Big Cover - 2021-04-27T180558.077 (1)
IDEAS

ISO/IEC 27002:
novità e conseguenze per le organizzazioni certificate ISO/IEC 27001

Technology Advisory

Multicloud, Cyber security, Governance e Compliance per il business dei nostri Clienti

Scopri di più

È recente la notizia della nuova elaborazione della norma ISO/IEC 27002, uno standard molto utile per chi si occupa di sicurezza delle informazioni.

La sicurezza delle informazioni è un ambito in continuo divenire, con la conseguenza che anche gli standard internazionali subiscono continui aggiornamenti.

Qual è, quindi, lo stato di avanzamento dell’ultimo aggiornamento della norma ISO/IEC 27002? E che impatti avrà sulle aziende certificate ISO/IEC 27001?

Stato di avanzamento della nuova ISO/IEC 27002

La nuova versione della ISO 27002 è ancora in fase di draft, e si può ragionevolmente pensare che la norma nella sua versione definitiva possa essere approvata entro la fine del 2021.

Già dal draft si comprende come la norma sia radicalmente mutata, nei modi e nelle forme che a breve descriveremo – ma che impatto avrà tutto ciò sulle aziende certificate ISO 27001?

Una doverosa premessa: la famiglia ISO 27000

La famiglia (o serie) ISO 27000 identifica una serie di normative e linee guida che definiscono i requisiti per la realizzazione all'interno di un'organizzazione di un sistema di gestione per la sicurezza delle informazioni.

Come tutte le famiglie ISO, anche la 27000 è composta da una serie di norme, di cui solo alcune sono “certificabili”.

Mentre la ISO/IEC 27001 è la norma che stabilisce i requisiti del sistema di gestione per la sicurezza delle informazioni, quella che le organizzazioni devono “seguire” al fine di certificarsi, la ISO/IEC 27002 è una guida all'implementazione del sistema di gestione basata su una serie di best practice.

Attualmente, la norma ISO/IEC 27001 stabilisce una serie di requisiti del sistema di gestione e di controlli da implementare, mentre la ISO/IEC 27002 ne dà una spiegazione puntuale.

La situazione è presto destinata a cambiare:

  • la norma ISO/IEC 27001 potrebbe rimanere invariata ancora per qualche anno;
  • la norma ISO/IEC 27002 sarà aggiornata a breve, cambiando la struttura dei controlli (i quali, quindi, non potranno più corrispondere a quelli previsti dall’attuale ISO 27001).

Nuova ISO/IEC 27002: nuova struttura e nuovi controlli

La versione aggiornata della 27002 presenta diverse novità, che possiamo schematizzare nella tabella seguente.

Impatti per le aziende certificate ISO/IEC 27001

ISO 27001:

come implementare un Information Security Management System

Big Cover (68) (1) Vai all'ideas

Le aziende certificate ISO/IEC 27001 possono momentaneamente tirare un sospiro di sollievo? Potrebbe sembrare di sì, per una serie di ragioni.

Innanzitutto, la norma ISO 27002 è solo in fase di draft. Oltre a questo, la norma che pone i requisiti per il sistema di gestione per la sicurezza delle informazioni è e rimane la ISO/IEC 27001 – quindi fino all’aggiornamento di quest’ultima non si realizzerà un concreto impatto sulla certificazione e sulle misure di sicurezza da implementare.

La ISO 27001 sarà sicuramente oggetto di revisione, al fine di realizzare un allineamento con la nuova 27002. La domanda è: “quando avverrà tale allineamento?”. Alcuni sostengono che il prossimo aggiornamento è atteso non prima del 2024; alcune indiscrezioni, invece, parlano di un aggiornamento del solo annex A della ISO/IEC 27001 previsto in concomitanza dell’uscita della nuova ISO 27002 (quindi, ragionevolmente entro l’anno).  

Ciò che è certo è che fino all’aggiornamento dell’annex A della ISO/IEC 27001, gli auditor continueranno a basare le proprie verifiche sull’annex A di quest’ultima, il quale prevede attualmente 114 controlli.  

Conclusione

L’aggiornamento della ISO/IEC 27002 è un grande passo verso la razionalizzazione dei controlli in materia di sicurezza delle informazioni. Tale norma costituisce uno strumento utilissimo per le imprese che desiderano certificarsi, ma anche per quelle che intendono solo innalzare il proprio livello di sicurezza delle informazioni.

Gli effetti della riorganizzazione concettuale dei controlli all’interno della nuova ISO/IEC 27002 verranno avvertiti in maniera più incisiva solo all’aggiornamento della norma certificabile, la 27001, o del suo annex A.

Ciò detto, possono presentarsi due scenari:

  • nel caso in cui l’annex A della ISO 27001 non subisca variazioni contestualmente all’adozione della nuova ISO/IEC 27002: le organizzazioni che intendano proiettarsi verso il futuro adottando i controlli di cui alla nuova 27002, potranno farlo non appena la norma verrà adottata formalmente - a condizione di allegare allo Statement of Applicability una tabella di conversione che riporti ai 114 controlli attualmente previsti dalla ISO/IEC 27001;
  • nel caso in cui, invece, l’annex A della ISO 27001 venga modificato contestualmente all’uscita della nuova ISO 27002, le organizzazioni certificate e quelle in via di certificazione dovranno prepararsi di conseguenza e strutturare i controlli in coerenza con esso, al fine di rinnovare la certificazione o di ottenerla.

In questo mutevole contesto, è sempre necessario rimanere aggiornati al fine di preparare al meglio la propria organizzazione.

Il Team Advisory

Il Team Advisory di Lutech accompagna i Clienti nel percorso di certificazione 27001, consentendo di ottimizzare l’impegno e di canalizzare le competenze necessarie ottenendo la certificazione nel più breve tempo possibile.
I professionisti Lutech vantano un’esperienza pluriennale nei vari ambiti di intervento necessari a ottenere la certificazione. Si tratta di esperti appartenenti a team multidisciplinari, i quali dispongono del background necessario a garantire il miglior supporto possibile a tutti i clienti che vogliano ottenere o rinnovare la certificazione ISO/IEC 27001.

Scopri di più
Contatta il Team Advisory di Lutech

Ti invitiamo a prendere visione dell' informativa marketing.

Inserire un valore
Inserire un valore
Inserire un'email valida
Inserire un numero di telefono valido
Inserire un valore
Inserire un valore
Inserire un valore

Cliccando sul pulsante “Conferma” dichiaro di aver letto e compreso l'informativa marketing

Acconsento a ricevere comunicazioni commerciali e promozionali relative a servizi e prodotti nonché messaggi informativi relativi alle attività di marketing, così come esplicitato nella suddetta Informativa

Per favore, seleziona la casella.

Si è verificato un errore, si prega di riprovare più tardi

Grazie per il tuo interesse


Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.
 

Case history

ideas

Vision & Trends sulla Digital Transformation