Il punto di vista di Cyber Academy
ISO 27002 è la guida all'implementazione dei controlli dell'Annex A di ISO 27001. Non è certificabile da sola. Gli auditor la utilizzano quando vogliono verificare COME si opera un controllo, non solo se è "in essere". Va trattata come il manuale operativo a fianco dello standard di certificazione.
Che cos'è realmente la norma ISO/IEC 27002
ISO/IEC 27002 è la guida all'implementazione che affianca ISO 27001. Mentre ISO 27001 è la norma certificabile del sistema di gestione che elenca i controlli dell'Allegato A e impone di giustificare quali si applicano, ISO 27002 spiega ciascuno di tali controlli in profondità: la sua finalità, come si presenta una buona pratica e le considerazioni concrete della sua messa in operazione. È un codice di buone pratiche, non un elenco di requisiti da spuntare. Non ci si certifica rispetto a ISO 27002 e un auditor non può emettere una non conformità direttamente nei suoi confronti. La utilizza per interpretare lo spirito di un controllo dell'Allegato A e per mettere in discussione se la vostra implementazione sia davvero adatta allo scopo.
Questa distinzione conta negli audit reali. Una verifica superficiale chiede se un controllo sia "in essere". Un auditor che ricorre a ISO 27002 chiede come lo gestite: se la revisione degli accessi avvenga davvero con la cadenza che dichiarate, se la vostra registrazione catturi gli eventi che vi consentirebbero di rilevare un incidente, se le clausole con i fornitori reggano al contatto con una violazione reale. La norma fornisce a entrambe le parti un vocabolario comune per quella conversazione, ed è per questo che i professionisti la trattano come il manuale operativo anziché come una lettura di supporto.
Come si relaziona con ISO 27001, la SoA e il SGSI
I tre documenti formano una catena. Il vostro SGSI è il sistema di gestione che governa l'intero programma. ISO 27001 definisce cosa quel sistema deve fare e fornisce l'insieme dei controlli. La Dichiarazione di Applicabilità (SoA) registra, controllo per controllo, quali avete incluso, quali avete escluso e perché. ISO 27002 è ciò a cui vi rivolgete per la sostanza di ciascun controllo una volta che la SoA vi indica che si applica. In pratica, i team redigono la SoA con ISO 27001 aperta per il requisito e ISO 27002 aperta per la guida all'implementazione, poi progettano il controllo effettivo sulla base della guida.
Le edizioni moderne di ISO 27002 organizzano i controlli in quattro temi, organizzativo, relativo alle persone, fisico e tecnologico, e associano a ciascuno attributi come il tipo di controllo, la proprietà di sicurezza che protegge e il concetto di cybersicurezza pertinente. Tali attributi vi permettono di suddividere l'insieme dei controlli in modi diversi, per esempio estraendo tutti i controlli preventivi o tutti quelli che supportano il rilevamento, il che aiuta quando stabilite corrispondenze con altri framework o costruite un piano di trattamento del rischio.
Cosa ne fanno realmente i professionisti
In un programma attivo, ISO 27002 compare in alcune attività ricorrenti:
- Progettare i controlli: quando la SoA contrassegna un controllo come applicabile, la guida all'implementazione plasma la politica, la procedura o la configurazione tecnica che costruite.
- Giustificare le decisioni: quando adattate o delimitate l'ambito di un controllo, la guida vi fornisce la motivazione da registrare affinché un auditor possa seguire il vostro ragionamento.
- Prepararsi all'audit: i team usano la guida per mettere alla prova i propri controlli prima che lo faccia il valutatore, colmando il divario tra "documentato" e "operante con efficacia".
- Stabilire corrispondenze tra framework: la struttura dei controlli e gli attributi fanno di ISO 27002 una spina dorsale utile per creare passerelle verso insiemi di controlli come i CIS Controls o le linee guida del NIST.
Poiché ISO 27002 è una guida anziché un requisito rigido, il giudizio spetta a voi. La norma descrive l'intento e la buona pratica; voi decidete fino a che punto spingervi in base alla vostra valutazione del rischio. Quella libertà è il punto. Permette sia a una piccola società di consulenza sia a una multinazionale di rivendicare entrambe la conformità allo stesso controllo, pur implementandolo a profondità molto diverse, ciascuna appropriata al proprio rischio.
Frequently asked questions
01Ci si può certificare in ISO 27002?
No. ISO 27002 è un codice di buone pratiche e non è certificabile. La certificazione è rilasciata rispetto a ISO 27001, che definisce i requisiti auditabili del sistema di gestione. ISO 27002 fornisce la guida all'implementazione a cui attingete mentre costruite i controlli che ISO 27001 audita.
02Qual è la differenza tra ISO 27001 e ISO 27002?
ISO 27001 è la norma dei requisiti rispetto alla quale vi certificate; elenca i controlli dell'Allegato A e vi obbliga a giustificarne l'inclusione o l'esclusione nella Dichiarazione di Applicabilità. ISO 27002 è la guida complementare che spiega come ciascuno di tali controlli dovrebbe essere implementato e gestito.
03Devo implementare ogni controllo di ISO 27002?
No. Voi selezionate i controlli in base alla vostra valutazione del rischio e registrate le decisioni nella Dichiarazione di Applicabilità. ISO 27002 descrive come un controllo dovrebbe funzionare se scegliete di applicarlo; non impone di applicarli tutti.
04Come usano gli auditor ISO 27002?
La usano come riferimento di come si presenta un'implementazione competente. Anziché emettere una non conformità nei confronti di ISO 27002 stessa, un auditor usa la sua guida per giudicare se la vostra implementazione di un controllo dell'Allegato A soddisfi realmente l'obiettivo del controllo, e non solo se qualcosa sia nominalmente in essere.