NEWS

Pubblicata la nuova norma ISO/IEC 27002 sui controlli di sicurezza delle informazioni

Il 15 febbraio 2022 è stata pubblicata la nuova edizione della norma ISO/IEC 27002 “Tecnologie Informatiche - Tecniche di sicurezza - Codice di pratica per la gestione della sicurezza delle informazioni”. L'edizione precedente era stata pubblicata nel 2013. La nuova versione, pertanto, ha richiesto quasi nove anni di lavoro. Alla data odierna la nuova versione del documento non è ancora disponibile nel sito www.uni.com, mentre è acquistabile, ovviamente in lingua inglese, nel sito www.iso.org.

Monica Perego

(Nella foto: l'Ing. Monica Perego, docente del Corso di alta formazione 'Il sistema di gestione della privacy e le attività di audit')

Questo breve articolo esamina la nuova edizione del documento e riflette sulle differenze con la precedente, introducendo un quadro di sintesi che impattano sulla ISO/IEC 27001:2013.

Quadro di sintesi dell’impatto sulla ISO/IEC 27001:2013 a seguito della pubblicazione della ISO/IEC 27002:2022:

- I requisiti della ISO/IEC 27001:2013 – paragrafi da 4 a 10, non sono stati modificati
- Solo i controlli di sicurezza elencati nella ISO/IEC 27001:2013, allegato A, sono stati aggiornati
- Il numero di controlli è diminuito da 114 a 93
- I controlli sono organizzati in 4 sezioni invece delle precedenti 14
- Sono stati definiti 11 nuovi controlli, alcuni controlli sono stati accoppiati.

Struttura della ISO/IEC 27002:2022 - La caratteristica più evidente della nuova edizione è che la struttura è molto diversa da quella di tutte le precedenti edizioni.
Nella ISO/IEC 27002:2013, in comune con la ISO/IEC 27002:2005 e risalendo fino a BS7799:1995, i controlli sulla sicurezza delle informazioni erano stati raggruppati per ambito.

Nella nuova edizione i controlli sono invece aggregati per “macro-tema”. Sono stati, infatti, individuati quattro macro-temi che coincidono con i 4 tradizionali pilastri a cui è associata la sicurezza delle informazioni:

- controlli organizzativi – 37 controlli
- controlli fisici – 14 controlli
- controlli delle persone – 8 controlli
- controlli tecnologici – 34 controlli

Un elemento che contraddistingue il documento è la presenza degli attributi che caratterizzano i controlli. Gli attributi hanno lo scopo di consentire ad ogni organizzazione di raggruppare i controlli in modo diversi (viste) per soddisfare le proprie particolari esigenze. Tale aspetto può essere considerato un vero punto di forza del documento. Ad ogni controllo sono associati 5 attributi.

Gli attributi citati nella nuova edizione hanno valenza di esempi e le organizzazioni che applicano la ISO/IEC 27001 sono incoraggiate a definire i propri attributi (un allegato illustra come operare in tal senso).

Per ogni controllo è definito:

- Nome del controllo
- Attributi del controllo
- Testo di controllo
- Scopo di controllo
- Guida all'implementazione
- Altre informazioni

Controlli - La nuova edizione adotta la nuova definizione ISO 31000 di controllo, ovvero “Misura che mantiene e/o modifica il rischio”. Questa definizione risolve una critica che è stata spesso sollevata alla precedente versione.

La quale (vedi ad esempio ISO/IEC 27000:2018 “Information technology — Security techniques — Information security management systems — Overview and vocabulary”) non includeva la capacità di un controllo limitata al solo mantenimento di un rischio.

Inoltre, nella versione in vigore sono stati eliminati dei controlli dai più percepiti come duplicati, ovvero lo stesso controllo “generico” era espresso più volte in contesti di rischio diversi. L'allegato B della nuova edizione, illustra la corrispondenza tra i controlli della nuova edizione e quelli della ISO/IEC 27002:2013.

Impatto su ISO/IEC 27001 - La pubblicazione della terza edizione della ISO/IEC 27002 impone di fatto una revisione della ISO/IEC 27001.

Il riferimento alla ISO/IEC 27002 nella ISO/IEC 27001, allegato A è ad oggi un riferimento datato e superato. Ciò implica, ora che è stata pubblicata la nuova edizione della ISO/IEC 27002, che l'edizione precedente (ISO/IEC 27002:2013) è stata ritirata e quindi l'attuale edizione della ISO/IEC 27001 si riferisce ad una norma inesistente. Deve quindi essere aggiornata.

C'è un altro motivo per aggiornare la ISO/IEC 27001 e sicuramente di maggior impatto per le organizzazioni certificate ISO/IEC 27001. Ovvero sostituire i controlli di riferimento dell'allegato A con la serie aggiornata dei controlli allineati a quelli nella nuova edizione della ISO/IEC 27002 e contestualmente aggiornare la Dichiarazione di applicabilità richiesta dal requisito 6.1.3 della IOS/IEC 27001:2013.

Poiché è molto probabile che una revisione completa della ISO/IEC 27001 richieda diverso tempo, la prima azione già pianificata dal Comitato Tecnico ISO/IEC JTC 1/SC 27 consisterà nell'emettere a breve un emendamento allo standard che implica la sola sostituzione dell'allegato A con i controlli nella nuova edizione della ISO/IEC 27002. Tale azione avverrà sicuramente nelle prossime settimane.

Ovviamente Accredia fornirà delle indicazioni agli enti accreditati a fronte dello standard per poter supportare le organizzazioni certificate.

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Il contratto di contitolarità: il ruolo, i compiti e le responsabilità del soggetto capofila
Next Il Dpo non deve firmare le informative privacy o assumere ruoli tipici del titolare del trattamento

Privacy Day Forum 2024: intervista a Guido Scorza

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
I agree with the Privacy e Termini di Utilizzo