ISO 27001
Italiano
Prodotti per l’implementazione, manutenzione, formazione e conoscenza per i sistemi di gestione della sicurezza delle informazioni (SGSI) secondo la norma ISO 27001.
Automatizza l'implementazione e la manutenzione del tuo SGSI con il Registro dei Rischi, la Dichiarazione di Applicabilità e le procedure guidate per tutti i documenti richiesti.
Tutte le politiche, le procedure e i moduli necessari per implementare l’SGSI secondo la norma ISO 27001.
Programma di sensibilizzazione sulla sicurezza informatica a livello aziendale per tutti i dipendenti, per ridurre gli incidenti e supportare a un SGSI efficace.
Corsi accreditati per privati e professionisti della sicurezza che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa alla ISO 27001 e all’SGSI utilizzando la base di conoscenza proprietaria di Advisera basata sull'intelligenza artificiale.
Prodotti di conformità e formazione per le organizzazioni di infrastrutture critiche per la direttiva sulla Sicurezza Informatica dei Sistemi di Rete e Informazione dell'Unione Europea.
Tutte le politiche, le procedure e i moduli necessari per conformarsi alla direttiva sulla sicurezza informatica NIS 2.
Programma di formazione a livello aziendale per dipendenti e dirigenti per conformarsi all'articolo 20 della direttiva sulla sicurezza informatica NIS 2.
Prodotti di conformità e formazione per le entità finanziarie per il regolamento DORA dell'Unione Europea.
Tutte le politiche, le procedure e i moduli necessari per conformarsi alla normativa DORA.
Programma di sensibilizzazione sulla sicurezza informatica a livello aziendale per tutti i dipendenti, per ridurre gli incidenti e supportare a un programma di sicurezza informatica di successo.
Prodotti di conformità e formazione per la protezione dei dati personali secondo il Regolamento Generale sulla Protezione dei Dati dell'Unione Europea.
Tutte le politiche, le procedure e i moduli necessari per conformarsi al the regolamento sulla privacy GDPR dell'UE.
Corsi accreditati per privati e professionisti della privacy che desiderano formazione e certificazione di altissima qualità.
Prodotti per l’implementazione, formazione e conoscenza per i Sistemi di Gestione della Qualità (SGQ) secondo la norma ISO 9001.
Tutte le politiche, le procedure e i moduli necessari per implementare un SGQ secondo la norma ISO 9001.
Corsi accreditati per privati e professionisti della qualità che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa alla ISO 9001 e all’SGQ utilizzando la base di conoscenza proprietaria di Advisera basata sull'intelligenza artificiale.
Prodotti per l’implementazione, formazione e conoscenza per i Sistemi di Gestione Ambientale (SGA) secondo la norma ISO 14001.
Tutte le politiche, le procedure e i moduli necessari per implementare un SGA secondo la norma ISO 14001.
Corsi accreditati per privati e professionisti ambientali che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa alla ISO 14001 e all’SGA utilizzando la base di conoscenza proprietaria di Advisera basata sull'intelligenza artificiale.
Prodotti per l’implementazione e formazione per Sistemi di Gestione della Salute e Sicurezza sul Lavoro (SGSL) secondo la norma ISO 45001.
Tutte le politiche, le procedure e i moduli necessari per implementare un sistema SGSL secondo la norma ISO 45001.
Corsi accreditati per privati e professionisti della salute e della sicurezza che desiderano formazione e certificazione di altissima qualità.
Prodotti di implementazione e formazione per Sistemi di Gestione della Qualità (SGQ) per dispositivi medici secondo la norma ISO 13485.
Tutte le politiche, le procedure e i moduli necessari per implementare a il sistema di gestione della qualità dei dispositivi medici secondo la norma ISO 13485.
Corsi accreditati per privati e professionisti nel settore dei dispositivi medici che desiderano formazione e certificazione di altissima qualità.
Prodotti conformi al the Regolamento sui Dispositivi Medici dell'Unione Europea.
Tutte le politiche, le procedure e i moduli necessari per conformarsi the all'MDR dell'UE.
Prodotti per l’implementazione di Sistemi di Gestione dei Servizi di Tecnologia dell'Informazione (ITSMS) secondo la norma ISO 20000.
Tutte le politiche, le procedure e i moduli necessari per implementare un ITSMS secondo la norma ISO 20000.
Prodotti per l’implementazione di Sistemi di Gestione della Continuità Aziendale (BCMS) secondo la norma ISO 22301.
Tutte le politiche, le procedure e i moduli necessari per implementare a BCMS secondo ISO 22301.
Prodotti di implementazione per laboratori di prova e taratura secondo la norma ISO 17025.
Tutte le politiche, le procedure e i moduli necessari per implementare la ISO 17025 in un laboratorio.
Prodotti per l’implementazione del Sistema di Gestione della Qualità (SGQ) automobilistico secondo la norma IATF 16949.
Tutte le politiche, le procedure e i moduli necessari per implementare an il sistema di gestione della qualità nel settore Automotive secondo l’IATF 16949.
Prodotti per l’implementazione del Sistema di Gestione della Qualità (SGQ) nel settore aerospaziale secondo la norma AS9100.
Tutte le politiche, le procedure e i moduli necessari per implementare un sistema di gestione della qualità nel settore aerospaziale secondo la AS9100.
Prodotti per l’implementazione, mantenimento, formazione e conoscenza per le società di consulenza.
Gestisci più progetti ISO 27001 automatizzando le attività ripetitive durante l'implementazione dell'SGSI.
Tutte le politiche, le procedure e i moduli necessari per implementare varie norme e regolamenti per i tuoi clienti.
Organizza un programma di sensibilizzazione alla sicurezza informatica a livello aziendale per i dipendenti del tuo cliente e supporta un programma di sicurezza informatica di successo.
Corsi accreditati ISO 27001, 9001, 14001, 45001 e 13485 per professionisti che desiderano formazione di altissima qualità e certificazioni riconosciute.
Ottieni risposte immediate a qualsiasi domanda relativa a ISO 27001 (SGSI), ISO 9001 (QMS) e ISO 14001 (EMS) utilizzando la base di conoscenza proprietaria basata sull'intelligenza artificiale.
Trova nuovi clienti, potenziali partner e collaboratori e incontra una comunità di professionisti che la pensano allo stesso modo a livello locale e globale.
Prodotti per l’implementazione, manutenzione, formazione e conoscenza nel settore IT.
Automatizza l'implementazione e la manutenzione del tuo SGSI con il Registro dei Rischi, la Dichiarazione di Applicabilità e le procedure guidate per tutti i documenti richiesti.
Documentazione conforme alle norme ISO 27001 (sicurezza informatica), ISO 22301 (continuità aziendale), ISO 20000 (gestione dei servizi IT), GDPR (privacy) e NIS 2 (sicurezza informatica delle infrastrutture critiche) e DORA (sicurezza informatica per il settore finanziario).
Programma di sensibilizzazione sulla sicurezza informatica a livello aziendale per tutti i dipendenti, per ridurre gli incidenti e supportare a un programma di sicurezza informatica di successo.
Corsi accreditati per privati e professionisti della sicurezza che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa alla ISO 27001 e all'SGSI utilizzando la base di conoscenza proprietaria di Advisera basata sull'intelligenza artificiale.
Prodotti per la conformità, formazione e conoscenza per organizzazioni essenziali e importanti.
Documentazione conforme a NIS 2 (sicurezza informatica), GDPR (privacy), ISO 27001 (sicurezza informatica) e ISO 22301 (continuità aziendale).
Programma di formazione a livello aziendale per dipendenti e dirigenti per conformarsi all'articolo 20 della direttiva sulla sicurezza informatica NIS 2.
Corsi accreditati per privati e professionisti della sicurezza che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa alla ISO 27001 e all'SGSI utilizzando la base di conoscenza proprietaria di Advisera basata sull'intelligenza artificiale.
Prodotti per l’implementazione, formazione e la conoscenza per le aziende manifatturiere.
Documentazione conforme alle norme ISO 9001 (qualità), ISO 14001 (ambientale) e ISO 45001 (salute e sicurezza).
Corsi accreditati per privati e professionisti che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa a ISO 9001 (QMS) e ISO 14001 (EMS) utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Prodotti per l’implementazione, formazione e la conoscenza per le aziende di trasporto e distribuzione.
Documentazione conforme alle norme ISO 9001 (qualità), ISO 14001 (ambientale) e ISO 45001 (salute e sicurezza).
Corsi accreditati per privati e professionisti che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa a ISO 9001 (QMS) e ISO 14001 (EMS) utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Implementazione, formazione e prodotti di conoscenza per scuole, università e altre organizzazioni educative.
Documentazione per conformarsi alle norme ISO 27001 (sicurezza informatica), ISO 9001 (qualità) e GDPR (privacy).
Programma di sensibilizzazione sulla sicurezza informatica a livello aziendale per tutti i dipendenti, per ridurre gli incidenti e supportare a un programma di sicurezza informatica di successo.
Corsi accreditati per privati e professionisti che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa a ISO 27001 (SGSI) e ISO 9001 (QMS) utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Prodotti per l’implementazione, manutenzione, formazione e la conoscenza per le telecomunicazioni.
Automatizza l'implementazione e la manutenzione del tuo SGSI con il Registro dei Rischi, la Dichiarazione di Applicabilità e le procedure guidate per tutti i documenti richiesti.
Documentazione conforme alle norme ISO 27001 (sicurezza informatica), ISO 22301 (continuità aziendale), ISO 20000 (gestione dei servizi IT), GDPR (privacy) e NIS 2 (sicurezza informatica).
Programma di sensibilizzazione sulla sicurezza informatica a livello aziendale per tutti i dipendenti, per ridurre gli incidenti e supportare a un programma di sicurezza informatica di successo.
Corsi accreditati per privati e professionisti della sicurezza che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa alla ISO 27001 e the all'SGSI utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Prodotti per l’implementazione, manutenzione, formazione e conoscenza per banche, compagnie assicurative e altre organizzazioni finanziarie.
Automatizza l'implementazione e la manutenzione del tuo SGSI con il Registro dei Rischi, la Dichiarazione di Applicabilità e le procedure guidate per tutti i documenti richiesti.
Documentazione conforme alle norme DORA (sicurezza informatica per il settore finanziario), ISO 27001 (sicurezza informatica), ISO 22301 (continuità aziendale) e GDPR (privacy).
Programma di sensibilizzazione alla sicurezza informatica a livello aziendale per tutti i dipendenti, per ridurre gli incidenti e supportare un programma di sicurezza informatica di successo.
Corsi accreditati per privati e professionisti della sicurezza che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa alla ISO 27001 e all'SGSI utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Prodotti per l’implementazione, formazione e conoscenza per enti governativi locali, regionali e nazionali.
Documentazione conforme alle norme ISO 27001 (sicurezza informatica), ISO 9001 (qualità), GDPR (privacy) e NIS 2 (sicurezza informatica).
Programma di sensibilizzazione alla sicurezza informatica a livello aziendale per tutti i dipendenti, per ridurre gli incidenti e supportare a un programma di sicurezza informatica di successo.
Corsi accreditati per privati e professionisti che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa a ISO 27001 (SGSI) e ISO 9001 (QMS) utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Prodotti per l’implementazione, formazione e conoscenza per ospedali e altre organizzazioni sanitarie.
Documentazione conforme alle norme ISO 27001 (sicurezza informatica), ISO 9001 (qualità), ISO 14001 (ambientale), ISO 45001 (salute e sicurezza) e GDPR (privacy).
Corsi accreditati per privati e professionisti che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa a ISO 27001 (SGSI), ISO 9001 (QMS) e ISO 14001 (EMS) utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Prodotti per l’implementazione, formazione e la conoscenza per l'industria dei dispositivi medici.
Documentazione conforme alle norme MDR e ISO 13485 (dispositivo medico), ISO 27001 (sicurezza informatica), ISO 9001 (qualità), ISO 14001 (ambientale), ISO 45001 (salute e sicurezza) e GDPR (privacy).
Corsi accreditati per privati e professionisti che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa a ISO 27001 (SGSI), ISO 9001 (QMS) e ISO 14001 (EMS) utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Prodotti per l’implementazione, formazione e la conoscenza per l'industria aerospaziale.
Documentazione conforme alle norme AS9100 (aerospaziale), ISO 9001 (qualità), ISO 14001 (ambientale) e ISO 45001 (salute e sicurezza).
Corsi accreditati per privati e professionisti che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa a ISO 9001 (QMS) e ISO 14001 (EMS) utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Prodotti per l’implementazione, formazione e la conoscenza per l'industria automobilistica.
Documentazione conforme alle norme IATF 16949 (automotive), ISO 9001 (qualità), ISO 14001 (ambientale) e ISO 45001 (salute e sicurezza).
Corsi accreditati per privati e professionisti che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa a ISO 9001 (QMS) e ISO 14001 (EMS) utilizzando la base di conoscenza proprietaria di Advisera basata sull’intelligenza artificiale.
Prodotti per l’implementazione, formazione e la conoscenza per i laboratori.
Documentazione conforme alla norma ISO 17025 (laboratori di prova e taratura) e ISO 9001 (qualità).
Corsi accreditati per privati e professionisti della qualità che desiderano formazione e certificazione di altissima qualità.
Ottieni risposte immediate a qualsiasi domanda relativa alla ISO 9001 e all’SGQ utilizzando la base di conoscenza proprietaria di advisera basata sull'intelligenza artificiale.
La ISO 27001 è la principale norma internazionale incentrata sulla sicurezza delle informazioni, sviluppata per aiutare le organizzazioni, di ogni dimensione o settore, a proteggere le loro informazioni un modo sistematico e conveniente, attraverso l’adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
In primo luogo, è importante notare che il nome completo della ISO 27001 è "ISO/IEC 27001 - Tecnologia dell'informazione - Tecniche per la sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti".
È la principale norma internazionale incentrata sulla sicurezza delle informazioni, pubblicata dall’International Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Entrambi sono importanti organizzazioni internazionali che sviluppano norme internazionali.
La ISO-27001 fa parte di una serie di norme sviluppate per gestire la sicurezza delle informazioni: la serie ISO/IEC 27000.
L’impianto ISO è una combinazione di politiche e processi da utilizzare per le organizzazioni. La ISO 27001 fornisce un impianto per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l'adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).
La norma non solo fornisce alle aziende il know-how necessario per proteggere le loro informazioni più preziose, ma un'azienda può anche ottenere la certificazione ISO 27001 e, in questo modo, dimostrare ai propri clienti e partner che tutela i propri dati.
Le persone possono anche ottenere la certificazione ISO 27001 frequentando un corso e superando l'esame e possono dimostrare, in questo modo, le proprie capacità ai potenziali datori di lavoro.
Poiché si tratta di una norma internazionale, la ISO 27001 è facilmente riconoscibile in tutto il mondo, aumentando le opportunità di affari per organizzazioni e professionisti.
L'obiettivo fondamentale della ISO 27001 è proteggere questi tre aspetti delle informazioni:
Un sistema di gestione della sicurezza delle informazioni (SGSI) è un insieme di regole che un'azienda deve stabilire per:
Questo insieme di regole può essere scritto sotto forma di politiche, procedure e altri tipi di documenti, oppure sotto forma di processi e tecnologie consolidati che non sono documentati. La ISO 27001 definisce quali documenti sono richiesti, cioè quali devono essere prodotti come requisito minimo.
Ci sono quattro vantaggi aziendali essenziali che un'azienda può ottenere con l'implementazione di questa norma per la sicurezza delle informazioni:
Rispettare i requisiti di legge – esiste un numero sempre crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni e la buona notizia è che la maggior parte di essi può essere risolta implementando la ISO 27001 - questa norma offre la metodologia perfetta per rispettarli tutti.
Ottenere un vantaggio sulla concorrenza – se la tua azienda ottiene la certificazione e i tuoi concorrenti no, potresti avere un vantaggio su di loro agli occhi di quei clienti che sono sensibili per quanto riguarda il mantenere le loro informazioni al sicuro.
Costi inferiori – la filosofia principale della ISO 27001 è prevenire il verificarsi di incidenti relativi alla sicurezza – e ogni incidente, grande o piccolo che sia, costa denaro. Pertanto, prevenendoli, la tua azienda risparmierà parecchi soldi. E la cosa migliore è che l'investimento nella ISO 27001 è molto inferiore ai risparmi sui costi che otterrai.
Una migliore organizzazione – in genere, le aziende in rapida crescita non hanno il tempo di fermarsi a definire i propri processi e le proprie procedure – di conseguenza, molto spesso i dipendenti non sanno cosa debba essere fatto, quando e da chi. L'implementazione della ISO 27001 aiuta a risolvere tali situazioni, perché incoraggia le aziende ad annotare i propri processi principali (anche quelli non legati alla sicurezza), consentendo loro di ridurre il tempo perso dai propri dipendenti.
L'obiettivo della ISO 27001 è proteggere la riservatezza, l'integrità e la disponibilità delle informazioni in un'azienda. Questo viene fatto scoprendo quali potenziali problemi relativi alle informazioni potrebbero verificarsi (ad esempio, con la valutazione del rischio), e quindi definendo ciò che è necessario fare per evitare che si verifichino tali problemi (ad esempio, con la mitigazione del rischio o il trattamento del rischio).
Pertanto, la filosofia principale della ISO 27001 si basa su un processo di gestione dei rischi: scoprire dove si trovano i rischi e quindi trattarli sistematicamente, attraverso l'implementazione di controlli di sicurezza (o protezioni).
La ISO 27001 richiede all'azienda di elencare tutti i controlli che devono essere implementati in un documento chiamato Dichiarazione di Applicabilità.
La norma è divisa in due parti separate. La prima parte principale è composta da 11 clausole (dalla 0 alla 10). La seconda parte, denominata Allegato A, fornisce una linea guida per i 114 obiettivi di controllo e per i controlli. Le clausole dalla 0 alla 3 (Introduzione, Campo di applicazione, Riferimenti normativi, Termini e definizioni) costituiscono l'introduzione della norma ISO 27001. Le clausole seguenti, dalla 4 alla 10, che descrivono i requisiti della ISO 27001 che sono obbligatori se l'azienda vuole essere conforme alla norma, sono esaminate più dettagliatamente in questo articolo.
L'allegato A della norma integra le clausole e i loro requisiti con un elenco di controlli non obbligatori, ma selezionati nell'ambito del processo di gestione del rischio. Per saperne di più, leggi l'articolo The basic logic of ISO 27001: How does information security work?
I requisiti dalle sezioni dalla 4 alla 10 possono essere riassunti come segue:
Clausola 4: Contesto dell'organizzazione – Un prerequisito per implementare con successo un sistema di gestione della sicurezza delle informazioni è comprendere il contesto dell'organizzazione. È necessario identificare e considerare le questioni esterne e interne, nonché le parti interessate. I requisiti possono includere questioni normative, ma possono anche andare ben oltre.
Tenendo quanto sopra in considerazione, l'organizzazione deve definire l'ambito dell’SGSI. In che misura la ISO 27001verrà applicata all'azienda? Per maggiori informazioni sul contesto dell'organizzazione, vedi gli articoli How to define context of the organization according to ISO 27001, How to identify interested parties according to ISO 27001 and ISO 22301, e How to define the ISMS scope.
Clausola 5: Leadership – I requisiti della ISO 27001 per una leadership adeguata sono molteplici. L'impegno dell’alta direzione è obbligatorio per un sistema di gestione. Gli obiettivi devono essere stabiliti in base agli obiettivi strategici di un'organizzazione. Fornire le risorse necessarie per l’SGSI, nonché incentivare le persone a contribuire all'SGSI, sono altri esempi degli obblighi da rispettare.
Inoltre, l’alta direzione deve stabilire una politica in base alla sicurezza delle informazioni. Questa politica deve essere documentata, nonché comunicata all’interno dell’organizzazione e alle parti interessate.
Anche ruoli e responsabilità devono essere definiti e assegnati per soddisfare i requisiti della norma ISO 27001 e per riferire sulle prestazioni dell'SGSI.
Scopri di più sul ruolo dell’alta direzione nella ISO 27001 in questi articoli: Top management perspective of information security implementation, Roles and responsibilities of top management in ISO 27001 and ISO 22301, e What should you write in your Information Security Policy according to ISO 27001?
Clausola 6: Pianificazione – La pianificazione in un ambiente SGSI deve sempre tenere conto dei rischi e delle opportunità. Una valutazione del rischio per la sicurezza delle informazioni fornisce una solida base su cui fare affidamento. Di conseguenza, gli obiettivi della sicurezza delle informazioni devono essere basati sulla valutazione del rischio. Questi obiettivi devono essere allineati agli obiettivi generali dell'azienda. Inoltre, gli obiettivi devono essere promossi all'interno dell'azienda. Questi forniscono dei traguardi per la sicurezza su cui lavorare tutti insieme e allineati all'interno dell'azienda. Dalla valutazione del rischio e dagli obiettivi della sicurezza si ricava un piano di trattamento del rischio, basato sui controlli elencati nell'allegato A.
Per una migliore comprensione dei rischi e delle opportunità, leggi l'articolo La valutazione e il trattamento del rischio nella ISO 27001 – 6 passaggi fondamentali. Scopri di più sugli obiettivi di controllo nell'articolo ISO 27001 control objectives – Why are they important? Per maggiori informazioni sulla direzione di un'azienda, leggi l'articolo Aligning information security with the strategic direction of a company according to ISO 27001.
Clausola 7: Supporto – Risorse, competenza dei dipendenti, consapevolezza e comunicazione sono questioni chiave per sostenere la causa. Un altro requisito è la documentazione relativa alle informazioni secondo la ISO 27001. Le informazioni devono essere documentate, create e aggiornate, oltre ad essere controllate. È necessario mantenere un insieme adeguato di documenti per supportare il successo dell'SGSI.
Per ulteriori informazioni su formazione, sensibilizzazione e comunicazione leggi gli articoli articles How to perform training & awareness for ISO 27001 and ISO 22301 e How to create a Communication Plan according to ISO 27001. Ulteriori informazioni sulla gestione dei documenti nell'articolo Document management in ISO 27001 & BS 25999-2.
Clausola 8: Attività – I processi sono obbligatori per implementare la sicurezza delle informazioni. Questi processi devono essere pianificati, implementati e controllati. La valutazione e il trattamento del rischio, che devono essere tenuti in considerazione dall’alta direzione, come abbiamo appreso in precedenza, devono essere messi in atto.
Scopri di più sulla valutazione e il trattamento del rischio negli articoli Valutazione del rischio nella ISO 27001: come abbinare risorse, minacce e vulnerabilità e Come valutare le conseguenze e la probabilità nell’analisi del rischio nella ISO 27001, e in questo Diagram of the ISO 27001:2013 Risk Assessment and Treatment Process.
Clausola 9: Valutazione delle prestazioni – I requisiti della norma ISO 27001 prevedono il monitoraggio, la misurazione, l'analisi e la valutazione del sistema di gestione della sicurezza delle informazioni. Non solo il reparto stesso dovrà controllare il proprio lavoro, ma devono anche essere condotti degli audit interni. A intervalli prestabiliti, l’alta direzione deve riesaminare l'SGSI dell'organizzazione.
Ulteriori informazioni su prestazioni, monitoraggio e misurazione negli articoli Key performance indicators for an ISO 27001 ISMS e How to perform monitoring and measurement in ISO 27001.
Clausola 10: Miglioramento – Il miglioramento fa seguito alla valutazione. Le non conformità devono essere affrontate agendo ed eliminando le cause, quando applicabile. Inoltre, deve essere attuato un processo di miglioramento continuo, anche se il ciclo PDCA (Plan-Do-Check-Act) non è più obbligatorio (maggiori informazioni a riguardo nell'articolo Has the PDCA Cycle been removed from the new ISO standards?). Tuttavia, il ciclo PDCA è spesso consigliato, in quanto offre una struttura solida e soddisfa i requisiti della norma ISO 27001.
Per ulteriori informazioni sul miglioramento della ISO 27001, leggi l'articolo Achieving continual improvement through the use of maturity models.
Allegato A (normativo) Obiettivi di controllo e controlli di riferimento
L'allegato A è un utile elenco di obiettivi di controllo e di controlli di riferimento. A partire dall’A.5 Politiche della sicurezza delle informazioni fino all’A.18 Conformità, l'elenco offre controlli mediante i quali è possibile soddisfare i requisiti della ISO 27001 e da cui la struttura di un SGSI può essere derivata. I controlli, individuati attraverso una valutazione del rischio come sopra descritto, devono essere presi in considerazione e implementati.
Per ulteriori informazioni sull'allegato A, leggere gli articoli Overview of ISO 27001:2013 Annex A e How to structure the documents for ISO 27001 Annex A.
Ci sono 14 "domini" elencati nell'allegato A della ISO 27001, organizzati nelle sezioni dalla A.5 alla A.18. Le sezioni trattano quanto segue:
A.5. Politiche della sicurezza delle informazioni: i controlli in questa sezione descrivono come gestire le politiche della sicurezza delle informazioni.
A.6. Organizzazione della sicurezza delle informazioni: i controlli in questa sezione forniscono il quadro di base per l'implementazione e il funzionamento della sicurezza delle informazioni definendone l'organizzazione interna (ad es. ruoli, responsabilità, ecc.) e attraverso gli aspetti organizzativi della sicurezza delle informazioni, come la gestione dei progetti, l’uso di dispositivi mobili e il telelavoro.
A.7. Sicurezza delle risorse umane: i controlli in questa sezione garantiscono che le persone che sono sotto il controllo dell'organizzazione siano assunte, formate e gestite in modo sicuro; vengono altresì affrontati i principi dell'azione disciplinare e della risoluzione dei contratti.
A.8. Gestione delle risorse: i controlli in questa sezione garantiscono che le risorse per la sicurezza delle informazioni (ad es. informazioni, dispositivi di elaborazione, dispositivi di archiviazione, ecc.) siano identificate, che le responsabilità per la loro sicurezza siano designate e che le persone sappiano come gestirle secondo una classificazione di livelli predefinita.
A.9. Controllo degli accessi: i controlli in questa sezione limitano l'accesso alle informazioni e alle risorse informatiche in base alle reali esigenze aziendali. I controlli riguardano sia l'accesso fisico che logico.
A.10. Crittografia: i controlli in questa sezione forniscono la base per un uso corretto delle soluzioni di crittografia per proteggere la riservatezza, l'autenticità e/o l'integrità delle informazioni.
A.11. Sicurezza fisica e ambientale: i controlli in questa sezione impediscono l'accesso non autorizzato alle aree fisiche e proteggono le apparecchiature e le strutture dall'essere compromesse dall'intervento umano o naturale.
A.12. Sicurezza operativa: i controlli in questa sezione garantiscono che i sistemi IT, inclusi i sistemi operativi e i software, siano sicuri e protetti contro la perdita di dati. Inoltre, i controlli in questa sezione richiedono i mezzi per registrare gli eventi e generare evidenze, la verifica periodica delle vulnerabilità e l’adozione di precauzioni per evitare che le attività di audit influiscano sull’operatività.
A.13. Sicurezza delle comunicazioni: i controlli in questa sezione proteggono l'infrastruttura e i servizi di rete, nonché le informazioni che viaggiano attraverso di essi.
A.14. Acquisizione, sviluppo e manutenzione del sistema: i controlli in questa sezione assicurano che la sicurezza delle informazioni sia presa in considerazione quando si acquistano nuovi sistemi informatici o si aggiornano quelli esistenti.
A.15. Rapporti con i fornitori: i controlli in questa sezione assicurano che anche le attività esternalizzate svolte da fornitori e partner utilizzino adeguati controlli di sicurezza delle informazioni e descrivono come monitorare le prestazioni relative alla sicurezza di terze parti.
A.16. Gestione degli incidenti della sicurezza delle informazioni: i controlli in questa sezione forniscono un quadro per garantire la corretta comunicazione e gestione degli eventi e degli incidenti della sicurezza, in modo che possano essere risolti in modo tempestivo; definiscono anche come preservare le evidenze, nonché come imparare dagli incidenti per prevenirne il ripetersi.
A.17. Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa: i controlli in questa sezione garantiscono la continuità della gestione della sicurezza delle informazioni e la disponibilità dei sistemi informativi durante le interruzioni.
A.18. Conformità: i controlli in questa sezione forniscono un quadro per prevenire violazioni di legge, statutarie, normative e contrattuali e verificare se la sicurezza delle informazioni è implementata ed è efficace in conformità alle politiche, le procedure e i requisiti definiti dalla norma ISO 27001.
Uno sguardo più da vicino a questi domini ci mostra che la gestione della sicurezza delle informazioni non riguarda solo la sicurezza informatica (es. firewall, antivirus, ecc.), ma anche la gestione dei processi, la protezione legale, la gestione delle risorse umane, la protezione fisica, ecc.
I controlli della ISO 27001 (anche detti protezioni) sono le pratiche da implementare per ridurre i rischi a livelli accettabili. I controlli possono essere tecnici, organizzativi, legali, fisici, umani, ecc.
L’Allegato della ISO 27001 A elenca 114 controlli organizzati nelle 14 sezioni numerate da A.5 a A.18 sopra elencate.
I controlli tecnici sono implementati principalmente nei sistemi informatici, utilizzando componenti software, hardware e firmware che vengono aggiunti al sistema. Ad esempio backup, software antivirus, ecc.
I controlli organizzativi vengono implementati definendo le regole da seguire e il comportamento atteso dagli utenti, le apparecchiature, i software e i sistemi. Ad esempio, la politica di controllo degli accessi, la politica BYOD ecc.
I controlli di legge sono implementati assicurando che le regole e i comportamenti previsti seguano e applichino le leggi, i regolamenti, i contratti e altri strumenti legali simili a cui l'organizzazione deve attenersi. Ad esempio l’accordo di non divulgazione, l’accordo sul livello del servizio, ecc.
I controlli fisici vengono implementati principalmente utilizzando apparecchiature o dispositivi che hanno un'interazione fisica con persone e oggetti. Ad esempio telecamere a circuito chiuso, sistemi di allarme, serrature, ecc.
I controlli relativi alle risorse umane vengono attuati fornendo conoscenze, istruzione, abilità o esperienza alle persone per consentire loro di svolgere le proprie attività in modo sicuro. Ad esempio, i corsi sulla consapevolezza della sicurezza, i corsi per auditor interni ISO 27001, ecc.
La ISO 27001 specifica un insieme minimo di politiche, procedure, piani, registrazioni e altre informazioni documentate necessarie per diventare conformi.
La ISO 27001 richiede la redazione dei seguenti documenti:
E queste sono le registrazioni obbligatorie:
Naturalmente, un'azienda può decidere di scrivere dei documenti per la sicurezza aggiuntivi, se lo ritiene necessario.
Per una spiegazione più dettagliata di ciascuno di questi documenti, scaricare il libro bianco gratuito Checklist of Mandatory Documentation Required by ISO 27001 (2013 Revision).
Un'azienda può richiedere la certificazione ISO 27001 invitando un ente di certificazione accreditato a svolgere l'audit di certificazione e, se l'audit ha esito positivo, a rilasciare all'azienda il certificato ISO 27001. Questo certificato significherà che l'azienda è pienamente conforme alla norma ISO 27001.
Un individuo può ottenere la certificazione ISO 27001 seguendo un corso sulla ISO 27001 e superandone l'esame. Questo certificato significherà che questa persona durante il corso ha acquisito adeguate competenze.
Per saperne di più sulla certificazione ISO 27001, vedi questo articolo: Come ottenere la certificazione ISO 27001.
Poiché definisce i requisiti per un SGSI, la ISO 27001 è la norma principale nella famiglia delle norme ISO 27000. Tuttavia, poiché definisce principalmente ciò che è necessario, ma non specifica come farlo, sono state sviluppate numerose altre norme per la sicurezza delle informazioni per fornire una guida aggiuntiva. Attualmente, ci sono più di 40 norme nella serie ISO27000 e quelle più comunemente usate sono le seguenti:
La ISO/IEC 27000 fornisce termini e definizioni utilizzati nella serie di norme ISO 27000.
La ISO/IEC 27002 fornisce linee guida per l'implementazione dei controlli elencati nell'allegato A della ISO 27001. Può essere molto utile, perché fornisce indicazioni su come implementare questi controlli.
La ISO/IEC 27004 fornisce linee guida per la misurazione della sicurezza delle informazioni – si adatta bene alla ISO 27001, perché spiega come determinare se l’SGSI ha raggiunto i suoi obiettivi.
La ISO/IEC 27005 fornisce linee guida per la gestione dei rischi per la sicurezza delle informazioni. È un ottimo supplemento alla ISO 27001, perché fornisce indicazioni su come eseguire la valutazione e il trattamento del rischio, probabilmente la fase più difficile dell'implementazione.
La ISO/IEC 27017 fornisce linee guida per la sicurezza delle informazioni negli ambienti cloud.
La ISO/IEC 27018 fornisce linee guida per la protezione della privacy negli ambienti cloud.
La ISO/IEC 27031 fornisce linee guida su cosa considerare quando si sviluppa la continuità aziendale per le tecnologie dell'informazione e della comunicazione. Questa norma è un ottimo collegamento tra la sicurezza delle informazioni e le pratiche relative alla continuità aziendale.
Alla data di pubblicazione di questo articolo, la versione corrente della ISO 27001 è la ISO/IEC 27001:2013.
La prima versione della ISO 27001 è stata emessa nel 2005 (ISO/IEC 27001:2005), la seconda versione nel 2013 e la norma è stata revisionata l'ultima volta nel 2019, quando è stata confermata la versione 2013 (cioè non sono state considerate necessarie modifiche).
È importante notare che i diversi paesi membri dell'ISO possono tradurre la norma nella propria lingua, apportando piccole aggiunte (ad es. introduzioni nazionali) che non influiscono sul contenuto della versione internazionale della norma. Queste "versioni" hanno lettere aggiuntive per differenziarle dalla norma internazionale, ad esempio, la NBR ISO/IEC 27001 designa la "versione brasiliana", mentre la BS ISO/IEC 27001 è la "versione britannica". Queste versioni locali della norma contengono anche l'anno in cui sono state adottate dall'ente di standardizzazione locale, quindi l'ultima versione britannica è la BS EN ISO/IEC 27001:2017, il che significa che la ISO/IEC 27001:2013 è stata adottata dal British Standards Institution nel 2017.
La ISO 27001 definisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), mentre la ISO 27002 fornisce una guida sull'implementazione dei controlli dell’Allegato A della ISO 27001.
In altre parole, per ogni controllo, la ISO 27001 fornisce solo una breve descrizione, mentre la ISO 27002 fornisce una guida dettagliata.
Sebbene la ISO 27001 sia una norma internazionale, la NIST è un'agenzia governativa statunitense che promuove e mantiene le norme di misurazione negli Stati Uniti, tra cui la serie SP 800, un insieme di documenti che specifica le migliori pratiche per la sicurezza delle informazioni.
Sebbene non siano la stessa cosa, la serie NIST SP 800 e la ISO 27001 possono essere utilizzate insieme per l'implementazione della sicurezza delle informazioni.
Nella maggior parte dei paesi, l'implementazione della ISO 27001 non è obbligatoria. Tuttavia, alcuni paesi hanno pubblicato regolamenti che richiedono ad alcuni settori di implementare la ISO 27001.
Per determinare se la ISO 27001 sia obbligatoria o meno per la tua azienda, dovresti cercare una consulenza legale esperta nel paese in cui operi.
Le organizzazioni pubbliche e private possono definire la conformità alla ISO 27001 come requisito di legge nei loro contratti e accordi di servizio con i loro fornitori. Inoltre, come accennato in precedenza, i paesi possono definire leggi o regolamenti trasformando l'adozione della ISO 27001 in un requisito di legge che deve essere soddisfatto dalle organizzazioni che operano nel loro territorio.
Per saperne di più riguardo al Il GDPR dell’UE e perché si applica al mondo intero, leggi questo articolo.