ISO 27001:2013
ISO 27001 (formalmente conosciuto come ISO/IEC27001:2005) è una specifica per un sistema di gestione della sicurezza delle informazioni (ISMS). Un ISMS è un quadro di politiche e procedure che include tutti i controlli legali, fisici e tecnici coinvolti nei processi di gestione del rischio delle informazioni di un’organizzazione.
Secondo la sua documentazione, ISO 27001 è stato sviluppato per “fornire un modello per stabilire, implementare, operare, monitorare, rivedere, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni”. È stata sviluppata per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le loro informazioni in modo sistematico e conveniente, attraverso l’adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).
La certificazione ISO 27001 non riguarda solo le misure tecniche messe in atto. ISO 27001 riguarda la garanzia che i controlli aziendali e il processo di gestione che avete in atto siano adeguati e proporzionati alle minacce alla sicurezza delle informazioni e alle opportunità che avete identificato e valutato nella vostra valutazione dei rischi. E tutto questo dovrebbe essere fatto con un approccio al processo di gestione della sicurezza delle informazioni guidato dal business.
Non solo lo standard fornisce alle aziende il know-how necessario per proteggere le loro informazioni più preziose, ma un’azienda può anche ottenere la certificazione ISO 27001 e, in questo modo, dimostrare ai suoi clienti e partner che protegge i loro dati.
Poiché si tratta di uno standard internazionale, ISO27001 è facilmente riconosciuto in tutto il mondo, aumentando le opportunità di business per le organizzazioni e i professionisti.
ISO IEC 27001 crea anche le basi di un approccio più olistico e integrato a molti altri standard di sicurezza delle informazioni e della privacy. Per esempio, altri framework come il NIST Cyber Security e il PCI DSS, per citarne solo due, mappano accuratamente molti dei requisiti e dei controlli dell’allegato A di ISO 27001.
L’obiettivo di base di ISO 27001 è quello di proteggere tre aspetti delle informazioni:
– Riservatezza: solo le persone autorizzate hanno il diritto di accedere alle informazioni.
– Integrità: solo le persone autorizzate possono modificare le informazioni.
– Disponibilità: le informazioni devono essere accessibili alle persone autorizzate ogni volta che sono necessarie.
ISO 27001 utilizza un approccio top-down, basato sul rischio ed è neutrale dal punto di vista tecnologico. La specifica definisce un processo di pianificazione in sei parti:
1. Definire una politica di sicurezza.
2. Definire lo scopo dell’ISMS.
3. Condurre una valutazione dei rischi.
4. Gestire i rischi identificati.
5. Selezionare gli obiettivi di controllo e i controlli da implementare.
6. Preparare una dichiarazione di applicabilità.
La specifica include dettagli per la documentazione, la responsabilità della gestione, gli audit interni, il miglioramento continuo e le azioni correttive e preventive. Lo standard richiede la cooperazione tra tutte le sezioni di un’organizzazione.
Gli standard 27001 non impongono controlli specifici per la sicurezza delle informazioni, ma fornisce una lista di controllo dei controlli che dovrebbero essere considerati nel codice di pratica che li accompagna, ISO/IEC 27002:2005. Questo secondo standard descrive una serie completa di obiettivi di controllo della sicurezza delle informazioni e una serie di controlli di sicurezza di buona pratica generalmente accettati.
ISO 27002 contiene 12 sezioni principali:
1. Valutazione del rischio
2. Politica di sicurezza
3. Organizzazione della sicurezza delle informazioni
4. Gestione delle risorse
5. Sicurezza delle risorse umane
6. Sicurezza fisica e ambientale
7. Comunicazioni e gestione delle operazioni
8. 9. Controllo degli accessi
9. Acquisizione, sviluppo e manutenzione dei sistemi informativi
10. Gestione degli incidenti di sicurezza delle informazioni
11. Gestione della continuità operativa
12. Conformità
Le organizzazioni sono tenute ad applicare questi controlli in modo appropriato in linea con i loro rischi specifici. La certificazione accreditata da terzi è raccomandata per la conformità all’ISO 27001.
QUALITY SISTEMA CERTS mira a fornire alla vostra organizzazione questa certificazione con facilità e nel più breve tempo possibile. Il nostro obiettivo è fornire i migliori servizi di certificazione ISO 27001.