ISO/IEC 27001:2005 - 2013. Cosa cambia

L’ultima revisione dello standard ISO/IEC 27001 è stata rilasciata il 1 ottobre 2013. Esiste l’obbligo per le organizzazioni certificate ISO/IEC 27001:2005 di passare alla versione 2013 entro il 30 settembre 2015.

Cosa cambia

Le principali differenze con la precedente versione sono:

• Lo standard è stato scritto in conformità all’Annex SL, la nuova struttura comune a tutti i sistemi di gestione.
• Non impone il ciclo Plan-Do-Check-Act come per la passata release - le organizzazioni possono infatti seguire un PDCA o un diverso approccio
• Sono stati apportati cambiamenti nella terminologia utilizzata
• La norma include anche requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell'informazione su misura per le esigenze dell'organizzazione.
• I requisiti per la valutazione del rischio sono più generali e mostrano un allineamento della ISO/IEC 27001 con la norma ISO 31000
• La nuova norma pone maggiormente l'accento sulla misurazione e sulla valutazione delle performance del SGSI

Come affrontare il passaggio

• Valutazione di sistema ISO/IEC 27001:2005 - Se stai implementando il tuo sistema di gestione secondo la ISO/IEC 27001 possiamo ancora effettuare la valutazione secondo lo standard ISO/IEC 27001:2005 entro la fine di settembre 2014 e lavorare insieme per portare a termine il processo di transizione alla release 2013 durante le successive visite di valutazione.
• Valutazione di sistema ISO/IEC 27001:2013 - Se l’implementazione del sistema di gestione per la sicurezza delle informazioni è ancora alle prime fasi, raccomandiamo di intraprendere il percorso per ottonere la certificazione secondo la release ISO/IEC 27001:2013.

Richiedi informazioni / approfondimenti