ISO/IEC 27001:2013

ISO/IEC 2700:2013
Principali modifiche e piano di transizione alla nuova edizione
© DNV Business Assurance. All rights reserved.
ISO/IEC 27001
 La norma ISO/IEC 27001, Information
technology - Security techniques Information security management systems Requirements, costituisce il riferimento per le
certificazioni del Sistema di Gestione della
Sicurezza delle Informazioni (SGSI).
 La certificazione ISO/IEC 27001 dimostra,
infatti, che il sistema di gestione della
sicurezza delle informazioni è stato verificato
ed è conforme allo standard di riferimento.
Inoltre prova che è stato fatto tutto il
necessario per minimizzare i rischi a cui
sono sottoposte le informazioni gestite.
 Il 1 ottobre 2013 è stata pubblicata la nuova
edizione della norma ISO/IEC 27001:2013.
© DNV Business Assurance. All rights reserved.
2
Relazione con altri standard ISO/IEC 27000
 Come per la precedente edizione, la ISO/IEC 27001:2013 rimane uno standard
che definisce i requisiti per stabilire, implementare, operare, monitorare,
revisionare, mantenere e migliorare il sistema di gestione della sicurezza delle
informazioni delle aziende; non contiene indicazioni o spiegazioni su come
affrontare e implementare tali requisiti.
 La ISO/IEC 27001 fa ora riferimento alla norma ISO/IEC 27000 come documento
normativo per i termini e le definizioni. Per incorporare i termini e le definizioni
della nuova strutturazione dei contenuti, la ISO/IEC 27000 è in fase di revisione,
che si prevede terminerà ad aprile 2014.
 Le altre norme della famiglia ISO/IEC 27000 sono linee guida e dovrebbero
allinearsi con la nuova edizione della ISO/IEC 27001:
- la norma ISO/IEC 27002:2013 è già stata pubblicata;
- le norme 27003 sull’implementazione, 27004 sulla misurazione e 27005 sulla gestione del
rischio, saranno verificate ed eventualmente revisionate per garantirne la coerenza.
© DNV Business Assurance. All rights reserved.
3
Disciplina comune e struttura della ISO/IEC 27001
© DNV Business Assurance. All rights reserved.
4
Standard ISO per i sistemi di gestione
 Lo standard ISO/IEC 27001:2013 segue le nuove direttive definite dalla ISO e descritte
nell’Annex SL delle ISO/IEC Directives Supplement di maggio 2012, che prevedono una
struttura comune tra le norme ISO oltre a testo e definizioni comuni.
 Tali direttive sono applicabili per i nuovi standard e per le prossime revisioni degli standard
esistenti.
 Lo scopo principale dell’Annex SL è l’allineamento di tutte le norme dei sistemi di gestione
ad una medesima organizzazione dei contenuti.
 Gli obiettivi chiave sono:
- la standardizzazione e l’efficacia nello sviluppo delle norme per i Comitati Tecnici ISO;
- l’avanzato allineamento e compatibilità degli standard, utile per le organizzazioni che
implementano un sistema di gestione integrato.
© DNV Business Assurance. All rights reserved.
5
Revisione ISO/IEC 27001 - SGSI
Di seguito il confronto tra le strutture delle due versioni con indicazione, in blu, delle parti che
hanno subito revisioni.
27001:2005 (precedente)
 Introduzione
1. Scopo
2. Riferimenti normativi
3. Termini e definizioni
4. Sistema di gestione per la sicurezza delle
informazioni
5. Responsabilità della direzione
6. Audit interni del SGSI
7. Riesame del SGSI da parte della direzione
8. Miglioramento del SGSI
 Annex A (normativa) obiettivi di controllo e
controlli
 Annex B (informativo) i principi dell’OEDC e
la presente norma internazionale
 Annex C (informativo) Corrispondenza tra ISO
9001:2008, ISO 14001:2004 e questo standard
internazionale
© DNV Business Assurance. All rights reserved.
27001:2013 (nuova)
 Introduzione
1. Scopo
2. Riferimenti normativi
3. Termini e definizioni
4. Il contesto dell’organizzazione
5. Guida e direzione (Leadership)
6. Pianificazione
7. Supporto
8. Operatività
9. Valutazioni delle prestazioni
10. Miglioramento
 Annex A (normativa)
Riferimento a obiettivi di controllo e controlli
6
Principali Cambiamenti
(rispetto all’edizione del 2005)
© DNV Business Assurance. All rights reserved.
7
Nuova edizione: cambiamenti principali
Di seguito i due principali cambiamenti della norma ISO/IEC 27001:2013, rispetto
all'edizione del 2005.
 La norma è stata adeguata alla struttura comune per gli standard ISO dei sistemi
di gestione che ha comportato un’ampia modifica della struttura e
dell'organizzazione del testo oltre al rafforzamento di alcuni elementi relativi al
contesto dell’organizzazione (4.1 e 4.2), alla leadership (5.), ed altri elementi
descritti nelle successive pagine.
 Per quanto riguarda l’insieme dei controlli, descritto nell’ Annex A di entrambe le
edizioni, c’è stato un consolidamento e una "pulizia" della lista.
© DNV Business Assurance. All rights reserved.
8
Principali cambiamenti
derivanti dall’ adeguamento alla struttura comune
4. Il contesto dell’organizzazione
I punti 4.1 e 4.2 rappresentano un’ approccio più sistematico per determinare e acquisire la
conoscenza dei fattori che influenzano la situazione di rischio.
 4.1 Capire l’organizzazione ed il suo contesto
L'organizzazione deve individuare i problemi interni ed esterni rilevanti per il suo scopo e che
influenzano la capacità di ottenere il risultato desiderato dal sistema di gestione della
sicurezza delle informazioni.
 4.2 Comprendere le necessità e le aspettative delle parti interessate
L’organizzazione dovrebbe determinare quali sono le parti interessate rilevanti per il sistema
di gestione della sicurezza delle informazioni e le necessità e aspettative di tali parti
interessate che potrebbero includere requisiti legali e normativi, oltre agli obblighi
contrattuali.
© DNV Business Assurance. All rights reserved.
9
Principali cambiamenti
derivanti dall’ adeguamento alla struttura comune
5.1 Guida, direzione e impegno
 Sebbene con lo stesso intento dell'edizione del 2005, i requisiti per la leadership e l'impegno di
gestione sono stati estesi e rafforzati attraverso i requisiti della disciplina comune.
 In generale, questo punto fornisce una chiara aspettativa sul coinvolgimento del top management
al fine di garantire un sistema di gestione efficiente che raggiungere i risultati previsti.
 Il sistema di gestione deve essere parte integrante dei processi, con l'obiettivo di sostenere il
raggiungimento degli obiettivi, strategici e operativi, delle organizzazioni.
6.2 Obiettivi per la sicurezza delle informazioni e piani per conseguirli
 Sono stati rafforzati i requisiti relativi alla pianificazione per il raggiungimento degli obiettivi stabiliti
infatti, per ogni obiettivo, occorre stabilire:
- cosa fare;
- quali sono le risorse necessarie;
- le responsabilità;
- quando completare le azioni;
- come valutare i risultati.
© DNV Business Assurance. All rights reserved.
10
Principali cambiamenti
derivanti dall’ adeguamento alla struttura comune
7.4 Comunicazione
 Si tratta di un nuovo requisito rispetto alla precedente edizione del 2005 e prevede che
l’organizzazione stabilisca, in riferimento alle comunicazioni interne ed esterne pertinenti al sistema
di gestione della sicurezza delle informazioni:
- ciò che comunicherà;
- quando comunicare;
- con chi comunicare;
- chi deve comunicare;
- i processi attraverso i quali la comunicazione sarà effettuata.
9.1 Valutazione delle prestazioni
 Mentre l'edizione del 2005 era più focalizzata su cosa monitorare e riesaminare, la nuova edizione
della norma ISO/IEC 27001 ha esteso i requisiti determinando:
- quando effettuare il monitoraggio e la misurazione;
- quando analizzare e valutare i risultati del monitoraggio e delle misurazioni;
- chi deve analizzare e valutare i risultati.
 La nuova edizione, inoltre, richiede informazioni documentate piuttosto che procedure documentate
e registrazioni, come prova dei risultati di monitoraggio e di misurazione.
© DNV Business Assurance. All rights reserved.
11
Principali cambiamenti
riguardanti l’insieme dei controlli
 L’Annex A, relativo agli obblighi di controllo,
è stato allineato con la revisione della
norma ISO/IEC 27002.
 L’insieme dei controlli di sicurezza sono
simili ma diversi da quelli dell’edizione del
2005, in quanto alcuni controlli sono stati
eliminati, altri aggiunti e quasi tutti riscritti
per aggiungere approfondimenti e
razionalizzarli.
 Il risultato è stato un aumento dei principali
punti che è passato da 11 a 14 ed una
riduzione del numero di controlli da 133 a
113.
© DNV Business Assurance. All rights reserved.
12
Principali cambiamenti
riguardanti l’insieme dei controlli
Alcuni ulteriori cambiamenti riguardano:
 l’allineamento alla ISO 31000 per la gestione del rischio;
 le azioni preventive sono state eliminate perché incluse nelle ‟azioni per
fronteggiare rischi e opportunitàˮ, in quanto lo standard del sistema di gestione per
la sicurezza delle informazioni è una misura preventiva e in gran parte basata su
un approccio di gestione del rischio;
 non è più presente un riferimento esplicito al modello PDCA (Plan, Do, Check,
Act). Tuttavia, la struttura comune supporta ancora un approccio di gestione
ciclico secondo tale modello.
© DNV Business Assurance. All rights reserved.
13
Piano di transizione
L'International Accreditation Forum (IAF) ha emesso le seguenti regole per la transizione alla
nuova versione, recepite da DNV Business Assurance nel suo piano di transizione.
 La norma ISO/IEC 27001:2013 sostituisce la ISO/IEC 27001:2005 che è stata
contestualmente ritirata, ma che continua a valere nel periodo di transizione, della durata di
24 mesi dalla data di ritiro.
 Secondo quanto stabilito dal piano di transizione di DNV Business Assurance e da
ACCREDIA, la transizione può essere fatta, entro il 1 ottobre 2015, durante qualsiasi attività
ri-certificativa o periodica.
 Se la transizione viene effettuata durante un'attività di ri-certificazione:
- la validità del certificato è di 3 anni dalla data di scadenza del certificato ISO/IEC
27001:2005;
- non sono previsti costi aggiuntivi per la transizione.
 Se invece la transizione viene effettuata durante un'attività periodica:
- la validità del certificato sarà in linea con la validità del certificato ISO/IEC 27001:2005;
- sono previsti costi aggiuntivi per la transizione.
© DNV Business Assurance. All rights reserved.
14
Cosa si richiede ai nostri clienti certificati
 Poiché le modifiche sono estese è necessario che le organizzazioni le
preparino e le attuino prima dell’audit di transizione.
 Questo perché, durante l’attività di transizione, DNV Business Assurance
valuterà che i clienti certificati siano consapevoli dei cambiamenti e che
tali cambiamenti siano stati incorporati e attuati nei loro sistemi di
gestione della sicurezza delle informazioni.
 E’ possibile condurre il processo di transizione durante qualsiasi verifica,
ma è preferibile, se possibile, effettuarla nel corso di una verifica di
ri-certificazione.
© DNV Business Assurance. All rights reserved.
Slide 15
www.dnvba.com
© DNV Business Assurance. All rights reserved.
16

Download Report