ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Transcript

1 ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione

2 ISO/IEC La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems - Requirements, costituisce il riferimento per le certificazioni del Sistema di Gestione della Sicurezza delle Informazioni (SGSI). La certificazione ISO/IEC dimostra, infatti, che il sistema di gestione della sicurezza delle informazioni è stato verificato ed è conforme allo standard di riferimento. Inoltre prova che è stato fatto tutto il necessario per minimizzare i rischi a cui sono sottoposte le informazioni gestite. Il 1 ottobre 2013 è stata pubblicata la nuova edizione della norma ISO/IEC 27001:

3 Relazione con altri standard ISO/IEC Come per la precedente edizione, la ISO/IEC 27001:2013 rimane uno standard che definisce i requisiti per stabilire, implementare, operare, monitorare, revisionare, mantenere e migliorare il sistema di gestione della sicurezza delle informazioni delle aziende; non contiene indicazioni o spiegazioni su come affrontare e implementare tali requisiti. La ISO/IEC fa ora riferimento alla norma ISO/IEC come documento normativo per i termini e le definizioni. Per incorporare i termini e le definizioni della nuova strutturazione dei contenuti, la ISO/IEC è in fase di revisione, che si prevede terminerà ad aprile Le altre norme della famiglia ISO/IEC sono linee guida e dovrebbero allinearsi con la nuova edizione della ISO/IEC 27001: - la norma ISO/IEC 27002:2013 è già stata pubblicata; - le norme sull implementazione, sulla misurazione e sulla gestione del rischio, saranno verificate ed eventualmente revisionate per garantirne la coerenza. 3

4 Disciplina comune e struttura della ISO/IEC

5 Standard ISO per i sistemi di gestione Lo standard ISO/IEC 27001:2013 segue le nuove direttive definite dalla ISO e descritte nell Annex SL delle ISO/IEC Directives Supplement di maggio 2012, che prevedono una struttura comune tra le norme ISO oltre a testo e definizioni comuni. Tali direttive sono applicabili per i nuovi standard e per le prossime revisioni degli standard esistenti. Lo scopo principale dell Annex SL è l allineamento di tutte le norme dei sistemi di gestione ad una medesima organizzazione dei contenuti. Gli obiettivi chiave sono: - la standardizzazione e l efficacia nello sviluppo delle norme per i Comitati Tecnici ISO; - l avanzato allineamento e compatibilità degli standard, utile per le organizzazioni che implementano un sistema di gestione integrato. 5

6 Revisione ISO/IEC SGSI Di seguito il confronto tra le strutture delle due versioni con indicazione, in blu, delle parti che hanno subito revisioni :2005 (precedente) Introduzione 1. Scopo 2. Riferimenti normativi 3. Termini e definizioni 4. Sistema di gestione per la sicurezza delle informazioni 5. Responsabilità della direzione 6. Audit interni del SGSI 7. Riesame del SGSI da parte della direzione 8. Miglioramento del SGSI Annex A (normativa) obiettivi di controllo e controlli Annex B (informativo) i principi dell OEDC e la presente norma internazionale Annex C (informativo) Corrispondenza tra ISO 9001:2008, ISO 14001:2004 e questo standard internazionale 27001:2013 (nuova) Introduzione 1. Scopo 2. Riferimenti normativi 3. Termini e definizioni 4. Il contesto dell organizzazione 5. Guida e direzione (Leadership) 6. Pianificazione 7. Supporto 8. Operatività 9. Valutazioni delle prestazioni 10. Miglioramento Annex A (normativa) Riferimento a obiettivi di controllo e controlli 6

7 Principali Cambiamenti (rispetto all edizione del 2005) 7

8 Nuova edizione: cambiamenti principali Di seguito i due principali cambiamenti della norma ISO/IEC 27001:2013, rispetto all'edizione del La norma è stata adeguata alla struttura comune per gli standard ISO dei sistemi di gestione che ha comportato un ampia modifica della struttura e dell'organizzazione del testo oltre al rafforzamento di alcuni elementi relativi al contesto dell organizzazione (4.1 e 4.2), alla leadership (5.), ed altri elementi descritti nelle successive pagine. Per quanto riguarda l insieme dei controlli, descritto nell Annex A di entrambe le edizioni, c è stato un consolidamento e una "pulizia" della lista. 8

9 Principali cambiamenti derivanti dall adeguamento alla struttura comune 4. Il contesto dell organizzazione I punti 4.1 e 4.2 rappresentano un approccio più sistematico per determinare e acquisire la conoscenza dei fattori che influenzano la situazione di rischio. 4.1 Capire l organizzazione ed il suo contesto L'organizzazione deve individuare i problemi interni ed esterni rilevanti per il suo scopo e che influenzano la capacità di ottenere il risultato desiderato dal sistema di gestione della sicurezza delle informazioni. 4.2 Comprendere le necessità e le aspettative delle parti interessate L organizzazione dovrebbe determinare quali sono le parti interessate rilevanti per il sistema di gestione della sicurezza delle informazioni e le necessità e aspettative di tali parti interessate che potrebbero includere requisiti legali e normativi, oltre agli obblighi contrattuali. 9

10 Principali cambiamenti derivanti dall adeguamento alla struttura comune 5.1 Guida, direzione e impegno Sebbene con lo stesso intento dell'edizione del 2005, i requisiti per la leadership e l'impegno di gestione sono stati estesi e rafforzati attraverso i requisiti della disciplina comune. In generale, questo punto fornisce una chiara aspettativa sul coinvolgimento del top management al fine di garantire un sistema di gestione efficiente che raggiungere i risultati previsti. Il sistema di gestione deve essere parte integrante dei processi, con l'obiettivo di sostenere il raggiungimento degli obiettivi, strategici e operativi, delle organizzazioni. 6.2 Obiettivi per la sicurezza delle informazioni e piani per conseguirli Sono stati rafforzati i requisiti relativi alla pianificazione per il raggiungimento degli obiettivi stabiliti infatti, per ogni obiettivo, occorre stabilire: - cosa fare; - quali sono le risorse necessarie; - le responsabilità; - quando completare le azioni; - come valutare i risultati. 10

11 Principali cambiamenti derivanti dall adeguamento alla struttura comune 7.4 Comunicazione Si tratta di un nuovo requisito rispetto alla precedente edizione del 2005 e prevede che l organizzazione stabilisca, in riferimento alle comunicazioni interne ed esterne pertinenti al sistema di gestione della sicurezza delle informazioni: - ciò che comunicherà; - quando comunicare; - con chi comunicare; - chi deve comunicare; - i processi attraverso i quali la comunicazione sarà effettuata. 9.1 Valutazione delle prestazioni Mentre l'edizione del 2005 era più focalizzata su cosa monitorare e riesaminare, la nuova edizione della norma ISO/IEC ha esteso i requisiti determinando: - quando effettuare il monitoraggio e la misurazione; - quando analizzare e valutare i risultati del monitoraggio e delle misurazioni; - chi deve analizzare e valutare i risultati. La nuova edizione, inoltre, richiede informazioni documentate piuttosto che procedure documentate e registrazioni, come prova dei risultati di monitoraggio e di misurazione. 11

12 Principali cambiamenti riguardanti l insieme dei controlli L Annex A, relativo agli obblighi di controllo, è stato allineato con la revisione della norma ISO/IEC L insieme dei controlli di sicurezza sono simili ma diversi da quelli dell edizione del 2005, in quanto alcuni controlli sono stati eliminati, altri aggiunti e quasi tutti riscritti per aggiungere approfondimenti e razionalizzarli. Il risultato è stato un aumento dei principali punti che è passato da 11 a 14 ed una riduzione del numero di controlli da 133 a

13 Principali cambiamenti riguardanti l insieme dei controlli Alcuni ulteriori cambiamenti riguardano: l allineamento alla ISO per la gestione del rischio; le azioni preventive sono state eliminate perché incluse nelle azioni per fronteggiare rischi e opportunitàˮ, in quanto lo standard del sistema di gestione per la sicurezza delle informazioni è una misura preventiva e in gran parte basata su un approccio di gestione del rischio; non è più presente un riferimento esplicito al modello PDCA (Plan, Do, Check, Act). Tuttavia, la struttura comune supporta ancora un approccio di gestione ciclico secondo tale modello. 13

14 Piano di transizione L'International Accreditation Forum (IAF) ha emesso le seguenti regole per la transizione alla nuova versione, recepite da DNV Business Assurance nel suo piano di transizione. La norma ISO/IEC 27001:2013 sostituisce la ISO/IEC 27001:2005 che è stata contestualmente ritirata, ma che continua a valere nel periodo di transizione, della durata di 24 mesi dalla data di ritiro. Secondo quanto stabilito dal piano di transizione di DNV Business Assurance e da ACCREDIA, la transizione può essere fatta, entro il 1 ottobre 2015, durante qualsiasi attività ri-certificativa o periodica. Se la transizione viene effettuata durante un'attività di ri-certificazione: - la validità del certificato è di 3 anni dalla data di scadenza del certificato ISO/IEC 27001:2005; - non sono previsti costi aggiuntivi per la transizione. Se invece la transizione viene effettuata durante un'attività periodica: - la validità del certificato sarà in linea con la validità del certificato ISO/IEC 27001:2005; - sono previsti costi aggiuntivi per la transizione. 14

15 Cosa si richiede ai nostri clienti certificati Poiché le modifiche sono estese è necessario che le organizzazioni le preparino e le attuino prima dell audit di transizione. Questo perché, durante l attività di transizione, DNV Business Assurance valuterà che i clienti certificati siano consapevoli dei cambiamenti e che tali cambiamenti siano stati incorporati e attuati nei loro sistemi di gestione della sicurezza delle informazioni. E possibile condurre il processo di transizione durante qualsiasi verifica, ma è preferibile, se possibile, effettuarla nel corso di una verifica di ri-certificazione. Slide 15

16 16