Sicurezza delle informazioni, la nuova ISO/IEC 27001:2022: ecco cosa cambia – Agenda Digitale
standard internazionali
La nuova ISO/IEC 27001 presenta numerose modifiche rispetto alla versione precedente, ma quelle veramente significative sono quelle relative ai controlli di sicurezza presenti nell’Appendice A. La gran parte di questi controlli sono in realtà miglioramenti. Tutto quello che c’è da sapere
02 Nov 2022
A fine ottobre 2022 è stata pubblica l’ultima versione dello standard internazionale ISO/IEC 27001 con i requisiti per i sistemi di gestione per la sicurezza delle informazioni.
Dalla prima versione del 2005 della ISO/IEC 27001 (a sua volta nata dalla BS 7799, la cui prima versione era del 1997), molte cose sono cambiate nel mondo delle discipline che si occupano di proteggere i sistemi informativi e quanto questi supportano, a partire dallo stesso nome che, da sicurezza “informatica”, o addirittura “logica”, è passato a sicurezza delle “informazioni” per poi essere comunemente ma spesso impropriamente etichettato dal grande pubblico come cybersecurity.
La ISO/IEC 27001 ha, da allora, subito una prima trasformazione significativa nella sua seconda versione uscita nel 2013, principalmente legata all’introduzione della “high-level structure”, oggi comune a tutti i sistemi di gestione pubblicati da ISO. Ora ne è stata pubblicata una nuova, terza versione che, come vedremo nel corso di questo articolo, non ne va a sconvolgere più di tanto la forma o la sostanza, con l’eccezione della parte dei controlli presentati nell’Appendice A.
La dinamica che ha portato a questa terza versione della ISO/IEC 27001 è figlia di una decisione presa nel 2016 in seno al Working Group (WG) 1 di ISO/IEC JTC 1 SC 27, che ha dato i natali alla norma e a quelle ad essa legate, in occasione del voto circa la sua revisione periodica, prevista, come per tutte le norme ISO, ogni 5 anni. In tale occasione si è infatti deciso che la ISO/IEC 27002 avrebbe dovuto essere oggetto di una revisione significativa per ammodernarla e rimetterla al passo con i tempi mentre la ISO/IEC 27001 sarebbe stata lasciata sostanzialmente stabile, salvo allinearne la parte dei controlli in Appendice A.
A questa decisione iniziale si sono sovrapposte riflessioni spinte da alcuni esperti circa la modifica del meccanismo dello “statement of applicability” e gli aggiornamenti periodici della “high-level structure” portati avanti dalla stessa ISO, innescando un balletto di indecisione su come affrontare al
