EFI BLOG

I sistemi di gestione per la sicurezza delle informazioni ISO 27001

🔐Sistemi di gestione per la sicurezza delle informazioni: standard ISO 27001 edizione 2022

📅 A novembre 2022 l’ISO ha rilasciato l’edizione 2022 dello standard ISO 27001: ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements.

📘 Lo standard è basato sulla High Level Structure (HLS) che caratterizza ormai ogni standard ISO sui sistemi di gestione (ISO Annex SL), HLS che prevede: contesto dell’organizzazione, leaderships, pianificazione, operatività, valutazione delle performance e miglioramento continuo.

🎯Mediante l’adozione di un sistema di gestione per la sicurezza delle informazioni in conformità allo standard ISO 27001 le Organizzazioni proteggono le informazioni più importanti per il loro business.

🎯Proteggere le informazioni significa perseguire gli obiettivi di confidenzialità, integrità e disponibilità mediante la protezione degli asset utilizzati per trattare le informazioni.

🔐 A questo scopo occorre costruire un solido perimetro di sicurezza per proteggere gli asset esposti ai rischi, Questo lo si ottiene implementando opportuni controlli operativi.

🎲La gestione per i rischi della sicurezza delle informazioni può essere indirizzata facendo riferimento alle linee guida dello standard ISO 31000.

🔐 L’Appendice A dello standard ISO 27001 elenca una serie di controlli operativi che l’Organizzazione può utilizzare per trattare i rischi.

Immagine 1 – i sistemi di gestione per la sicurezza delle informazioni ISO 27001.
📐 L’Appendice A dello standard ISO 27001:2022 è stato allineato allo standard ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls.

📘 Lo standard ISO 27002 individua 4 grandi gruppi (clausole o temi) di controlli operativi:

🔐 Organizational Controls (aspetti organizzativi)

🔐 People Controls (singolo individuo)

🔐 Physical Controls (oggetti ed aspetti fisici e ambientali)

🔐 Controlli Tecnologici (aspetti tecnologici)

Immagine 2- i controlli operativi dello standard ISO 27001

✅ Per ogni singolo controllo lo standard ISO 27002 individua cinque attributi che costituiscono differenti modi di vedere il controllo. In particolare sono definiti 5 diverse visualizzazioni che rappresentano diverse categorizzazioni dei controlli visti da diverse prospettive:

🔎 Control type (prospettiva di quando e come il controllo modifica il rischio)

🔎 Information security properties (prospettiva di integrità, disponibilità e riservatezza)

🔎 Cybersecurity concepts (prospettiva dell'associazione dei controlli alla sicurezza informatica)

🔎 Operational capabilities (prospettiva della operatività per la sicurezza delle informazioni)

🔎 Security domains (prospettiva di: governance, protezione, difesa, resilienza)
2023-05-28 13:38