ISO/IEC 27001:2022

(Versione 1.1 – 5 dicembre 2022)

L’uscita della terza edizione della ISO/IEC 27001:2022 e della ISO/IEC 27002:2022 apre uno scenario di opportunità e cambiamenti per le aziende, certificate e non.
Per le aziende certificate inizia un Transition Period che si concluderà a ottobre 2025. In questo periodo le aziende già certificate dovranno rivedere il proprio Sistema di Gestione per la Sicurezza delle Informazioni per recepire i cambiamenti apportati alla norma e soprattutto la nuova organizzazione dei controlli nell’Annex A della norma. I nuovi controlli sono ora organizzati attraverso 5 attributi (definiti nella ISO/IEC 27002) che ne permettono una scelta ragionata a fronte delle strategie di business e di sicurezza delle informazioni dell’azienda.
Per le aziende non certificate nasce l’opportunità di adottare uno standard maturo e consolidato in oltre 15 anni di applicazione (la prima versione della ISO/IEC 27001 è del 2005) ed avviare un percorso di certificazione orientato ai nuovi temi della sicurezza delle informazioni.
Tra le maggiori novità apportate nell’ultima versione della ISO/IEC 27001 c’è sicuramente l’orientamento anche alle tematiche della Privacy, del Data Protection e della Cybersecurity.
Il rinnovamento recepisce quindi gli sviluppi del mercato cercando di orientare la norma verso un utilizzo più ampio della sicurezza delle informazioni.
Rexilience ha già avviato progetti sulla base dei nuovi standard, supportando aziende interessate alal prima certificazione e aziende che intendono convertire il proprio Sistema di Gestione per la Sicurezza delle Informazioni alla nuova versione della ISO/IEC 27001.
È stato inoltre sviluppato un set di servizi correlati a supporto di tali progetti:

  • assessment di sicurezza
  • gap analysis normativa
  • audit ISO/IEC 27001
  • sessioni di formazione sulla norma e sui controlli
  • sessioni di awareness tematici
  • pacchetti di consulenza personalizzati per la certificazione
  • integrazione della sicurezza delle informazioni con IT/OT cybersecurity
  • integrazione sistemi di gestione con diversi standard (ISO, NIST, IEEE, IEC ecc.)
  • integrazione della sicurezza delle informazioni con la business continuity (ISO 22301) e i servizi IT (ISO/IEC 20000-1), etc.

che vanno ad aggiungersi al catalogo dei servizi già presenti in Rexilience.

Fabrizio Cirilli
Senior Partner Rexilience
Membro di UNINFO UNI/CT 510 “Sicurezza Informatica” e di ISO/IEC JTC1 SC27/WG1