La Certificazione ISO 27001 è l’unico standard certificabile a livello internazionale che definisce i requisiti per i sistemi di gestione della sicurezza delle informazioni (SGSI).

Sviluppata nel 2005, la norma ISO/IEC 27001 ha sostituito la norma inglese BS 7799:2 ed è stata aggiornata alla seconda versione del 2013.

Tale norma contiene tutta una serie di best practice riguardanti le misure di gestione della sicurezza informatica di un’azienda al fine di garantire la protezione dei dati dei clienti e proteggere le informazioni.

Le linee guida, oltre a definire i requisiti per impostare e gestire un sistema di gestione della cybersicurezza, forniscono indicazioni sulle modalità da adottare per una corretta valutazione del rischio aziendale in tema di cybersecurity. Oltre alla sicurezza logica, comprende anche quella fisica ed organizzativa.

La certificazione è su base volontaria: tutte le imprese o aziende pubbliche possono ottenerla da un Ente accreditato, indipendentemente dalla loro struttura o business. In particolare, è applicabile ad imprese operanti nei settori commerciali e industriali, finanza, assicurazioni, servizi, telecomunicazioni, trasporti, settori governativi. Scopri come seguendo questo link.

Certificazione ISO 27001: i requisiti

La norma ISO 27001 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS), per impostarlo, progettarlo, implementarlo, utilizzarlo, monitorarlo, mantenerlo e migliorarlo. Determina anche i requisiti per i controlli di sicurezza personalizzati in base alle esigenze di ogni singola azienda. Il focus è la gestione del rischiononché di identificazione, valutazione ed analisi del rischio e contromisure da adottare per trattare eventuali pericoli.

Questo sistema richiede un’ampia documentazione sull’analisi del rischio, procedure ed attività di autocontrollo gestite dall’impresa attraverso personale competente. Sarà necessario selezionare gli obiettivi e le attività di controllo per la gestione dei rischi e la protezione delle risorse informative.

L’AnnexA contenente i 114controlli a cui l’azienda deve attenersi è di fondamentale importanza. Tali controlli spaziano dalla politica ed organizzazione per la sicurezza dei dati alla gestione degli asset, dagli accessi logici alla crittografia, dalla sicurezza delle comunicazioni a quella delle attività operative, dalla sicurezza fisica e ambientale a quella delle risorse umane, ecc. Comprendono anche i rapporti con i fornitori coinvolti nella gestione della sicurezza, il trattamento di eventuali incidenti di cybersecurity.

L’elenco degli obiettivi di controllo si conclude con la gestione della continuità operativa ed il rispetto normativo.

L’Ente di certificazione esaminerà periodicamente lo stato delle condizioni di conformità dell’organizzazione.

Aziende certificate ISO 27001: vantaggi

I vantaggi offertidalla Certificazione ISO 27001 sono diversi e tutti importanti:

• vantaggio competitivo per l’azienda grazie alla garanzia della sicurezza dei dati dei propri clienti;
• rispetto e conformità ai requisiti normativi (GDPR);
• dimostrazione dell’impegno da parte dei responsabili aziendali nel seguire le best practice internazionali in linea con gli obiettivi dell’organizzazione;
• garanzia del costante monitoraggio delle performance aziendali e di un continuo miglioramento;
• possibilità di risparmiare denaro evitando sanzioni pecuniarie e perdite economiche causate da violazioni dei dati ed attacchi informatici;
• imparzialità nell’identificare, valutare e gestire i rischi dell’organizzazione impostando processi, procedure e documentazione riguardanti la sicurezza dei dati;
• possibilità di espandere il business grazie al riconoscimento internazionale dell’azienda certificata;
• miglioramento della reputazione, della credibilità e della fiducia dei clienti.

ISO 27001 e Legge sulla Privacy

La Legge sulla Privacy, sostanzialmente, tutela i dati personali (sensibili o meno).

La norma ISO 27001, seppure richieda la conformità alla legge, si occupa anche dei dati di business dell’azienda certificata da proteggere per l’interesse dell’organizzazione.

L’Annex A dello standard ISO 27001 prevede che la protezione dei dati e della privacy sia garantita come richiesto dalla legge, dalle norme o anche dalle clausole contrattuali. Va da sé che la certificazione ISO 27001 non solleva l’azienda dal rispetto delle misure minime di sicurezza e dal produrre la documentazione necessaria richiesta dalla Legge sulla Privacy.