Transizione alla ISO/IEC 27001

Lo standard del sistema di gestione della sicurezza delle informazioni ISO/IEC 27001 fornisce alle aziende un quadro per la gestione dei rischi e la protezione dalle minacce per proteggere le risorse informative, che includono dalle informazioni finanziarie alle proprietà intellettuale ai dettagli dei dipendenti e altro ancora.

Oggi, la sicurezza delle informazioni sta scalando le priorità nell'agenda di quasi tutte le aziende. Con nuovi scenari. l'urgenza sta cambiando. Tra una maggiore adozione del cloud e delle tecnologie di automazione, sicurezza informatica, privacy, malware e ransomware, le aziende sono costrette a rivalutare il proprio contesto, i principali rischi e minacce e le parti interessate in modo strutturato e affidabile.

Dopo l'ultima versione rilasciata nel lontano 2013, era necessaria una nuova versione per aiutare le aziende a navigare in nuovi scenari e assicurarsi che efficaci controlli di sicurezza fossero in atto.

La nuova ISO/IEC 27001:2022

La nuova versione ISO/IEC 27001:2022 tratta i nuovi scenari che le aziende devono fronteggiare. Le modifiche sono principalmente nell'Annex A, anticipato dalla pubblicazione della ISO/IEC 27002, dove sono stati aggiunti, eliminati o accorpati alcuni controlli di sicurezza.
Le modifiche si allargano ad includere gli aspetti di sicurezza informatica e privacy e il control language (CL) viene aggiornato e vengono aggiunte ulteriori indicazioni.
Questo aiuta le aziende a gestire i rischi, ad assicurarsi che nulla venga perso e tutto sia debitamente seguito. L'ultima versione è stata rilasciata nel 2013. Non sorprende che le modifiche ai controlli di sicurezza siano piuttosto significative con 11 nuovi, 58 aggiornati e 24 accorpati.

Gli scenari di cambiamento affrontati in particolare sono:

• Introduzione di tecnologie digitali come Cloud e automazione;
• Adozione recente e crescente di tali tecnologie;
• Identificazione dei rischi per la sicurezza informatica e la privacy;
• Comprensione del panorama mutevole delle minacce, ad es. nuovi tipi di malware e ransomware;
• Allineamento con altre best practice, ad es. NIST, COBIT, ecc.
• Aggiornamento del control language (CL) e aggiunta di ulteriori indicazioni

Le principali aree interessate dalle modifiche sono:

• leadership;
• sicurezza aziendale;
• Funzioni IT;
• altre funzioni di supporto;
• delivery (per i service providers).  

Per essere conformi, le organizzazioni devono aggiornare le proprie valutazioni del rischio e ridefinire i controlli di sicurezza. Oltre alle modifiche ai controlli, l'edizione 2022 è anche stata allineata con i più recenti aggiornamenti della High Level Structure (HLS) dell'ISO. Queste modifiche si basano sull'ultima versione dell'Annex SL delle Direttive ISO/IEC Parte 1 (2022). Tuttavia, queste modifiche sono considerate minori, poiché l'edizione 2013 è stata uno dei primi standard ad adottare l'HLS.

Tempistica per la transizione

La nuova versione di ISO/IEC 27001 è stata rilasciata il 25 ottobre 2022. Il periodo di transizione è fissato in 3 anni. Pertanto, gli attuali certificati 2013 devono essere trasferiti alla nuova versione prima di novembre 2025.

L'audit di transizione può essere effettuato durante qualsiasi audit programmato durante il periodo di transizione di 3 anni, ma può anche essere eseguito come audit di transizione speciale.

Prepararsi per la transizione

Ti consigliamo di iniziare a prepararti per la transizione il prima possibile e di pianificarla adeguatamente per avere il tempo di incorporare le modifiche necessarie nel tuo sistema di gestione. Passi consigliati per la transizione:

• Conosci i contenuti e i requisiti della nuova norma. Focus sulle modifiche implicate dallo standard rivisto.
• Assicurati che il personale pertinente nella tua organizzazione sia formato e comprenda i requisiti e le modifiche chiave.
• Identifica le lacune che devono essere colmate per soddisfare i nuovi requisiti e stabilisci un piano di attuazione.
• Implementa azioni e aggiorna il tuo sistema di gestione per soddisfare i nuovi requisiti. 

Come DNV può supportare

Sia che tu sia attualmente certificata/o ISO/IEC 27001 sia che tu  sia interessata/o ad una certificazione ma non conosca ancora lo standard, DNV può supportare la certificazione e la transizione del tuo sistema di gestione della sicurezza delle informazioni.
In qualità di ente di certificazione leader a livello mondiale, collaboriamo con piccole e grandi aziende in tutto il mondo per le loro esigenze di sicurezza delle informazioni e privacy.

Se ti stai preparando per la transizione dalla versione 2013 alla versione 2022, possiamo supportarti con:

• Formazione, in cui apprendere i dettagli della revisione e ottienere una panoramica di base dei cambiamenti chiave e del processo di transizione.
• Strumenti di autovalutazione online e gap analysis onsite/off site per misurare quanto e come il tuo sistema di gestione soddisfa i nuovi requisiti.
• Audit di transizione per allineare la tua certificazione alla nuova versione dello standard.

Possiamo supportarti in ogni fase del percorso.

Stai esplorando per la prima volta la certificazione ISO/IEC 27001? Visita la nostra pagina del servizio del sistema di gestione della sicurezza delle informazioni per saperne di più sulle sue funzionalità, vantaggi e percorso verso la certificazione.