Sicurezza delle informazioni: la nuova norma ISO/IEC 27001

La nuova versione della norma ISO/IEC 27001 “Information technology – Security techniques – Information security management systems – Requirements” è stata appena pubblicata (1/10/2013).

La nuova ISO/IEC 27001 segue le nuove direttive definite dalla ISO e descritte nell’Annex SL delle ISO/IEC Directives Supplement di maggio 2012.
L’obiettivo dell’Annex SL è sostanzialmente l’allineamento di tutte le norme dei sistemi di gestione ad una medesima organizzazione dei contenuti, avviando così il progetto di integrabilità concettuale degli schemi. L’integrabilità di fatto, sempre possibile in linea teorica, deve essere oggetto di valutazione da parte delle singole organizzazioni interessate, anche per individuare le migliori modalità applicabili.

In base alle anticipazioni di Accredia e degli enti di certificazione, questi i contenuti della norma:

Il contesto dell’organizzazione
– Capire l’organizzazione ed il suo contesto
– Comprendere le necessità e le aspettative delle parti interessate
– Determinare il campo di applicazione del sistema di gestione per la sicurezza delle informazioni
– Sistema di gestione per la sicurezza delle informazioni

Guida e direzione (Leadership)
– Guida, direzione e impegno
– Politica
– Ruoli, responsabilità e poteri dell’organizzazione

Pianificazione
– Azioni per fronteggiare rischi e opportunit
* Valutazione del rischio relativo alla sicurezza delle informazioni
* Trattamento del rischio relativo alla sicurezza delle informazioni
– Obiettivi per la sicurezza delle informazioni e piani per conseguirli

Supporto
– Risorse
– Competenze
– Consapevolezza
– Comunicazione
– Informazioni documentate
* Creazione e aggiornamento
* Controllo delle informazioni documentate

Operatività
– Pianificazione e controllo operativo
– Valutazione del rischio relativo alla sicurezza delle informazioni
– Trattamento del rischio relativo alla sicurezza delle informazioni

Valutazione delle prestazioni
– Monitoraggio, misurazione, analisi e valutazione
– Audit interni
– Riesame della Direzione

Miglioramento
– Non conformità e azioni correttive
– Miglioramento continuo

Annex A
– Riferimenti alla ISO/IEC 27002

Le azioni preventive sono state eliminate, perché incluse nelle “azioni per fronteggiare rischi e opportunità”; la valutazione e il trattamento del rischio sono presenti sia nella pianificazione del SGSI sia nella sua operatività. Non è sicuro che l’eliminazione del concetto di azione preventiva possa essere del tutto un beneficio, ma l’attuazione efficace del sistema di gestione è di per sé la madre della prevenzione di qualsiasi possibile fattore di instabilità organizzativa.
Inoltre va evidenziata l’attenzione alla comprensione del “contesto” nel quale opera l’organizzazione ed alle aspettative delle parti interessate, che dello stesso sistema possono essere le promotrici. Con la precedente edizione della norma questo aspetto era poco sviluppato, concentrando da subito l’attenzione in modo troppo immediato sui beni e sulle pratiche di gestione della sicurezza.
Oggi l’esigenza di definire le finalità, le opportunità ed i rischi relativi al sistema di gestione nel suo complesso, sia strategico aziendale, sia tecnico, risulta ben chiara, e permetterà di focalizzare con maggiore efficacia ed efficienza lo sviluppo dei controlli di sicurezza non solo da un punto di vista tecnico, ma anche e soprattutto da un punto di vista organizzativo e gestionale.