Obiettivi:
- RISERVATEZZA: accessibilità alle informazioni solo da parte di chi dispone delle necessarie autorizzazioni;
- INTEGRITA’: salvaguardia dell’ accuratezza e della completezza dei dati e dei metodi di elaborazione (devono poterli modificare solo gli autorizzati);
- DISPONIBILITA’:’ garantire agli utenti autorizzati’accesso alle informazioni, ai sistemi e ai servizi quando richiesto (accesso in tempo reale senza ritardo in caso di necessità)
La Norma ISO/IEC 27001:2005 (ex BS 7799) offre gli strumenti necessari alla definizione e attuazione di un SGSI. La Norma si concentra sugli aspetti propri della gestione della sicurezza, proponendo opportune contromisure (“controlli”) con un livello di dettaglio tale da consentire la loro applicazione a tutte le Organizzazioni, siano esse grandi, medie o piccole con strutture IT più o meno complesse.
La normativa ISO 27001 riprende alcuni dei concetti dello standard ISO 9001. Le organizzazioni che desiderano certificare da un ente indipendente la presenza di un Sistema di Gestione della Sicurezza delle Informazioni devono far riferimento proprio alla norma ISO/IEC 27001:2005; la norma ISO 27002:2007 non è certificabile poiché è una semplice raccolta di raccomandazioni.