La norma internazionale ISO/IEC 27001:2022, pubblicata lo scorso ottobre, aggiorna, rispetto alla precedente versione del 2013, lo standard dei requisiti richiesti alle aziende per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni (ISMS-Information Security Management System).
Considerando i nuovi scenari che le aziende devono affrontare, la nuova versione della ISO 27001 richiede controlli più solidi, consentendo alle organizzazioni di affrontare rischi di sicurezza sempre più sofisticati, di garantire la protezioni dei dati e la continuità operativa e di ottenere un vantaggio competitivo.
Tra le modifiche sono, dunque, stati aggiunti, eliminati o accorpati alcuni controlli di sicurezza e, in alcuni ambiti, includono gli aspetti di sicurezza informatica e privacy; mentre il control language viene aggiornato.
Oltre alla revisione di tutti i documenti, in particolare quelli relativi ai controlli tecnologici, l’audit di transizione deve includere: la gap analysis della ISO/IEC 27001:2022, nonché la necessità di modifiche allo schema MS (ISMS); l’aggiornamento della Dichiarazione di Applicabilità (SoA) e dell’eventuale piano di trattamento dei rischi; l’implementazione e l’efficacia dei controlli nuovi o modificati scelti dall’azienda.
Le imprese già certificate secondo la versione 2013 della norma (e per tutte le certificazioni rilasciate fino al 1° novembre 2023) hanno tempo fino al il 25 ottobre 2025 per sottoporsi all’audit di transizione alla nuova edizione. A partire dal 30 aprile 2024, tutte le nuove certificazioni dovranno comunque essere emesse esclusivamente a fronte della ISO/IEC 27001:2022.
E, in ogni caso, tutte le certificazioni basate su ISO/IEC 27001:2013 scadranno o saranno ritirate alla fine del periodo di transizione (31 ottobre 2025).
In qualità di organismo accreditato da ACCREDIA per la certificazione del Sistema di Gestione della Sicurezza delle Informazioni secondo la norma ISO/IEC 27001:2022, ICIM SpA – l’ente di certificazione di ICIM Group – è a disposizione delle aziende per individuare e definire gli audit di transizione alla nuova versione della norma (audit che possono essere effettuati anche da remoto purché sia garantito il raggiungimento degli obiettivi).
In particolare ICIM può supportare le organizzazioni nel percorso di transizione attraverso:
- Formazione, in cui le aziende possono apprendere i dettagli della revisione e ottenere una panoramica di base dei cambiamenti chiave e del processo di transizione.
- Gap analysis, per misurare quanto e come il sistema di gestione della sicurezza delle informazioni in uso in azienda soddisfi i nuovi requisiti.
- Audit di transizione per allineare la certificazione alla nuova versione dello standard ISO/IEC 27001:2022
15 Settembre 2023