ISO/IEC 27001:2022

PERCHE' OTTENERE UNA CERTIFICAZIONE ISO 27001:2022

La ISO/IEC 27001:2022  è lo standard internazionale che stabilisce le linee guida per un efficace sistema di gestione della sicurezza delle informazioni (ISMS), denominato detto SGSI, in italiano. Ottenere una certificazione ISO 27001:2022 accredita che la tua azienda segue le migliori pratiche in materia di sicurezza delle informazioni.

Questa certificazione fornisce una prova tangibile che la tua azienda adotta le migliori pratiche nel campo della sicurezza delle informazioni. Dimostra che la tua organizzazione gestisce la sicurezza delle informazioni in conformità con gli standard internazionali e gli obiettivi aziendali, offrendo un controllo indipendente e qualificato sulla gestione della sicurezza delle informazioni

L'Annex A costituisce un elemento chiave, poiché contiene i 114 controlli o contromisure che l'organizzazione deve rispettare per conformarsi alla norma. Questi controlli riguardano diversi aspetti, tra cui:
  1. Politica e organizzazione per la sicurezza delle informazioni.
  2. Gestione delle risorse umane in relazione alla sicurezza.
  3. Controllo degli asset informativi.
  4. Gestione degli accessi logici.
  5. Utilizzo della crittografia.
  6. Sicurezza fisica e ambientale.
  7. Sicurezza delle attività operative.
  8. Sicurezza delle comunicazioni.
  9. Gestione della sicurezza delle applicazioni.
  10. Collaborazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni.
  11. Gestione degli incidenti relativi alla sicurezza delle informazioni.
  12. Continuità operativa del business.
  13. Conformità normativa.

Cosa succede se ottieni la certificazione ISO 27001:2022?

Aggiornamento ISO/IEC 27001:2022

La ISO/IEC 27001:2022, in linea con le richieste del GDPR, si configura come un solido strumento di accountability. Gli specifici controlli della norma, alcuni dei quali direttamente mirati alla protezione dei dati personali, riflettono questa impostazione.

L’ultimo aggiornamento ha introdotto 93 controlli distinti, raggruppati in 4 categorie principali:

A.5 – Controlli organizzativi; A.6 – Controlli fisici; A.7 – Personale; A.8 – Controlli tecnologici.

Questi controlli, associati a 5 attributi differenti, sono etichettati in base al tipo di controllo, alle proprietà della sicurezza delle informazioni, ai concetti di sicurezza informatica, alle capacità operative e ai domini di sicurezza. La struttura (ISO/IEC 27002:2022) prende in considerazione tipologie di controllo (prevenzione, rilevamento, correzione), proprietà (riservatezza, integrità, disponibilità) e linee guida per lo sviluppo di un framework per la cybersecurity (ISO IEC 27110), basato sul NIS2 (Identificazione, Protezione, Rilevamento, Risposta, Recupero).