ISO 27001:2022 — Cosa cambia
La nuova versione della ISO 27001, pubblicata nell'ottobre 2022, aggiorna lo standard internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS). Le organizzazioni certificate devono completare la transizione entro il 31 ottobre 2025.
Le principali novità
I cambiamenti riguardano sia il corpo principale dello standard sia l'Annex A:
- Clausola 4.2: necessità di identificare le parti interessate rilevanti per l'ISMS
- Clausola 6.3: nuovo requisito per la pianificazione dei cambiamenti
- Clausola 8.1: requisiti più espliciti per la pianificazione operativa
Annex A: da 114 a 93 controlli
L'Annex A è stato completamente ristrutturato, passando da 14 categorie a 4 temi:
- Organizzativi (37 controlli): governance, policy, ruoli, responsabilità
- Persone (8 controlli): screening, formazione, responsabilità post-impiego
- Fisici (14 controlli): sicurezza degli uffici, protezione degli asset
- Tecnologici (34 controlli): gestione degli accessi, crittografia, sviluppo sicuro
I nuovi controlli introdotti
La versione 2022 introduce 11 controlli completamente nuovi:
- Threat intelligence (A.5.7)
- Sicurezza delle informazioni per l'uso dei servizi cloud (A.5.23)
- Preparazione ICT per la continuità operativa (A.5.30)
- Monitoraggio della sicurezza fisica (A.7.4)
- Configuration management (A.8.9)
- Information deletion (A.8.10)
- Data masking (A.8.11)
- Data Leakage Prevention (A.8.12)
- Attività di monitoraggio (A.8.16)
- Web filtering (A.8.23)
- Secure coding (A.8.28)
Gestire la ISO 27001 con GAPOFF
GAPOFF include tutti i 93 controlli dell'Annex A aggiornati alla versione 2022, con Statement of Applicability (SoA) automatico, gestione delle evidenze documentali, registro dei rischi e pianificazione degli audit interni. Il cross-mapping con NIS2 e GDPR evita duplicazioni e ottimizza l'effort di compliance.
Gestisci la ISO 27001 con GAPOFF