La ISO 27001, come sappiamo, è lo standard ISO che si occupa della gestione della sicurezza delle informazioni. Quello che molti non sanno, però, è che non si tratta solamente della sicurezza delle informazioni gestite tramite sistemi elettronici ma di tutte le informazioni. I controlli elencati nella norma, infatti, possono essere estesi anche alle informazioni cartecee.
Se è vero, infatti, che la maggior parte delle organizzazioni oggi archivia le informazioni in modo digitale, vi basterà dare un’occhiata al posto in cui lavorate per accorgervi che moltissimo materiale è ancora interamente gestito tramite archivi cartacei, sul desktop dei singoli computer di alcuni lavoratori, nelle chiavette USB o…nel cervello delle persone.
Ecco, il modo in cui gestite tutti questi dati, ovunque e in qualsiasi modo essi siano archiviati, è tutto coperto dalla ISO 27001 che prende il nome di “Sistemi di gestione per la sicurezza dell’informazione - Requisiti”.
Rifletteteci un attimo: avete il controllo su tutte queste informazioni? Sono accuratamente protette? Se la risposta è “no”, avete un vitale bisogno di approfondire i contenuti della norma che ha come scopo proprio quello di aiutare le organizzazioni a mantenere al sicuro tutte le informazioni che per lei sono importanti. E potete essere ragionevolmente sicuri che, se i lavoratori si sono presi la briga di salvare queste informazioni e le consultano regolarmente, è perché sono informazioni importanti per le loro attività quotidiane.
La ISO 27001 è un modello costituito da politiche e procedure che vi consentirà di controllare il modo in cui la vostra organizzazione archivia e gestisce i dati, facilitando la valutazione di eventuali rischi ai quali sono sottoposti e accompagnandovi nel processo teso a stabilire i possibili rimedi. Anche le organizzazioni più avvedute, infatti, possono avere non poche difficoltà a capire quali informazioni siano davvero importanti per loro e come controllarle.
La realtà è che la maggior parte delle aziende sceglie di controllare ciò che è facile da controllare perché gestito tramite supporto informatico, dimenticando però che l’anello debole del sistema sono proprio le persone che devono essere ben addestrate a tutelarle. La norma offre una struttura proprio per questo lavoro: valutazioni dei rischi, piani per ridurli, buone pratiche sui controlli ideali, comprensione del contesto, esigenze delle parti interessate, ecc. e il tutto aiuta a focalizzarsi su ciò di cui un’organizzazione ha realmente bisogno.
Ricordiamo anche che non tutte le informazioni devono essere trattate allo stesso modo e che questo può far risparmiare alle organizzazioni tempo, costi e fatica. Il modo corretto di procedere è identificare le informazioni e decidere come gestirle, in base alla loro importanza. La ISO 27001, infatti, non fornisce alcun dettaglio su come implementare i controlli anche se la ISO 27002 “Codice di pratica per la gestione della sicurezza delle informazioni”, uno standard di supporto, fornisce alcune indicazioni e raccomandazioni per l’implementazione di questi controlli.
Se volete certificare il vostro sistema di gestione progettato secondo la ISO 27001, telefonateci allo 02.58320936 o scriveteci senza impegno all’indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.: saremo lieti di darvi tutte le informazioni che vi servono sull’iter da seguire e sui relativi costi.