La ISO 27001:2022 rappresenta uno standard fondamentale per stabilire, implementare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni (ISMS). A partire dalla fine di ottobre 2022 sono state integrate delle variazioni dalle revisioni precedenti, introducendo anche nuovi controlli per affrontare le sfide emergenti nel panorama della cybersecurity.
Le novità introdotte dalla ISO 27001:2022
Una delle principali novità della ISO 27001:2022 è l’introduzione di un nuovo Annex A, che ha diminuito fino a 93 i controlli, suddivisi in quattro categorie:
- controlli organizzativi
- fisici
- relativi alle persone
- tecnologici.
Questi sono associati a diversi attributi, come il tipo di controllo, le proprietà della sicurezza delle informazioni, i concetti di cybersecurity, le capacità operative e il dominio della sicurezza. Inoltre, la norma presenta undici nuovi controlli che coprono argomenti cruciali come threat intelligence, sicurezza fisica, prevenzione delle fughe di dati e compliance con il GDPR.
La nuova ISO 27001:2022 promuove la resilienza attraverso il controllo ICT readiness for business continuity, che richiede alle organizzazioni di pianificare e testare la loro capacità di reagire a situazioni impreviste per garantire la continuità operativa. Questo controllo si basa sull’analisi d’impatto aziendale (BIA) e sull’identificazione degli obiettivi di tempo di recupero (RTO) e di punti di recupero (RPO) delle informazioni critiche per il business.
Come adeguarsi alla normativa
Per adeguarsi alla ISO 27001:2022, le organizzazioni devono valutare i loro sistemi esistenti, identificare le lacune rispetto ai nuovi requisiti e prendere le misure necessarie per migliorare la sicurezza delle informazioni. È consigliabile revisionare il piano di trattamento dei rischi, la dichiarazione di applicabilità, le politiche e le procedure aziendali e garantire che il personale sia adeguatamente formato sul sistema di gestione della sicurezza delle informazioni.
Quali sono i punti di contatto e le differenze con il GDPR?
Un altro aspetto importante è l’allineamento della ISO 27001:2022 con il GDPR. La norma introduce nuovi controlli come la cancellazione delle informazioni, il data masking e la prevenzione delle fughe di dati, che contribuiscono a garantire la conformità alle normative sulla privacy. ISO 27001 può quindi essere utilizzato come guida per aiutare le organizzazioni a raggiungere la conformità con il GDPR, poiché fornisce un quadro dettagliato per la gestione della sicurezza delle informazioni, aspetto fondamentale della protezione dei dati personali.
Entrambi inoltre richiedono una valutazione dei rischi e un approccio proattivo alla gestione dei dati e della sicurezza delle informazioni. Bisogna tuttavia sottolineare che ISO 27001:2022 è più ampio e non riguarda solo i dati personali, ma tutte le informazioni all’interno di un’organizzazione.
La ISO 27001:2022 rappresenta un importante strumento per affrontare le sfide della cybersecurity e garantire la protezione delle informazioni sensibili. L’allineamento con il GDPR e l’introduzione di nuovi controlli la rendono una risorsa preziosa per le organizzazioni che vogliono migliorare la loro sicurezza informatica ed essere conformi alla normativa.
Sai se la tua azienda è GDPR compliant? Contattaci per saperne di più.
Articolo realizzato in collaborazione con Orbyta Engineering