Il gruppo dirigente di un’organizzazione ha il compito di approvare l’insieme di politiche per la sicurezza delle informazioni che dovrà andare a costituire la base del sistema di gestione impostato secondo la ISO 27001. Le politiche dovrebbero essere semplici e mirate, eventualmente facendo riferimento a procedure o istruzioni più dettagliate. Scopo della politica di livello superiore è quello di esprimere la vision della dirigenza in modo sintetico ed efficace.
Queste politiche dovrebbero essere distribuite e comunicate a tutto il personale e a tutte le parti esterne interessate, ad esempio ad altre persone che lavorano saltuariamente nei locali dell'organizzazione. Le politiche di livello inferiore dovrebbero essere disponibili per il personale appropriato secondo necessità, a seconda della loro funzione lavorativa e dei requisiti di sicurezza associati.
Le politiche relative alla gestione della sicurezza delle informazioni dovrebbero essere soggette al controllo della versione e dovrebbero far parte della documentazione del sistema di gestione progettato secondo la ISO 27001. Dovrebbe essere garantito che tutte le persone che hanno delle responsabilità per la gestione della sicurezza delle informazioni abbiano accesso a tutte le politiche necessarie.
Una buona politica dovrebbe affrontare almeno i seguenti argomenti: - una definizione comprensibile di quello che si intende per sicurezza delle informazioni, la sua portata complessiva e l'obiettivo da raggiungere; - le ragioni per cui la sicurezza delle informazioni è importante per l'organizzazione; - una dichiarazione di supporto dell'alta direzione alla sicurezza delle informazioni; - una sintesi di uno schema pratico per la valutazione del rischio, la gestione del rischio e la selezione degli obiettivi e dei controlli; - un riepilogo delle politiche per la sicurezza, dei principi, degli standard e dei requisiti di conformità; - una definizione di tutte le responsabilità pertinenti in materia di sicurezza delle informazioni; - il riferimento alla documentazione di supporto, ad es. politiche più dettagliate; - come gestire eventuali non conformità e le eccezioni
Ricordatevi che un auditor verificherà che la politica sia facilmente accessibile a tutti i dipendenti e a tutti i soggetti esterni rilevanti e che sia comunicata a tutte le parti interessate. La verifica si estenderà anche alla conoscenza e alla comprensione dei contenuti della politica.
La politica può essere una dichiarazione a sé stante o far parte di una documentazione più ampia come, ad esempio, un manuale sulla politica della sicurezza delle informazioni. L’auditor verificherà anche che ci sia un responsabile ben identificato che ha il compito di aggiornare la politica in seguito ad eventuali modifiche del sistema che incidono sui requisiti di sicurezza delle informazioni dell'organizzazione. Al fine di garantirne la continua idoneità, adeguatezza ed efficacia, le politiche per la sicurezza delle informazioni devono essere, infatti, periodicamente riesaminate. La stessa cosa deve avvenire quando si verificano cambiamenti. Questo processo dovrebbe rilevare tutte le modifiche che influiscono sul sistema di gestione e aggiornare il documento in modo che rifletta accuratamente il modo in cui l'organizzazione sta gestendo i propri rischi. Anche le revisioni periodiche programmate e le procedure di revisione definite sono essenziali per assicurarsi che tutti i cambiamenti che finora non sono stati rilevati vengano presi in considerazione. Inoltre, il personale dovrebbe essere informato dei cambiamenti delle politiche che possono influire sul suo ruolo.
Le politiche di sicurezza delle informazioni svolgono un ruolo importante nella creazione e nel mantenimento di un sistema di gestione della sicurezza delle informazioni. Gli auditor verificheranno che l'organizzazione abbia sviluppato procedure per reagire a eventuali incidenti, nuove vulnerabilità o minacce, cambiamenti nella tecnologia o qualsiasi altra cosa che possa rendere necessaria la revisione della politica.
Dovrebbero inoltre essere programmate revisioni periodiche per garantire che la politica rimanga appropriata ed è economicamente vantaggiosa da attuare in relazione alla protezione raggiunta. L’auditor verificherà che il calendario per tali revisioni sia appropriato per il contesto di rischio complessivo dell'organizzazione.
Contattateci, senza impegno, a questo numero 02.58320936 o a questo indirizzo email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. Saremo lieti di assistervi, dandovi tutte le informazioni utili per intraprendere il percorso di certificazione del vostro sistema di gestione della sicurezza delle informazioni secondo la norma ISO 27001.