quelli della versione precedente. Per ottenere la certificazione, le organizzazioni devono sottoporsi a un audit iniziale condotto da un organismo di certificazione accreditato. La certificazione ha una validità di tre anni e, durante questo periodo, le organizzazioni devono sottoporsi a audit di sorveglianza regolari per mantenere la certificazione.

‍

Periodo di transizione e scadenza

Il periodo di transizione per ISO 27001:2022 è di tre anni, a partire dal 31 ottobre 2022. La scadenza per la migrazione alla nuova versione dello standard è il 31 ottobre 2025. Dopo questa data, tutte le certificazioni ISO 27001:2013 non saranno più valide.

‍

Suggerimenti per una transizione senza intoppi

• Iniziare presto: avviare il processo di transizione il prima possibile per avere il tempo necessario per apportare le modifiche necessarie e prepararsi all'audit di transizione.
• Coinvolgere tutte le parti interessate: coinvolgere il top management, i dipendenti e i fornitori nel processo di transizione. Ad esempio, organizzare sessioni di formazione per i dipendenti, condurre sondaggi per raccogliere feedback e comunicare regolarmente con i fornitori per garantire l'allineamento con i nuovi requisiti.
• Utilizzare le risorse disponibili: consultare le linee guida ufficiali per la transizione, gli standard e gli strumenti disponibili online e presso gli organismi di certificazione. Partecipare a webinar e corsi di formazione per approfondire la conoscenza della nuova versione dello standard.
• Comunicare i cambiamenti: informare tutte le parti interessate sui cambiamenti introdotti da ISO 27001:2022 e su come influenzeranno l'organizzazione. Utilizzare canali di comunicazione interni, come e-mail, intranet e riunioni, per diffondere le informazioni.

‍

Conclusione

La transizione da ISO 27001:2013 a ISO 27001:2022 rappresenta un'opportunità per le organizzazioni di rafforzare la propria posizione di sicurezza delle informazioni e di adattarsi all'evoluzione del panorama delle minacce. I cambiamenti introdotti dalla nuova versione dello standard, con particolare attenzione alla sicurezza informatica e alla protezione dei dati, richiedono un approccio proattivo alla pianificazione e all'implementazione. Le organizzazioni che iniziano presto il processo di transizione, coinvolgono tutte le parti interessate e utilizzano le risorse disponibili saranno in grado di effettuare una transizione senza intoppi e di ottenere i massimi benefici dalla nuova versione dello standard.

È importante sottolineare che la transizione a ISO 27001:2022 non è solo un esercizio di conformità, ma un'occasione per migliorare la sicurezza delle informazioni e la resilienza dell'organizzazione nel suo complesso.

‍

---

Vuoi implementare il tuo sistema ISO/IEC 27001? Con il nostro supporto potrai effettuare correttamente la transizione alla versione ISO 27001:2022!