Tag Archives: ISO

ISO 27001

Il patrimonio informativo di un Organizzazione rappresenta un asset strategico e come tale va protetto adeguatamente.
Le informazioni sono disponibili sia in formato cartaceo che elettronico.

Un modello di gestione della sicurezza delle informazioni è rappresentato dalla Norma ISO/IEC 27001:2005Information Technology – Security techiniques – Code of practice for information security management – Requirements.
La norma ISO/IEC 27001:2005 fornisce i requisiti per definire, realizzare, gestire, monitorare, riesaminare, mantenere e migliorare un sistema di sicurezza delle informazioni.

Obiettivi
L’obiettivo di un sistema di gestione della sicurezza informatica conforme alla ISO/IEC 27001:2005 è quello di preservare la riservatezza, l’integrità e la disponibilità delle informazioni dell’Organizzazione.

L’adozione di un tale sistema di gestione può portare, tra l’altro, ai seguenti vantaggi competitivi:
• rafforzamento della immagine aziendale nei confronti degli stakeholder;
• consapevolezza all’interno dell’Organizzazione sulle tematiche di sicurezza delle informazioni;
• approccio sistematico alle problematiche di sicurezza;
• adozione di uno strumento di miglioramento dei processi aziendali afferenti la sicurezza delle informazioni, infatti la norma è strutturata sul ciclo PDCA (plan-do-check-act)

Conformità
Alcune delle attività richieste dalla norma riguardano:
• Individuazione dei beni (assets) da proteggere ed i relativi proprietari responsabili;
• Valutazione dei rischi (risk assesment) che incombono sulle informazioni;
• Definizione del livello di rischio accettabile;
• Scelta ed attuazione delle contromisure per ridurre il rischio non accettabile;
• Effettuazione di verifiche ispettive (audit) sul sistema;
• Riesame sistematico del sistema di gestione;

L’appendice A della norma ISO 27001:2005 contiene una serie di controlli di sicurezza che devono essere adottati dall’Organizzazione.

Best Pratices
In ultimo è da segnalare che la ISO/IEC 27002:2007, Information Technology – Security techiniques – Code of practice for information security management fornisce raccomandazioni per tutti coloro che sono responsabili di avviare, realizzare e mantenere il sistema di sicurezza nella loro Organizzazione.