Sistema di Gestione della Sicurezza delle Informazioni ISO 27001

Lo Standard ISO/IEC 27001:2005 (più semplicemente ISO 27001) è una normativa internazionale che qualifica quali siano i requisiti essenziali per la gestione e l’impostazione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

Obiettivi:

  • RISERVATEZZA: accessibilità alle informazioni solo da parte di chi dispone delle necessarie autorizzazioni;
  • INTEGRITA’: salvaguardia dell’ accuratezza e della completezza dei dati e dei metodi di elaborazione (devono poterli modificare solo gli autorizzati);
  • DISPONIBILITA’:’ garantire agli utenti autorizzati’accesso alle informazioni, ai sistemi e ai servizi quando richiesto (accesso in tempo reale senza ritardo in caso di necessità)

La Norma ISO/IEC 27001:2005 (ex BS 7799) offre gli strumenti necessari alla definizione e attuazione di un SGSI. La Norma si concentra sugli aspetti propri della gestione della sicurezza, proponendo opportune contromisure (“controlli”) con un livello di dettaglio tale da consentire la loro applicazione a tutte le Organizzazioni, siano esse grandi, medie o piccole con strutture IT più o meno complesse.

La normativa ISO 27001 riprende alcuni dei concetti dello standard ISO 9001. Le organizzazioni che desiderano certificare da un ente indipendente la presenza di un Sistema di Gestione della Sicurezza delle Informazioni devono far riferimento proprio alla norma ISO/IEC 27001:2005; la norma ISO 27002:2007 non è certificabile poiché è una semplice raccolta di raccomandazioni.


Come funziona il processo di certificazione?

Pre-Audit. Visita preliminare per la verifica della documentazione del SGSI e dello stato di applicazione.
Audit di Certificazione. Verifica dell’implementazione del SGSI:
identificazione dei rischi,
analisi e valutazione,
pianificazione e progettazione (selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi),
approvazione e rilascio del certificato (primo anno).
1° Audit di Sorveglianza. Verifica ispettiva di mantenimento (secondo anno).
2° Audit di Sorveglianza. Verifica ispettiva di mantenimento (terzo anno).
Il certificato avrà validità di 3 anni dalla data di rilascio.