ISO/IEC 27002:
novità e conseguenze per le organizzazioni certificate ISO/IEC 27001

È recente la notizia della nuova elaborazione della norma ISO/IEC 27002, uno standard molto utile per chi si occupa di sicurezza delle informazioni.

La sicurezza delle informazioni è un ambito in continuo divenire, con la conseguenza che anche gli standard internazionali subiscono continui aggiornamenti.

Qual è, quindi, lo stato di avanzamento dell’ultimo aggiornamento della norma ISO/IEC 27002? E che impatti avrà sulle aziende certificate ISO/IEC 27001?

La nuova versione della ISO 27002 è ancora in fase di draft, e si può ragionevolmente pensare che la norma nella sua versione definitiva possa essere approvata entro la fine del 2021.

Già dal draft si comprende come la norma sia radicalmente mutata, nei modi e nelle forme che a breve descriveremo – ma che impatto avrà tutto ciò sulle aziende certificate ISO 27001?

La famiglia (o serie) ISO 27000 identifica una serie di normative e linee guida che definiscono i requisiti per la realizzazione all'interno di un'organizzazione di un sistema di gestione per la sicurezza delle informazioni.

Come tutte le famiglie ISO, anche la 27000 è composta da una serie di norme, di cui solo alcune sono “certificabili”.

Mentre la ISO/IEC 27001 è la norma che stabilisce i requisiti del sistema di gestione per la sicurezza delle informazioni, quella che le organizzazioni devono “seguire” al fine di certificarsi, la ISO/IEC 27002 è una guida all'implementazione del sistema di gestione basata su una serie di best practice.

Attualmente, la norma ISO/IEC 27001 stabilisce una serie di requisiti del sistema di gestione e di controlli da implementare, mentre la ISO/IEC 27002 ne dà una spiegazione puntuale.

La situazione è presto destinata a cambiare:

• la norma ISO/IEC 27001 potrebbe rimanere invariata ancora per qualche anno;
• la norma ISO/IEC 27002 sarà aggiornata a breve, cambiando la struttura dei controlli (i quali, quindi, non potranno più corrispondere a quelli previsti dall’attuale ISO 27001).

La versione aggiornata della 27002 presenta diverse novità, che possiamo schematizzare nella tabella seguente.

Le aziende certificate ISO/IEC 27001 possono momentaneamente tirare un sospiro di sollievo? Potrebbe sembrare di sì, per una serie di ragioni.

Innanzitutto, la norma ISO 27002 è solo in fase di draft. Oltre a questo, la norma che pone i requisiti per il sistema di gestione per la sicurezza delle informazioni è e rimane la ISO/IEC 27001 – quindi fino all’aggiornamento di quest’ultima non si realizzerà un concreto impatto sulla certificazione e sulle misure di sicurezza da implementare.

La ISO 27001 sarà sicuramente oggetto di revisione, al fine di realizzare un allineamento con la nuova 27002. La domanda è: “quando avverrà tale allineamento?”. Alcuni sostengono che il prossimo aggiornamento è atteso non prima del 2024; alcune indiscrezioni, invece, parlano di un aggiornamento del solo annex A della ISO/IEC 27001 previsto in concomitanza dell’uscita della nuova ISO 27002 (quindi, ragionevolmente entro l’anno).  

Ciò che è certo è che fino all’aggiornamento dell’annex A della ISO/IEC 27001, gli auditor continueranno a basare le proprie verifiche sull’annex A di quest’ultima, il quale prevede attualmente 114 controlli.  

L’aggiornamento della ISO/IEC 27002 è un grande passo verso la razionalizzazione dei controlli in materia di sicurezza delle informazioni. Tale norma costituisce uno strumento utilissimo per le imprese che desiderano certificarsi, ma anche per quelle che intendono solo innalzare il proprio livello di sicurezza delle informazioni.

Gli effetti della riorganizzazione concettuale dei controlli all’interno della nuova ISO/IEC 27002 verranno avvertiti in maniera più incisiva solo all’aggiornamento della norma certificabile, la 27001, o del suo annex A.

Ciò detto, possono presentarsi due scenari:

• nel caso in cui l’annex A della ISO 27001 non subisca variazioni contestualmente all’adozione della nuova ISO/IEC 27002: le organizzazioni che intendano proiettarsi verso il futuro adottando i controlli di cui alla nuova 27002, potranno farlo non appena la norma verrà adottata formalmente - a condizione di allegare allo Statement of Applicability una tabella di conversione che riporti ai 114 controlli attualmente previsti dalla ISO/IEC 27001;
• nel caso in cui, invece, l’annex A della ISO 27001 venga modificato contestualmente all’uscita della nuova ISO 27002, le organizzazioni certificate e quelle in via di certificazione dovranno prepararsi di conseguenza e strutturare i controlli in coerenza con esso, al fine di rinnovare la certificazione o di ottenerla.

In questo mutevole contesto, è sempre necessario rimanere aggiornati al fine di preparare al meglio la propria organizzazione.