In arrivo la revisione di ISO/IEC 27001 e ISO/IEC 27002

29/05/2013

La nuova ISO/IEC 27001, la cui data di pubblicazione si stima che dovrebbe essere ottobre/novembre 2013, segue le nuove direttive definite dalla ISO e descritte nell’Annex SL delle ISO/IEC Directives Supplement di maggio 2012.

L’obiettivo dell’Annex SL è sostanzialmente l’allineamento di tutte le norme dei sistemi di gestione ad una medesima organizzazione dei contenuti avviando così di fatto il progetto di integrabilità concettuale degli schemi. L’integrabilità di fatto, sempre possibile in linea teorica, deve essere oggetto di valutazione da parte delle singole organizzazioni interessate, anche per individuare le migliori modalità applicabili.

Diamo ora una rapida occhiata ai contenuti della futura ISO/IEC 270012, espandendone i punti principali dell’indice:

Il contesto dell’organizzazione
o Capire l’organizzazione ed il suo contesto
o Comprendere le necessità e le aspettative delle parti interessate
o Determinare il campo di applicazione del sistema di gestione per la sicurezza delle
informazioni
o Sistema di gestione per la sicurezza delle informazioni
Guida e direzione (Leadership)
o Guida, direzione e impegno
o Politica
o Ruoli, responsabilità e poteri dell’organizzazione
Pianificazione
o Azioni per fronteggiare rischi e opportunità
- Valutazione del rischio relativo alla sicurezza delle informazioni
-Trattamento del rischio relativo alla sicurezza delle informazioni
o Obiettivi per la sicurezza delle informazioni e piani per conseguirli
Supporto
o Risorse
o Competenze
o Consapevolezza
o Comunicazione
o Informazioni documentate
 - Creazione e aggiornamento
 - Controllo delle informazioni documentate
Operatività
o Pianificazione e controllo operativo
o Valutazione del rischio relativo alla sicurezza delle informazioni
o Trattamento del rischio relativo alla sicurezza delle informazioni
Valutazione delle prestazioni
o Monitoraggio, misurazione, analisi e valutazione
o Audit interni
o Riesame della Direzione
Miglioramento
o Non conformità e azioni correttive
o Miglioramento continuo
Annex A
o Riferimenti alla ISO/IEC 27002
 
Si può quindi notare una nuova organizzazione delle tematiche con alcune novità.

A titolo di esempio: si parla di informazioni documentate e non più di procedure documentate e registrazioni, le azioni preventive sono state eliminate, perché incluse nelle “azioni per fronteggiare rischi e opportunità”, la valutazione e il trattamento del rischio sono presenti sia nella pianificazione del SGSI sia nella sua operatività.

Non è sicuro che l’eliminazione del concetto di azione preventiva possa essere del tutto un beneficio, ma l’attuazione efficace del sistema di gestione è di per sé la madre della prevenzione di qualsiasi possibile fattore di instabilità organizzativa.

Va evidenziato il forte richiamo alla comprensione del “contesto” nel quale opera l’organizzazione ed alle aspettative delle parti interessate, che dello stesso sistema possono essere le promotrici.

Con la precedente edizione della norma quest’aspetto era poco sviluppato, concentrando da subito l’attenzione in modo troppo immediato sui beni e sulle pratiche di gestione della sicurezza.
Oggi l’esigenza di definire le finalità, le opportunità ed i rischi relativi al sistema di gestione nel suo complesso, sia strategico aziendale, sia tecnico, risulta ben chiara e permetterà di focalizzare con maggiore efficacia ed efficienza lo sviluppo dei controlli di sicurezza non solo da un punto di vista tecnico, ma anche e soprattutto da un punto di vista organizzativo e gestionale.

A solo titolo di esempio, si segnala il caso della continuità operativa, che deve essere sì affrontato tecnicamente, ma
sulla base di precise scelte strategiche.

Ovviamente sono in fase di revisione anche la ISO/IEC 27000 e la ISO/IEC 27002 con la speranza di un’uscita contemporanea in modo da favorire l’aggiornamento simultaneo di tutti gli aspetti inerenti i sistemi di gestione per la sicurezza delle informazioni. In particolare la revisione della ISO/IEC 27002 si porterà dietro una nuova struttura dell’Annex A, con la conseguente necessità di rimodulare gli attuali SoA, che verrà comunque facilitata dalla presenza di un’apposita tabella di correlazione nella stessa ISO/IEC 27002.

Nel complesso gli attuali SGSI non dovranno essere completamente reingegnerizzati per soddisfare i nuovi requisiti, anche se saranno da un lato necessarie e dall’altro lato possibili delle modifiche significative a quanto attualmente implementato dalle diverse organizzazioni. (Fonte: UNINFO)