Corso di Aggiornamento sulla norma UNI EN ISO/IEC 27001:2022

L’aggiornamento era necessario principalmente per tre motivi:

1. Allineamento con la ISO/IEC 27002:2022: Il principale standard di supporto per i controlli è stato aggiornato per riflettere le nuove minacce e le moderne tecnologie (cloud, data privacy, cyber intelligence).

2. Adesione all’HLS aggiornata: Garantire la coerenza strutturale (High-Level Structure) con tutti gli altri standard sui sistemi di gestione ISO.

3. Rendere i controlli più gestibili: Riorganizzare i controlli dell’Allegato A in quattro temi (Organizzativi, Persone, Fisici, Tecnologici) e introdurre gli Attributi per una selezione più efficace e basata su criteri multipli.

No, la norma continua a utilizzare l’HLS (Struttura ad Alto Livello) con 10 Capitoli. Le modifiche principali all’interno dei requisiti non HLS (Capitoli 4-10) sono state minime, concentrandosi principalmente su una migliore allineamento con la terminologia HLS (es. l’introduzione di “processi” e “pianificazione delle modifiche”).

Il cambiamento più significativo riguarda l’Allegato A, che è stato completamente aggiornato per riflettere le modifiche introdotte dalla ISO/IEC 27002:2022 (lo standard che fornisce linee guida per l’implementazione dei controlli).

L’Allegato A è stato aggiornato con nuovi controlli, eliminando alcune duplicazioni e fondendo altri.

• Il numero totale di controlli è passato da 114 a 93.

• I controlli sono stati riorganizzati in quattro temi/sezioni anziché 14 domini: Controlli Organizzativi (A.5), Controlli Persone (A.6), Controlli Fisici (A.7) e Controlli Tecnologici (A.8).

Gli Attributi sono tag (etichette) concettuali assegnati a ciascuno dei 93 controlli per aiutare a categorizzare e selezionare le misure di sicurezza in base a diverse prospettive (es. tipo di controllo, proprietà di sicurezza, dominio cyber, ecc.). Questo aiuta l’organizzazione nella personalizzazione del proprio SGSI.

Oltre ai nuovi controlli, l’Auditor deve comprendere:

• Controlli di Intelligence sulle Minacce (A.5.7): L’obbligo di raccogliere e analizzare informazioni sulle minacce per prendere decisioni proattive.

• Sicurezza del Cloud (A.5.23): Maggiore enfasi sui requisiti per la gestione della sicurezza quando si utilizzano servizi cloud.

• Mascheramento dei Dati (A.8.11) e Prevenzione della Perdita di Dati (A.8.12): Controlli specifici per la protezione della privacy e la gestione della fuoriuscita di dati, anche in ottica GDPR.

No, in sostanza l’approccio è lo stesso. La norma mantiene l’obbligo di stabilire un processo di Valutazione del Rischio e di Trattamento del Rischio (applicando i controlli dell’Allegato A). Tuttavia, l’aggiornamento dei controlli dell’Allegato A richiede che l’organizzazione rivedere la propria Valutazione/Dichiarazione di Applicabilità (SoA) in base alla nuova lista di 93 controlli.

L’Auditor deve verificare che:

1. Il Processo di Transizione sia stato gestito (es. formazione, risorse).

2. La Dichiarazione di Applicabilità (SoA) sia stata aggiornata per mappare i nuovi 93 controlli.

3. Le Politiche e Procedure (Informazioni Documentate) siano state allineate ai nuovi o modificati controlli applicabili (specialmente A.5.7, A.5.23, A.8.11, A.8.12, ecc.).