IT
Big Cover - ISOIEC 27002 2022
IDEAS

La Certificazione ISO/IEC 27002:2022

L’impatto della nuova edizione sulle organizzazioni già certificate ISO/IEC 27001

Technology Advisory

Multicloud, Cyber security, Governance e Compliance per il business dei nostri Clienti

Scopri di più

Il mondo della cybersecurity è in continua evoluzione. Possiamo solo speculare su ciò che riserva il futuro.

Il continuo progresso tecnologico ed i mutati scenari di rischio hanno fatto percepire, da alcuni anni ormai, la ISO/IEC 27002:2013 come anacronistica, oltre che ridondante nei suoi controlli.  Proprio per tale motivo, sono state sviluppate una serie di norme che hanno integrato opportuni controlli per specifici settori: un esempio è rappresentato dalla ISO/IEC 27017, che rientra tra gli standard della serie ISO/IEC 27001 e definisce controlli avanzati sia per fornitori, sia per i clienti di servizi cloud.

Avevamo già parlato della nuova edizione, non ancora al tempo pubblicata, della norma internazionale che fornisce le linee guida per normare la sicurezza delle informazioni di un'organizzazione e le prassi di gestione della stessa, ivi incluse la scelta, l'attuazione e la gestione dei controlli, tenendo in considerazione il contesto di rischio relativo alla sicurezza delle informazioni dell'organizzazione.

Finalmente pubblicata il 15 febbraio 2022, in questo approfondimento analizzeremo la nuova edizione della ISO/IEC 27002 titolata più specificamente “Tecnologie Informatiche - Tecniche di sicurezza - Codice di pratica per la gestione della sicurezza delle informazioni”.

La norma è progettata per essere impiegata da organizzazioni che intendono:

  1. scegliere i controlli nel processo di attuazione di un sistema di gestione per la sicurezza delle informazioni basato sulla ISO/IEC 27001;
  2. attuare controlli per la sicurezza delle informazioni comunemente riconosciuti;
  3. sviluppare le proprie linee guida per la gestione della sicurezza delle informazioni.


Legame tra le norme

Sebbene la norma ISO/IEC 27002 non sia certificabile, essendo una semplice raccolta di raccomandazioni, essa è strettamente legata alla più nota ISO/IEC 27001, standard di riferimento mondiale per la gestione della sicurezza delle informazioni. Mentre lo standard ISO/IEC 27001, infatti, esprime i requisiti per la gestione della sicurezza delle informazioni, la norma ISO/IEC 27002 approfondisce tutti i controlli contenuti nell’Annex A della ISO/IEC 27001. La ISO/IEC 27002 è, essenzialmente, una norma “supplementare”, incentrata sui controlli di sicurezza che le aziende possono scegliere di implementare, offrendo, inoltre, dei consigli su come implementarli al meglio.

Principali novità

Quello della nuova ISO/IEC 27002:2022 non è un semplice restyling della precedente edizione del 2013.

Le novità sono radicali e rendono la norma “al passo con i tempi”.

In primo luogo, a cambiare è la struttura: una maggiore razionalizzazione ha concesso di passare dai 14 capitoli della versione precedente a quattro ambiti di controllo:

  1. People
  2. Physical
  3. Technological
  4. Organizational.


Ogni controllo definito nella ISO/IEC 27002 è ora descritto attraverso cinque attributi, utili ai fini del raggruppamento o filtraggio dei controlli stessi:

  1. Control type
  2. Information security properties
  3. Cybersecurity concepts
  4. Operational capabilities
  5. Security domain.


Per ciascun attributo sono stabiliti i corrispondenti possibili valori:

ATTRIBUTO

VALORI

Control type

Preventive, Detective, Corrective

Information security properties

Confidentiality, Integrity and Availability

Cybersecurity concepts

Identify, Protect, Detect, Respond and Recover

Operational capabilities

Governance, Asset_Management,Information_Protection, Human_Resource_Security, physical_Security, System_and_Network_Security, Application_Security, Secure_Configuration, Identity_and_access_management, Threat_and_vulnerability_management, Continuity, Security_of_supplier_relationships, Legal_compliance, Information_security_event_management, Information_security_assurance

Security domains

Governance and Ecosystem, Protection, Defence, Resilience

Il numero dei controlli è sceso da 114 a 93:

  • People: 8
  • Physical: 14
  • Technological: 34
  • Organizational: 37

La maggior parte dei controlli previsti dalla precedente versione rimane invariata. In alcuni casi, però, i controlli sono stati “compattati” al fine di evitare ridondanze. Si segnala, inoltre, l'introduzione di undici nuovi controlli e la cancellazione di un controllo esistente (11.2.5 – Removal of asset).

Di seguito sono elencati i nuovi controlli introdotti dalla ISO/IEC 27002:2022

In che modo influisce la nuova ISO/IEC 27002 sulle organizzazioni che sono già certificate ISO/IEC 27001?

La nuova versione dello standard ISO/IEC 27002, pubblicata il 15 febbraio 2022, dà il via ad una serie di aggiornamenti che avranno impatti su tutte quelle organizzazioni che sono già in possesso della certificazione ISO/IEC 27001.

Il recente aggiornamento ha, infatti, creato un disallineamento fra l’Annex A della ISO/IEC 27001 e la ISO/IEC 27002. Questo disallineamento porterà, inevitabilmente, ad un aggiornamento della ISO/IEC 27001, che vedrà la luce, presumibilmente, prima dell’estate. Mentre, infatti, un primo emendment dovrebbe riguardare il paragrafo 6.1.3 della ISO/IEC 2007:2013 – per cui la lista dei controlli contenuti nell’Annex A rappresenterà unicamente un elenco non esaustivo ed integrabile di controlli –, la vera modifica avverrà con la nuova versione della ISO/IEC 27001 e, in particolare, con la sostituzione dell’attuale Annex A.

A partire da quel momento, le aziende certificate avranno a disposizione un periodo di transizione (verosimilmente di due anni), che consentirà alle organizzazioni di pianificare e attuare la transizione, avviando, di conseguenza, un processo virtuoso di adeguamento alla norma e di implementazione dei controlli.

Per non arrivare impreparati, gli impatti della nuova ISO/IEC 27002 devono essere affrontati dalle organizzazioni con il dovuto anticipo e con un’adeguata preparazione.

Il Team Advisory di Lutech offre alle aziende clienti consulenza ed assistenza per la realizzazione, la certificazione e l’aggiornamento del proprio Sistema di Gestione per la Sicurezza delle Informazioni, nonché attività di tipo formativo e di affiancamento per il personale aziendale.

Contatta il Team Advisory di Lutech

Ti invitiamo a prendere visione dell' informativa marketing.

Inserire un valore
Inserire un valore
Inserire un'email valida
Inserire un numero di telefono valido
Inserire un valore
Inserire un valore
Inserire un valore

Cliccando sul pulsante “Conferma” dichiaro di aver letto e compreso l'informativa marketing

Acconsento a ricevere comunicazioni commerciali e promozionali relative a servizi e prodotti nonché messaggi informativi relativi alle attività di marketing, così come esplicitato nella suddetta Informativa

Per favore, seleziona la casella.

Si è verificato un errore, si prega di riprovare più tardi

Grazie per il tuo interesse


Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.
 

Case history

ideas

Vision & Trends sulla Digital Transformation