ISO 27001

11 Gennaio 2009 di Daniele Frulla

Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell’informazione.

Lo standard è stato creato e pubblicato nell’ottobre 2005 a fini certificativi, costituendo un sistema completo per garantire la gestione della sicurezza nella tecnologia dell’informazione e sostituendo la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava la principale norma di riferimento per l’applicazione di un Sistema di Gestione per la sicurezza delle informazioni.

Il nuovo standard ha assorbito entrambe le parti: la linea guida è diventata ISO 17799:1 che prescrive la conservazione e la difesa delle risorse informative di un’impresa, mentre la ISO 27001:05 è il documento normativo di certificazione al quale un’azienda deve fare riferimento.

Dal momento che l’informazione è un bene il quale aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo del nuovo standard è quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni finalizzato ad una corretta gestione dei dati sensibili dell’azienda.

La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.

Importantissimo è l’Annex A “Control objectives and controls” che contiene i 133 “controlli” a cui, l’organizzazione che intende applicare la norma, deve attenersi. Essi vanno dalla politica e l’organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell’operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni), dalla gestione della Business Continuity e il rispetto normativo, completano l’elenco degli obiettivi di controllo. L’organizzazione deve anche indicare anche quali controlli non sono applicabili alla propria realtà.

La conformità alla ISO 27001 non solleva l’organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy, come sottolineato da uno dei controlli. La differenza tra la legge sulla Privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali e sensibili dei cittadini, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s’interessa principalmente dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’organizzazione.

In Italia la sicurezza sui luoghi di lavoro è regolamentata dal D.Lgs.81/2008, individuato tra quelle normative la cui osservanza deve essere esplicitamente definita e documentata.

Fonte: www.newstechnology.eu

Related Posts

«
»

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Copyright di Caterina Mezzapelle Part. I.V.A. 02413940814 - R.E.A. 191812
FACEBOOK · TWITTER