La nuova versione della ISO 27001

27/09/2013

ISO/IEC 27001:2013 è stata pubblicata il 25 settembre 2013. Quali sono le differenze principali tra l'edizione 2013 e la 2005?

L'edizione 2013 della norma è sostanzialmente diversa dall'edizione 2005.

È stata infatti sviluppata utilizzando l'allegato SL delle direttive ISO, che forniscono  un approccio e struttura comune per gli standard dei sistemi di gestione (già adottato dalla ISO 22301 sulla Business Continuity che è stata la prima a farlo).

Per questo la nuova norma  si presta più facilmente all’ integrazione con altre norme sui Sistemi di Gestione.

Inoltre, l’edizione 2005 dello standard specifica  il ciclo  PDCA  come metodo per sviluppare e migliorare continuamente un Sistema di Gestione della Sicurezza delle Informazioni, mentre l'edizione del 2013 non si occupa di questo approccio consentendo di utilizzare sia PDCA o altri approcci e comunque indirizzati al miglioramento continuo.

I termini e le definizioni presenti nell'edizione 2005 dello standard sono stati rimossi , e inseriti invece nella ISO/IEC 27000 che diventa riferimento come fonte di termini e definizioni  per tutta la famiglia ISO/IEC 27XXX .

Nella ISO/IEC 27001:2013 vi è una maggiore attenzione alla definizione degli obiettivi , la valutazione delle prestazioni e metriche.
Inoltre, i requisiti di valutazione del rischio nella norma sono meno prescrittivi e sono allineati alla norma ISO 31000 - lo standard internazionale per la gestione del rischio.

I requisiti per l'impegno del management sono stati revisionati e sono in gran parte contenuti nella clausola di Leadership.

Inoltre, i requisiti per la dichiarazione di applicabilità (SOA) sono stati migliorati, e il processo di trattamento del rischio rende più facile l'adozione di framework di controllo (es. COBIT® )  oltre a quelli proposti nell'allegato A.

Infine, l'allegato B è stato eliminato,mentre  l'allegato A è stato rivisto e ristrutturato allineato con la nuova ISO/IEC 27002:2013 pubblicata nello stesso giorno. 

Ora ci sono 35 obiettivi di controllo, 114 controlli in 14 aree/categorie a differenza dei 133 controlli in 11 aree/categorie dell’edizione 2005.
_______________________________________________________________________________________________

CSQA organizza due incontri di aggiornamento sulle novità introdotte dalla nuova ISO/IEC 27001:2013, nello specifico:
 
ISO 27001/2013 - SEMINARIO TECNICO PER AZIENDE E CONSULENTI
 
Thiene, 24 ottobre
 Roma, 6 novembre
 
ISO 27001/2013 - CORSO DI AGGIORNAMENTO PER AUDITOR
Valido ai fini dell’aggiornamento della qualifica
 
Thiene, 29 ottobre
Roma, 7 novembre