I dati ormai sono diventati un patrimonio importante per ogni azienda e pertanto devono essere gestiti con professionalità e tenuti al sicuro.
Tuttavia in una realtà dove le violazioni e gli attacchi dei sistemi informatici sono in continuo aumento, ogni azienda deve essere in grado di garantire la sicurezza delle informazioni che è chiamata a gestire, archiviare, condividere ed utilizzare per lo sviluppo delle proprie attività.
L’obiettivo del sistema di gestione proposto dalla norma ISO 27001 è la gestione della sicurezza di queste informazioni e come viene integrata nei processi aziendali.
Comprende numerosi controlli suddivisi in varie categorie (esempio: Politiche di sicurezza delle informazioni, Organizzazione della sicurezza delle informazioni e assegnazione di responsabilità, Sicurezza delle risorse umane).
La certificazione è un processo volontario ed indica alle aziende come strutturarsi per gestire le persone, i processi e la tecnologia per garantire la riservatezza, la disponibilità e l’integrità delle informazioni utilizzate.
Cos’è ISO 27001?
ISO/IEC 27001 è lo standard internazionale che descrive le best practice per un ISMS (sistema di gestione della sicurezza delle informazioni, anche detto SGSI, in italiano).
L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2015 ed il Risk management, basandosi sull’approccio per processi e trattamento dei rischi, utilizzando procedure e strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell’ottica del miglioramento continuo.
Ottenere una certificazione accreditata ISO 27001 permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato sul fatto che la sicurezza delle informazioni è gestita in linea con le best practice internazionali e gli obiettivi aziendali.
Come implementare un ISMS conforme ISO 27001
Il progetto di implementazione di un ISMS conforme allo standard ISO 27001 si caratterizza delle seguenti fasi:
- Identificazione dell’ambito del progetto
- Identificazione degli asset di gestione delle informazioni
- Identificare le parti da coinvolgere e i requisiti legali, normativi e contrattuali
- Effettuare una valutazione del rischio
- Rivedere ed implementare i controlli richiesti
- Sviluppare le competenze interne
- Sviluppare la documentazione del sistema di gestione
- Misurare, monitorare, rivedere le prestazioni del sistema, sia in condizioni ordinarie che di emergenza/incidente
- Condurre audit sul sistema di gestione
Di fondamentale importanza è l’Annex A “Control objectives and controls” che contiene i “controlli” a cui l’organizzazione che intende applicare la norma deve attenersi.
Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni), la gestione della continuità operativa ed il rispetto normativo.
La certificazione ISO 27001 è la risposta ottimale alle esigenze legislative come il GDPR, dei clienti e alle potenziali minacce alla sicurezza.