ISO/IEC 27001:2005 - 2013. Cosa cambia
L’ultima revisione dello standard ISO/IEC 27001 è stata rilasciata il 1 ottobre 2013. Esiste l’obbligo per le organizzazioni certificate ISO/IEC 27001:2005 di passare alla versione 2013 entro il 30 settembre 2015.
Cosa cambia
Le principali differenze con la precedente versione sono:
- Lo standard è stato scritto in conformità all’Annex SL, la nuova struttura comune a tutti i sistemi di gestione.
- Non impone il ciclo Plan-Do-Check-Act come per la passata release - le organizzazioni possono infatti seguire un PDCA o un diverso approccio
- Sono stati apportati cambiamenti nella terminologia utilizzata
- La norma include anche requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell'informazione su misura per le esigenze dell'organizzazione.
- I requisiti per la valutazione del rischio sono più generali e mostrano un allineamento della ISO/IEC 27001 con la norma ISO 31000
- La nuova norma pone maggiormente l'accento sulla misurazione e sulla valutazione delle performance del SGSI
Come affrontare il passaggio
- Valutazione di sistema ISO/IEC 27001:2005 - Se stai implementando il tuo sistema di gestione secondo la ISO/IEC 27001 possiamo ancora effettuare la valutazione secondo lo standard ISO/IEC 27001:2005 entro la fine di settembre 2014 e lavorare insieme per portare a termine il processo di transizione alla release 2013 durante le successive visite di valutazione.
- Valutazione di sistema ISO/IEC 27001:2013 - Se l’implementazione del sistema di gestione per la sicurezza delle informazioni è ancora alle prime fasi, raccomandiamo di intraprendere il percorso per ottonere la certificazione secondo la release ISO/IEC 27001:2013.
Richiedi informazioni / approfondimenti