Le norme ISO della serie 27000 riguardano gli standard inerenti alla sicurezza delle informazioni. La norma ISO 27002 è stata variata lo scorso febbraio.
La ISO 27002 si aggiorna e propone controlli adeguati all’evoluzione tecnologica.
Le norme ISO della serie 27000 riguardano gli standard inerenti alla sicurezza delle informazioni.
Oggi ne prendiamo in considerazione due che nello specifico sono:
- ISO 27001 “Sistemi di gestione della sicurezza delle informazioni”
- ISO 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni”
Della ISO 27001 ne abbiamo già parlato ampliamente, anche in un recente articolo per Confapi Emilia, è una norma che contiene i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI).
Di grandissima importanza per la ISO 27001 è l’allegato A della stessa norma, che contiene oltre un centinaio di controlli specifici a cui l’azienda che applica la norma deve attenersi.
La ISO 27002 non è una norma certificabile, ma una linea guida che approfondisce i controlli dell’allegato A della ISO 27001, e a seguito dell’aggiornamento dello scorso febbraio, verrà aggiornato anche il predetto allegato A.
L’aggiornamento alle norme è diventato necessario a causa del veloce cambiamento tecnologico e della rapida evoluzione degli strumenti informatici o di trasmissione dei dati. I controlli della nuova ISO 27002, rispetto alla versione precedente, sono stati ridotti da 134 a 93; inoltre, sono state definite quattro “aree” d controlli:
- organizzativi – 37 controlli
- fisici – 14 controlli
- delle persone – 8 controlli
- tecnologici – 34 controlli
In aggiunta, per ciascun controllo potranno ora essere definiti i seguenti attributi:
- Nome del controllo
- Attributi del controllo
- Testo di controllo
- Scopo di controllo
- Guida all’implementazione
- Altre informazioni
Quali sono gli impatti formali del cambiamento della ISO 27002?
- A breve verrà emesso un emendamento allo standard ISO 27001, che implicherà la sola sostituzione dell’allegato A con i controlli all’interno della nuova edizione della ISO 27002.
- Accredia (l’Ente Italiano di Accreditamento) fornirà delle indicazioni agli enti accreditati, per poter supportare le organizzazioni certificate e stabilirà un periodo di transizione (normalmente un paio d’anni) per consentire alle organizzazioni di applicare i nuovi controlli.
I sistemi di gestione della sicurezza delle informazioni sono diventati ai giorni nostri sempre più importanti al fine di poter tutelare il know-how aziendale e la business continuity, ed è per questo motivo che occorre applicare i nuovi controlli della ISO 27002 il prima possibile.