Il patrimonio informativo di un Organizzazione rappresenta un asset strategico e come tale va protetto adeguatamente. Le informazioni sono disponibili sia in formato cartaceo che elettronico. Un modello di gestione della sicurezza delle informazioni è rappresentato dalla Norma ISO/IEC 27001:2005Information Technology – Security techiniques – Code of practice for information security management - Requirements. La norma ISO/IEC 27001:2005 fornisce i requisiti per definire, realizzare, gestire, monitorare, riesaminare, mantenere e migliorare un sistema di sicurezza delle informazioni. Obiettivi L’obiettivo di un sistema di gestione della sicurezza informatica conforme alla ISO/IEC 27001:2005 è quello di preservare la riservatezza, l'integrità e la disponibilità delle informazioni dell'Organizzazione. L’adozione di un tale sistema di gestione può portare, tra l’altro, ai seguenti vantaggi competitivi: • rafforzamento della immagine aziendale nei confronti degli stakeholder; • consapevolezza all’interno dell’Organizzazione sulle tematiche di sicurezza delle informazioni; • approccio sistematico alle problematiche di sicurezza; • adozione di uno strumento di miglioramento dei processi aziendali afferenti la sicurezza delle informazioni, infatti la norma è strutturata sul ciclo PDCA (plan-do-check-act) Conformità Alcune delle attività richieste dalla norma riguardano: • Individuazione dei beni (assets) da proteggere ed i relativi proprietari responsabili; • Valutazione dei rischi (risk assesment) che incombono sulle informazioni; • Definizione del livello di rischio accettabile; • Scelta ed attuazione delle contromisure per ridurre il rischio non accettabile; • Effettuazione di verifiche ispettive (audit) sul sistema; • Riesame sistematico del sistema di gestione; L’appendice A della norma ISO 27001:2005 contiene una serie di controlli di sicurezza che devono essere adottati dall’Organizzazione. Best Pratices In ultimo è da segnalare che la ISO/IEC 27002:2007, Information Technology – Security techiniques – Code of practice for information security management fornisce raccomandazioni per tutti coloro che sono responsabili di avviare, realizzare e mantenere il sistema di sicurezza nella loro Organizzazione.