Potresti essere consapevole del fatto che una nuova versione dello standard guida ISO27002 è stata pubblicata nel febbraio 2022. Questa sostituisce la precedente versione del 2013 e ora elenca un totale di 93 controlli raggruppati in quattro temi, ovvero Organizzativo, Persone, Fisico e Tecnologico. Sono disponibili undici nuovi controlli ed è stato introdotto il concetto di utilizzo degli attributi per consentire di ottenere visualizzazioni variabili dei controlli in base alle proprie esigenze.
ISO/IEC 27001:2022?
Tutto bene e bene. Ma l’interesse principale di molte persone del settore è stato quando lo standard dei requisiti ISO27001 sarà aggiornato per utilizzare la nuova serie di controlli all’interno del suo allegato A. L’aspettativa era che avremmo visto una versione corrispondentemente nuova di ISO27001 durante quest’anno , presumibilmente chiamato ISO/IEC 27001:2022.
Il primo emendamento
Ma ora è chiaro che non è così. Il team che gestisce lo standard all’interno di ISO e IEC (Joint Technical Committee 1, Sub-Committee 27 se sei interessato) ha deciso che un emendamento allo standard esistente farà invece il lavoro. Vale la pena spiegare cosa significa in quanto è probabile che crei confusione più avanti.
Se una modifica a uno standard esistente è relativamente minore, ISO può semplicemente pubblicare un emendamento, che d’ora in poi sarà noto come “AMD1”, come in “ISO/IEC 27001:2013-AMD1”. Le regole dicono che possono farlo solo due volte, quindi potrebbe esserci un emendamento 2 in futuro, ma non un 3. Possiamo farci un’idea abbastanza chiara di cosa sarà incluso in questo emendamento perché una bozza è disponibile per l’acquisto da il sito ISO per la somma principesca di CHF 16 (franchi svizzeri).
Vuoi sapere quanto è compatibile con la certificazione standard? Leggi anche iso 9001 requisiti
La bozza
Per evitarti di guardare in basso lo schienale del divano per sedici franchi svizzeri, abbiamo acquistato per te la bozza e possiamo quindi dirti cosa contiene. È un documento di quindici pagine che ha sostanzialmente due parti di interesse; in primo luogo due delle note che accompagnano la clausola 6.1.3 sono state leggermente aggiornate, e in secondo luogo i contenuti dell’allegato A sono sostituiti da una tabella (orizzontale per qualche strano motivo) che mostra il nuovo elenco di controlli dalla ISO27002:2022 aggiornata.
E questo è tutto. Ma ricorda che è una bozza e la votazione si è chiusa di recente, quindi potrebbero essere apportate modifiche, ma non stiamo trattenendo il respiro.
Per questa parte, se dovessi avere ulteriori esigenze ti consigliamo di contattare un consulente iso.
Ma che dire di una nuova versione di ISO27001?
Quelli di voi che si aspettano una ISO/IEC 27001:2022 completamente rinnovata possono rimanere un po’ delusi, va bene. L’impressione che ho è che ISO sia abbastanza soddisfatto del formato struttura ad alto livello Annex SL e non voglia scherzare inutilmente con esso. Quindi le modifiche sono sostanzialmente limitate all’allegato A di ISO27001 per ora. Comunque dato che lo standard ISO27001 è ancora datato 2013 (se ignoriamo le piccole correzioni del 2014 e 2015 e la versione europea del 2017 che è lo standard del 2013 più le correzioni, giusto per confondere tutti) e gli standard sono destinati ad essere rivisti dall’ISO ogni cinque anni, sembrerebbe che la ISO27001 sia in ritardo per una revisione, vero? Bene, potresti averlo perso, ma l’ISO ha condotto una revisione nel 2019 e ha confermato lo standard così com’è,
Implicazioni per la certificazione
Cosa significa questo per le organizzazioni che sono già certificate ISO27001 e quelle che stanno appena iniziando? Bene, significa che quando l’emendamento sarà pubblicato un’organizzazione potrà quindi ottenere la certificazione secondo lo standard ISO/IEC 27001:2013, più l’emendamento, eventualmente scritto “ISO/IEC 27001:2013 + AMD1:2022” o simili. Quasi sicuramente ci sarà un periodo di transizione durante il quale la certificazione alla sola ISO/IEC 27001:2013 rimarrà valida.
Tecnicamente, un’organizzazione potrebbe continuare a utilizzare il vecchio set di controlli purché li associ al nuovo set e spieghi eventuali discrepanze, ma poiché probabilmente dovrebbe comunque implementare gli undici nuovi controlli in ISO27002:2022, ciò potrebbe essere discutibile utilità.
Dai un occhio se lo desideri anche alla certificazione iso 39001
Ultime parole
Ad essere onesti, ISO non ha mai affermato che ci sarebbe stata una nuova versione di ISO27001, quindi tutto quanto sopra ha perfettamente senso se hai una ragionevole comprensione del processo di manutenzione degli standard che ovviamente la stragrande maggioranza di noi non ha. Alcuni potrebbero dire che SC27 potrebbe essere un po’ più bravo nella comunicazione e scongiurare qualsiasi confusione in questioni come queste, forse tramite lo strano articolo sul blog sul sito Web ISO. Solo un pensiero
