Che cos’é la ISO/IEC 27001
Il concetto di sicurezza delle informazioni è un elemento la cui importanza è cresciuta enormemente negli ultimi anni come testimonia l’ampia divulgazione normativa e legislativa nel campo della privacy, della tutela dei dati e della sicurezza degli stessi, anche alla luce della trasformazione “tecnologica” del dato sempre più “informatico e virtuale” e meno “cartaceo”.
Lo standard ISO/IEC 27001:2017 deriva dalla precedente norma del 2014 e dallo standard inglese BS 7799-2 ed è volto a garantire una corretta ed efficace implementazione e mantenimento di un Sistema di Gestione della Sicurezza delle Informazioni (abbreviato in SGSI) tramite la valutazione dell’impianto tecnico ed organizzativo e dei controlli che l’azienda è obbligata ad impiegare e monitorare per mantenere efficace il proprio livello di gestione della sicurezza delle informazioni. L’impostazione di un SGSI impone di studiare a fondo la propria organizzazione aziendale, il proprio business, il mercato e le tecnologie e monitorarne le evoluzioni in modo costante.
I vantaggi
Ma cosa significa Sicurezza delle Informazioni in un sistema conforme alla ISO 27001? Sicurezza delle Informazioni significa assicurare:
- Confidenzialità: assicurare l’accesso alle informazioni solo agli autorizzati;
- Integrità: assicurare che le informazioni siano complete e non modificate;
- Disponibilità:assicurare che le informazioni siano accessibili agli autorizzati quando richiesto
La Sicurezza delle Informazioni si ottiene applicando un complesso set di controlli indicati dalla norma ISO/IEC 27001 ed impostando Politiche, Processi, Procedure, Strutture organizzative, Funzionalità hardware e software ed un costante monitoraggio per il miglioramento continuo.
Un Sistema di Gestione Sicurezza delle Informazioni ha i seguenti obiettivi:
- Proteggere le informazioni da accessi non autorizzati;
- Impedire che le informazioni arrivino a non autorizzati per azioni deliberate o mancanza di cura;
- Proteggere l’integrità delle informazioni salvaguardandole da modifiche non autorizzate;
- Assicurare che le informazioni siano a disposizione degli autorizzati quando ne hanno bisogno;
- Controllare l’evoluzione delle minacce e delle associate vulnerabilità;
- Mantenere i rischi a livelli accettabili attraverso l’implementazione di adeguati controlli;
- Ottemperare alle disposizioni normative e legislative inerenti la sicurezza delle informazioni;
- Assicurare la continuità delle attività aziendali;
- Mantenere tra il proprio personale un’adeguata sensibilità ai temi della sicurezza.
A Chi si rivolge la ISO/IEC 27001
La ISO/IEC 27001 è indicata per qualsiasi organizzazione, grande o piccola, in qualsiasi settore di attività.
La norma è particolarmente indicata nei casi in cui la protezione delle informazioni è critica, come nei settori finanziario, pubblico, archiviazione digitale, information technology, o che gestiscono informazioni per conto terzi, come le società di outsourcing dell’Information Technology e può essere utilizzato come garanzia di protezione per le informazioni dei propri clienti.
Certificazione ISO 27001
La conformità ai requisiti della norma si esplica nella certificazione di parte terza, rilasciata da un Organismo di certificazione indipendente accreditato.