{"id":78654,"date":"2022-05-30T12:52:01","date_gmt":"2022-05-30T12:52:01","guid":{"rendered":"https:\/\/advisera.com\/27001academy\/?page_id=78654"},"modified":"2023-09-04T13:43:50","modified_gmt":"2023-09-04T13:43:50","slug":"che-cose-la-iso-27001","status":"publish","type":"page","link":"https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/","title":{"rendered":"Che cos&#8217;\u00e8 la ISO 27001?"},"content":{"rendered":"<div id=\"pl-78654\"  class=\"panel-layout\" ><div id=\"pg-78654-0\"  class=\"panel-grid panel-no-style\" ><div id=\"pgc-78654-0-0\"  class=\"panel-grid-cell\" ><div id=\"panel-78654-0-0-0\" class=\"so-panel widget widget_hero-with-buttons-widget panel-first-child\" data-index=\"0\" ><div\n\t\t\t\n\t\t\tclass=\"so-widget-hero-with-buttons-widget so-widget-hero-with-buttons-widget-default-d75171398898-78654\"\n\t\t\t\n\t\t><section class=\"iso-hero sans\" style=\"background: #03284d;\">\n    <div class=\"container\">\n        <h1 class=\"iso-hero_title  \">\n            Che cos'\u00e8 la ISO 27001? Una spiegazione facile e veloce.\n        <\/h1>\n        <p class=\"iso-hero_subtitle \">\n                La ISO 27001 \u00e8 la principale norma internazionale incentrata sulla sicurezza delle informazioni, sviluppata per aiutare le organizzazioni, di ogni dimensione o settore, a proteggere le loro informazioni un modo sistematico e conveniente, attraverso l\u2019adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI).\n        <\/p>\n        <div class=\"iso-hero_buttons\">\n                            <div class=\"iso-hero_button\">\n                    <div class=\"button-image\">\n                        <img decoding=\"async\" width=\"92\" height=\"92\" src=\"\/wp-content\/uploads\/sites\/5\/2021\/10\/ISO_27001-Compliance-software.png\" class=\"attachment-full size-full\" alt=\"-\">\n                    <\/div>\n                    <div class=\"button-content\">\n                        <span>Sofrware per la conformit\u00e0 alla iso 27001<\/span>\n                    <\/div>\n                    <a href=\"https:\/\/advisera.com\/conformio\/\"><\/a>\n                <\/div>\n                            <div class=\"iso-hero_button\">\n                    <div class=\"button-image\">\n                        <img decoding=\"async\" width=\"92\" height=\"91\" src=\"\/wp-content\/uploads\/sites\/5\/2021\/10\/ISO-27001-Templates.png\" class=\"attachment-full size-full\" alt=\"-\">\n                    <\/div>\n                    <div class=\"button-content\">\n                        <span>MODELLI PER ISO 27001<\/span>\n                    <\/div>\n                    <a href=\"https:\/\/advisera.com\/27001academy\/it\/kit-documentazione-iso-27001\/\"><\/a>\n                <\/div>\n                            <div class=\"iso-hero_button\">\n                    <div class=\"button-image\">\n                        <img decoding=\"async\" width=\"93\" height=\"93\" src=\"\/wp-content\/uploads\/sites\/5\/2021\/10\/ISO-27001-Online-training.png\" class=\"attachment-full size-full\" alt=\"-\">\n                    <\/div>\n                    <div class=\"button-content\">\n                        <span>CORSI SU ISO 27001<\/span>\n                    <\/div>\n                    <a href=\"https:\/\/advisera.com\/it\/formazione\/?standard=iso-27001\"><\/a>\n                <\/div>\n                    <\/div>\n    <\/div>\n<\/section><\/div><\/div><div id=\"panel-78654-0-0-1\" class=\"so-panel widget widget_content-with-sidebar-widget panel-last-child\" data-index=\"1\" ><div\n\t\t\t\n\t\t\tclass=\"so-widget-content-with-sidebar-widget so-widget-content-with-sidebar-widget-default-d75171398898-78654\"\n\t\t\t\n\t\t><section class=\"content-with-sidebar\">\n<div class=\"container\">\n\n    <div class=\"sidebar-area\">\n        <div class=\"sidebar-bg\"><\/div>\n        <div class=\"sidebar-wrapper\">\n            <div class=\"sidebar\">\n\n                                    <div class=\"single-post--meta mobile\" style=\"display:none\">\n                        <div class=\"post--meta meta-bigger-space\">\n                            <a href=\"https:\/\/advisera.com\/27001academy\/it\/author\/dejankosutic\/\"\n                            class=\"post--meta__item author link link-blue decoration-none\">\n                                <img decoding=\"async\" class=\"author--avatar\" src=\"\/wp-content\/uploads\/blog_authors\/dejankosutic.jpg\"\n                                    alt=\"Advisera Dejan Kosutic\">\n                                Dejan Kosutic                            <\/a>\n                            <a href=\"https:\/\/www.linkedin.com\/in\/dejankosutic\/\" target=\"_blank\" rel=\"noopener\"><i class=\"icon-linkedin\"><\/i><\/a>                             <a href=\"https:\/\/www.youtube.com\/@DejanKosutic\" target=\"_blank\" rel=\"noopener\"><svg width=\"21\" id=\"youtube-svg-icon\" style=\"enable-background:new 0 0 1000 1000;\" version=\"1.1\" viewBox=\"0 0 1000 1000\" xml:space=\"preserve\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" xmlns:xlink=\"http:\/\/www.w3.org\/1999\/xlink\"><style type=\"text\/css\">.st0{fill:#FF0000;}.st1{fill:#FFFFFF;}<\/style><title\/><g><path class=\"st0\" fill=\"#FF0000\" d=\"M500,1000L500,1000C223.9,1000,0,776.1,0,500v0C0,223.9,223.9,0,500,0h0c276.1,0,500,223.9,500,500v0   C1000,776.1,776.1,1000,500,1000z\"\/><path class=\"st1\" fill=\"#FFFFFF\" d=\"M818.2,339.1c-7.6-28.8-30.1-51.4-58.7-59.1c-51.8-14-259.4-14-259.4-14s-207.7,0-259.4,14   c-28.6,7.7-51.1,30.3-58.7,59.1C168,391.2,168,500,168,500s0,108.8,13.9,160.9c7.6,28.8,30.1,51.4,58.7,59.1   c51.8,14,259.4,14,259.4,14s207.7,0,259.4-14c28.6-7.7,51.1-30.3,58.7-59.1C832,608.8,832,500,832,500S832,391.2,818.2,339.1z    M432.1,598.7V401.3L605.6,500L432.1,598.7z\"\/><\/g><\/svg><\/a> \n                                                    <\/div>\n\n                                                <div class=\"social-share\">\n                            <a href=\"mailto:?subject=Che cos&#8217;\u00e8 la ISO 27001?&body= https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/\"\n                            target=\"_blank\"\n                            class=\"social-share--icon ripple\">\n                                <i class=\"icon-mail\"><\/i>\n                            <\/a>\n                            <a href=\"javascript:void(0);\" class=\"social-share--icon ripple facebook\"\n                            onclick=\"window.open('https:\/\/www.facebook.com\/sharer.php?u=https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/','popup','width=800,height=600'); return false;\"\n                            target=\"_blank\">\n                                <i class=\"icon-fb\"><\/i>\n                            <\/a>\n                            <a href=\"javascript:void(0);\"\n                            onclick=\"window.open('https:\/\/twitter.com\/intent\/tweet?text=Che cos&#8217;\u00e8 la ISO 27001?&url=https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/','popup','width=800,height=600'); return false;\"\n                            class=\"social-share--icon ripple twitter\" target=\"_blank\">\n                                <i class=\"icon-twit\"><\/i>\n                            <\/a>\n                            <a href=\"javascript:void(0);\"\n                            target=\"_blank\"\n                            onclick=\"window.open('https:\/\/www.linkedin.com\/shareArticle?mini=true&url=https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/&title=Che cos&#8217;\u00e8 la ISO 27001?','popup','width=800,height=600'); return false;\"\n                            class=\"social-share--icon ripple linkedin\">\n                                <i class=\"icon-linkedin\"><\/i>\n                            <\/a>\n                            <a href=\"\/rss-feeds\/\"\n                                class=\"social-share--icon ripple rss\">\n                                <svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 64 380 420\" width=\"22\" height=\"22\" aria-hidden=\"true\"><path d=\"M96 272 A144 144 0 0 1 240 416\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"64\" stroke-linecap=\"round\"\/><path d=\"M96 160 A256 256 0 0 1 352 416\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"64\" stroke-linecap=\"round\"\/><circle cx=\"96\" cy=\"416\" r=\"48\" fill=\"currentColor\"\/><\/svg>\n                            <\/a>\n                        <\/div>\n\n                    <\/div>\n                \n                <h2 class=\"sidebar-title\">\n                    Tabella dei contenuti\n                <\/h2>\n\n                                                    <div class=\"sidebar-item sidebar-accordion-item \">\n                        <div class=\"sidebar-item-title \" data-id=\"\">\n                    <span>\n                        Le basi\n                    <\/span>\n                            <div class=\"sidebar-item-arrow\"><\/div>\n                        <\/div>\n                        <div class=\"sidebar-item-links\" >\n                            <a href=\"#section1\">Qual \u00e8 il significato della ISO 27001?<\/a>\n\n<a href=\"#section2\">Lo scopo della ISO 27001<\/a>\n\n<a href=\"#section3\">Perch\u00e9 la ISO 27001 \u00e8 importante?<\/a>\n\n<a href=\"#section4\">Quali sono i 3 obiettivi della sicurezza dell\u2019SGSI?<\/a>\n\n<a href=\"#section5\">Che cos'\u00e8 un SGSI?<\/a>\n\n<a href=\"#section6\">Perch\u00e9 abbiamo bisogno dell'SGSI?<\/a>\n\n<a href=\"#section7\">Come funziona la ISO 27001?<\/a>\n                        <\/div>\n                    <\/div>\n                                    <div class=\"sidebar-item sidebar-accordion-item \">\n                        <div class=\"sidebar-item-title \" data-id=\"\">\n                    <span>\n                        Requisiti e controlli di sicurezza\n                    <\/span>\n                            <div class=\"sidebar-item-arrow\"><\/div>\n                        <\/div>\n                        <div class=\"sidebar-item-links\" >\n                            <a href=\"#section8\">Quali sono i requisiti per la ISO 27001?<\/a>\n<a href=\"#section9\">Quali sono i 14 domini della ISO 27001?<\/a>\n<a href=\"#section10\">Quali sono i controlli della ISO 27001?<\/a>\n<a href=\"#section11\">Quanti controlli ci sono nella ISO 27001?<\/a>\n<a href=\"#section12\">Come si implementano i controlli nella ISO 27001?<\/a>\n                        <\/div>\n                    <\/div>\n                                    <div class=\"sidebar-item sidebar-accordion-item \">\n                        <div class=\"sidebar-item-title \" data-id=\"\">\n                    <span>\n                        Implementazione e certificazione\n                    <\/span>\n                            <div class=\"sidebar-item-arrow\"><\/div>\n                        <\/div>\n                        <div class=\"sidebar-item-links\" >\n                            <a href=\"#section13\">Documenti obbligatori per la ISO 27001<\/a>\n<a href=\"#section15\">Che cos'\u00e8 la \"certificazione ISO 27001\"?<\/a>\n                        <\/div>\n                    <\/div>\n                                    <div class=\"sidebar-item sidebar-accordion-item \">\n                        <div class=\"sidebar-item-title \" data-id=\"\">\n                    <span>\n                        ISO 27001 serie di norme\n                    <\/span>\n                            <div class=\"sidebar-item-arrow\"><\/div>\n                        <\/div>\n                        <div class=\"sidebar-item-links\" >\n                            <a href=\"#section19\">Quali sono le norme ISO 27000?<\/a>\n<a href=\"#section20\">Qual \u00e8 la versione corrente della ISO 27001?<\/a>\n<a href=\"#section21\">Qual \u00e8 la differenza tra ISO 27001 e 27002?<\/a>\n<a href=\"#section22\">Qual \u00e8 la differenza tra NIST e ISO 27001?<\/a>\n<a href=\"#section23\">La ISO 27001 \u00e8 obbligatoria?<\/a>\n<a href=\"#section24\">La ISO 27001 \u00e8 un requisito di legge?<\/a>\n                        <\/div>\n                    <\/div>\n                \n                            <\/div>\n        <\/div>\n    <\/div>\n    <div class=\"content-area\">\n        <div class=\"what-is-groups\">\n\n                            <div class=\"single-post--meta desktop\">\n                    <div class=\"post--meta meta-bigger-space\">\n                        <a href=\"https:\/\/advisera.com\/27001academy\/it\/author\/dejankosutic\/\" class=\"post--meta__item author link link-blue decoration-none\">\n                            <img decoding=\"async\" class=\"author--avatar\" src=\"\/wp-content\/uploads\/blog_authors\/dejankosutic.jpg\"\n                                alt=\"Advisera Dejan Kosutic\">\n                            Dejan Kosutic                        <\/a>\n                        <a href=\"https:\/\/www.linkedin.com\/in\/dejankosutic\/\" target=\"_blank\" rel=\"noopener\"><i class=\"icon-linkedin\"><\/i><\/a>                         <a href=\"https:\/\/www.youtube.com\/@DejanKosutic\" target=\"_blank\" rel=\"noopener\"><svg width=\"21\" id=\"youtube-svg-icon\" style=\"enable-background:new 0 0 1000 1000;\" version=\"1.1\" viewBox=\"0 0 1000 1000\" xml:space=\"preserve\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" xmlns:xlink=\"http:\/\/www.w3.org\/1999\/xlink\"><style type=\"text\/css\">.st0{fill:#FF0000;}.st1{fill:#FFFFFF;}<\/style><title\/><g><path class=\"st0\" fill=\"#FF0000\" d=\"M500,1000L500,1000C223.9,1000,0,776.1,0,500v0C0,223.9,223.9,0,500,0h0c276.1,0,500,223.9,500,500v0   C1000,776.1,776.1,1000,500,1000z\"\/><path class=\"st1\" fill=\"#FFFFFF\" d=\"M818.2,339.1c-7.6-28.8-30.1-51.4-58.7-59.1c-51.8-14-259.4-14-259.4-14s-207.7,0-259.4,14   c-28.6,7.7-51.1,30.3-58.7,59.1C168,391.2,168,500,168,500s0,108.8,13.9,160.9c7.6,28.8,30.1,51.4,58.7,59.1   c51.8,14,259.4,14,259.4,14s207.7,0,259.4-14c28.6-7.7,51.1-30.3,58.7-59.1C832,608.8,832,500,832,500S832,391.2,818.2,339.1z    M432.1,598.7V401.3L605.6,500L432.1,598.7z\"\/><\/g><\/svg><\/a> \n                                                    \n                    <\/div>\n\n                                            <div class=\"social-share\">\n                            <a href=\"mailto:?subject=Che cos&#8217;\u00e8 la ISO 27001?&body= https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/\"\n                            target=\"_blank\"\n                            class=\"social-share--icon ripple\">\n                                <i class=\"icon-mail\"><\/i>\n                            <\/a>\n                            <a href=\"javascript:void(0);\" class=\"social-share--icon ripple facebook\"\n                            onclick=\"window.open('https:\/\/www.facebook.com\/sharer.php?u=https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/','popup','width=800,height=600'); return false;\"\n                            target=\"_blank\">\n                                <i class=\"icon-fb\"><\/i>\n                            <\/a>\n                            <a href=\"javascript:void(0);\"\n                            onclick=\"window.open('https:\/\/twitter.com\/intent\/tweet?text=Che cos&#8217;\u00e8 la ISO 27001?&url=https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/','popup','width=800,height=600'); return false;\"\n                            class=\"social-share--icon ripple twitter\" target=\"_blank\">\n                                <i class=\"icon-twit\"><\/i>\n                            <\/a>\n                            <a href=\"javascript:void(0);\"\n                            target=\"_blank\"\n                            onclick=\"window.open('https:\/\/www.linkedin.com\/shareArticle?mini=true&url=https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/&title=Che cos&#8217;\u00e8 la ISO 27001?','popup','width=800,height=600'); return false;\"\n                            class=\"social-share--icon ripple linkedin\">\n                                <i class=\"icon-linkedin\"><\/i>\n                            <\/a>\n                            <a href=\"\/rss-feeds\/\"\n                                class=\"social-share--icon ripple rss\">\n                                <svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 64 380 420\" width=\"22\" height=\"22\" aria-hidden=\"true\"><path d=\"M96 272 A144 144 0 0 1 240 416\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"64\" stroke-linecap=\"round\"\/><path d=\"M96 160 A256 256 0 0 1 352 416\" fill=\"none\" stroke=\"currentColor\" stroke-width=\"64\" stroke-linecap=\"round\"\/><circle cx=\"96\" cy=\"416\" r=\"48\" fill=\"currentColor\"\/><\/svg>\n                            <\/a>\n                        <\/div>\n\n                <\/div>\n            \n            <div class=\"group-heading no-border\">Le basi<\/div>\n<h2 id=\"section1\">Qual \u00e8 il significato della ISO 27001?<\/h2>\n<div class=\"tcv--video-wrp\">\n<div class=\"video-lazy-load\" data-video=\"https:\/\/player.vimeo.com\/video\/101239302\">\n<div class=\"play-video-button\"><img decoding=\"async\" class=\"aligncenter wp-image-71856 size-full\" src=\"\/wp-content\/uploads\/\/sites\/5\/2021\/10\/white-play.png\" alt=\"-\" width=\"18\" height=\"20\"><\/div>\n<p><img decoding=\"async\" class=\"video-img alignright\" src=\"\/wp-content\/uploads\/\/sites\/5\/2021\/10\/what-is-iso-27001-video.jpg\" alt=\"What is ISO 27001? Quick and easy explanation.\" \/><\/p>\n<\/div>\n<\/div>\n<p>In primo luogo, \u00e8 importante notare che il nome completo della ISO 27001 \u00e8 \"ISO\/IEC 27001 - Tecnologia dell'informazione - Tecniche per la sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti\".<\/p>\n<p>\u00c8 la principale norma internazionale incentrata sulla sicurezza delle informazioni, pubblicata dall\u2019International Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Entrambi sono importanti organizzazioni internazionali che sviluppano norme internazionali.<\/p>\n<p>La ISO-27001 fa parte di una serie di norme sviluppate per gestire la sicurezza delle informazioni: la serie ISO\/IEC 27000.<\/p>\n<div>\n<h2 id=\"section2\">L\u2019impianto ISO e lo scopo della ISO 27001<\/h2>\n<p>L\u2019impianto ISO \u00e8 una combinazione di politiche e processi da utilizzare per le organizzazioni. La ISO 27001 fornisce un impianto per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l'adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).<\/p>\n<\/div>\n<h2 id=\"section3\">Perch\u00e9 la ISO 27001 \u00e8 importante?<\/h2>\n<p>La norma non solo fornisce alle aziende il know-how necessario per proteggere le loro informazioni pi\u00f9 preziose, ma un'azienda pu\u00f2 anche ottenere la certificazione ISO 27001 e, in questo modo, dimostrare ai propri clienti e partner che tutela i propri dati.<\/p>\n<p>Le persone possono anche ottenere la certificazione ISO 27001 frequentando un corso e superando l'esame e possono dimostrare, in questo modo, le proprie capacit\u00e0 ai potenziali datori di lavoro.<\/p>\n<p>Poich\u00e9 si tratta di una norma internazionale, la ISO 27001 \u00e8 facilmente riconoscibile in tutto il mondo, aumentando le opportunit\u00e0 di affari per organizzazioni e professionisti.<\/p>\n<h2 id=\"section4\">Quali sono i 3 obiettivi della sicurezza dell\u2019SGSI?<\/h2>\n<p>L'obiettivo fondamentale della ISO 27001 \u00e8 proteggere questi tre aspetti delle informazioni:<\/p>\n<ul>\n<li><strong>Riservatezza<\/strong>: solo le persone autorizzate hanno il diritto ad accedere alle informazioni.<\/li>\n<li><strong>Integrit\u00e0<\/strong>: solo le persone autorizzate possono modificare le informazioni.<\/li>\n<li><strong>Disponibilit\u00e0<\/strong>: le informazioni devono essere accessibili alle persone autorizzate ogni volta che \u00e8 necessario.<\/li>\n<\/ul>\n<h2 id=\"section5\">Che cos'\u00e8 un SGSI?<\/h2>\n<p>Un sistema di gestione della sicurezza delle informazioni (SGSI) \u00e8 un insieme di regole che un'azienda deve stabilire per:<\/p>\n<ol>\n<li>identificare le parti interessate e le loro aspettative nei confronti dell'azienda in termini di sicurezza delle informazioni<\/li>\n<li>identificare quali rischi esistono per le informazioni<\/li>\n<li>definire i controlli (protezioni) e altri metodi di mitigazione per soddisfare le aspettative identificate e gestire i rischi<\/li>\n<li>fissare obiettivi chiari su ci\u00f2 che deve essere raggiunto con la sicurezza delle informazioni<\/li>\n<li>implementare tutti i controlli e le altre modalit\u00e0 di trattamento dei rischi<\/li>\n<li>misurare continuamente se i controlli implementati funzionano come previsto<\/li>\n<li>apportare miglioramenti continui per far funzionare meglio l'intero SGSI<\/li>\n<\/ol>\n<p>Questo insieme di regole pu\u00f2 essere scritto sotto forma di politiche, procedure e altri tipi di documenti, oppure sotto forma di processi e tecnologie consolidati che non sono documentati. La ISO 27001 definisce quali documenti sono richiesti, cio\u00e8 quali devono essere prodotti come requisito minimo.<\/p>\n<p><div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><br \/>\n<div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2 id=\"section6\">Perch\u00e9 abbiamo bisogno dell'SGSI?<\/h2>\n<p>Ci sono quattro vantaggi aziendali essenziali che un'azienda pu\u00f2 ottenere con l'implementazione di questa norma per la sicurezza delle informazioni:<\/p>\n<p><strong>Rispettare i requisiti di legge<\/strong> \u2013 esiste un numero sempre crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni e la buona notizia \u00e8 che la maggior parte di essi pu\u00f2 essere risolta implementando la ISO 27001 - questa norma offre la metodologia perfetta per rispettarli tutti.<\/p>\n<p><strong>Ottenere un vantaggio sulla concorrenza<\/strong>\u00a0\u2013 se la tua azienda ottiene la certificazione e i tuoi concorrenti no, potresti avere un vantaggio su di loro agli occhi di quei clienti che sono sensibili per quanto riguarda il mantenere le loro informazioni al sicuro.<\/p>\n<p><strong>Costi inferiori <\/strong>\u2013 la filosofia principale della ISO 27001 \u00e8 prevenire il verificarsi di incidenti relativi alla sicurezza \u2013 e ogni incidente, grande o piccolo che sia, costa denaro. Pertanto, prevenendoli, la tua azienda risparmier\u00e0 parecchi soldi. E la cosa migliore \u00e8 che l'investimento nella ISO 27001 \u00e8 molto inferiore ai risparmi sui costi che otterrai.<\/p>\n<p><strong>Una migliore organizzazione <\/strong>\u2013 in genere, le aziende in rapida crescita non hanno il tempo di fermarsi a definire i propri processi e le proprie procedure \u2013 di conseguenza, molto spesso i dipendenti non sanno cosa debba essere fatto, quando e da chi. L'implementazione della ISO 27001 aiuta a risolvere tali situazioni, perch\u00e9 incoraggia le aziende ad annotare i propri processi principali (anche quelli non legati alla sicurezza), consentendo loro di ridurre il tempo perso dai propri dipendenti.<\/p>\n<h2 id=\"section7\">Come funziona la ISO 27001?<\/h2>\n<p>L'obiettivo della ISO 27001 \u00e8 proteggere la riservatezza, l'integrit\u00e0 e la disponibilit\u00e0 delle informazioni in un'azienda. Questo viene fatto scoprendo quali potenziali problemi relativi alle informazioni potrebbero verificarsi (ad esempio, con la valutazione del rischio), e quindi definendo ci\u00f2 che \u00e8 necessario fare per evitare che si verifichino tali problemi (ad esempio, con la mitigazione del rischio o il trattamento del rischio).<\/p>\n<p>Pertanto, la filosofia principale della ISO 27001 si basa su un processo di gestione dei rischi: scoprire dove si trovano i rischi e quindi trattarli sistematicamente, attraverso l'implementazione di controlli di sicurezza (o protezioni).<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-78727\" src=\"\/wp-content\/uploads\/\/sites\/5\/2022\/05\/ISO-27001-framework.png\" alt=\"Che cos'\u00e8 la ISO 27001? Una guida per principianti.\" width=\"1001\" height=\"629\" srcset=\"\/wp-content\/uploads\/sites\/5\/2022\/05\/ISO-27001-framework.png 1001w, \/wp-content\/uploads\/sites\/5\/2022\/05\/ISO-27001-framework-300x189.png 300w, \/wp-content\/uploads\/sites\/5\/2022\/05\/ISO-27001-framework-768x483.png 768w\" sizes=\"(max-width: 1001px) 100vw, 1001px\" \/><\/p>\n<p>La ISO 27001 richiede all'azienda di elencare tutti i controlli che devono essere implementati in un documento chiamato Dichiarazione di Applicabilit\u00e0.<\/p>\n<h2>Due parti della norma<\/h2>\n<p>La norma \u00e8 divisa in due parti separate. La prima parte principale \u00e8 composta da 11 clausole (dalla 0 alla 10). La seconda parte, denominata Allegato A, fornisce una linea guida per i 114 obiettivi di controllo e per i controlli. Le clausole dalla 0 alla 3 (Introduzione, Campo di applicazione, Riferimenti normativi, Termini e definizioni) costituiscono l'introduzione della norma ISO 27001. Le clausole seguenti, dalla 4 alla 10, che descrivono i requisiti della ISO 27001 che sono obbligatori se l'azienda vuole essere conforme alla norma, sono esaminate pi\u00f9 dettagliatamente in questo articolo.<\/p>\n<p>L'allegato A della norma integra le clausole e i loro requisiti con un elenco di controlli non obbligatori, ma selezionati nell'ambito del processo di gestione del rischio. Per saperne di pi\u00f9, leggi l'articolo <a href=\"https:\/\/advisera.com\/27001academy\/knowledgebase\/the-basic-logic-of-iso-27001-how-does-information-security-work\/\" target=\"_blank\" rel=\"noopener\">The basic logic of ISO 27001: How does information security work?<\/a><\/p>\n<div class=\"group-heading\">Requisiti e controlli di sicurezza<\/div>\n<h2 id=\"section8\">Quali sono i requisiti per la ISO 27001?<\/h2>\n<p>I requisiti dalle sezioni dalla 4 alla 10 possono essere riassunti come segue:<\/p>\n<p><strong>Clausola 4: Contesto dell'organizzazione <\/strong>\u2013 Un prerequisito per implementare con successo un sistema di gestione della sicurezza delle informazioni \u00e8 comprendere il contesto dell'organizzazione. \u00c8 necessario identificare e considerare le questioni esterne e interne, nonch\u00e9 le parti interessate. I requisiti possono includere questioni normative, ma possono anche andare ben oltre.<\/p>\n<p>Tenendo quanto sopra in considerazione, l'organizzazione deve definire l'ambito dell\u2019SGSI. In che misura la ISO 27001verr\u00e0 applicata all'azienda? Per maggiori informazioni sul contesto dell'organizzazione, vedi gli articoli <a href=\"https:\/\/advisera.com\/27001academy\/knowledgebase\/how-to-define-context-of-the-organization-according-to-iso-27001\/\" target=\"_blank\" rel=\"noopener\">How to define context of the organization according to ISO 27001<\/a>, <a href=\"https:\/\/advisera.com\/27001academy\/knowledgebase\/how-to-identify-interested-parties-according-to-iso-27001-and-iso-22301\/\" target=\"_blank\" rel=\"noopener\">How to identify interested parties according to ISO 27001 and ISO 22301<\/a>, e <a href=\"https:\/\/advisera.com\/27001academy\/knowledgebase\/how-to-define-the-isms-scope\/\" target=\"_blank\" rel=\"noopener\">How to define the ISMS scope<\/a>.<\/p>\n<p><strong>Clausola 5: Leadership \u2013 <\/strong>I requisiti della ISO 27001 per una leadership adeguata sono molteplici. L'impegno dell\u2019alta direzione \u00e8 obbligatorio per un sistema di gestione. Gli obiettivi devono essere stabiliti in base agli obiettivi strategici di un'organizzazione. Fornire le risorse necessarie per l\u2019SGSI, nonch\u00e9 incentivare le persone a contribuire all'SGSI, sono altri esempi degli obblighi da rispettare.<\/p>\n<p>Inoltre, l\u2019alta direzione deve stabilire una politica in base alla sicurezza delle informazioni. Questa politica deve essere documentata, nonch\u00e9 comunicata all\u2019interno dell\u2019organizzazione e alle parti interessate.<\/p>\n<p>Anche ruoli e responsabilit\u00e0 devono essere definiti e assegnati per soddisfare i requisiti della norma ISO 27001 e per riferire sulle prestazioni dell'SGSI.<\/p>\n<p>Scopri di pi\u00f9 sul ruolo dell\u2019alta direzione nella ISO 27001 in questi articoli: <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2012\/12\/04\/top-management-perspective-of-information-security-implementation\/\" target=\"_blank\" rel=\"noopener\">Top management perspective of information security implementation<\/a>, <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2014\/06\/09\/roles-and-responsibilities-of-top-management-in-iso-27001-and-iso-22301\/\" target=\"_blank\" rel=\"noopener\">Roles and responsibilities of top management in ISO 27001 and ISO 22301<\/a>, e\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/blog\/2016\/05\/30\/what-should-you-write-in-your-information-security-policy-according-to-iso-27001\/\" target=\"_blank\" rel=\"noopener\">What should you write in your Information Security Policy according to ISO 27001?<\/a><\/p>\n<p><strong>Clausola 6: Pianificazione <\/strong>\u2013 La pianificazione in un ambiente SGSI deve sempre tenere conto dei rischi e delle opportunit\u00e0. Una valutazione del rischio per la sicurezza delle informazioni fornisce una solida base su cui fare affidamento. Di conseguenza, gli obiettivi della sicurezza delle informazioni devono essere basati sulla valutazione del rischio. Questi obiettivi devono essere allineati agli obiettivi generali dell'azienda. Inoltre, gli obiettivi devono essere promossi all'interno dell'azienda. Questi forniscono dei traguardi per la sicurezza su cui lavorare tutti insieme e allineati all'interno dell'azienda. Dalla valutazione del rischio e dagli obiettivi della sicurezza si ricava un piano di trattamento del rischio, basato sui controlli elencati nell'allegato A.<\/p>\n<p>Per una migliore comprensione dei rischi e delle opportunit\u00e0, leggi l'articolo <a href=\"https:\/\/advisera.com\/27001academy\/it\/knowledgebase\/iso-27001-valutazione-trattamento-e-gestione-del-rischio\/\" target=\"_blank\" rel=\"noopener\">La valutazione e il trattamento del rischio nella ISO 27001 \u2013 6 passaggi fondamentali<\/a>. Scopri di pi\u00f9 sugli obiettivi di controllo nell'articolo <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2012\/04\/10\/iso-27001-control-objectives-why-are-they-important\/\" target=\"_blank\" rel=\"noopener\">ISO 27001 control objectives \u2013 Why are they important?<\/a> Per maggiori informazioni sulla direzione di un'azienda, leggi l'articolo <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2017\/02\/20\/strategic-direction-of-a-company-according-to-iso-27001\/\" target=\"_blank\" rel=\"noopener\">Aligning information security with the strategic direction of a company according to ISO 27001<\/a>.<\/p>\n<p><strong>Clausola 7: Supporto \u2013 <\/strong>Risorse, competenza dei dipendenti, consapevolezza e comunicazione sono questioni chiave per sostenere la causa. Un altro requisito \u00e8 la documentazione relativa alle informazioni secondo la ISO 27001. Le informazioni devono essere documentate, create e aggiornate, oltre ad essere controllate. \u00c8 necessario mantenere un insieme adeguato di documenti per supportare il successo dell'SGSI.<\/p>\n<p>Per ulteriori informazioni su formazione, sensibilizzazione e comunicazione leggi gli articoli articles <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2014\/05\/19\/how-to-perform-training-awareness-for-iso-27001-and-iso-22301\/\" target=\"_blank\" rel=\"noopener\">How to perform training &amp; awareness for ISO 27001 and ISO 22301<\/a> e <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2014\/10\/27\/how-to-create-a-communication-plan-according-to-iso-27001\/\" target=\"_blank\" rel=\"noopener\">How to create a Communication Plan according to ISO 27001<\/a>. Ulteriori informazioni sulla gestione dei documenti nell'articolo <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2021\/06\/27\/how-to-manage-documents-according-to-iso-27001-and-iso-22301\/\" target=\"_blank\" rel=\"noopener\">Document management in ISO 27001 &amp; BS 25999-2<\/a>.<\/p>\n<p><strong>Clausola 8: <\/strong><strong>Attivit\u00e0 <\/strong>\u2013 I processi sono obbligatori per implementare la sicurezza delle informazioni. Questi processi devono essere pianificati, implementati e controllati. La valutazione e il trattamento del rischio, che devono essere tenuti in considerazione dall\u2019alta direzione, come abbiamo appreso in precedenza, devono essere messi in atto.<\/p>\n<p>Scopri di pi\u00f9 sulla valutazione e il trattamento del rischio negli articoli <a href=\"https:\/\/advisera.com\/27001academy\/it\/knowledgebase\/iso-27001-valutazione-trattamento-e-gestione-del-rischio\/#assessment\" target=\"_blank\" rel=\"noopener\">Valutazione del rischio nella ISO 27001: come abbinare risorse, minacce e vulnerabilit\u00e0<\/a> e <a href=\"https:\/\/advisera.com\/27001academy\/it\/knowledgebase\/iso-27001-valutazione-trattamento-e-gestione-del-rischio\/#assessment\" target=\"_blank\" rel=\"noopener\">Come valutare le conseguenze e la probabilit\u00e0 nell\u2019analisi del rischio nella ISO 27001<\/a>, e in questo <a href=\"https:\/\/info.advisera.com\/27001academy\/free-download\/diagram-of-6-steps-in-iso-27001-risk-management\" target=\"_blank\" rel=\"noopener\">Diagram of the ISO 27001:2013 Risk Assessment and Treatment Process<\/a>.<\/p>\n<p><strong>Clausola 9: <\/strong><span style=\"font-weight: normal !msorm;\"><strong>Valutazione delle prestazioni<\/strong><\/span> \u2013 I requisiti della norma ISO 27001 prevedono il monitoraggio, la misurazione, l'analisi e la valutazione del sistema di gestione della sicurezza delle informazioni. Non solo il reparto stesso dovr\u00e0 controllare il proprio lavoro, ma devono anche essere condotti degli audit interni. A intervalli prestabiliti, l\u2019alta direzione deve riesaminare l'SGSI dell'organizzazione.<\/p>\n<p>Ulteriori informazioni su prestazioni, monitoraggio e misurazione negli articoli <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2016\/02\/01\/key-performance-indicators-for-an-iso-27001-isms\/\" target=\"_blank\" rel=\"noopener\">Key performance indicators for an ISO 27001 ISMS<\/a> e <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2015\/06\/08\/how-to-perform-monitoring-and-measurement-in-iso-27001\/\" target=\"_blank\" rel=\"noopener\">How to perform monitoring and measurement in ISO 27001<\/a>.<\/p>\n<p><strong>Clausola 10<\/strong>: <span style=\"font-weight: normal !msorm;\"><strong>Miglioramento<\/strong><\/span> \u2013 Il miglioramento fa seguito alla valutazione. Le non conformit\u00e0 devono essere affrontate agendo ed eliminando le cause, quando applicabile. Inoltre, deve essere attuato un processo di miglioramento continuo, anche se il ciclo PDCA (Plan-Do-Check-Act) non \u00e8 pi\u00f9 obbligatorio (maggiori informazioni a riguardo nell'articolo <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2014\/04\/13\/has-the-pdca-cycle-been-removed-from-the-new-iso-standards\/\" target=\"_blank\" rel=\"noopener\">Has the PDCA Cycle been removed from the new ISO standards?<\/a>). Tuttavia, il ciclo PDCA \u00e8 spesso consigliato, in quanto offre una struttura solida e soddisfa i requisiti della norma ISO 27001.<\/p>\n<p>Per ulteriori informazioni sul miglioramento della ISO 27001, leggi l'articolo <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2015\/04\/13\/achieving-continual-improvement-through-the-use-of-maturity-models\/\" target=\"_blank\" rel=\"noopener\">Achieving continual improvement through the use of maturity models<\/a>.<\/p>\n<p><strong>Allegato A (normativo) Obiettivi di controllo e controlli di r<\/strong><strong>iferimento<\/strong><\/p>\n<p>L'allegato A \u00e8 un utile elenco di obiettivi di controllo e di controlli di riferimento. A partire dall\u2019A.5 Politiche della sicurezza delle informazioni fino all\u2019A.18 Conformit\u00e0, l'elenco offre controlli mediante i quali \u00e8 possibile soddisfare i requisiti della ISO 27001 e da cui la struttura di un SGSI pu\u00f2 essere derivata. I controlli, individuati attraverso una valutazione del rischio come sopra descritto, devono essere presi in considerazione e implementati.<\/p>\n<p>Per ulteriori informazioni sull'allegato A, leggere gli articoli <a href=\"https:\/\/advisera.com\/27001academy\/iso-27001-controls\/\" target=\"_blank\" rel=\"noopener\">Overview of ISO 27001:2013 Annex A<\/a> e <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2014\/11\/03\/how-to-structure-the-documents-for-iso-27001-annex-a-controls\/\" target=\"_blank\" rel=\"noopener\">How to structure the documents for ISO 27001 Annex A<\/a>.<\/p>\n<h2 id=\"section9\">Quali sono i 14 domini della ISO 27001?<\/h2>\n<p>Ci sono 14 \"domini\" elencati nell'allegato A della ISO 27001, organizzati nelle sezioni dalla A.5 alla A.18. Le sezioni trattano quanto segue:<\/p>\n<p><strong>A.5. Politiche della sicurezza delle informazioni<\/strong>: i controlli in questa sezione descrivono come gestire le politiche della sicurezza delle informazioni.<\/p>\n<p><strong>A.6. Organizzazione della sicurezza delle informazioni<\/strong>: i controlli in questa sezione forniscono il quadro di base per l'implementazione e il funzionamento della sicurezza delle informazioni definendone l'organizzazione interna (ad es. ruoli, responsabilit\u00e0, ecc.) e attraverso gli aspetti organizzativi della sicurezza delle informazioni, come la gestione dei progetti, l\u2019uso di dispositivi mobili e il telelavoro.<\/p>\n<p><strong>A.7. Sicurezza delle risorse umane<\/strong>: i controlli in questa sezione garantiscono che le persone che sono sotto il controllo dell'organizzazione siano assunte, formate e gestite in modo sicuro; vengono altres\u00ec affrontati i principi dell'azione disciplinare e della risoluzione dei contratti.<\/p>\n<p><strong>A.8. Gestione delle risorse<\/strong>: i controlli in questa sezione garantiscono che le risorse per la sicurezza delle informazioni (ad es. informazioni, dispositivi di elaborazione, dispositivi di archiviazione, ecc.) siano identificate, che le responsabilit\u00e0 per la loro sicurezza siano designate e che le persone sappiano come gestirle secondo una classificazione di livelli predefinita.<\/p>\n<p><strong>A.9. Controllo degli accessi<\/strong>: i controlli in questa sezione limitano l'accesso alle informazioni e alle risorse informatiche in base alle reali esigenze aziendali. I controlli riguardano sia l'accesso fisico che logico.<\/p>\n<p><strong>A.10. Crittografia<\/strong>: i controlli in questa sezione forniscono la base per un uso corretto delle soluzioni di crittografia per proteggere la riservatezza, l'autenticit\u00e0 e\/o l'integrit\u00e0 delle informazioni.<\/p>\n<p><strong>A.11. Sicurezza fisica e ambientale<\/strong>: i controlli in questa sezione impediscono l'accesso non autorizzato alle aree fisiche e proteggono le apparecchiature e le strutture dall'essere compromesse dall'intervento umano o naturale.<\/p>\n<p><strong>A.12. Sicurezza operativa<\/strong>: i controlli in questa sezione garantiscono che i sistemi IT, inclusi i sistemi operativi e i software, siano sicuri e protetti contro la perdita di dati. Inoltre, i controlli in questa sezione richiedono i mezzi per registrare gli eventi e generare evidenze, la verifica periodica delle vulnerabilit\u00e0 e l\u2019adozione di precauzioni per evitare che le attivit\u00e0 di audit influiscano sull\u2019operativit\u00e0.<\/p>\n<p><strong>A.13. Sicurezza delle comunicazioni<\/strong>: i controlli in questa sezione proteggono l'infrastruttura e i servizi di rete, nonch\u00e9 le informazioni che viaggiano attraverso di essi.<\/p>\n<p><strong>A.14. Acquisizione, sviluppo e manutenzione del sistema<\/strong>: i controlli in questa sezione assicurano che la sicurezza delle informazioni sia presa in considerazione quando si acquistano nuovi sistemi informatici o si aggiornano quelli esistenti.<\/p>\n<p><strong>A.15. Rapporti con i fornitori<\/strong>: i controlli in questa sezione assicurano che anche le attivit\u00e0 esternalizzate svolte da fornitori e partner utilizzino adeguati controlli di sicurezza delle informazioni e descrivono come monitorare le prestazioni relative alla sicurezza di terze parti.<\/p>\n<p><strong>A.16. Gestione degli incidenti della sicurezza delle informazioni<\/strong>: i controlli in questa sezione forniscono un quadro per garantire la corretta comunicazione e gestione degli eventi e degli incidenti della sicurezza, in modo che possano essere risolti in modo tempestivo; definiscono anche come preservare le evidenze, nonch\u00e9 come imparare dagli incidenti per prevenirne il ripetersi.<\/p>\n<p><strong>A.17. Aspetti relativi alla sicurezza delle informazioni nella gestione della continuit\u00e0 operativa<\/strong>: i controlli in questa sezione garantiscono la continuit\u00e0 della gestione della sicurezza delle informazioni e la disponibilit\u00e0 dei sistemi informativi durante le interruzioni.<\/p>\n<p><strong>A.18. Conformit\u00e0<\/strong>: i controlli in questa sezione forniscono un quadro per prevenire violazioni di legge, statutarie, normative e contrattuali e verificare se la sicurezza delle informazioni \u00e8 implementata ed \u00e8 efficace in conformit\u00e0 alle politiche, le procedure e i requisiti definiti dalla norma ISO 27001.<\/p>\n<p>Uno sguardo pi\u00f9 da vicino a questi domini ci mostra che la gestione della sicurezza delle informazioni non riguarda solo la sicurezza informatica (es. firewall, antivirus, ecc.), ma anche la gestione dei processi, la protezione legale, la gestione delle risorse umane, la protezione fisica, ecc.<\/p>\n<h2 id=\"section10\">Quali sono i controlli della ISO 27001?<\/h2>\n<p>I controlli della ISO 27001 (anche detti protezioni) sono le pratiche da implementare per ridurre i rischi a livelli accettabili. I controlli possono essere tecnici, organizzativi, legali, fisici, umani, ecc.<\/p>\n<h2 id=\"section11\">Quanti controlli ci sono nella ISO 27001?<\/h2>\n<p>L\u2019Allegato della ISO 27001 A elenca 114 controlli organizzati nelle 14 sezioni numerate da A.5 a A.18 sopra elencate.<\/p>\n<h2 id=\"section12\">Come si implementano i controlli nella ISO 27001?<\/h2>\n<p><strong>I controlli tecnici <\/strong>sono implementati principalmente nei sistemi informatici, utilizzando componenti software, hardware e firmware che vengono aggiunti al sistema. Ad esempio backup, software antivirus, ecc.<\/p>\n<p><strong>I controlli organizzativi <\/strong>vengono implementati definendo le regole da seguire e il comportamento atteso dagli utenti, le apparecchiature, i software e i sistemi. Ad esempio, la politica di controllo degli accessi, la politica BYOD ecc.<\/p>\n<p><strong>I controlli di legge <\/strong>sono implementati assicurando che le regole e i comportamenti previsti seguano e applichino le leggi, i regolamenti, i contratti e altri strumenti legali simili a cui l'organizzazione deve attenersi. Ad esempio l\u2019accordo di non divulgazione, l\u2019accordo sul livello del servizio, ecc.<\/p>\n<p><strong>I controlli fisici <\/strong>vengono implementati principalmente utilizzando apparecchiature o dispositivi che hanno un'interazione fisica con persone e oggetti. Ad esempio telecamere a circuito chiuso, sistemi di allarme, serrature, ecc.<\/p>\n<p><strong>I controlli relativi alle risorse umane <\/strong>vengono attuati fornendo conoscenze, istruzione, abilit\u00e0 o esperienza alle persone per consentire loro di svolgere le proprie attivit\u00e0 in modo sicuro. Ad esempio, i corsi sulla consapevolezza della sicurezza, i corsi per auditor interni ISO 27001, ecc.<\/p>\n<div class=\"group-heading\">Implementazione e certificazione<\/div>\n<h2 id=\"section13\">Documenti obbligatori per la ISO 27001<\/h2>\n<p>La ISO 27001 specifica un insieme minimo di politiche, procedure, piani, registrazioni e altre informazioni documentate necessarie per diventare conformi.<\/p>\n<p>La ISO 27001 richiede la redazione dei seguenti documenti:<\/p>\n<ul>\n<li>Campo di Applicazione dell\u2019SGSI (punto3)<\/li>\n<li>Politica e Obiettivi per la Sicurezza delle Informazioni (punto2 e 6.2)<\/li>\n<li>Metodologia di Valutazione e Trattamento del Rischio (punto 6.1.2)<\/li>\n<li>Dichiarazione di Applicabilit\u00e0 (punto 6.1.3 d)<\/li>\n<li>Piano di Trattamento del Rischio (punto 6.1.3 e 6.2)<\/li>\n<li>Rapporto di Valutazione del Rischio (punto 8.2)<\/li>\n<li>Definizione di Ruoli e Responsabilit\u00e0 della Sicurezza (controlli A.7.1.2 e A.13.2.4)<\/li>\n<li>Inventario delle Risorse (controllo A.8.1.1)<\/li>\n<li>Uso Accettabile delle Risorse (controllo A.8.1.3)<\/li>\n<li>Politica per il Controllo degli Accessi (controllo A.9.1.1)<\/li>\n<li>Procedure Operative per la Gestione Informatica (controllo A.12.1.1)<\/li>\n<li>Principi di Ingegneria di un Sistema Sicuro (controllo A.14.2.5)<\/li>\n<li>Politica per la Sicurezza dei Fornitori (controllo A.15.1.1)<\/li>\n<li>Procedura per la Gestione degli Incidenti (controllo A.16.1.5)<\/li>\n<li>Procedure per la Continuit\u00e0 Operativa (controllo A.17.1.2)<\/li>\n<li>Requisiti Statutari, Regolamentari e Contrattuali (controllo A.18.1.1)<\/li>\n<\/ul>\n<p>E queste sono le registrazioni obbligatorie:<\/p>\n<ul>\n<li>Registri di formazione, competenze, esperienza e qualifiche (punto 7.2)<\/li>\n<li>Risultati del monitoraggio e della misurazione (punto 9.1)<\/li>\n<li>Programma di Audit Interno (punto2)<\/li>\n<li>Risultati degli audit interni (punto 9.2)<\/li>\n<li>Risultati del riesame della direzione (punto 9.3)<\/li>\n<li>Risultati delle azioni correttive (punto 10.1)<\/li>\n<li>Registri delle attivit\u00e0 degli utenti, eccezioni ed eventi relativi alla sicurezza (controlli A.12.4.1 e A.12.4.3)<\/li>\n<\/ul>\n<p>Naturalmente, un'azienda pu\u00f2 decidere di scrivere dei documenti per la sicurezza aggiuntivi, se lo ritiene necessario.<\/p>\n<p>Per una spiegazione pi\u00f9 dettagliata di ciascuno di questi documenti, scaricare il libro bianco gratuito <a href=\"https:\/\/info.advisera.com\/27001academy\/free-download\/checklist-of-mandatory-documentation-required-by-iso-27001\" target=\"_blank\" rel=\"noopener\">Checklist of Mandatory Documentation Required by ISO 27001 (2013 Revision)<\/a>.<\/p>\n<h2 id=\"section15\">Che cos'\u00e8 la \"certificazione ISO 27001\"?<\/h2>\n<p>Un'azienda pu\u00f2 richiedere la certificazione ISO 27001 invitando un ente di certificazione accreditato a svolgere l'audit di certificazione e, se l'audit ha esito positivo, a rilasciare all'azienda il certificato ISO 27001. Questo certificato significher\u00e0 che l'azienda \u00e8 pienamente conforme alla norma ISO 27001.<\/p>\n<p>Un individuo pu\u00f2 ottenere la certificazione ISO 27001 seguendo un corso sulla ISO 27001 e superandone l'esame. Questo certificato significher\u00e0 che questa persona durante il corso ha acquisito adeguate competenze.<\/p>\n<p>Per saperne di pi\u00f9 sulla certificazione ISO 27001, vedi questo articolo: <a href=\"https:\/\/advisera.com\/27001academy\/it\/knowledgebase\/certificazione-iso-27001\/\" target=\"_blank\" rel=\"noopener\">Come ottenere la certificazione ISO 27001<\/a>.<\/p>\n<div class=\"group-heading\">ISO 27000 serie di norme<\/div>\n<h2 id=\"section19\">Quali sono le norme ISO 27000?<\/h2>\n<p>Poich\u00e9 definisce i requisiti per un SGSI, la ISO 27001 \u00e8 la norma principale nella famiglia delle norme ISO 27000. Tuttavia, poich\u00e9 definisce principalmente ci\u00f2 che \u00e8 necessario, ma non specifica come farlo, sono state sviluppate numerose altre norme per la sicurezza delle informazioni per fornire una guida aggiuntiva. Attualmente, ci sono pi\u00f9 di 40 norme nella serie ISO27000 e quelle pi\u00f9 comunemente usate sono le seguenti:<\/p>\n<p>La<strong> ISO\/IEC 27000 <\/strong>fornisce termini e definizioni utilizzati nella serie di norme ISO 27000.<\/p>\n<p>La<strong> ISO\/IEC 27002 <\/strong>fornisce linee guida per l'implementazione dei controlli elencati nell'allegato A della ISO 27001. Pu\u00f2 essere molto utile, perch\u00e9 fornisce indicazioni su come implementare questi controlli.<\/p>\n<p>La<strong> ISO\/IEC 27004 <\/strong>fornisce linee guida per la misurazione della sicurezza delle informazioni \u2013 si adatta bene alla ISO 27001, perch\u00e9 spiega come determinare se l\u2019SGSI ha raggiunto i suoi obiettivi.<\/p>\n<p>La<strong> ISO\/IEC 27005 <\/strong>fornisce linee guida per la gestione dei rischi per la sicurezza delle informazioni. \u00c8 un ottimo supplemento alla ISO 27001, perch\u00e9 fornisce indicazioni su come eseguire la valutazione e il trattamento del rischio, probabilmente la fase pi\u00f9 difficile dell'implementazione.<\/p>\n<p>La<strong> ISO\/IEC 27017 <\/strong>fornisce linee guida per la sicurezza delle informazioni negli ambienti cloud.<\/p>\n<p>La<strong> ISO\/IEC 27018 <\/strong>fornisce linee guida per la protezione della privacy negli ambienti cloud.<\/p>\n<p>La<strong> ISO\/IEC 27031 <\/strong>fornisce linee guida su cosa considerare quando si sviluppa la continuit\u00e0 aziendale per le tecnologie dell'informazione e della comunicazione. \u00a0Questa norma \u00e8 un ottimo collegamento tra la sicurezza delle informazioni e le pratiche relative alla continuit\u00e0 aziendale.<\/p>\n<h2 id=\"section20\">Qual \u00e8 la versione corrente della ISO 27001?<\/h2>\n<p>Alla data di pubblicazione di questo articolo, la versione corrente della ISO 27001 \u00e8 la ISO\/IEC 27001:2013.<\/p>\n<p>La prima versione della ISO 27001 \u00e8 stata emessa nel 2005 (ISO\/IEC 27001:2005), la seconda versione nel 2013 e la norma \u00e8 stata revisionata l'ultima volta nel 2019, quando \u00e8 stata confermata la versione 2013 (cio\u00e8 non sono state considerate necessarie modifiche).<\/p>\n<p>\u00c8 importante notare che i diversi paesi membri dell'ISO possono tradurre la norma nella propria lingua, apportando piccole aggiunte (ad es. introduzioni nazionali) che non influiscono sul contenuto della versione internazionale della norma. Queste \"versioni\" hanno lettere aggiuntive per differenziarle dalla norma internazionale, ad esempio, la NBR ISO\/IEC 27001 designa la \"versione brasiliana\", mentre la BS ISO\/IEC 27001 \u00e8 la \"versione britannica\". Queste versioni locali della norma contengono anche l'anno in cui sono state adottate dall'ente di standardizzazione locale, quindi l'ultima versione britannica \u00e8 la BS EN ISO\/IEC 27001:2017, il che significa che la ISO\/IEC 27001:2013 \u00e8 stata adottata dal British Standards Institution nel 2017.<\/p>\n<h2 id=\"section21\">Qual \u00e8 la differenza tra ISO 27001 e 27002?<\/h2>\n<p>La ISO 27001 definisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), mentre la ISO 27002 fornisce una guida sull'implementazione dei controlli dell\u2019Allegato A della ISO 27001.<\/p>\n<p>In altre parole, per ogni controllo, la ISO 27001 fornisce solo una breve descrizione, mentre la ISO 27002 fornisce una guida dettagliata.<\/p>\n<h2 id=\"section22\">Qual \u00e8 la differenza tra NIST e ISO 27001?<\/h2>\n<p>Sebbene la ISO 27001 sia una norma internazionale, la NIST \u00e8 un'agenzia governativa statunitense che promuove e mantiene le norme di misurazione negli Stati Uniti, tra cui la serie SP 800, un insieme di documenti che specifica le migliori pratiche per la sicurezza delle informazioni.<\/p>\n<p>Sebbene non siano la stessa cosa, la serie NIST SP 800 e la ISO 27001 possono essere utilizzate insieme per l'implementazione della sicurezza delle informazioni.<\/p>\n<h2 id=\"section23\">La ISO 27001 \u00e8 obbligatoria?<\/h2>\n<p>Nella maggior parte dei paesi, l'implementazione della ISO 27001 non \u00e8 obbligatoria. Tuttavia, alcuni paesi hanno pubblicato regolamenti che richiedono ad alcuni settori di implementare la ISO 27001.<\/p>\n<p>Per determinare se la ISO 27001 sia obbligatoria o meno per la tua azienda, dovresti cercare una consulenza legale esperta nel paese in cui operi.<\/p>\n<h2 id=\"section24\">La ISO 27001 \u00e8 un requisito di legge?<\/h2>\n<p>Le organizzazioni pubbliche e private possono definire la conformit\u00e0 alla ISO 27001 come requisito di legge nei loro contratti e accordi di servizio con i loro fornitori. Inoltre, come accennato in precedenza, i paesi possono definire leggi o regolamenti trasformando l'adozione della ISO 27001 in un requisito di legge che deve essere soddisfatto dalle organizzazioni che operano nel loro territorio.<\/p>\n<p><em>Per saperne di pi\u00f9 riguardo al <a href=\"https:\/\/advisera.com\/eugdpracademy\/it\/knowledgebase\/cose-il-gdpr-dellue-e-perche-e-applicabile-al-mondo-intero\/\" target=\"_blank\" rel=\"noopener\">Il GDPR dell\u2019UE e perch\u00e9 si applica al mondo intero, leggi questo articolo<\/a><\/em><em>.<\/em><\/p>\n<p><div id=\"custom-banner\" class=\"banner-shortcode no-bottom-border\"><\/div><\/p>\n\n\n                            <div class=\"author-resume\">\n                    <img decoding=\"async\" class=\"author--avatar\" src=\"\/wp-content\/uploads\/blog_authors\/dejankosutic.jpg\"\n                        alt=\"Advisera Dejan Kosutic\">\n                    <div class=\"author--role\">\n                        Autore                    <\/div>\n                    <a href=\"https:\/\/advisera.com\/27001academy\/it\/author\/dejankosutic\/\" class=\"author--name\">\n                    Dejan Kosutic                    <\/a>\n                    <div class=\"author--bio\">\n                        <p>CEO &amp; Lead Expert for ISO 27001 NIS 2, and DORA<\/p><br \/>\n<p>Leading expert on cybersecurity &amp; information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera&#8217;s clients, and that AI technology is crucial for achieving this.<\/p><br \/>\n<p>As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.<\/p><br \/>\n                    <\/div>\n                                            <div class=\"author--connect\">\n                            <div class=\"author--connect_connect\">\n                                                                    Connect with Dejan:                                   \n                            <\/div>\n                            <div class=\"author--connect_social\">\n                                <a href=\"https:\/\/www.linkedin.com\/in\/dejankosutic\/\" target=\"_blank\" rel=\"noopener\"><i class=\"icon-linkedin\"><\/i><\/a>\n                                <a href=\"https:\/\/www.youtube.com\/@DejanKosutic\" target=\"_blank\" rel=\"noopener\"><svg width=\"32\" id=\"youtube-svg-icon\" style=\"enable-background:new 0 0 1000 1000;\" version=\"1.1\" viewBox=\"0 0 1000 1000\" xml:space=\"preserve\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" xmlns:xlink=\"http:\/\/www.w3.org\/1999\/xlink\"><style type=\"text\/css\">.st0{fill:#FF0000;}.st1{fill:#FFFFFF;}<\/style><title\/><g><path class=\"st0\" fill=\"#FF0000\" d=\"M500,1000L500,1000C223.9,1000,0,776.1,0,500v0C0,223.9,223.9,0,500,0h0c276.1,0,500,223.9,500,500v0   C1000,776.1,776.1,1000,500,1000z\"\/><path class=\"st1\" fill=\"#FFFFFF\" d=\"M818.2,339.1c-7.6-28.8-30.1-51.4-58.7-59.1c-51.8-14-259.4-14-259.4-14s-207.7,0-259.4,14   c-28.6,7.7-51.1,30.3-58.7,59.1C168,391.2,168,500,168,500s0,108.8,13.9,160.9c7.6,28.8,30.1,51.4,58.7,59.1   c51.8,14,259.4,14,259.4,14s207.7,0,259.4-14c28.6-7.7,51.1-30.3,58.7-59.1C832,608.8,832,500,832,500S832,391.2,818.2,339.1z    M432.1,598.7V401.3L605.6,500L432.1,598.7z\"\/><\/g><\/svg><\/a> \n                                                            \n                            <\/div>\n                        <\/div>\n                    \n                                    <\/div>\n            \n        <\/div>\n    <\/div>\n<\/div>\n<\/section>\n<\/div><\/div><\/div><\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Che cos&#8217;\u00e8 la ISO 27001? Una spiegazione facile e veloce. La ISO 27001 \u00e8 la principale norma internazionale incentrata sulla sicurezza delle informazioni, sviluppata per aiutare le organizzazioni, di ogni dimensione o settore, a proteggere le loro informazioni un modo sistematico e conveniente, attraverso l\u2019adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). &#8230;<\/p>\n","protected":false},"author":6,"featured_media":82106,"parent":0,"menu_order":277,"comment_status":"open","ping_status":"open","template":"page-what-is-iso.php","meta":{"_acf_changed":false,"footnotes":""},"toolkit-document-types":[],"class_list":["post-78654","page","type-page","status-publish","has-post-thumbnail","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/it\/wp-json\/wp\/v2\/pages\/78654","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/it\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/it\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/it\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/it\/wp-json\/wp\/v2\/comments?post=78654"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/it\/wp-json\/wp\/v2\/pages\/78654\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/it\/wp-json\/wp\/v2\/media\/82106"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/it\/wp-json\/wp\/v2\/media?parent=78654"}],"wp:term":[{"taxonomy":"toolkit-document-types","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/it\/wp-json\/wp\/v2\/toolkit-document-types?post=78654"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}