Riassumo: a inizio 2022 sarà pubblicata la nuova ISO/IEC 27002 e il gruppo
addetto alla redazione della ISO/IEC 27001 ha ragionato sui suoi impatti,
visto che ci sarebbe stato un disallineamento tra i controlli della ISO/IEC
27002 e quelli dell'Annex A della ISO/IEC 27001.
La soluzione è stata trovata: sarà pubblicato un Amendment per cambiare solo
l'Annex A:
- https://www.iso.org/standard/82873.html.
Le nuove norme saranno, si spera, disponibili nel primo trimestre del 2022.
Però attenzione: mentre avremo una ISO/IEC 27002:2022, l'altra rimarrà
ISO/IEC 27001:2013, visto che un amendment non comporta il cambio di
versione. Non credo si creerà confusione, visto che la scelta dei controlli
è comunque determinata dalla valutazione del rischio e non dal contenuto
esatto dell'Annex A della norma.
I controlli veramente nuovi, poi, sono pochi e sono i seguenti:
A.06.1.6 Threat intelligence;
A.12.1.5 Information deletion
A.12.1.6 Data masking;
A.12.4.6 Monitoring activities
A.13.1.4 Web filtering.
Anzi: per ridurre il numero di controlli nella nuova versione, alcuni della
precedente sono stati accorpati (per esempio quello sul trasporto dei
supporti fisici e quello sulla messaggistica elettronica), mentre questi nuovi possono essere visti come casi particolari dei precedente (tranne
forse quello sul data masking) e, quindi, alla fine il livello di dettaglio
può essere considerato equivalente.
Nessun commento:
Posta un commento