Warning: Undefined variable $p in /web/htdocs/www.tsiouras.it/home/wp-content/plugins/efficient-related-posts/efficient-related-posts.php on line 317
Il 1 ottobre 2013 è stata emessa la nuova versione della norma ISO/IEC 27001:2013 e della linea guida ISO/IEC 27002:2013.
L’impostazione della nuova versione della ISO/IEC 27001:2013 segue quella dell’Annex SL, Appendix 2 delle Direttive ISO/IEC . Questo significa che è strutturata secondo l’indice commune a tutte le future norme sui sistemi di gestione ma utilizza anche i termini termini e le definizioni principali che sono comuni a tutti i sistemi di gestione.
L’approccio commune definito nell’Appendice SL è utile alle organizzazioni che decidono di implementare un unico sistema di gestione che soddisfi i requisiti di una o più norme. Per esempio un sistema di gestione di questo tipo potrebbe soddisfare i requisiti delle norme ISO/IEC 27001, ISO 22301, ISO 9001, ecc..
La nuova versione della ISO/IEC 27001:2013 è meno prescrittiva e consente una maggiore flessibilità su come i requisiti devono essere soddisfatti, dando alle organizzazioni una maggiore libertà di implementare requisiti in modo a loro più consone.
La norma consente di vedere dove è possibile semplificare le prassi nell’ISMS per renderle più naturali alle esigenze e alla cultura dell’organizzazione. Per chi introduce per la prima volta il sistema di gestione per la sicurezza delle informazioni, il nuovo standard assicura di seguire le prassi migliori fin dall’inizio.
Tenendo in considerazione l’esperienza che gli utenti hanno acquisito con l’implementazione e la certificazione utilizzando la vecchia norma ISO/IEC 27001:2005, la versione del 2017 offre una maggiore flessibilità e snellezza in modo da garantire una gestione del rischio più efficace.
La nuova versione non contiene i termini e le definizioni specifiche per l’ISMS in quanto esse sono contenute nella norma ISO 27000:2013 che viene richiamate puntualmente nel capitolo Termini e Definizioni. Inoltre i requisiti relativi al processo del Risk Management (Risk Assessment e Risk Treatment) nella nuova versione non sono sviluppati in dettaglio cosi com’erano nella versione vecchia che erano impostati secondo il cerchio Plan-Do-Check-Act (PDCA). In una nota puntualizza che i processi del risk assessmente e del risk management sono allineati con i principi e le linee guida della norma ISO 31000.
Un’ulteriore particolarità della nuova versione è che le Azioni Preventive non fanno parte del capitolo relativo ai miglioramenti dell’ISMS, ma esse devono essere pianificate preventivamente per indirizzare e gestire i rischi e le opportunità di miglioramento.
Il controllo della documentazione viene paragrafo Informazioni documentate che contiene i requisiti sia per la gestione e il controllo dei documenti, delle procedure documentate e dei processi, sia per la gestione delle registrazioni.
Sono state apportate anche modifiche ai controlli di sicurezza elencati nell’Appendice A, per renderla coerente alla norma linea guida ISO/IEC 27002.
Contenuto
Introduction
- Scope
- Normative references
- Terms and definitions
- Context of the organization
- Leadership
- Planning
- Support
- Operation
- Performance evaluation
- Improvement
Bibliography
Per acquistare le norme clicca nei seguenti link: