Cos'è ISO 27001?
ISO 27001 (formalmente noto come ISO / IEC 27001: 2005) è una specifica per un sistema di gestione della sicurezza delle informazioni (ISMS). Un ISMS è un quadro di politiche e procedure che include tutti i controlli legali, fisici e tecnici coinvolti nei processi di gestione del rischio delle informazioni di un'organizzazione.
Secondo la sua documentazione, la ISO 27001 è stata sviluppata per "fornire un modello per stabilire, implementare, operare, monitorare, riesaminare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni".
ISO 27001 utilizza un approccio top-down, basato sul rischio ed è neutrale rispetto alla tecnologia. La specifica definisce un processo di pianificazione in sei parti:
- Definisci una politica di sicurezza.
- Definisci l'ambito dell'ISMS.
- Condurre una valutazione del rischio.
- Gestisci i rischi identificati.
- Selezionare gli obiettivi di controllo e i controlli da implementare.
- Prepara una dichiarazione di applicabilità.
La specifica include dettagli per la documentazione, la responsabilità della direzione, gli audit interni, il miglioramento continuo e le azioni correttive e preventive. Lo standard richiede la cooperazione tra tutte le sezioni di un'organizzazione.
Lo standard 27001 non impone controlli specifici sulla sicurezza delle informazioni, ma fornisce un elenco di controlli che dovrebbero essere considerati nel codice di pratica allegato, ISO / IEC 27002: 2005. Questo secondo standard descrive una serie completa di obiettivi di controllo della sicurezza delle informazioni e una serie di controlli di sicurezza di buone pratiche generalmente accettate.
ISO 27002 contiene 12 sezioni principali:
1. Valutazione del rischio
2. Politica di sicurezza
3. Organizzazione della sicurezza delle informazioni
4. Gestione patrimoniale
5. Sicurezza delle risorse umane
6. Sicurezza fisica e ambientale
7. Comunicazione e gestione delle operazioni
8. Controllo degli accessi
9. Acquisizione, sviluppo e manutenzione di sistemi informativi
10. Gestione degli incidenti di sicurezza delle informazioni
11. Gestione della continuità aziendale
12. Conformità
Le organizzazioni sono tenute ad applicare questi controlli in modo appropriato in linea con i loro rischi specifici. La certificazione accreditata di terze parti è consigliata per la conformità ISO 27001.
Altri standard in fase di sviluppo nella famiglia 27000 sono:
- 27003 - guida all'implementazione.
- 27004 - uno standard di misurazione della gestione della sicurezza delle informazioni che suggerisce metriche per aiutare a migliorare l'efficacia di un ISMS.
- 27005 - uno standard di gestione dei rischi per la sicurezza delle informazioni. (Pubblicato nel 2008)
- 27006 - una guida al processo di certificazione o registrazione per organismi di certificazione o registrazione ISMS accreditati. (Pubblicato nel 2007)
- 27007 - Linee guida per l'audit ISMS.