Entro fine 2021 dovrebbe essere pubblicata la nuova versione della ISO/IEC 27002, la norma che descrive i controlli per la sicurezza delle informazioni. La norma ISO 27002 è una raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001 al fine di proteggere le risorse informative; Essa avrà nome “ISO/IEC 27002:2021 – Information security, cybersecurity and privacy protection — Information security controls”.
ISO 27001 e ISO 27002
La norma ISO 27001 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002 non è certificabile in quanto è una raccolta di raccomandazioni.
Quali novità verranno introdotte dalla nuova versione?
- nuova suddivisione di capitoli e categorie di controlli;
- controlli nuovi, eliminati e unificati;
- attributi che possono essere assegnati ai controlli.
Inoltre sono stati aggiunti nuovi controlli, considerando gli aggiornamenti tecnologici di questi anni:
- raccolta di informazioni sulle minacce (threat intelligence);
- uso dei servizi cloud;
- ICT nella continuità operativa
- monitoraggio della sicurezza fisica;
- gestione della configurazione;
- cancellazione delle informazioni;
- mascheramento dei dati;
- prevenzione dalla perdita (leakage) di dati.
- monitoraggio delle attività;
- filtri web;
- codifica sicura.
L’ultimo paragrafo tratta dell’uso della ISO/IEC 27002:2021 con la ISO/IEC 27001:2013.
Sistema di Gestione integrato ISO 27001 e 27002
La ISO/IEC 27002:2013 organizza i controlli in 14 capitoli. Questi capitoli sono a loro volta suddivisi in categorie di cui fanno poi parte i controlli.
La nuova ISO/IEC 27002 suddivide invece i controlli in 4 categorie senza ulteriori divisioni e senza alcuna relazione esplicita con obiettivi di sicurezza. I capitoli sono i seguenti:
- controlli organizzativi;
- controlli relativi alle persone;
- controlli di tipo fisico;
- controlli di tipo tecnologico.
Questa scelta avrà degli impatti negativi perché oggi molti documenti prendono a modello l’impostazione in 14 capitoli della ISO/IEC 27002:2013, assicurando quindi una omogeneità di lettura. La ISO/IEC 27001 sarà aggiornata tra qualche anno, i lavori di aggiornamento sono appena partiti e la pubblicazione non avverrà prima del 2024.