Sicurezza delle informazioni

Lo Standard ISO/IEC 27001:2005 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.
È ormai stata pubblicata una nuova versione della Norma. La nuova versione è la ISO/IEC 27001:2013 che andrà gradualmente a sostituire la versione 2005.
La Norma è stata creata e pubblicata nell’ottobre 2005 (la versione italiana UNI è del 2006) a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell’informazione.
Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni Organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento.
Lo standard ISO 27001:2005  presenta molti punti in comune con la ISO 9001, che definisce i requisiti di un sistema di gestione della qualità (es. adozione modello PDCA, filosofia del miglioramento continuo, ecc.), ma si differenzia da quest’ultima in quanto segue prevalentemente un approccio basato sulla gestione del rischio.
Lo standard prevede:

  • Pianificazione e Progettazione;
  • Implementazione;
  • Monitoraggio;
  • Mantenimento e Miglioramento

similmente a quanto previsto dai sistemi per la gestione della qualità.
Noi aiutiamo l’Azienda nella  fase di progettazione del Sistema e nello svolgimento di un risk assessment, schematizzabile in:

  • Identificazione dei rischi;
  • Analisi e valutazione;
  • Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
  • Assunzione del rischio residuo da parte del management;
  • Definizione dello Statement of Applicability.

NOTA: La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali, sensibili e non, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s’interessa anche dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’organizzazione.