Sicurezza delle informazioni, la nuova ISO/IEC 27002 è tra noi

Ecosistema dei pagamenti. PCI DSS 4.0, l'attesa è finita

Adesso che la ISO/IEC 27002 è arrivata, che cosa succederà? Chi è certificato ISO/IEC 27001 o ISO/IEC 27701 cosa deve aspettarsi? Ci sarà un effetto domino normativo?

Avendo già trattato in un precedente articolo i dettagli inerenti a cosa è cambiato nella nuova versione della ISO/IEC 27002, spostiamo ora l’attenzione sulle conseguenze di questi cambiamenti. La ISO/IEC 27002 non è solo una norma a sé stante ma ha degli strettissimi legami in primis con la ISO/IEC 27001, che di fatto ne riassume i controlli (trasponendone gli “should” in “shall”) nel famoso annex A, il quale costituisce peraltro la base per la stesura di un documento necessario in ogni processo di certificazione di un sistema di gestione per la sicurezza delle informazioni, ovvero lo statement of applicability. Con l’uscita della ISO/IEC 27002 nel corso di febbraio 2022 e il conseguente ritiro automatico della versione precedente, avremo di fatto per la prima volta un disallineamento tra la ISO/IEC 27001, che rimane al momento invariata con l’annex A precedente, e la ISO/IEC 27002, con un’organizzazione completamente diversa dei controlli. Questa situazione formalmente non ideale, ma che in pratica non avrà ripercussioni significative, dovrebbe risolversi verso maggio 2022 con la pubblicazione di un amendment alla ISO/IEC 27001, già pronto e attualmente in corso di votazione, che sostituirà due note del paragrafo 6.1.3 richiamanti l’annex A oltre proprio a quest’ultimo, riallineandolo con i nuovi controlli della ISO/IEC 27002.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il comitato ISO/IEC JTC 1 SC 27, autore di tutte queste norme, sta suggerendo a tutti gli enti di certificazione del mondo come affrontare questi cambiamenti e, sebbene ognuno di essi avrà la facoltà di decidere autonomamente in materia, ci si attende che comunque verrà concesso un periodo di transizione di almeno un anno (più probabilmente, saranno due ma lo si saprà solo a maggio 2022) a tutti i soggetti certificati ISO/IEC 27001 per rimappare i propri controlli con la nuova norma, con a sua volta un annex con lo scopo di facilitare questo compito, ed aggiornare di conseguenza il proprio statement of applicability. Queste sono le azioni che verosimilmente saranno necessarie per la maggior parte delle organizzazioni, che potranno parallelamente decidere se e come attuare i “nuovi” 11 controlli con tempi e modi legati al meccanismo del piano di trattamento del rischio e quindi senza particolari vincoli temporali.

Oltre alla ISO/IEC 27001, esistono anche altre norme strettamente legate alla ISO/IEC 27002, tra cui: ISO/IEC 27008:2019 – Guidelines for the assessment of information security controls; ISO/IEC 27009:2020 – Sector-specific application of ISO/IEC 27001 – Requirements; ISO/IEC 27017:2015 – Code of practice for information security controls based on ISO/IEC 27002 for cloud services; ISO/IEC 27019: 2017 – Information security controls for the energy utility industry; ISO/IEC TR 27103:2018 – Cybersecurity and ISO and IEC Standards; ISO/IEC 27701:2019 – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines.

Leggi anche:  Sicurezza dei dati dei clienti: c'è ancora tanta strada da fare

Tutte queste norme stanno iniziando un ciclo di revisione straordinario e rapido per essere allineate il più velocemente possibile con la nuova ISO/IEC 27002 che ne costituisce in tutti i casi l’elemento portante al di sopra del quale vengono fatte le necessarie aggiunte. In sintesi quindi, l’uscita della nuova ISO/IEC 27002, oltre a fornire al mondo un aggiornato e innovativo schema di riferimento per la sicurezza delle informazioni, innescherà un notevole effetto domino normativo che ci porteremo verosimilmente avanti anche oltre al 2022, dovuto peraltro più a temi di forma che di contenuto e che pertanto non deve essere tanto temuto quanto considerato un effetto fisiologico derivante dalla modifica di norme all’interno di un framework strutturato come quello della famiglia ISO/IEC 27000.


Fabio Guasconi componente del Comitato Direttivo di CLUSIT