ISO 27001:2013 – Sistemi di gestione per la sicurezza delle informazioni

Scopo

Lo scopo principale della norma ISO 27001 è quello di promuovere la sicurezza delle informazioni all’interno delle organizzazioni che intendono implementare un sistema di gestione volto alla corretta gestione delle informazioni di proprietà o affidate da terzi. Dal 2016 con l’emanazione del Reg. Eu 2016/679 (GDPR) trova ampissima diffusione in tutte le organizzazioni impegnate nella rivoluzione digitale o che gestiscono informazioni particolari come oggetto principale della propria attività.

La difesa degli Asset aziendali quindi diventa centrale e la norma fornisce strumenti utili a limitare l’esposizione a data breach dipendenti sia da fattori esterni che da quelli interni dell’organizzazione.

Da Dove Iniziare

Come già visto con altre norme elaborate secondo l’Hight Level Structure (HLS), la ISO 27001 pone le sue basi nel documento di valutazione dei rischi che, deve essere elaborato coerentemente con l’analisi del contesto aziendale e delle informazioni trattate. L’organizzazione deve comprendere il concetto di informazione (o Asset Informativo) distinguendone le forme e le modalità in cui esse si presentano. Pro

Devono essere determinati gli aspetti economico-finanziari inerenti alla sicurezza delle informazioni e compresi gli aspetti organizzativi, oltre che tecnologici, impattanti.

Fondamentale nella progettazione di un sistema di gestione secondo la ISO 27001 è l’Annex A che contiene i “controlli” (o contromisure) a cui, l’organizzazione , deve attenersi.

L’Annex A e i “Controlli” previsti dalla norma

I controlli affrontano i seguenti argomenti:

  • la politica e l’organizzazione per la sicurezza delle informazioni
  • la sicurezza delle risorse umane
  • la gestione degli asset
  • il controllo degli accessi logici
  • la crittografia
  • la sicurezza fisica e ambientale
  • la sicurezza delle attività operative
  • la sicurezza delle comunicazioni
  • la gestione della sicurezza applicativa
  • la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni
  • il trattamento degli incidenti (relativi alla sicurezza delle informazioni)
  • la gestione della Business Continuity
  • il rispetto normativo