La Certificazione ISO/IEC 27002:2022

Avevamo già parlato della nuova edizione, non ancora al tempo pubblicata, della norma internazionale che fornisce le linee guida per normare la sicurezza delle informazioni di un'organizzazione e le prassi di gestione della stessa, ivi incluse la scelta, l'attuazione e la gestione dei controlli, tenendo in considerazione il contesto di rischio relativo alla sicurezza delle informazioni dell'organizzazione.

Finalmente pubblicata il 15 febbraio 2022, in questo approfondimento analizzeremo la nuova edizione della ISO/IEC 27002 titolata più specificamente “Tecnologie Informatiche - Tecniche di sicurezza - Codice di pratica per la gestione della sicurezza delle informazioni”.

La norma è progettata per essere impiegata da organizzazioni che intendono:

1. scegliere i controlli nel processo di attuazione di un sistema di gestione per la sicurezza delle informazioni basato sulla ISO/IEC 27001;
2. attuare controlli per la sicurezza delle informazioni comunemente riconosciuti;
3. sviluppare le proprie linee guida per la gestione della sicurezza delle informazioni.

Sebbene la norma ISO/IEC 27002 non sia certificabile, essendo una semplice raccolta di raccomandazioni, essa è strettamente legata alla più nota ISO/IEC 27001, standard di riferimento mondiale per la gestione della sicurezza delle informazioni. Mentre lo standard ISO/IEC 27001, infatti, esprime i requisiti per la gestione della sicurezza delle informazioni, la norma ISO/IEC 27002 approfondisce tutti i controlli contenuti nell’Annex A della ISO/IEC 27001. La ISO/IEC 27002 è, essenzialmente, una norma “supplementare”, incentrata sui controlli di sicurezza che le aziende possono scegliere di implementare, offrendo, inoltre, dei consigli su come implementarli al meglio.

Quello della nuova ISO/IEC 27002:2022 non è un semplice restyling della precedente edizione del 2013.

Le novità sono radicali e rendono la norma “al passo con i tempi”.

In primo luogo, a cambiare è la struttura: una maggiore razionalizzazione ha concesso di passare dai 14 capitoli della versione precedente a quattro ambiti di controllo:

1. People
2. Physical
3. Technological
4. Organizational.

Ogni controllo definito nella ISO/IEC 27002 è ora descritto attraverso cinque attributi, utili ai fini del raggruppamento o filtraggio dei controlli stessi:

1. Control type
2. Information security properties
3. Cybersecurity concepts
4. Operational capabilities
5. Security domain.

Per ciascun attributo sono stabiliti i corrispondenti possibili valori:

Il numero dei controlli è sceso da 114 a 93:

• People: 8
• Physical: 14
• Technological: 34
• Organizational: 37

La maggior parte dei controlli previsti dalla precedente versione rimane invariata. In alcuni casi, però, i controlli sono stati “compattati” al fine di evitare ridondanze. Si segnala, inoltre, l'introduzione di undici nuovi controlli e la cancellazione di un controllo esistente (11.2.5 – Removal of asset).

Di seguito sono elencati i nuovi controlli introdotti dalla ISO/IEC 27002:2022

La nuova versione dello standard ISO/IEC 27002, pubblicata il 15 febbraio 2022, dà il via ad una serie di aggiornamenti che avranno impatti su tutte quelle organizzazioni che sono già in possesso della certificazione ISO/IEC 27001.

Il recente aggiornamento ha, infatti, creato un disallineamento fra l’Annex A della ISO/IEC 27001 e la ISO/IEC 27002. Questo disallineamento porterà, inevitabilmente, ad un aggiornamento della ISO/IEC 27001, che vedrà la luce, presumibilmente, prima dell’estate. Mentre, infatti, un primo emendment dovrebbe riguardare il paragrafo 6.1.3 della ISO/IEC 2007:2013 – per cui la lista dei controlli contenuti nell’Annex A rappresenterà unicamente un elenco non esaustivo ed integrabile di controlli –, la vera modifica avverrà con la nuova versione della ISO/IEC 27001 e, in particolare, con la sostituzione dell’attuale Annex A.

A partire da quel momento, le aziende certificate avranno a disposizione un periodo di transizione (verosimilmente di due anni), che consentirà alle organizzazioni di pianificare e attuare la transizione, avviando, di conseguenza, un processo virtuoso di adeguamento alla norma e di implementazione dei controlli.

Per non arrivare impreparati, gli impatti della nuova ISO/IEC 27002 devono essere affrontati dalle organizzazioni con il dovuto anticipo e con un’adeguata preparazione.

Il Team Advisory di Lutech offre alle aziende clienti consulenza ed assistenza per la realizzazione, la certificazione e l’aggiornamento del proprio Sistema di Gestione per la Sicurezza delle Informazioni, nonché attività di tipo formativo e di affiancamento per il personale aziendale.