Governance
Cos’è la norma
ISO 27001
La ISO/IEC 27001 è una norma internazionale che definisce i requisiti per stabilire, implementare, mantenere e migliorare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Pubblicata dall’Organizzazione Internazionale per la Normazione (ISO) e dalla Commissione Elettrotecnica Internazionale (IEC), questa norma mira a garantire la protezione continua delle informazioni all’interno di un’organizzazione.

Obiettivi principali della ISO 27001
Identificazione delle parti interessate:
Riconoscere le entità interne ed esterne e comprendere le loro aspettative riguardo alla sicurezza delle informazioni.
Valutazione dei rischi:
Determinare i potenziali rischi che potrebbero compromettere la riservatezza, l’integrità e la disponibilità delle informazioni.
Implementazione dei controlli:
Stabilire misure di sicurezza adeguate per mitigare i rischi identificati e soddisfare le aspettative delle parti interessate.
Definizione degli obiettivi di sicurezza:
Stabilire traguardi chiari per garantire un miglioramento continuo nella gestione della sicurezza delle informazioni.
Attuazione delle misure di sicurezza:
Applicare i controlli e le procedure necessarie per affrontare i rischi e raggiungere gli obiettivi prefissati.
Vantaggi dell’implementazione della ISO 27001
Conformità legale:
Aiuta le organizzazioni a rispettare leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni.
Vantaggio competitivo:
Dimostra a clienti e partner l’impegno dell’organizzazione nella protezione delle informazioni, aumentando la fiducia e l’affidabilità.
Riduzione dei rischi:
Attraverso un approccio sistematico, consente di identificare e mitigare i rischi legati alla sicurezza delle informazioni.
Miglioramento dei processi interni:
Promuove l’adozione di best practice nella gestione delle informazioni, ottimizzando l’efficienza operativa.
Struttura della ISO 27001
La norma è organizzata in diverse sezioni, tra cui:
Clausole 4-10
Definiscono i requisiti per l’implementazione e il mantenimento di un SGSI, inclusi il contesto dell’organizzazione, la leadership, la pianificazione, il supporto, il funzionamento, la valutazione delle prestazioni e il miglioramento continuo.
Allegato A
Elenca i controlli di sicurezza suddivisi in 4 domini:
- Organizational controls: da 5.1 a 5.37
- Peolple controls: da 6.1 a 6.8
- Physical controls: da 7.1 a 7.14
- Technological controls: da 8.1 a 8.34
Aggiornamenti recenti
La versione più recente della ISO 27001 è stata pubblicata nel 2022, introducendo modifiche significative, tra cui appunto la riduzione del numero di controlli da 114 a 93, con una riorganizzazione in 4 sezioni principali anziché le precedenti 14.
Introduzione di nuovi controlli:
Sono stati aggiunti 11 nuovi controlli per affrontare le sfide emergenti nella sicurezza delle informazioni.
Certificazione ISO 27001
Ottenere la certificazione ISO 27001 dimostra l’impegno di un’organizzazione nella protezione delle informazioni. Il processo di certificazione prevede:
Implementazione del SGSI:
Sviluppare e applicare un sistema conforme ai requisiti della norma.
Audit interno:
Valutare l’efficacia del SGSI e identificare eventuali non conformità.
Riesame della direzione:
Assicurare che la direzione sia coinvolta e supporti il sistema implementato.
Audit di certificazione:
Un ente di certificazione indipendente verifica la conformità del SGSI alla norma ISO 27001.
La durata del processo di certificazione varia in base alla complessità dell’organizzazione, generalmente tra 3 e 12 mesi.
Proietta le tue competenze verso il futuro.
Rendi compliance la tua organizzazione e acquisisci le informazioni importanti per la tua sicurezza e le persone a te vicine.
