10 agosto 2018

Pubblicata la nuova ISO/IEC 27005:2018

In un mondo sempre più tecnologico e globalizzato, i dati e le informazioni commerciali e personali sono sempre più soggetti a violazioni. Il nuovo standard ISO/IEC 27005:2018 - Information technology – Security techniques – Information security risk management – appena revisionato, fornisce alle organizzazioni le linee guida per gestire i rischi correlati a tale problematica in maniera efficace ed efficiente, al fine di proteggere le proprie informazioni e quelle dei propri clienti.

La norma fornisce le linee guida per la gestione dei rischi relativi alla sicurezza delle informazioni e supporta i concetti generali specificati nello standard ISO/IEC 27001 con l’obiettivo di aiutare le organizzazioni nella tutela della sicurezza delle informazioni con un corretto approccio alla gestione del rischio.

Per approfondire:
La norma UNI CEI ISO/IEC 27001 specifica l’insieme dei requisiti di un Sistema di Gestione per la Sicurezza delle Informazioni, in particolare per gli aspetti della sicurezza fisica, logica e organizzativa. Lo standard ISO/IEC 27001 si rivolge a tutte le organizzazioni che desiderano implementare un efficace piano di gestione dei rischi che potrebbero compromettere la sicurezza delle informazioni e dei dati che gestiscono; inoltre, le aiuta a dimostrare ai propri stakeholder e clienti l’interesse verso i processi di gestione del rischio, dando loro la certezza di collaborare con un partner affidabile.

La revisione della norma ISO 27005

La sicurezza delle informazioni non è mai stata presa così tanto in considerazione come al giorno d’oggi. Avere degli strumenti tecnologici all’avanguardia può essere tanto un vantaggio quanto un rischio per le organizzazioni che archiviano dati e informazioni online. La nuova norma ISO/IEC 27005:2018 è stata revisionata proprio per rispondere alle problematiche attuali di violazione della privacy e di attacchi informatici che minacciano tali organizzazioni.

Questa è la terza edizione dello standard, che annulla e sostituisce la seconda edizione (ISO/IEC 27005:2011), con le seguenti novità:

  • Tutti i riferimenti diretti alla norma ISO/IEC 27001:2005 sono stati rimossi (in quanto revisionata nel 2013)
  • È stato specificato che la norma non contiene linee guida dirette per l’implementazione dei requisiti di un Sistema di Gestione per la Sicurezza delle Informazioni specificati invece nello standard ISO/IEC 27001
  • Tutti i riferimenti all’annex G, e l’annex G stesso (che esplicava le differenze tra la ISO 27005:2008 e la ISO 27005:2011), sono stati rimossi

>> La conoscenza dei concetti, modelli, processi e terminologie descritti nella norma ISO/IEC 27001 e ISO/IEC 27002 è importante per una comprensione completa della norma ISO/IEC 27005.

Per saperne di più:
Le norme ISO/IEC 27005, 27001, 27002 appartengono tutte alla famiglia di standard ISO/IEC 27000 (più di dieci norme incluse), che nasce per aiutare le organizzazioni a mantenere al sicuro il patrimonio informativo che gestiscono.