In un certo senso, lo standard ISO27001 ha una struttura insolita. Sebbene segua lo stesso layout “Annex SL” o struttura di alto livello degli altri standard del sistema di gestione ISO, ha anche questo “Allegato A” sul retro, che riceve molta attenzione ed è una parte importante dello standard ISO27001 . E, in relazione a ciò, che cos’è questa “dichiarazione di applicabilità” di cui tutti continuano a parlare? In questo blog analizzeremo lo scopo dell’allegato A e risponderemo alla domanda “qual è la dichiarazione di applicabilità in ISO27001?”.
È una cosa rischiosa
Quindi potresti già essere consapevole del fatto che ISO27001 è uno standard basato sul rischio. Ciò significa che le azioni che intraprendi e i processi che metti in atto dovrebbero essere basati su una valutazione dei tuoi rischi. La buona notizia è che quindi non è necessario mettere in atto nulla che in realtà non si applichi a te. Ad esempio, se la tua organizzazione non scrive codice su misura, lo standard ISO27001 non insiste sul fatto che tu abbia un ambiente di sviluppo e lo protegga in modo appropriato, perché per te non ha senso. Tuttavia, si aspetta che tu faccia qualcosa per affrontare (o “trattare”) i rischi che hai. Ma che tipo di azioni dovresti intraprendere per affrontare questi rischi? Ebbene, è qui che lo standard ISO27001 fornisce alcune indicazioni utili sotto forma di controlli di riferimento nell’allegato A. Questo è un elenco di 114 (presto 93,
Il processo di valutazione e trattamento del rischio in ISO27001, quindi, consiste essenzialmente nell’esaminare ciò che potrebbe accadere e nel selezionare i controlli appropriati dall’allegato A per aumentare le probabilità che il rischio non si verifichi (ridurre la probabilità) o per ridurlo di un problema se lo fa (riduce l’impatto), o idealmente, entrambi.
L’allegato A lista della spesa
È possibile considerare la serie di controlli nell’allegato A come una lista della spesa di idee di migliori pratiche suggerite da organizzazioni di tutto il mondo e che sono considerate metodi efficaci per migliorare la sicurezza delle informazioni. Non coprono solo aree tecniche come l’anti-malware, ma affrontano anche questioni più delicate come il reclutamento e la consapevolezza dei dipendenti.
Ma come abbiamo detto prima, questo elenco potrebbe non essere applicabile a tutti. Gli standard ISO sono scritti per essere utilizzati in tutto il mondo in tutti i settori e in tutte le forme e dimensioni di organizzazione. Quindi potrebbero esserci alcuni nell’elenco che semplicemente non si applicano a te. Se intendi ottenere la certificazione ISO27001, il tuo auditor vorrà sapere quali dei controlli nell’allegato A si applicano e quali no; ed è qui che entra in gioco la dichiarazione di applicabilità.
Qual è la dichiarazione di applicabilità?
Lo standard è molto chiaro che la dichiarazione di applicabilità è un documento obbligatorio, e se non ne hai uno quando l’auditor di certificazione viene a chiamare, avrai alcuni minuti imbarazzanti con alcune sopracciglia molto sollevate, che probabilmente culmineranno in una grande non conformità (e non piacciono a nessuno, in particolare quando stai per ottenere la certificazione sa 8000).
Quindi ne hai sicuramente bisogno, ma che aspetto ha?
Struttura della dichiarazione di applicabilità
La clausola 6.1.3 d) dello standard ISO27001 afferma che è necessario “produrre una dichiarazione di applicabilità che contenga i controlli necessari (vedere 6.1.3 b) e c)) e la giustificazione per le inclusioni, indipendentemente dal fatto che siano implementate o meno, e il giustificazione dell’esclusione dei controlli dall’allegato A;” .
In pratica questo sarà un elenco dei controlli di cui all’allegato A e, per ciascun controllo, un’indicazione se tale controllo è applicabile o meno (una risposta sì o no), una breve motivazione della tua decisione e, per quelli che sono applicabili , una semplice indicazione di quanto sei andato avanti per implementarlo (questa potrebbe essere una risposta sì o no, o forse alcune sfumature di grigio, come “parzialmente”). Questo elenco assume spesso la forma di un foglio di calcolo con colonne per:
- applicabile/non applicabile
- motivo di inclusione/esclusione
- stato di attuazione
Non c’è bisogno di indicare a quali rischi dalla tua valutazione del rischio viene applicato il controllo (anche se puoi farlo se lo desideri) e le tue giustificazioni per l’inclusione o l’esclusione non devono essere particolarmente lunghe o prolisse.
Suggerimenti per l’audit
Il tuo auditor sarà sicuramente interessato a vedere la tua dichiarazione di applicabilità e l’attenzione sarà spesso rivolta ai controlli che hai escluso, quindi assicurati che la tua giustificazione sia ben ponderata e che un semplice elenco di controlli esclusi sia a portata di mano (per evitare di cercare il foglio di calcolo). Spesso il numero di controlli esclusi è relativamente piccolo, con le aree di esclusione più comuni che probabilmente riguardano lo sviluppo del software, risultando forse in una mezza dozzina di non applicabili. Assicurati che la tua dichiarazione di applicabilità sia controllata dalla versione poiché probabilmente cambierà nel tempo man mano che la tua organizzazione si evolve.
L’allegato A si basa sulla norma ISO27002 che è stata appena aggiornata, quindi ad un certo punto verrà pubblicata anche una nuova versione della norma ISO27001, con un diverso allegato A. La nuova serie di controlli ha solo cinque raggruppamenti e un numero ridotto di controlli , sebbene gran parte di questa riduzione sia dovuta alla fusione dei controlli esistenti, in realtà nessun controllo è stato effettivamente rimosso. Questi cambiamenti richiederanno una nuova versione della tua dichiarazione di applicabilità con un elenco aggiornato, ma probabilmente avrai almeno due anni per passare alla nuova situazione.
In sintesi
Speriamo di aver risposto alla domanda “qual è la dichiarazione di applicabilità in ISO27001?” almeno in una panoramica e questo sarà utile nella preparazione per la certificazione allo standard. Non dimenticare che questo è un documento obbligatorio e che al suo interno devono essere fornite alcune informazioni per renderlo valido. Se segui queste semplici linee guida, non dovresti avere problemi al momento dell’audit.
Potrebbe anche interessarti: iso 13009
