ISO 27001:2022.
Parliamo di ISO IEC 27001:2022. Un progetto concreto che ci ha visti al fianco di una realtà finanziaria industriale negli ambiti: information security, cybersecurity and privacy protection, information security management systems e requirements.
A cura di Roberta Garulli
[Resp. Unità Qualità – Area Sostenibilità]
Il 25 ottobre 2022 è stata emessa la nuova edizione della norma ISO/IEC 27001 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”.
Alla data attuale, 13 giugno 2023, la norma non è stata ancora recepita dall’UNI e il periodo di transizione per il passaggio alla nuova edizione è fissato in 3 anni, pertanto le aziende dovranno adottare la nuova revisione entro ottobre 2025.
NIER Ingegneria ha supportato una delle prime aziende in Italia a ottenere la “nuova” certificazione.
Le sfide che abbiamo dovuto superare riguardavano soprattutto:
- Impossibilità a reperire formazione accreditata e Case History sulla nuova norma;
- Revisione tempestiva, in fase avanzata del progetto, del sistema di gestione, dell’analisi dei rischi e dello “Statement Of Applicability” rispetto al nuovo annex A completamente ristrutturato con l’inserimento di nuovi controlli e alcuni accorpamenti.
Il cliente ha richiesto di aggiornare il progetto rispetto ai nuovi requisiti senza prevedere un significativo slittamento dei tempi.
Per raggiungere l’obiettivo, abbiamo coinvolto i principali stakeholder e adottato un approccio di valorizzazione della cultura e degli strumenti già in essere.
In particolare, abbiamo agito con:
- 3 risorse NIER dedicate al progetto fino al raggiungimento dell’obiettivo. Due con competenze tecniche e una con competenze sui sistemi di gestione;
- Gruppo di lavoro interno scelto di comune accordo con il cliente e composto da IT interni, da terzi che operano con continuità sull’infrastruttura e da facilitatori interni del sistema di gestione;
- Definizione di un calendario serrato di incontri che hanno convolto il cliente per affiancarlo nel percorso.
LE 10 FASI DEL PROGETTO SULLA ISO 27001:2022.
- Kick-off e pianificazione delle attività
L’avvio delle attività di “start up” del progetto ha previsto: presentazione della metodologia, presentazione della squadra di lavoro esplicitando nel dettaglio ruoli e responsabilità, condivisione degli obiettivi e vicoli del progetto, attivazione dei canali di comunicazione tra i tecnici di NIER Ingegneria e la Committenza, compresa la creazione di un sito dedicato per la condivisione e organizzazione del materiale.
- Conduzione di una Gap Analysis rispetto alla norma ISO/IEC 27001:2013 e all’Annex A
- Analisi rischi e opportunità
Per ogni famiglia di asset sono state correlate minacce e vulnerabilità per ciascuno dei requisiti di Riservatezza, Integrità e Disponibilità (RID) e le frequenze di accadimento al fine di identificare i rischi e le opportunità più rilevanti sulle quali stabilire le azioni di mitigazione o di miglioramento.
- Analisi delle prassi operative esistenti e dei controlli e progettazione della risposta organizzativa
- Integrazione delle Procedure e degli Strumenti del sistema di gestione di Gruppo
- Definizione della “Dichiarazione di Applicabilità”
Lo Statement of Applicability (Dichiarazione di Applicabilità) riporta i controlli che l’azienda ha assunto come applicabili e necessari, le giustificazioni per l’inclusione e le specifiche per la loro attuazione nonché le eventuali giustificazioni per l’esclusione dei controlli dell’Appendice A.
- Implementazione dei nuovi controlli e procedure (impegno prevalente del cliente)
- Revisione di tutte le fasi precedenti alla luce della nuova edizione della normativa ISO/IEC27001:2022
- Conduzione di un ciclo di Audit interni
- Formazione sulla nuova edizione della norma ISO/IEC27001:2022
L’aspetto determinante della gestione del progetto è stato il capillare e sistematico coinvolgimento degli stakeholder interni e di gruppo. Questo ci ha permesso un veloce avanzamento delle attività senza tempi morti legati alla mancanza di informazione e un importante contribuito in termini di cultura e consapevolezza sui temi della sicurezza delle informazioni.
I RISULTATI RAGGIUNTI AD OGGI.
Il cliente che abbiamo affiancato è stato tra i primi in Italia ad ottenere la certificazione rispetto alla ISO/IEC 27001:2022 – “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”.
Il progetto ha contribuito in modo rilevante seguenti i risultati:
- Integrazione della sicurezza delle informazioni lungo tutto il ciclo di vita dei sistemi informativi.
- Consolidamento e messa a sistema delle prassi già in uso
- Capillare propagazione dei requisiti sugli utenti delle altre aziende del gruppo e sulla catena di fornitura.