Il 25 ottobre 2022 l'Organizzazione Internazionale per la Standardizzazione (ISO) ha pubblicato la terza edizione dello standard ISO/IEC 27001.
Lo standard ISO/IEC 27001 consente ai clienti di gestire tutti i rischi legati alla sicurezza delle informazioni attraverso un Sistema di Gestione certificabile, con l'obiettivo di salvaguardare la riservatezza, l'integrità e la disponibilità delle informazioni aziendali e di migliorare gli aspetti tecnologici, operativi, procedurali, umani e ambientali correlati.
La principale modifica riguarda l'elenco e la definizione dei controlli applicabili per la gestione della sicurezza delle informazioni, contenuti nell'Allegato A: alcuni controlli sono stati aggiornati in linea con l'evoluzione della tecnologia e degli scenari di rischio e, rispetto alla versione 2013 dello standard, i controlli sono ora ridotti a 93 in 4 gruppi. Sono stati aggiunti nuovi controlli, alcuni controlli sono stati rivisti, e altri sono stati raggruppati.
Un'altra modifica riguarda il titolo: ora contiene i termini "cybersecurity" e "protezione della privacy", estendendo così il campo di applicazione dello standard.
L'International Accreditation Forum (IAF) ha stabilito un tempo di 3 anni dalla data di pubblicazione dello standard per completare la transizione.
Le date da ricordare:
- Dal 30 aprile 2024, tutte le nuove certificazioni e i rinnovi dovranno essere rilasciati esclusivamente in conformità alla norma ISO/IEC 27001:2022.
- L'ultimo giorno di validità dei certificati emessi in conformità alla norma ISO/IEC 27001:2013 sarà il 31 ottobre 2025.
Al completamento con successo dell'audit di transizione e dopo la convalida da parte di RINA, il certificato sarà riemesso in conformità alla nuova versione della norma, mantenendo lo stesso numero di identificazione e la scadenza del ciclo di certificazione in corso non sarà modificata, a meno che la transizione non sia verificata nell'audit di rinnovo.
Se l'attività di transizione non viene completata con successo entro questa scadenza, il certificato scadrà e non potrà essere riconosciuto. Sarà quindi necessario presentare una nuova domanda seguendo la procedura prevista per la certificazione iniziale.