La transizione dalla ISO/IEC 27001:2013 alla ISO/IEC 27001:2022 scade a fine ottobre. Dopo questa data, i certificati emessi sulla versione 2013 cessano di essere validi: l’organizzazione perde la certificazione e deve ripartire da capo.
Cosa cambia in concreto
- Annex A riorganizzato: da 114 a 93 controlli, raggruppati in 4 categorie (Organizzativi, Persone, Fisici, Tecnologici).
- 11 controlli nuovi: threat intelligence, ICT readiness for business continuity, secure development lifecycle, configuration management, deletion, data masking, data leakage prevention, monitoring activities, web filtering, secure coding, ICT cloud services.
- Aggiornamento clausole: pianificazione dei cambiamenti, definizione delle parti interessate, integrazione con altri sistemi.
Roadmap operativa
- Gap analysis dei nuovi controlli rispetto allo stato attuale.
- Aggiornamento della Statement of Applicability (SoA) e del piano di trattamento del rischio.
- Integrazione dei nuovi controlli nel ciclo PDCA.
- Audit interno completo + accompagnamento all’audit di transizione dell’ente di certificazione.