🔐Sistemi di gestione per la sicurezza delle informazioni: standard ISO 27001 edizione 2022
📅 A novembre 2022 l’ISO ha rilasciato l’edizione 2022 dello standard ISO 27001: ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
📘 Lo standard è basato sulla High Level Structure (HLS) che caratterizza ormai ogni standard ISO sui sistemi di gestione (ISO Annex SL), HLS che prevede: contesto dell’organizzazione, leaderships, pianificazione, operatività, valutazione delle performance e miglioramento continuo.
🎯Mediante l’adozione di un sistema di gestione per la sicurezza delle informazioni in conformità allo standard ISO 27001 le Organizzazioni proteggono le informazioni più importanti per il loro business.
🎯Proteggere le informazioni significa perseguire gli obiettivi di confidenzialità, integrità e disponibilità mediante la protezione degli asset utilizzati per trattare le informazioni.
🔐 A questo scopo occorre costruire un solido perimetro di sicurezza per proteggere gli asset esposti ai rischi, Questo lo si ottiene implementando opportuni controlli operativi.
🎲La gestione per i rischi della sicurezza delle informazioni può essere indirizzata facendo riferimento alle linee guida dello standard ISO 31000.
🔐 L’Appendice A dello standard ISO 27001 elenca una serie di controlli operativi che l’Organizzazione può utilizzare per trattare i rischi.
Immagine 1 – i sistemi di gestione per la sicurezza delle informazioni ISO 27001.
📅 A novembre 2022 l’ISO ha rilasciato l’edizione 2022 dello standard ISO 27001: ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
📘 Lo standard è basato sulla High Level Structure (HLS) che caratterizza ormai ogni standard ISO sui sistemi di gestione (ISO Annex SL), HLS che prevede: contesto dell’organizzazione, leaderships, pianificazione, operatività, valutazione delle performance e miglioramento continuo.
🎯Mediante l’adozione di un sistema di gestione per la sicurezza delle informazioni in conformità allo standard ISO 27001 le Organizzazioni proteggono le informazioni più importanti per il loro business.
🎯Proteggere le informazioni significa perseguire gli obiettivi di confidenzialità, integrità e disponibilità mediante la protezione degli asset utilizzati per trattare le informazioni.
🔐 A questo scopo occorre costruire un solido perimetro di sicurezza per proteggere gli asset esposti ai rischi, Questo lo si ottiene implementando opportuni controlli operativi.
🎲La gestione per i rischi della sicurezza delle informazioni può essere indirizzata facendo riferimento alle linee guida dello standard ISO 31000.
🔐 L’Appendice A dello standard ISO 27001 elenca una serie di controlli operativi che l’Organizzazione può utilizzare per trattare i rischi.
Immagine 1 – i sistemi di gestione per la sicurezza delle informazioni ISO 27001.
📐 L’Appendice A dello standard ISO 27001:2022 è stato allineato allo standard ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls.
📘 Lo standard ISO 27002 individua 4 grandi gruppi (clausole o temi) di controlli operativi:
🔐 Organizational Controls (aspetti organizzativi)
🔐 People Controls (singolo individuo)
🔐 Physical Controls (oggetti ed aspetti fisici e ambientali)
🔐 Controlli Tecnologici (aspetti tecnologici)
Immagine 2- i controlli operativi dello standard ISO 27001
📘 Lo standard ISO 27002 individua 4 grandi gruppi (clausole o temi) di controlli operativi:
🔐 Organizational Controls (aspetti organizzativi)
🔐 People Controls (singolo individuo)
🔐 Physical Controls (oggetti ed aspetti fisici e ambientali)
🔐 Controlli Tecnologici (aspetti tecnologici)
Immagine 2- i controlli operativi dello standard ISO 27001
✅ Per ogni singolo controllo lo standard ISO 27002 individua cinque attributi che costituiscono differenti modi di vedere il controllo. In particolare sono definiti 5 diverse visualizzazioni che rappresentano diverse categorizzazioni dei controlli visti da diverse prospettive:
🔎 Control type (prospettiva di quando e come il controllo modifica il rischio)
🔎 Information security properties (prospettiva di integrità, disponibilità e riservatezza)
🔎 Cybersecurity concepts (prospettiva dell'associazione dei controlli alla sicurezza informatica)
🔎 Operational capabilities (prospettiva della operatività per la sicurezza delle informazioni)
🔎 Security domains (prospettiva di: governance, protezione, difesa, resilienza)
🔎 Control type (prospettiva di quando e come il controllo modifica il rischio)
🔎 Information security properties (prospettiva di integrità, disponibilità e riservatezza)
🔎 Cybersecurity concepts (prospettiva dell'associazione dei controlli alla sicurezza informatica)
🔎 Operational capabilities (prospettiva della operatività per la sicurezza delle informazioni)
🔎 Security domains (prospettiva di: governance, protezione, difesa, resilienza)