Nuova edizione ISO 27001 per la Sicurezza delle Informazioni

È stata pubblicata la nuova edizione dello standard internazionale per la sicurezza delle informazioni e privacy ISO/IEC 27001:2013.

In passato l’importanza della sicurezza delle informazioni era riconosciuta limitatamente alla protezione dei dati contabili e finanziari. Oggi, la globalizzazione dei mercati ha aumentato la sensibilità rispetto alla Sicurezza delle Informazioni. Per questo motivo, lo standard ha acquisito sempre maggiore rilevanza, crescendo fino a raggiungere l’aspetto e le caratteristiche attuali, in relazione ai continui mutamenti del business.

Allontanare le minacce alla sicurezza delle informazioni

Le organizzazioni possono proteggersi da potenziali minacce alla sicurezza delle informazioni da esse gestite sviluppando un Sistema di Gestione per la Sicurezza delle Informazioni, conformemente a quanto definito dalla ISO 27001:2013. La norma, i cui fini sono essenzialmente certificativi, costituisce un sistema completo per garantire la gestione della sicurezza nella tecnologia dell’informazione.

Sicurezza informazioni

Immagine: flickr.com

Principali cambiamenti introdotti

I principali cambiamenti della nuova edizione di ISO/IEC 27001:2013 riguardano diverse specifiche.

In particolare, in questa nuova edizione sono riscontrabili:

  • un adeguamento della norma alla struttura comune per gli standard ISO dei Sistemi di Gestione allo scopo di favorire l’integrazione degli schemi ;
  • una maggiore enfasi sulla pianificazione degli obiettivi, monitoraggio delle performance e metriche;
  • cambiamento e modifica di alcuni termini e definizioni.

Punti chiave della norma

Elenchiamo, di seguito, quelli che riteniamo essere i punti più interessanti della norma ISO/IEC 27001:2013:

  • Pianificazione e Progettazione;
  • Implementazione;
  • Monitoraggio;
  • Mantenimento e Miglioramento;
  • Analisi dei rischi;
  • Obiettivi di controllo.

    A chi si rivolge la norma ISO/IEC 27001:2013

    La ISO 27001 è applicabile a tutte le aziende che svolgono attività nei settori governativi, finanza, telecomunicazioni, trasporti, assicurazioni e servizi.

    La norma, infatti, prescinde da uno specifico settore di business o dall’organizzazione dell’azienda.

    Tuttavia è necessario considerare che l’adozione e la gestione di un Sistema di Gestione della Sicurezza delle Informazioni richiede un impegno di risorse significativo. Per tale ragione spesso tale sistema deve essere seguito da uno specifico ufficio (definito, in gergo, “ufficio Organizzazione e Qualità”) composto da personale certificato.

    Vantaggi della norma ISO/IEC 27001:2013

    La nuova edizione della norma presenta anche diversi vantaggi:

  • rafforza le interfunzionalità della sicurezza delle informazioni e la fiducia dei propri Partner commerciali;
  • integra la sicurezza delle informazioni e dei sistemi nella strategia globale di gestione del rischio dell’Organizzazione;
  • soddisfa le richieste degli Stakeholders (Azionisti, Legislatore, Clienti, Personale, Amministrazione e Comunità) dimostrando di affrontare e gestire il rischio, garantendo la sostenibilità del business;
  • riduce gli incidenti che comportano responsabilità legali e contrattuali;
  • migliora le relazioni con la Pubblica Amministrazione;
  • assicura la protezione di segreti commerciali e del know-how aziendale.