+39 075 609699 info@lusios.it

ISO 27001: IL SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

Lusios S.r.l.

dati ormai sono diventati un patrimonio importante per ogni azienda e pertanto devono essere gestiti con professionalità e tenuti al sicuro.

Tuttavia in una realtà dove le violazioni e gli attacchi dei sistemi informatici sono in continuo aumento, ogni azienda deve essere in grado di garantire la sicurezza delle informazioni che è chiamata a gestire, archiviare, condividere ed utilizzare per lo sviluppo delle proprie attività.

L’obiettivo del sistema di gestione proposto dalla norma ISO 27001 è la gestione della sicurezza di queste informazioni e come viene integrata nei processi aziendali.

Comprende numerosi controlli suddivisi in varie categorie (esempio: Politiche di sicurezza delle informazioni, Organizzazione della sicurezza delle informazioni e assegnazione di responsabilità, Sicurezza delle risorse umane).

La certificazione è un processo volontario ed indica alle aziende come strutturarsi per gestire le persone, i processi e la tecnologia per garantire la riservatezza, la disponibilità e l’integrità delle informazioni utilizzate.

Cos’è ISO 27001?

ISO/IEC 27001 è lo standard internazionale che descrive le best practice per un ISMS (sistema di gestione della sicurezza delle informazioni, anche detto SGSI, in italiano).

L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2015 ed il Risk management, basandosi sull’approccio per processi e trattamento dei rischi, utilizzando procedure e strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell’ottica del miglioramento continuo.

Ottenere una certificazione accreditata ISO 27001 permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato sul fatto che la sicurezza delle informazioni è gestita in linea con le best practice internazionali e gli obiettivi aziendali.

Come implementare un ISMS conforme ISO 27001

Il progetto di implementazione di un ISMS conforme allo standard ISO 27001 si caratterizza delle seguenti fasi:

  • Identificazione dell’ambito del progetto
  • Identificazione degli asset di gestione delle informazioni
  • Identificare le parti da coinvolgere e i requisiti legali, normativi e contrattuali
  • Effettuare una valutazione del rischio
  • Rivedere ed implementare i controlli richiesti
  • Sviluppare le competenze interne
  • Sviluppare la documentazione del sistema di gestione
  • Misurare, monitorare, rivedere le prestazioni del sistema, sia in condizioni ordinarie che di emergenza/incidente
  • Condurre audit sul sistema di gestione

Di fondamentale importanza è l’Annex A “Control objectives and controls” che contiene i “controlli” a cui l’organizzazione che intende applicare la norma deve attenersi.

Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni), la gestione della continuità operativa ed il rispetto normativo.

La certificazione ISO 27001 è la risposta ottimale alle esigenze legislative come il GDPR, dei clienti e alle potenziali minacce alla sicurezza.