ISO 27001:2022: novità nella sicurezza delle informazioni

Author:Simone Bacci

12 Aprile 2023

sfondo cyber con titolo dell'articolo

ISO 27001 cos’è

ISO 27001 è uno standard internazionale che stabilisce i requisiti per un sistema di gestione della sicurezza delle informazioni (SGSI). L’obiettivo principale dello standard è quello di aiutare le organizzazioni a proteggere le informazioni sensibili e a ridurre i rischi di violazione della sicurezza delle informazioni. La norma prevede un approccio basato sui processi per gestire la sicurezza delle informazioni, che comprende la definizione delle politiche di sicurezza, la valutazione dei rischi, la gestione dei controlli di sicurezza e la continua valutazione e miglioramento del sistema di gestione della sicurezza delle informazioni.

 

Standard ISO 27001: contesto

Lo standard ISO 27001 descrive le migliori pratiche per progettare un sistema di gestione della sicurezza delle informazioni. Quello della sicurezza delle informazioni è diventato un tema critico e di grande attenzione a livello globale per via della crescente digitalizzazione e dell’aumento esponenziale dei crimini informatici.

Secondo un rapporto dell’FBI, nel 2020 le vittime di cybercrimine negli Stati Uniti  hanno subito perdite finanziare per oltre 4,2 miliardi di dollari. In Europa, l’ENISA ha riportato che il costo stimato delle violazioni della sicurezza informatica per le organizzazioni europee ha superato i 400 miliardi nel 2020. Infine, secondo il report sulla sicurezza informatica di Cisco, il ransomware è diventato una delle minacce più comui e costose per le organizzazioni globali, con ingenti perdite finanziarie, stimare ad oltre 20 miliardi di dollari nel 2020.

 

ISO 27001:2022: evoluzione nella sicurezza delle informazioni

La versione aggiornata della norma ISO 27001:2022, pubblicata nel 2022, ha introdotto alcune modifiche che è opportuno conoscere al fine di mantenere un adeguato livello di sicurezza delle informazioni nel Sistema di Gestione della Sicurezza delle Informazioni. Sebbene le modifiche siano di entità moderata e non richiedano grandi stravolgimenti, si evidenziano alcune differenze da considerare.

In primo luogo, il tema della privacy è stato incluso nel nome della norma, che da “Information Technology – Security Techniques […]” diventa “Information security, cybersecurity and privacy protection […]”. I nuovi requisiti sono stati introdotti nella parte centrale della norma, tra cui l’obbligo di pianificare i cambiamenti a livello del Sistema di Gestione della Sicurezza delle Informazioni.

Un’altra importante modifica riguarda la riorganizzazione dei controlli dell’Allegato A, che passano da 114 a 93. Sono stati introdotti 11 nuovi controlli, 57 controlli sono stati accorpati, 1 controllo è stato diviso, 23 controlli sono stati rinominati e 35 controlli non hanno subito modifiche. La maggior parte delle variazioni riguarda la forma dei controlli piuttosto che la loro sostanza.

Le organizzazioni che hanno già un sistema certificato, fino a ottobre 2023 potranno subire audit in base alla versione 2013 o, su richiesta, alla ISO/IEC 27001:2022. A partire da ottobre 2023, tutti gli audit dovranno invece essere svolti in conformità alla nuova normativa.

Le organizzazioni che non hanno ancora un sistema certificato possono farlo con la versione ISO 27001:2013 entro ottobre, ma si suggerisce di valutare di implementare direttamente la nuova norma aggiornata.

 

ISO 27001 Lead Auditor: formazione ed opportunità professionali

Per diventare un Lead Auditor ISO 27001, è necessario acquisire competenze specifiche attraverso una formazione approfondita sulla norma ISO 27001.

AS&C Academy propone il corso di formazione online per diventare un Lead Auditor ISO 27001. Il corso fornisce le competenze necessarie per condurre audit interni ed esterni di un SGSI. I professionisti formati in questa area possono svolgere il ruolo di auditor interno o esterno, sviluppatore del sistema di gestione della sicurezza delle informazioni, consulente o responsabile della sicurezza delle informazioni.

 

Conclusioni

La sicurezza delle informazioni è una sfida critica per tutte le organizzazioni. La norma ISO 27001 fornisce un approccio strutturato e sistematico per la gestione della sicurezza delle informazioni, aiutando le organizzazioni a proteggere le informazioni sensibili e a ridurre i rischi di violazione della sicurezza delle informazioni. La formazione come ISO 27001 Lead Auditor può fornire competenze importanti per supportare l’implementazione e l’audit di un SGSI, oltre ad aumentare le opportunità di carriera e di crescita professionale.

 

sfondo cyber e lucchetto per pubblicità sicurezza delle informazioni ISO 27001

Il corso Lead Auditor ISO 27001 (+ ISO 27701) rilascia le competenze necessarie per eseguire audit di sicurezza delle informazioni in conformità allo standard ISO 27001:2022, e di gestione della privacy dei dati personali come da standard ISO 27701:2019.

Vai alla pagina del corso

Related Articles

News

Corsi – Eventi

Normative

Join our Newsletter

Join Our Newsletter

Vuoi rimanere aggiornato sulle ultime news, nuovi eventi e corsi?

Iscriviti adesso

Privacy

14 + 13 =

Follow Us

Tutte le newsNews IsoNormativeEventi