Si chiamerà “ISO/IEC 27002:2021 – Information security, cybersecurity and privacy protection — Information security controls” la nuova versione della ISO/IEC 27002 attesa per quest’anno, che andrà a sostituire la ISO/IEC 27002:2013, attualmente in vigore.
Si prevedono diverse novità: Cesare Gallotti componente del D&L NET, propone una lettura dello standard per le pagine della Rubrica Digital & Law di Key4biz.
Capitoli e categorie
La futura ISO/IEC 27002 suddivide i controlli in 4 categorie senza ulteriori divisioni e senza alcuna relazione esplicita con obiettivi di sicurezza.
I capitoli sono i seguenti:
- controlli organizzativi;
- controlli relativi alle persone;
- controlli di tipo fisico;
- controlli di tipo tecnologico.
I controlli
La ISO/IEC 27002:2013 riporta 114 controlli. La futura versione ne riporterà 93. Un’accusa spesso rivolta alle ISO/IEC 27001 e ISO/IEC 27002 è che l’elenco dei controlli è troppo lungo. Questa accusa è ingiusta, visto che altre pubblicazioni (incluso il NIST CFS) ne riportano anche di più. I redattori si sono comunque impegnati a ridurre le ripetizioni e ad accorpare i controlli dove ritenuto opportuno.
Attributi dei controlli
Una notevole novità della futura ISO/IEC 27002 è rappresentata dagli “attributi” che possono essere assegnati ai controlli. L’idea è quella di permettere agli utilizzatori di riordinare e raggruppare i controlli secondo viste, in accordo alle proprie specifiche esigenze. Questo, come già detto in precedenza, avrà come impatto negativo la perdita di omogeneità tra le pubblicazioni relative alla sicurezza delle informazioni, ma lascerà una maggiore flessibilità agli utilizzatori.
Questo articolo è apparso originariamente su Key4biz.it. Per continuare a leggere la versione integrale clicca qui.