La UNI ISO 27001:2013 è la norma che definisce i requisiti dei Sistemi di Gestione per la Sicurezza delle Informazioni (ISMS); tale norma di fatto implica l’analisi e l’adozione, nella propria organizzazione, delle buone pratiche di sicurezza informatica pertinenti.
L’implementazione di tale norma consente di strutturare un sistema aziendale per tenere sotto controllo il livello di sicurezza delle informazioni, proteggendole da utilizzi impropri e incrementando il livello di fiducia per gli stakeholder. Oggi più che mai le informazioni e i flussi comunicativi inbound e outcoming sono uno dei patrimoni e fattori competitivi di maggior rilievo per organizzazioni di tutte le dimensioni. Tutelare la riservatezza e il trattamento delle informazioni significa quindi non solo rispondere a requisiti legislativi cogenti, ma anche definire le regole e gli strumenti secondo i quali l’azienda (quindi i lavoratori di ogni livello) dovranno agire.
Tale norma è allineata con la struttura degli standard ISO 9001:2015 e ISO 14001:2015 ed è perfettamente integrabile con altri sistemi di gestione.
I principali vantaggi derivanti dall’adozione di un sistema di gestione secondo la norma ISO 27001:2013 sono:
- rafforzare l’immagine aziendale e comunicare a tutti i soggetti interessati (interni o esterni all’azienda) la propria attenzione al tema della sicurezza delle informazioni;
- migliorare l’efficienza/efficacia dei processi aziendali e la rispondenza ai requisiti legali e contrattuali;
- incrementare gli strumenti di supporto verso Enti regolatori;
- influenzare positivamente il prestigio e l’immagine aziendale.
Punti Chiave
Per implementare il Sistema di Gestione per la Sicurezza delle Informazioni conforme alla ISO 27001 è necessario:
- valutare i rischi coerentemente al contesto di riferimento;
- valorizzare il concetto di informazione (o risorsa informativa);
- analizzare gli aspetti economico-finanziari inerenti la Sicurezza delle Informazioni;
- analizzare gli aspetti organizzativi e tecnologici relativi alla Sicurezza delle Informazioni;
- definire le contromisure per mitigare i relativi rischi.
Di fondamentale importanza è l’Annex A della norma che contiene 114 controlli (o contromisure) a cui l’organizzazione che intende applicare la norma, deve attenersi.
Alcuni di essi sono:
- la politica e l’organizzazione per la sicurezza delle informazioni
- la sicurezza delle risorse umane
- la gestione degli asset
- il controllo degli accessi logici
- la crittografia
- la sicurezza fisica e ambientale
- la sicurezza delle attività operative
- la sicurezza delle comunicazioni
- la gestione della sicurezza applicativa
- la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni
- il trattamento degli incidenti (relativi alla sicurezza delle informazioni)
- la gestione della Business Continuity
- il rispetto normativo.
Il Team Idra dispone di tecnici esperti nell’implementazione e successivo mantenimento del sistema di gestione della sicurezza delle informazioni; contattaci per una pre-valutazione gratuita della tua situazione aziendale.