Il 25 ottobre è uscita la terza edizione della ISO 27001: 2022, quale norma relativa ai Sistemi di Gestione della sicurezza delle informazioni al fine di garantire il rispetto dello standard. Gli standard ISO risultano importanti per tutte le aziende che intendono assicurare ai propri utenti il rispetto delle norme approvate a livello mondiale.
ISO 27001:2022, lo scopo della norma
A fronte dei diversi attacchi informatici cresciuti del 125% rispetto all’anno precedente, lo scopo delle norma è quello di fornire alle aziende i mezzi per proteggere il bagaglio delle informazioni, inclusi i dati personali dei clienti.
In particolare, la revisione della norma mira a garantire: riservatezza dei dati, identificazione e rintraccio delle possibili minacce, la protezione dei dati si intende in riferimento ai diversi formati esistenti, quali, cloud, digitali, cartacei e così via, maggiore difesa nei confronti di chi cerca di penetrare abusivamente in una rete per utilizzare dati e informazioni.
Modifiche e requisiti
La norma si presenta insieme ad un sistema di requisiti e controlli. I requisiti non sono stati oggetto di modifiche importanti rispetto alla precedente versione del 2013. La modifica ritenuta più significativa concerne la dichiarazione di applicabilità che non deve essere più stilata obbligatoriamente in riferimento ai controlli contenuti all’interno dell’allegato A. Il documento può, così, contenere anche nuovi controlli a patto che siano in conformità con quanto definito dal menzionato allegato A.
Diversa la situazione per quanto concerne i controlli, sottoposti a diverse modifiche. Alcuni controlli sono stati assorbiti, il numero si è così ridotto da 114 a 93. Segue, una ridefinizione in 4 sezioni e non più 14. Con l’introduzione di undici nuovi e “attuali”controlli in riferimenti ai seguenti argomenti: Threat Intelligence, Physical security monitoring, Data masking, Information security for cloud services, Monitoring activities, ICT readiness for business continuità, Data leakage prevention,
Configuration management, Web filtering, Information deletion e Secure coding.
L’inserimento di una sicurezza informatica e di protezione dei dati viene considerato come uno standard di fondamentale importanza a supporto di quanto richiesto dal Regolamento Generale sulla protezione dei dati.
Da ottobre 2023, i controlli dovranno essere allineati e conformi alla nuova norma.