ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection, Requirements.
Brief
All’uscita della nuova edizione della norma ISO/IEC 27001 a fine ottobre 2022, in fase avanzata di impostazione del sistema di gestione rispetto alla edizione precedente, il cliente ha richiesto di aggiornare il progetto rispetto ai nuovi requisiti senza prevedere un significativo slittamento dei tempi.
Sfide di progetto
L’impossibilità a reperire una formazione accreditata e delle Case History sulla nuova norma. C’era la necessità di revisione dell’analisi dei rischi e dello “Statement of Applicability” rispetto al nuovo annex A, completamente ristrutturato con inserimento di nuovi controlli e alcuni accorpamenti.
Soluzione
Grazie al coinvolgimento dei principali stakeholder e ad un approccio di valorizzazione della cultura e degli strumenti già in essere, è stato possibile raggiungere l’obiettivo nei tempi richiesti. In particolare:
- Sono state messe a disposizione da NIER 3 risorse dedicate al progetto fino al raggiungimento dell’obiettivo: due con competenze tecniche e una sui sistemi di gestione
- È stato definito con il cliente un gruppo di lavoro interno composto da IT interni, da terzi che operano con continuità sull’infrastruttura e da facilitatori interni del sistema di gestione
- È stato definito un calendario serrato di incontri che hanno convolto il cliente per affiancarlo nel percorso
Fasi di esecuzione
Kick-off e pianificazione delle attività
Avvio delle attività di “start up” del progetto: presentazione della metodologia, presentazione della squadra di lavoro esplicitando nel dettaglio ruoli e responsabilità, condivisione degli obiettivi e vicoli del progetto, attivazione dei canali di comunicazione tra i tecnici di NIER Ingegneria e la Committenza, compresa la creazione di un sito dedicato per la condivisione e organizzazione del materiale.
Conduzione di una Gap Analysis rispetto alla norma ISO/IEC 27001:2013 e all’Annex A
Analisi rischi e opportunità
Per ogni famiglia di asset sono state correlate minacce e vulnerabilità per ciascuno dei requisiti di Riservatezza, Integrità e Disponibilità (RID) e le frequenze di accadimento al fine di identificare i rischi e le opportunità più rilevanti sulle quali stabilire le azioni di mitigazione o di miglioramento.
Analisi delle prassi operative esistenti e dei controlli e progettazione della risposta organizzativa
Integrazione delle Procedure e degli Strumenti del sistema di gestione di Gruppo
Definizione della “Dichiarazione di Applicabilità”
Lo Statement of applicability (Dichiarazione di Applicabilità) riporta i controlli che l’azienda ha assunto come applicabili e necessari, le giustificazioni per l’inclusione e le specifiche per la loro attuazione nonché le eventuali giustificazioni per l’esclusione dei controlli dell’Appendice A.
Implementazione dei nuovi controlli e procedure (impegno prevalente del cliente)
Revisione di tutte le fasi precedenti alla luce della nuova edizione della normativa ISO/IEC27001:2022
Conduzione di un ciclo di Audit interni
Formazione sulla nuova edizione della norma ISO/IEC27001:2022
L’aspetto determinante della gestione del progetto è stato il capillare e sistematico coinvolgimento degli stakeholder interni e di gruppo che ha permesso un veloce avanzamento delle attività senza tempi morti legati alla mancanza di informazione e un importante contribuito in termini di cultura e consapevolezza sui temi della sicurezza delle informazioni.
Risultati ottenuti
- Il consolidamento e messa a sistema delle prassi già in uso
- L’integrazione della sicurezza delle informazioni lungo tutto il ciclo di vita dei sistemi informativi
- Capillare propagazione dei requisiti sugli utenti delle altre aziende del gruppo e sulla catena di fornitura*
*Alla data di emissione del certificato sul sito Accredia non risultavano certificazioni rispetto allo standard in questione.