Le norme ISO della serie 27000 riguardano gli standard inerenti alla sicurezza delle informazioni. La norma ISO 27002 è stata variata lo scorso febbraio.

La ISO 27002 si aggiorna e propone controlli adeguati all’evoluzione tecnologica.

Le norme ISO della serie 27000 riguardano gli standard inerenti alla sicurezza delle informazioni.

Oggi ne prendiamo in considerazione due che nello specifico sono:

• ISO 27001 “Sistemi di gestione della sicurezza delle informazioni”
• ISO 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni”

Della ISO 27001 ne abbiamo già parlato ampliamente, anche in un recente articolo per Confapi Emilia, è una norma che contiene i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI).

Di grandissima importanza per la ISO 27001 è l’allegato A della stessa norma, che contiene oltre un centinaio di controlli specifici a cui l’azienda che applica la norma deve attenersi.

La ISO 27002 non è una norma certificabile, ma una linea guida che approfondisce i controlli dell’allegato A della ISO 27001, e a seguito dell’aggiornamento dello scorso febbraio, verrà aggiornato anche il predetto allegato A.

L’aggiornamento alle norme è diventato necessario a causa del veloce cambiamento tecnologico e della rapida evoluzione degli strumenti informatici o di trasmissione dei dati. I controlli della nuova ISO 27002, rispetto alla versione precedente, sono stati ridotti da 134 a 93; inoltre, sono state definite quattro “aree” d controlli:

1. organizzativi – 37 controlli
2. fisici – 14 controlli
3. delle persone – 8 controlli
4. tecnologici – 34 controlli

In aggiunta, per ciascun controllo potranno ora essere definiti i seguenti attributi:

• Nome del controllo
• Attributi del controllo
• Testo di controllo
• Scopo di controllo
• Guida all’implementazione
• Altre informazioni

 Quali sono gli impatti formali del cambiamento della ISO 27002?

• A breve verrà emesso un emendamento allo standard ISO 27001, che implicherà la sola sostituzione dell’allegato A con i controlli all’interno della nuova edizione della ISO 27002. 
• Accredia (l’Ente Italiano di Accreditamento) fornirà delle indicazioni agli enti accreditati, per poter supportare le organizzazioni certificate e stabilirà un periodo di transizione (normalmente un paio d’anni) per consentire alle organizzazioni di applicare i nuovi controlli.

I sistemi di gestione della sicurezza delle informazioni sono diventati ai giorni nostri sempre più importanti al fine di poter tutelare il know-how aziendale e la business continuity, ed è per questo motivo che occorre applicare i nuovi controlli della ISO 27002 il prima possibile.