L’ISO ha nei mesi scorsi rilasciato la nuova edizione della linea guida per l’applicazione dei controlli operativi: lo standard ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls.
Lo standard ISO 27002 individua 4 grandi gruppi (clausole o temi) di controlli operativi:
🔐 Organizational Controls (aspetti organizzativi)
🔐 People Controls (singolo individuo)
🔐 Physical Controls (oggetti ed aspetti fisici e ambientali)
🔐 Controlli Tecnologici (aspetti tecnologici)
Per ogni singolo controllo lo standard ISO 27002 individua cinque attributi che costituiscono differenti modi di vedere il controllo. In particolare sono definiti 5 diverse visualizzazioni che rappresentano diverse categorizzazioni dei controlli visti da diverse prospettive:
🔎 Control type (prospettiva di quando e come il controllo modifica il rischio)
🔎 Information security properties (prospettiva di integrità, disponibilità e riservatezza)
🔎 Cybersecurity concepts (prospettiva dell’associazione dei controlli alla sicurezza informatica)
🔎 Operational capabilities (prospettiva della operatività per la sicurezza delle informazioni)
🔎 Security domains (prospettiva di: governance, protezione, difesa, resilienza)