ISO 27001 è uno standard internazionale, promosso dalla ISO (International Organization for Standardization), per la gestione della sicurezza informatica. Sostituisce il BS 7799 e, pur basandosi su quest’ultimo, è allineato con gli altri standard internazionali.

ISO/IEC 27001 è applicabile a qualsiasi organizzazione e definisce i requisiti per stabilire, implementare, operare, monitorare, revisionare, mantenere e migliorare il Sistema di Gestione della Sicurezza delle Informazioni delle aziende.

Lo standard attinge anche ad altre norme quali la ISO/IEC 17799:2005, la serie ISO 13335, la ISO/IEC TR 18044:2004 e le “OECD Guidelines for Security of Information Systems and Networks – Towards a culture of security” che forniscono una guida per implementare la sicurezza delle informazioni.

 Lo standard consente un approccio complessivo alla sicurezza informatica. Gli aspetti che necessitano di essere protetti spaziano dai documenti in formato elettronico ai documenti cartacei e alle strumentazioni hardware (computers e reti) fino alla conoscenza individuale dei singoli dipendenti. I temi da prendere in considerazione vanno dallo sviluppo delle competenze dello staff alla protezione tecnologica rispetto alle frodi via computer.

ISO 27001 aiuterà la vostra azienda a proteggere le informazioni nei termini di:

• Riservatezza: le informazioni devono essere accessibili solo a chi è autorizzato ad accedervi.
• Integrità: l'accuratezza e la completezza delle informazioni e dei processi correlati alla loro trasmissione devono essere salvaguardate.
• Disponibilità: l'accesso alle informazioni e alle risorse correlate deve essere garantito a chi ne ha l'autorizzazione ogniqualvolta questi ne faccia richiesta.

In linea con gli altri standard di sistema di gestione

ISO 27001 supporta un'implementazione consistente e integrata dei sistemi di gestione, nonchè le operazioni connesse ai relativi standard.
Il risultato è:

• l'armonizzazione degli standard relativi ai sistemi di gestione quali ISO 9001 e ISO 14001.
• un'enfasi sul processo di miglioramento continuo del sistema di gestione della sicurezza delle informazioni.
• chiarezza sui requisiti per la documentazione e i records.
• coinvolgimento dei processi di risk assessment e di gestione del rischio usando il modello di processo PDCA (Plan, Do, Check, Act).

A chi si rivolge?

ISO/IEC 27001 è indicata per qualsiasi organizzazione, grande o piccola, in qualsiasi settore di attività o parte del mondo. La norma è particolarmente indicata nei casi in cui la protezione delle informazioni è critica, come nei settori finanziario, pubblico e IT.

ISO/IEC 27001 è inoltre particolarmente efficace per le organizzazioni che gestiscono informazioni per conto terzi, come le società di outsourcing dell'IT e può essere utilizzato come garanzia di protezione per le informazioni dei propri clienti.

Vantaggi ISO 27001.

La certificazione di conformità dell'ISMS a ISO/IEC 27001 può portare i seguenti vantaggi per l'organizzazione:

• Fornisce una dimostrazione indipendente di garanzia dei controlli interni e di conformità ai requisiti di governance imprenditoriale e di continuità aziendale
• Dimostra con imparzialità l'osservanza delle leggi e delle norme in vigore
• Offre un vantaggio competitivo soddisfacendo i requisiti contrattuali e dimostrando ai clienti la massima importanza attribuita alla sicurezza delle loro informazioni
• Verifica con imparzialità l'identificazione, la valutazione e la gestione dei rischi dell'organizzazione, formalizzando al tempo stesso i processi, le procedure e la documentazione relativi alla sicurezza delle informazioni
• Dimostra l'impegno dei responsabili aziendali per garantire la sicurezza delle informazioni
• Il processo di valutazione periodica consente di monitorare costantemente le prestazioni aziendali e di migliorarle

Nota: questi vantaggi non si realizzano per le organizzazioni che si limitano a conformarsi a ISO/IEC 27001 o alle raccomandazioni contenute nello standard del codice di procedura, ISO/IEC 17799.

.