Mettete al sicuro la vostra azienda: Ecco cosa c'è da sapere sulla revisione della norma ISO/IEC 27001:2022!

Il nostro sistema di gestione per la sicurezza delle informazioni (ISMS) è certificato ISO/IEC 27001:2013

 

1.     Entro quando dobbiamo modificare il nostro ISMS per soddisfare la nuova norma ISO/IEC 27001:2022?

Gli audit corrispondenti devono essere effettuati al più tardi entro settembre 2025. Vi preghiamo di coordinare e pianificare in modo tempestivo questo passaggio con il/la vostro/a lead auditor, idealmente integrandolo in audit già programmati.

2.     Fino a quando rimarrà valido il nostro certificato attuale?

I certificati attuali e quelli che verranno emessi ai sensi di ISO/IEC 27001:2013 avranno validità al più tardi fino al 31.10.2025.

3.     Il nostro certificato avrà una durata diversa?

No, anche dopo aver effettuato l’audit di transizione, la durata del certificato continuerà a essere di 3 anni. 

4.     Qual è la prima data utile in cui possiamo effettuare la ricertificazione secondo la nuova norma?

La richiesta di accreditamento SQS verrà presa in esame dall’organismo di accreditamento svizzero SAS non prima del 30 aprile 2023. Supponiamo che SAS prenderà una decisione in merito all’accreditamento di SQS nel corso del T2/2023. Per esserne informati, vi preghiamo di rivolgervi ai lead auditor o di consultare questo sito web.

5.     Se dobbiamo modificare il nostro ISMS, SQS effettuerà un normale audit di controllo o una ricertificazione anticipata?

L’audit di transizione può avvenire nell’ambito di una ricertificazione, di un audit di mantenimento o di un audit separato programmato per un’altra data. Non serve un’ulteriore ricertificazione. Anche a tale riguardo, il/la vostro/a lead auditor sarà lieto/a di fornirvi maggiori informazioni.

6.     Scaturiranno costi aggiuntivi

Se la revisione della norma viene effettuata nell'ambito di una ricertificazione regolare (o anticipata), sono previsti costi aggiuntivi di almeno 4 ore, in tutti gli altri casi di almeno 8 ore. A tali ore verranno aggiunti i costi per l’emissione di un nuovo certificato.
Il vostro Lead Auditor sarà lieto di fornirvi un preventivo. 

7.     Cosa succede con il nostro certificato se ci ricertifichiamo ISO/IEC27001:2013 entro il 30 aprile 2024?

La data ultima per la ricertificazione ISO/IEC 27001:2013 è il 30 aprile 2024. L’audit dovrà dunque avvenire entro marzo 2024. Se superate con successo l’audit di transizione entro al più tardi settembre 2025, riceverete un nuovo certificato secondo ISO/IEC 27001:2022. La durata del certificato rimane invariata rispetto a quello precedente. Vi preghiamo di consultare il/la vostro/a lead auditor per pianificare in modo tempestivo questo passaggio, idealmente integrandolo in audit già programmati. 

8.     Che cosa controllano gli auditor prima dell’audit di transizione vero e proprio?

Se effettuano un’analisi GAP sui cambiamenti del vostro ISMS nella vostra azienda, prima dell’audit di transizione vero e proprio presentano al(la) loro lead auditor i risultati corrispondenti, la vostra dichiarazione di applicabilità / SOA aggiornati e il piano aggiornato di gestione del rischio. Gli auditor sono tenuti a leggere queste prove in anticipo in modo da poter determinare il grado di complessità e quindi la durata dell’audit di transizione, includendoli nell’offerta.

9.     Che cosa controllano gli auditor durante l’audit di transizione?

Vengono 

  • verificate le modifiche del vostro ISMS sulla base della vostra analisi GAP, quindi tutti i cambiamenti dei requisiti di ISO 27001:2022 di cui ai capitoli 4-10, più
  • la prova dell’attuazione e dell’efficacia dei controlli nuovi o modificati dell’Allegato A, che sono stati dichiarati applicabili nel vostro ISMS. 

 

Desideriamo richiedere la ricertificazione di un ISMS presso SQS.

1.      Qual è la prima data utile in cui possiamo effettuare la certificazione secondo ISO/ IEC 27001:2022?

La nostra richiesta di accreditamento verrà presa in esame dall’organismo di accreditamento svizzero SAS non prima del 30 aprile 2023. Supponiamo che SAS prenderà una decisione in merito all’accreditamento di SQS nel corso del T2/2023. Per esserne informati, vi preghiamo di rivolgervi ai lead auditor o di consultare questo sito web.

2.      A quanto ammontano i costi per il nuovo certificato?

I costi si manterranno sui livelli precedenti. Contattateci per richiederci un’offerta personalizzata.

3.      Entro quando SQS effettuerà certificazioni secondo ISO/IEC 27001:2013?

La data ultima per la certificazione ISO/IEC 27001:2013 è il 30 aprile 2024. L’audit dovrà dunque avvenire entro marzo 2024.

4.      Fino a quando rimane valido un certificato secondo ISO/IEC 27001:2013?

I certificati di recente emissione ai sensi di ISO/IEC 27001:2013 avranno validità al più tardi fino al 31.10.2025. 

5.      Bis wann müssen wir unser ISMS nach ISO/IEC27001:2013 ändern, um der neuen Norm ISO/IEC 27001:2022 zu entsprechen?

Gli audit corrispondenti devono essere effettuati al più tardi entro settembre 2025. Vi preghiamo di coordinare e pianificare in modo tempestivo questo passaggio con il/la vostro/a lead auditor, idealmente integrandolo in audit già programmati. Si prega inoltre di tener conto delle risposte alle domande 1-9. 

6.      Cosa succede con il nostro certificato, se adesso ci certifichiamo secondo ISO/IEC 27001:2013 e successivamente secondo ISO/IEC 27001:2022 tramite un audit di transizione?

Se superate con successo l’audit di transizione entro al più tardi settembre 2025, riceverete un nuovo certificato secondo ISO/IEC 27001:2022. La durata del certificato rimane invariata rispetto a quello precedente. Vi preghiamo di consultare il/la vostro/a lead auditor per pianificare in modo tempestivo questo passaggio, idealmente integrandolo in audit già programmati. 

Simon Maurer
Simon Maurer
Ti piacerebbe
(*) sono obbligatori