UNI EN ISO 27001
Sistemi di Gestione per la Sicurezza Informatica
Che cos’è la ISO 27001?
Lo standard UNI ISO 27001:2013 sicurezza informatica è la norma volontaria dei Sistemi di Gestione per la Sicurezza (ISMS) delle Informazioni, riconosciuta a livello mondiale come evidenza oggettiva dell’applicazione delle buone pratiche di sicurezza informatica messa in atto dalle organizzazioni che sposano tale norma.
Richiede che sia sviluppata una politica per la sicurezza delle informazioni, disponibile a tutte le parti interessate, che dimostri l’impegno dell’organizzazione.
In questo modo è possibile proteggere le informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti.
È allineata con gli standard UN EN ISO 9001:2015 e UNI EN ISO 14001:2015 ed è perfettamente integrabile con altri sistemi di gestione.
La Certificazione secondo la norma ISO 27001:2013 consente di:
- valorizzare gli investimenti e rafforzare l’immagine aziendale
- dare un segnale forte verso un mercato sempre più sensibile alla problematica sicurezza
- ottenere fattori di vitalità per il sistema di gestione, migliorandone efficienza/efficacia e rispondenza ai requisiti legali e contrattuali
- aumentare gli strumenti di supporto verso enti regolamentatori ed autorizzatori
- influenzare positivamente il prestigio aziendale, l’immagine, i parametri di goodwill esterna fino ad una possibile incidenza sulla valutazione patrimoniale
Come ottengo la certificazione?
L’iter di certificazione secondo la Norma UNI EN ISO 27001, prevede:
- la richiesta di offerta
- l’accettazione dell’offerta
- lo svolgimento di un audit di prevalutazione (facoltativo)
- lo svolgimento di un audit di Certificazione (suddiviso in due stage)
- la gestione di eventuali carenze riscontrate
- la delibera di certificazione
- le verifiche di mantenimento con frequenza annuale
Punti Chiave
Per definire il Sistema di Gestione per la Sicurezza Informatica conforme alla ISO 27001 è necessario:
- valutazione dei rischi coerentemente al contesto di riferimento
- valorizzazione del concetto di informazione (o risorsa informativa)
- aspetti economico-finanziari inerenti la Sicurezza delle Informazioni
- aspetto organizzativo (e non solo tecnologico) della Sicurezza delle Informazioni
- efficacia del SGSI e delle contromisure adottate per trattare i rischi.
Di fondamentale importanza è l’Annex A che contiene i 114 controlli (o contromisure) a cui l’organizzazione che intende applicare la norma, deve attenersi.
Essi riguardano tra l’altro:
- la politica e l’organizzazione per la sicurezza delle informazioni
- la sicurezza delle risorse umane
- la gestione degli asset
- il controllo degli accessi logici
- la crittografia
- la sicurezza fisica e ambientale
- la sicurezza delle attività operative
- la sicurezza delle comunicazioni
- la gestione della sicurezza applicativa
- la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni
- il trattamento degli incidenti (relativi alla sicurezza delle informazioni)
- la gestione della Business Continuity
- il rispetto normativo
Vantaggi
Un’organizzazione può trarre numerosi vantaggi dalla certificazione di un sistema di gestione per la sicurezza informatica ISO 27001, come ad esempio:
- Ottenere un vantaggio competitivo soddisfacendo i requisiti contrattuali dei propri clienti con particolare attenzione alla sicurezza delle loro informazioni
- Eseguire in modo imparziale l’identificazione, la valutazione e la gestione dei rischi dell’organizzazione, formalizzando al tempo stesso i processi, le procedure e la documentazione relativi alla sicurezza delle informazioni
- Attestare con imparzialità l’osservanza delle leggi e normative applicabili
- Dimostrare l’impegno dei responsabili aziendali per garantire la sicurezza delle informazioni
- Garantire il monitoraggio costante delle prestazioni aziendali e attivando le azioni di miglioramento necessarie.