ISO/IEC 27001

CHE COS’È

Lo standard ISO/IEC 27001 è l’unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un SGSI (Sistema di Gestione della Sicurezza delle Informazioni) per prevenire eventuali incidenti di sicurezza che possono derivare da un’inadeguata gestione e conservazione delle informazioni. Il Sistema di Gestione per la Sicurezza delle Informazioni si basa sull’analisi dei rischi connessi all’accadimento di eventi malevoli per la sicurezza delle informazioni e sulla definizione dei controlli da attuare per prevenirli.

In questo modo è possibile proteggere le informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti.

PUNTI CHIAVE

  • la valutazione dei rischi coerentemente al contesto di riferimento;
  • il concetto di informazione (o risorsa informativa) con relativa valorizzazione;
  • gli aspetti economico-finanziari inerenti la Sicurezza delle Informazioni;
  • l’aspetto organizzativo (e non solo tecnologico) della Sicurezza delle Informazioni;
  • l’efficacia del SGSI e delle contromisure adottate per trattare i rischi.

Di fondamentale importanza è l’Annex A che contiene i 114 “controlli” (o contromisure) a cui, l’organizzazione che intende applicare la norma, deve attenersi. Essi riguardano tra l’altro:

  • la politica e l’organizzazione per la sicurezza delle informazioni
  • la sicurezza delle risorse umane
  • la gestione degli asset
  • il controllo degli accessi logici
  • la crittografia
  • la sicurezza fisica e ambientale
  • la sicurezza delle attività operative
  • la sicurezza delle comunicazioni
  • la gestione della sicurezza applicativa
  • la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni
  • il trattamento degli incidenti (relativi alla sicurezza delle informazioni)
  • la gestione della Business Continuity
  • il rispetto normativo

VANTAGGI

  • Offrire maggiori garanzie ai clienti ed alle pubbliche amministrazioni.
  • Disporre di maggiori opportunità nella qualifica dei fornitori, partecipazione a gare.
  • Assicurare una maggiore continuità e consistenza nel business con conseguente valorizzazione dell’Azienda.
  • Ottenere migliori coperture assicurative e riduzione dei premi assicurativi correlati.
  • Proporsi al mercato come azienda solida, affidabile e consapevole della corretta gestione delle informazioni sia proprie sia dei Clienti, con un vantaggio competitivo sui concorrenti.
  • Acquisire consapevolezza di una corretta gestione dell’informazione e dei possibili danni che diversamente potrebbero essere provocati.
  • Familiarizzare con un valido strumento a supporto del trattamento dei dati personali.
  • Minimizzare esposizioni legali e costi conseguenti ad una non corretta gestione delle informazioni affidate dai Clienti.
  • Ridurre la probabilità di accadimento di incidenti di sicurezza delle informazioni e identificare prassi per il loro recupero in tempo reale.
  • Dimostrare con imparzialità l’osservanza delle leggi e normative applicabili
  • Criterio premiante definito all’interno del nuovo Codice degli Appalti; in particolare la garanzia fideiussoria è ulteriormente ridotta del 30% per le aziende certificate ISO 27001.