Sistema di Gestione della Sicurezza delle Informazioni ISO 27001

Lo Standard ISO/IEC 27001:2022 (più semplicemente ISO 27001) è una normativa internazionale che qualifica quali siano i requisiti essenziali per la gestione e l’impostazione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

Obiettivi:

  • RISERVATEZZA: accessibilità alle informazioni solo da parte di chi dispone delle necessarie autorizzazioni;
  • INTEGRITÀ: salvaguardia dell’ accuratezza e della completezza dei dati e dei metodi di elaborazione (devono poterli modificare solo gli autorizzati);
  • DISPONIBILITÀ: garantire agli utenti autorizzati l’accesso alle informazioni, ai sistemi e ai servizi quando richiesto (accesso in tempo reale senza ritardo in caso di necessità)

La Norma internazionale ISO/IEC 27001 definisce i requisiti per impostare, attuare, utilizzare, monitorare, mantenere e migliorare un SGSI (o ISMS).

La Norma ISO/IEC 27001 è applicabile a tutte le tipologie di organizzazioni, pubbliche e private, a prescindere dal loro specifico settore merceologico di appartenenza. Finanza, assicurazioni, telecomunicazioni, trasporti e molti altri, pur molto diversi tra loro, possono ugualmente beneficiare di un SGSI conforme alla ISO/IEC 27001.

In ogni organizzazione l’informazione aggiunge valore. Ormai la pressoché totalità delle informazioni sono custodite e transitano da supporti informatici, ed ogni organizzazione è chiamata a garantire la sicurezza dei propri dati e dei dati che tratta, in un contesto dove le minacce e gli scenari di rischio a cui occorre saper rispondere, sono in continua evoluzione. Uno degli obiettivi della ISO/IEC 27001 è proprio quello di definire i requisiti minimi di protezione delle informazioni (aziendali) da minacce di ogni tipo, al fine di preservarne l’integrità, la riservatezza e la disponibilità. Queste tre proprietà concorrono, assieme ad altre, a definire quel che la ISO/IEC 27000, norma “glossario” complementare, identifica come “Information Security”.


Come funziona il processo di certificazione?

• Pre-Audit. Visita preliminare per la verifica della documentazione del SGSI e dello stato di applicazione.
• Audit di Certificazione. Verifica dell’implementazione del SGSI:
– identificazione dei rischi,
– analisi e valutazione,
– pianificazione e progettazione (selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi),
– approvazione e rilascio del certificato (primo anno).
• 1° Audit di Sorveglianza. Verifica ispettiva di mantenimento (secondo anno).
• 2° Audit di Sorveglianza. Verifica ispettiva di mantenimento (terzo anno).
Il certificato avrà validità di 3 anni dalla data di rilascio.