Informazioni riguardo la transizione alla nuova ISO/IEC 27001:2022

Informazioni riguardo la transizione alla nuova ISO/IEC 27001:2022
09 Maggio 2023
 
La transizione alla nuova ISO/IEC 27001:2022

Il 25 ottobre 2022 è stata pubblicata la nuova edizione della ISO/IEC 27001, lo standard che specifica i requisiti per stabilire, implementare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni (ISMS).

Da diversi anni la sicurezza delle informazioni sta scalando le priorità degli obiettivi di quasi tutte le aziende. A seguito di una maggiore adozione dei servizi in cloud e delle tecnologie di automazione, sicurezza informatica, importanza della privacy, malware e ransomware, le aziende sono portate a rivalutare il proprio contesto, i principali rischi e minacce e le parti interessate, cercando di offrire un servizio strutturato e affidabile dal punto di vista della sicurezza delle informazioni.

La nuova versione ISO/IEC 27001:2022 tratta appunto questi nuovi scenari che le aziende devono fronteggiare. Le modifiche apportate sono principalmente contenute nell’Annex A, anticipato dalla pubblicazione della ISO/IEC 27002:2022, dove sono stati aggiunti, eliminati o accorpati alcuni controlli di sicurezza (11 nuovi, 58 aggiornati e 24 accorpati).

La nuova versione aiuta dunque le aziende a gestire in maniera più efficiente i rischi emersi nei nuovi contesti informatici, ad assicurarsi che nulla venga perso e tutto sia debitamente tenuto sotto controllo.

Gli scenari di cambiamento affrontati principalmente sono:

  • Introduzione di tecnologie digitali come Cloud e automazione;

  • Adozione recente e crescente di tali tecnologie;

  • Identificazione dei rischi per la sicurezza informatica (cybersecurity) e la privacy;

  • Comprensione del panorama mutevole delle minacce, ad es. nuovi tipi di malware e ransomware;

  • Allineamento con altre best practice, ad es. NIST, COBIT, ecc.

  • Aggiornamento del Control Language (CL) e aggiunta di ulteriori indicazioni

    Le principali aree interessate dalle modifiche sono:

  • leadership;

  • sicurezza aziendale;

  • Funzioni IT;

  • altre funzioni di supporto;

  • delivery (per i service providers).

    Oltre alle modifiche ai controlli (Annex A), l’edizione 2022 è anche stata allineata con i più recenti aggiornamenti della High Level Structure (HLS) dell’ISO, pur essendo considerate modifiche minori, poiché l’edizione 2013 è stata già uno dei primi standard ad adottare la struttura l’HLS.

PROCESSO DI TRANSIZIONE

 

TEMPISTICHE

Secondo quanto dettato dal documento IAF MD 26:2022 “Transition requirements for ISO/IEC 27001:2022”, è previsto:

 

PER LE CERTIFICAZIONI INIZIALI: a partire dal 1 novembre 2023 le aziende potranno richiedere di essere certificate solamente in conformità alla nuova ISO/IEC 27001:2022 (quindi sono ammesse prime certificazioni in conformità alla ISO/IEC 27001:2013 fino al 31 ottobre 2023)

PER LE CERTIFICAZIONI GIA’ IN ESSERE: le organizzazioni già certificate prima di ottobre 2023 in conformità alla norma ISO/IEC 27001:2013 (o UNI ISO/IEC 27001:2017), avranno tempo fino al 31 ottobre 2025 per completare la transizione alla nuova edizione 2022.

Tutte le certificazioni in conformità alla ISO/IEC 27001:2013 (o UNI ISO/IEC 27001:2017) scadranno/verranno revocate al termine del periodo di transizione (31 ottobre 2025).

MODALITA’

L’IAF MD 26 permette di svolgere gli audit di transizione durante un audit di sorveglianza o ri-certificazione già programmato oppure durante un audit addizionale rispetto il normale ciclo di certificazione.

L’audit di transizione non potrà essere documentale, ma dovrà prevedere un riesame sul campo dei controlli tecnologici nuovi o modificati applicati dall’organizzazione. Restano comunque permesse in generale le attività di audit da remoto se assicurano il raggiungimento degli obiettivi di audit.

L’audit di transizione dovrà includere almeno quanto segue:

– verifica della conformità verso l’edizione 2013 (eventuale chiusura dei rilievi emersi durante gli audit precedenti)

– gap analysis della ISO/IEC 27001:2022, così come la necessità di modifiche all’ISMS del cliente; – l’aggiornamento della dichiarazione di applicabilità (DdA/SoA);
– competenza e consapevolezza del personale
– l’aggiornamento del piano di trattamento dei rischi;

– l’implementazione e l’efficacia dei controlli nuovi o modificati scelti dal cliente in base al proprio contesto.

DURATA AUDIT DI TRANSIZIONE

Sempre secondo il documento IAF MD 22, l’audit di transizione dovrà essere di minimo di 0,5 giorni/uomo in aggiunta a quanto già previsto da offerta precedentemente accettata, quando la transizione viene effettuata durante un audit di sorveglianza o come audit separato. L’incremento di tale tempo di audit dipenderà comunque dalla grandezza aziendale e rischio delle attività. QS emetterà un’offerta revisionata per l’audit di transizione.

Si specifica che quando il documento di certificazione viene aggiornato perché il cliente ha completato con successo solo l’audit di transizione, la scadenza del suo ciclo di certificazione in corso non verrà modificata.

Gli uffici di QS Quality services rimangono a disposizione per ulteriori informazioni.

1 commento su “Informazioni riguardo la transizione alla nuova ISO/IEC 27001:2022

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*