lunedì 27 settembre 2021

Novità sulla futura ISO/IEC 27001

Riassumo: a inizio 2022 sarà pubblicata la nuova ISO/IEC 27002 e il gruppo addetto alla redazione della ISO/IEC 27001 ha ragionato sui suoi impatti, visto che ci sarebbe stato un disallineamento tra i controlli della ISO/IEC 27002 e quelli dell'Annex A della ISO/IEC 27001.

La soluzione è stata trovata: sarà pubblicato un Amendment per cambiare solo l'Annex A:
- https://www.iso.org/standard/82873.html.

Le nuove norme saranno, si spera, disponibili nel primo trimestre del 2022. Però attenzione: mentre avremo una ISO/IEC 27002:2022, l'altra rimarrà ISO/IEC 27001:2013, visto che un amendment non comporta il cambio di versione. Non credo si creerà confusione, visto che la scelta dei controlli è comunque determinata dalla valutazione del rischio e non dal contenuto esatto dell'Annex A della norma.

I controlli veramente nuovi, poi, sono pochi e sono i seguenti:
A.06.1.6 Threat intelligence;
A.12.1.5 Information deletion
A.12.1.6 Data masking;
A.12.4.6 Monitoring activities
A.13.1.4 Web filtering.

Anzi: per ridurre il numero di controlli nella nuova versione, alcuni della precedente sono stati accorpati (per esempio quello sul trasporto dei supporti fisici e quello sulla messaggistica elettronica), mentre questi nuovi possono essere visti come casi particolari dei precedente (tranne forse quello sul data masking) e, quindi, alla fine il livello di dettaglio può essere considerato equivalente.

Nessun commento:

Posta un commento