HOME / SERVIZI  / CERTIFICAZIONE ISO 27001

CERTIFICAZIONE ISO 27001

Forniamo consulenza e formazione per il conseguimento della certificazione in ambito della sicurezza delle informazioni secondo la norma ISO 27001.

CERTIFICAZIONE ISO 27001 - SICUREZZA DELLE INFORMAZIONI

LA NORMA UNI ISO 27001:2022 – SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI

Il 25 ottobre 2022 è uscita la terza edizione della ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”; la norma di riferimento sui Sistemi di gestione della sicurezza delle informazioni.

La norma come noto prevede, a differenza di altre norme sui sistemi di gestione, sia un apparato di requisiti che di controlli.

I requisiti non hanno subito modifiche significative rispetto alla versione precedente; la struttura del documento si basa su quella impostata in 10 capitoli in linea con l’Annex SL. Tutti i requisiti devono essere applicati.

La modifica più significativa, riguarda la dichiarazione di applicabilità (capitolo 6) che non deve essere più necessariamente redatta sulla base dei controlli dell’Allegato A. Il documento può seguire un qualunque impianto di controlli purché sia compliance con quelli dell’Allegato A ed eventualmente ne aggiunga di nuovi.

Questo modello, per quanto nuovo nell’approccio, di fatto ricalca quanto anche già previsto nella precedente versione della norma che permetteva un set di controlli comunque più ampio di quello previsto dall’Allegato A. Si consiglia, qualora si decidesse di applicare questo approccio, di predisporre una tabella di correlazione tra il set di controlli applicato e quello previsto dall’Allegato A.

Per quanto riguarda i controlli invece questi hanno subito modifiche rilevanti:

  • passando da 114 a 93 – alcuni controlli sono stati accorpati
  • riorganizzati in 4 sezioni invece delle precedenti 14
  • introducendo 11 nuovi

I PRINCIPI CHE HANNO GUIDATO LA NUOVA REVISIONE DELLA NORMA SONO VOLTI A GARANTIRE:

  • la disponibilità, riservatezza e disponibilità dei dati
  • un approccio basato sull’individuazione delle minacce e delle vulnerabilità
  • la protezione delle informazioni in tutte le forme e supporti (cartacei, cloud, digitali e verbali)
  • l’aumento della resilienza agli attacchi informatici
  • eliminazione di misure che si dimostrano inefficaci
  • migliorare il grado di fiducia del consumatore/cliente

OPPORTUNITÀ OFFERTE DALLA NORMA UNI ISO 27001:

La nuova versione dello standard ISO 27001 aiuta le organizzazioni a gestire i controlli in modo più efficace raggruppandoli in quattro sezioni/ temi chiari: organizzativo, personale, tecnologico e fisico.

Questo cambiamento mira a ottenere maggiore chiarezza, attenzione e responsabilità per la sicurezza delle informazioni all’interno di un’organizzazione.

Sono stati introdotti concetti di cybersecurity e di protezione dei dati personali come ulteriore elemento che rafforza quanto questo standard può essere considerata come una potente misura di accountability a supporto di quanto richiede il GDPR. Del resto, tra i controlli della norma sono stati sempre presenti alcuni dedicati esplicitamente alla protezione dei dati personali.

I tempi di transizione dei certificati ISO/IEC 27001:2013

Le aziende certificate a fronte della ISO/IEC 27001:2013 hanno tempo fino al 31 ottobre 2025 per effettuare la transizione.

certificazioni@vegaconsulting.it

Siamo a disposizione per chiarire ogni suo dubbio