L’International Organization for Standardization (ISO) ha pubblicato il nuovo standard ISO/IEC 27002:2022.
Il documento fornisce una serie di controlli generici per la sicurezza delle informazioni, comprese le linee guida per l’implementazione. ISO/IEC 27002:2022 è progettato per essere utilizzato da organizzazioni di ogni tipo e dimensione. Deve essere utilizzato come riferimento per determinare e implementare i controlli per il trattamento del rischio per la sicurezza delle informazioni in un information security management system (ISMS) basato su ISO/IEC 27001. Può essere utilizzato anche come documento guida per le organizzazioni che determinano e implementano i controlli di sicurezza delle informazioni comunemente accettati. Inoltre, questo documento è destinato all’uso nello sviluppo di linee guida per la gestione della sicurezza delle informazioni specifiche del settore e dell’organizzazione, tenendo in considerazione i loro specifici ambienti di rischio per la sicurezza delle informazioni.
Organizzazioni di ogni tipo e dimensione (incluso settore pubblico e privato, commerciale e senza scopo di lucro) creano, raccolgono, elaborano, archiviano, trasmettono ed eliminano informazioni in molte forme, comprese quelle elettroniche, fisiche e verbali (ad es. conversazioni e presentazioni).
Il valore dell’informazione va oltre le parole scritte, i numeri e le immagini: conoscenze, concetti, idee e marchi sono esempi di forme di informazione immateriali. In un mondo interconnesso, le informazioni e le altre risorse associate meritano o richiedono protezione contro varie fonti di rischio, naturali, accidentali o intenzionali.
La sicurezza delle informazioni si ottiene implementando un insieme adeguato di controlli, tra cui politiche, regole, processi, procedure, strutture organizzative e funzioni software e hardware. Per soddisfare i propri obiettivi aziendali e di sicurezza specifici, l’organizzazione dovrebbe definire, implementare, monitorare, rivedere e migliorare questi controlli ove necessario.
Questa terza edizione annulla e sostituisce la seconda edizione (ISO/IEC 27002:201), che è stata rivista tecnicamente. Incorpora anche le Rettifiche Tecniche ISO/IEC 27002:2013/Cor. 1:2014 e ISO/IEC 27002:2013/Cor. 2:2015.