Gentile associata, gentile associato,
si presentano gli ultimi aggiornamenti per ciò che concerne le norme ISO della serie 27000, riguardanti gli standard inerenti alla sicurezza delle informazioni.
Oggi ne prendiamo in considerazione due che nello specifico sono:
- ISO 27001 “Sistemi di gestione della sicurezza delle informazioni”
- ISO 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni”
Della ISO 27001 ne abbiamo già parlato ampliamente, anche in un recente articolo per Confapi Emilia: è una norma che contiene i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI).
Di grandissima importanza per la ISO 27001 è l’allegato A della stessa norma, che contiene oltre un centinaio di controlli specifici a cui l’azienda che applica la norma deve attenersi.
La ISO 27002 non è una norma certificabile, ma una linea guida che approfondisce i controlli dell’allegato A della ISO 27001, e a seguito dell’aggiornamento dello scorso febbraio, verrà aggiornato anche il predetto allegato A.
L’aggiornamento alle norme è diventato necessario a causa del veloce cambiamento tecnologico e della rapida evoluzione degli strumenti informatici o di trasmissione dei dati. I controlli della nuova ISO 27002, rispetto alla versione precedente, sono stati ridotti da 134 a 93; inoltre, sono state definite quattro “aree” d controlli:
- organizzativi – 37 controlli
- fisici – 14 controlli
- delle persone – 8 controlli
- tecnologici – 34 controlli
In aggiunta, per ciascun controllo potranno ora essere definiti i seguenti attributi:
- Nome del controllo
- Attributi del controllo
- Testo di controllo
- Scopo di controllo
- Guida all’implementazione
- Altre informazioni
Quali sono gli impatti formali del cambiamento della ISO 27002?
- A breve verrà emesso un emendamento allo standard ISO 27001, che implicherà la sola sostituzione dell’allegato A con i controlli all’interno della nuova edizione della ISO 27002.
- Accredia (l’Ente Italiano di Accreditamento) fornirà delle indicazioni agli enti accreditati, per poter supportare le organizzazioni certificate e stabilirà un periodo di transizione (normalmente un paio d’anni) per consentire alle organizzazioni di applicare i nuovi controlli.
I sistemi di gestione della sicurezza delle informazioni sono diventati ai giorni nostri sempre più importanti al fine di poter tutelare il know-how aziendale e la business continuity, ed è per questo motivo che occorre applicare i nuovi controlli della ISO 27002 il prima possibile.