Rif. Draft International Standard (DIS)

Aspettando la nuova ISO 27001 Rif. Draft International Standard (DIS) Laura Schiavon, Client Manager BSI Copyright 2012 BSI. All rights reserved.

Indice Chi è BSI? Stato t dell arte ISO/IEC 27001 e 27002: l evoluzione Crescita globale della certificazione La serie ISO/IEC 27000 Struttura della ISO/IEC 27001 DIS Principali differenze Transizione Copyright 2012 BSI. All rights reserved. 2

Who is BSI? Copyright 2012 BSI. All rights reserved. 3

ISO/IEC 27001 e 27002: l evoluzione BS 7799: 1995 ISO/IEC ISO/IEC 17799:2000 17799:2005 ISO/IEC 27002 BS 7799-1:1999 Revised in UK 1999: UK committee decision to submit to ISO fast-track track Normal revision cycle in ISO International committee decision to change number 1995 BS 7799-2:1999 2000 2005 2007 Developed to support 2004: UK Decision certification made to submit to ISO Fast-track ISO/IEC 27001:2005 Copyright 2012 BSI. All rights reserved. 4

Stato dell arte ISO 27001:2005 è in corso di revisione Il 16 gennaio 2013 è stato t rilasciato i dal National Standards d Bodies un Draft International Standard (DIS) Le consultazioni si sono concluse il 23 marzo 2013 La commissione ISO in Aprile 2013 ha emesso le necessarie delibere Seguirà un secondo DIS denominato FDIS (Final) La pubblicazione è attesa entro la fine del 2013 Copyright 2012 BSI. All rights reserved. 5

Crescita globale della certificazione of Certi ificates Number 20000 18000 16000 14000 12000 10000 8000 6000 4000 2000 0 12% 21% 40% 2006 2007 2008 2009 2010 2011 Copyright 2012 BSI. All rights reserved. 6

La serie ISO/IEC 27000 Standard Published ISO/IEC 27000 - Overview and vocabulary 2012 ISO/IEC 27001 - Information security management systems - Requirements 2005 ISO/IEC 27002 - Code of practice for Information security management 2005 ISO/IEC 27003 - ISMS implementation guidance 2010 ISO/IEC 27004 - Information security management - Measurement 2009 ISO/IEC 27005 - Information security risk management 2011 ISO/IEC 27006 - Guidance to Certification Bodies 2011 ISO/IEC 27007 - Guidelines for ISMS auditing 2011 ISO/IEC 27008 - Guidelines for auditors on information security controls 2011 ISO/IEC 27010 - Guidance for inter-sector and inter-organizational communications 2012 ISO/IEC 27011 - Guidance to telecommunications 2008 Copyright 2012 BSI. All rights reserved. 7

La serie ISO/IEC 27000 Standard ISO/IEC 27013 Guidelines on the integrated implementation of ISO/IEC 27001 & ISO 20000-1 ISO/IEC 27014 Governance of information security ISO/IEC 27015 Information security management guidelines for financial services ISO/IEC 27016 Information security management organizational economics ISO/IEC 27017 Information security in cloud computing (relevant controls in 27001) ISO/IEC 27018 Information security in cloud computing (relevant controls in 27001 DP/Privacy) ISO/IEC 27031 - Guidelines for ICT readiness for business continuity ISO/IEC 27032 Guidelines for cyber security ISO/IEC 27033 - Security Techniques, Network Security (3 part standard) ISO/IEC 27034 - Guidelines for application security (6 part standard) Published 2012 2012 2011 2012 2009/10/11 2011/ Copyright 2012 BSI. All rights reserved. 8

La serie ISO/IEC 27000 Standard ISO/IEC 27035 Information security management (3 part standard) ISO/IEC 27036 Information security for supplier relationships (4 part standard) ISO/IEC 27037 Guidelines for identification, collection, acquisition and presentation of digital evidence ISO/IEC 27038 Specification for digital redaction ISO/IEC 27039 Selection, deployment and operations of intrusion detection and prevention systems ISO/IEC 27040 Storage security ISO/IEC 27041 Guidance on assuring suitability and adequacy of investigative measures ISO/IEC 27042 Guidelines for the analysis and interpretation of digital evidence ISO/IEC 27043 Investigation principles and processes ISO/IEC 27044 Guidelines for security information i and event management (SIEM) Published 2012 Copyright 2012 BSI. All rights reserved. 9

Una nuova struttura ISO 27001 è stata sviluppata in riferimento all Annex SL Annex SL fornisce un testo t standardizzato di t per tutte tt le norme ISO di sistema L'intento è quello di uniformare terminologia e prescrizioni per i requisiti fondamentali di gestione del sistema Copyright 2012 BSI. All rights reserved. 10

La struttura ISO 27001 PLAN DO CHECK ACT 4 Context of the organization 5 Leadership 6 Planning 7 Support 8 Operation 9 Performance evaluation 10 Improvement Understanding the organization and its context Leadership and commitment Actions to address risks and opportunities Resources Operational planning and control Monitoring, measurement, analysis and evaluation Nonconformity and corrective action Expectations of interested parties IS objectives Information Policy and plans to Competence security risk Internal audit achieve them assessment Continual improvement Scope of ISMS Org roles, responsibilities and authorities Awareness Information security risk treatment Management review ISMS Communication Documented information Copyright 2012 BSI. All rights reserved. 11

Struttura della ISO/IEC 27001 Clause Description 4.0 Is a component of Plan. It introduces requirements necessary to establish the context of the ISMS as it applies to the organization, as well as needs, requirements, and scope. 5.0 Is a component of Plan. It summarises the requirements specific to top management s role in the ISMS, and how leadership articulates its expectations to the organization via a policy statement. 6.0 Is a component of Plan. It describes requirements as it relates to setting objectives and guiding principles for the ISMS as a whole. Copyright 2012 BSI. All rights reserved. 12

Struttura della ISO/IEC 27001 Clause Description 7.0 Is a component of Plan. It supports ISMS operations as they relate to establishing competence and communication on a recurring/as-needed needed basis with interested parties, while documenting, controlling, maintaining and retaining required documentation. 80 8.0 Is a component of Do. It defines ISMS requirements and determines how to address them, the need to perform information security risk assessments and implement the information security risk treatment plan. 9.0 Is a component of Check. It summarises requirements necessary to measure ISMS performance, ISMS compliance with the International Standard and management s expectations, and seeks feedback from management regarding expectations. 10.0 Is a component of Act. It identifies and acts on ISMS non-conformance through corrective action. Copyright 2012 BSI. All rights reserved. 13

Principali differenze Lo Standard è stato scritto in riferimento all Annex SL La ISO 27002 non sarà più un riferimento normativo (section 2) Le definizioni della versione del 2005 sono state rimosse e trasferite nella sezione 3 della ISO 27000 che è diventato un riferimento normativo Vi sono state modifiche alla terminologia utilizzata: ad esempio, viene utilizzata la dicitura policy della sicurezza delle informazioni i i piuttosto t che policy del SGSI I requisiti per il coinvolgimento del management sono stati rivisti e sono presentati in una specifica Leadership Clause Le azioni preventive sono state sostituite con actions to address, risks and opportunities (azioni per affrontari rischi e opportunità) e indicati prima nel testo della norma I requisiti per la verifica del rischio sono maggiormente allineati con la ISO 31000 Sono simili ai requisiti SOA ma più chiari nella determinazione dei controlli dei processi per il trattamento del rischio La nuova norma pone maggiore enfasi sulla definizione degli obiettivi, sul monitoraggio delle prestazioni e sulla definizione delle metriche Copyright 2012 BSI. All rights reserved. 14

Timeline per la revisione Scenario Jan Feb Mar Apr May-Jul Aug Sep Oct-Dec Jan-Mar 1. DIS goes straight to publication Public comment Likely publication 2. DIS goes to FDIS ballot Public comment Likely publication 3. DIS goes to second DIS ballot Public comment Likely publication ISO Committee Meeting DIS Draft International Standard FDIS Final Draft International Standard Copyright 2012 BSI. All rights reserved. 15

Transizione La procedura di transizione sarà annunciata alla pubblicazione dello standard La procedura sarà determinata t da UKAS in UK e da altri enti di accreditamento t nazionali negli altri Paesi Il perido di transizione sarà definito dall ente di accreditamento (probabilmente uno o due anni) Le registrazioni del vecchio standard saranno permesse per un periodo di tempo successivamente alla pubblicazione i dopo il quale saranno considerate valide solo le registrazioni del nuovo standard Alle aziende certificate con BSI 27001:2005 sarà fornito tutto il supporto necessario Le transizioni saranno condotte nel corso delle periodiche visite di verifica Copyright 2012 BSI. All rights reserved. 16

Formazione ISO/IEC 27001 Internal Auditor Giugno Luglio Settembre Ottobre Novembre Dicembre 18 19 Padova 26 27 Roma 2 3 Roma Implementing 1-2 12 13 Roma Padova Lead Auditor 24 28 Roma 1 5 Milano 7 11 Roma 4 8 Milano I corsi sulla nuova release della ISO/IEC 27001 saranno programmati entro la fine del 2013. Per informazioni: marketing.italy@bsigroup.com Copyright 2012 BSI. All rights reserved. 17/05/2013 17

Copyright 2012 BSI. All rights reserved. 18