La versione 2022 dello standard dei sistemi di gestione della sicurezza delle informazioni (ISMS) consente alle aziende di migliorare la comprensione dell'attuale quadro dei rischi e di implementare i necessari controlli di sicurezza.
La sicurezza delle informazioni è un argomento che sta scalando le agende della gran parte delle aziende. Tra una maggiore adozione del Cloud e tecnologie di automazione, intelligenza artificiale, sicurezza informatica, privacy, malware e ransomware, le aziende sono costrette ad affrontare nuovi scenari. Ciò significa rivalutare l'attuale quadro di rischio e gestire le nuove minacce in modo attivo e strutturato.
“La versione precedente dello standard è uscita nel 2013. Molto nel mondo è cambiato da allora. La nuova versione è molto apprezzata in quanto fornisce i controlli di sicurezza e le linee guida necessari per aiutare le aziende a creare fiducia nel modo in cui stanno lavorando per proteggere le risorse critiche per l'azienda", afferma Nanda Kumar Shamanna, responsabile del servizio ICT globale in Business Assurance, DNV.
Principali modifiche nella versione 2022
Le modifiche riguardano principalmente i controlli di sicurezza delle informazioni nell'allegato A, anticipati dalla pubblicazione della ISO/IEC 27002:2022 a febbraio.
Sono stati aggiunti 11 nuovi controlli di sicurezza, 58 aggiornati e 24 accorpati per riflettere i nuovi scenari che le aziende devono affrontare. Il control language è stato aggiornato e la guida in ISO/IEC 27002 è stata aggiornata per aiutare le aziende a gestire i rischi e ad assicurarsi che nulla venga tralasciato ma che sia anzi tutto monitorato con attenzione.
Oltre alle modifiche ai controlli, la ISO/IEC 27001 è anche riallineata con gli ultimi aggiornamenti della High Level Structure (HLS) della ISO. Tuttavia, queste modifiche sono considerate minori, poiché l'edizione 2013 è stata uno dei primi standard ad adottare l'HLS.
Le principali aree del sistema di gestione interessate sono la leadership, la sicurezza aziendale, la funzione IT e altre funzioni di supporto. Per i fornitori di servizi, anche la delivery è influenzata.
“La nuova versione consente una gestione del rischio più efficace grazie ai controlli di sicurezza aggiornati. Fornisce un approccio strutturato alle aziende per rivalutare il loro attuale quadro di rischio e ristabilire i controlli di sicurezza", afferma Nanda Kumar Shamanna.
Il periodo di transizione è fissato a 3 anni, il che significa che i certificati esistenti devono essere trasferiti alla nuova versione prima di novembre 2025.
