Sicurezza delle informazioni ISO/IEC 27001

Cosa riguarda il servizio?

Le informazioni rappresentano, per un’organizzazione, un “bene strategico da proteggere” per competere sul mercato e soddisfare le esigenze legislative (responsabilità legale, pirateria industriale, salvaguardi dell’immagine, ecc.).

Per informazioni si intendono, non solo quelle che sono collocate su supporti informatici, ma anche quelle cartacee, su supporti vari, e anche nella mente e nei comportamenti del personale, che operano in un’organizzazione.
La realizzazione di un sistema di gestione secondo lo Standard ISO 27001 (Sicurezza delle Informazioni) ha lo scopo di costituire, all’interno di un’organizzazione, regole e procedure che garantiscono una gestione controllata dei processi aziendali assicurando (secondo i livelli stabiliti) la:

– riservatezza;
– integrità;
– accessibilità;

per le informazioni aziendali.
Lo scopo è anche quello di richiedere e conseguire una certificazione del proprio sistema di gestione della sicurezza delle informazioni ai sensi della ISO 27001 a uno specifico Organismo accreditato, uscendo quindi fuori dall’autoreferenzialità e puntando decisamente al riconoscimento della propria qualità nella sicurezza delle informazioni.
Lo sviluppo del sistema di gestione per la sicurezza delle informazioni procede attraverso le seguenti macro fasi:

– analisi del sistema organizzativo e dei suoi processi;
– definizione dell’ambito di applicazione del sistema e delle politiche di sicurezza aziendali;
– analisi dei rischi;
– progettazione del sistema e suo eventuale raccordo con altri sistemi già esistenti, con definizione della documentazione richiesta dallo standard con particolare attenzione alla gestione del rischio;
– formazione al personale sui temi della norma e del sistema predisposto;
– implementazione del sistema;
– auditing sul sistema e sua correzione;
– assistenza alla eventuale certificazione da parte di un organismo accreditato.

Il sistema di gestione secondo lo Standard ISO 27001 può essere adottato da qualsiasi tipo di organizzazione, sia pubblica che privata, di qualsiasi dimensione e settore merceologico.

 

Perché implementarlo?

L’applicazione dello standard permette di:

– rafforzare la inter-funzionalità e condivisione delle informazioni;
– integrare la sicurezza delle informazioni alle esigenze e strategie aziendali;
– soddisfare e rassicurare le parti interessate (Azionisti, Legislatore, Clienti, Personale, Amministrazione e Comunità) dimostrando di affrontare e gestire il rischio;
– riduzione degli incidenti che possono avere conseguenze e responsabilità legali e contrattuali;
– migliorare la relazioni con la Pubblica Amministrazione;
– garantire la protezione del know-how aziendale.