La ISO 27001:2017 “Tecnologie informatiche – Tecniche di sicurezza – Sistemi di gestione per la sicurezza” è uno standard internazionale pubblicato dall'Organizzazione Internazionale per la Standardizzazione (ISO).
Che differenza c’è tra la ISO 27001 e la ISO 27002?
La ISO 27002:2017 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni” è un documento di supporto che fornisce una guida ai controlli relativi alla sicurezza delle informazioni e alle migliori pratiche che possono essere implementate per aiutare a mitigare i rischi identificati dalla valutazione del rischio eseguita con l’ausilio della ISO 27001. Molte organizzazioni utilizzano l’elenco dei controlli riportati nell’allegato A della ISO 27001 per accertarsi di utilizzare le migliori pratiche al fine di fornire un livello di sicurezza delle informazioni adeguato. Sarebbe meglio, però, utilizzare una propria valutazione autonoma del rischio per determinare quali controlli siano rilevanti, poiché alcuni dei controlli elencati nella norma potrebbero non essere applicabili alla vostra organizzazione mentre potrebbero servirne altri. Inoltre, sarebbe meglio non utilizzare l'allegato A da solo poiché la ISO 27002 fornisce indicazioni aggiuntive su come implementare i controlli elencati.
Da notare che la ISO 27002, a differenza della ISO 27001, non contiene requisiti adempiendo ai quali si ottiene una certificazione. Non è, quindi, possibile certificarsi ISO 27002 ma solamente ISO 27001.
A cosa serve la ISO 27001?
La ISO 27001 fornisce un approccio standardizzato alla gestione della sicurezza in un modo proattivo, applicabile definendo le informazioni da gestire e analizzandone i rischi per la loro sicurezza. Avendo questo obiettivo in mente, la norma è decisamente l’approccio migliore che si possa applicare.
Come funziona la ISO 27001?
La ISO 27001:2017 prescrive l’uso di un sistema di gestione della sicurezza delle informazioni costituito da un insieme standardizzato di politiche, processi e procedure per consentire di definire quali informazioni devono essere protette, quali tipi di protezione sono necessarie e quali azioni di mitigazione possono essere intraprese per affrontare eventuali rischi identificati. In sostanza, il vostro sistema di gestione delinea l'approccio aziendale per gestire la sicurezza delle informazioni.
Un requisito fondamentale della ISO 27001 è garantire che determinati processi siano in atto per assicurare una gestione efficace e proattiva della sicurezza delle informazioni e un miglioramento continuo del sistema di gestione. I requisiti contenuti nella norma sono suddivisi in sette capitoli che riguardano il contesto dell'organizzazione, la leadership, la pianificazione, il supporto, l’operatività, la valutazione delle prestazioni e il miglioramento continuo.
Perché la ISO 27001 è importante?
Ci sono molti modi in cui un’organizzazione può essere danneggiata da una mancata protezione delle sue informazioni e le conseguenze possono essere potenzialmente catastrofiche. In Europa, tra l’altro, la mancata protezione dei dati personali delle persone con cui l’azienda interagisce potrebbe comportare una multa ai sensi del Regolamento generale sulla protezione dei dati. Se, poi, la mancanza di protezione delle informazioni diventasse di dominio pubblico, potrebbe anche portare una pubblicità negativa all’azienda, con conseguenti danni significativi alla sua reputazione.
L'implementazione di un sistema di gestione per la sicurezza delle informazioni basato sulla ISO 27001 aiuta le organizzazioni a identificare dove si trovano i rischi maggiori e ad affrontarli in un modo appropriato per ridurre la probabilità che si verifichino impatti significativi. Questo modo di procedere rassicurerà le parti interessate relativamente al fatto che il rischio della sicurezza delle informazioni viene gestito in modo efficace.
Cos’è la certificazione ISO 27001?
Al fine di fornire un’ulteriore rassicurazione agli stakeholder e, in particolare, ai clienti, è possibile anche richiedere la certificazione ISO 27001, un processo in cui, a seguito di una valutazione del vostro sistema di gestione per la sicurezza delle informazioni da parte di un organismo di certificazione accreditato, sarete in grado di fornire la prova che il vostro modo di agire soddisfa i requisiti della norma.
Quanto tempo ci vuole per certificarsi ISO 27001?
Non esiste una risposta univoca a questa domanda in quanto dipende dalle dimensioni e dalla complessità di un’organizzazione, da quali sistemi e processi sono già in atto e da quali risorse risultano disponibili. Tuttavia, generalmente, occorrono dai 6 ai 9 mesi per un'organizzazione piccola e a bassa complessità e fino a 18 mesi per realtà parecchio complesse.
La certificazione ISO 27001 è obbligatoria?
Non vi è alcun obbligo legale di certificarsi ISO 27001. Le organizzazioni scelgono di farlo in base ai vantaggi che si ottengono da questo percorso. E’ bene ricordare, tuttavia, che possono esistere eventuali obblighi contrattuali relativi alla protezione delle informazioni dei clienti o delle altre parti interessate e che c'è una tendenza globale in aumento di clienti che richiedono ai fornitori terzi di implementare la ISO 27001.