ISO 27001

Attenzione, apre in una nuova finestra. PDFStampaE-mail

Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS).

ISO27001 e Privacy

La conformità alla ISO27001, pur accreditata da un organismo autorizzato, non solleva l'organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy, il contollo A.15.1.4 richiede infatti che "La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali".

La differenza sostanziale tra legge sulla Privacy e la norma ISO27001 è che la legge sulla privacy tutela dati personali, sensibili, ... dei cittadini mentre la ISO27001 pur richiedendo che ciò sia fatto, s'interessa anche, se non principalmente, dei dati di business dell'organizzazione che devono essere salvaguardati per l'interesse stesso dell'organizzazione.

La Legge_626 che in Italia regolamenta la sicurezza sui luoghi di lavoro viene in genere individuata tra quelle i cui requisiti devono essere esplicitamente definiti e documentati come previsto nel controllo A.15.1.1 che parla appunto della legislazione applicabile.

Vale la pena di ricordare, a mò di esempio, che un impianto anti-incendioposto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge non è automaticamente ok per l'esigenze che esprime la norma ISO27001, che si preoccupa anche della 'salvezza' dei 'dati' contenuti nei server e nei client cosa non automaticamente garantita da un sistema anti-incendio conforme alle legge dello stato.


VANTAGGI


La ISO 27001 consente alle organizzazioni di beneficiare dei seguenti vantaggi:

  • rafforzare la sicurezza dei sistemi informativi e la fiducia dei propri partner commerciali

  • un processo per valutare, implementare, mantenere e gestire la sicurezza dell'informazione

  • un meccanismo per integrare la sicurezza dei sistemi informativi nella strategia globale di gestione del rischio dell'Organizzazione

  • garanzia di affidabilità, disponibilità ed integrità di tutti i dati, che si traduce nell'acquisizione di una maggiore fiducia da parte dei clienti e di un numero molto elevato di benefici per i medesimi

  • ridurre gli incidenti che comportano responsabilità legali e contrattuali

  • migliorare le relazioni con la Pubblica Amministrazione

  • assicurare la protezione di segreti commerciali e del know how aziendale

  • continuo miglioramento del livello di sicurezza delle informazioni.