Crea un piano di controlli da eseguire per essere conforme agli standard di sicurezza quale l'ISO/IEC 27001

Cosa sono gli standard di sicurezza e perché è importante rispettarli

Lo standard ISO 27001 integra l’articolo 32 del GDPR poiché definisce best practice per garantire la sicurezza dei dati, attenuando dunque i rischi all’interno dell’organizzazione, e che definiscono l’efficacia del sistema di gestione, soddisfacendo e dimostrando, allo stesso tempo, conformità ai clienti, ai partner commerciali ed organismi di controllo.

Un Sistema di Gestione di Sicurezza delle Informazioni (SGSI) conforme allo standard ISO/IEC 27001:2013 è lo strumento, internazionalmente riconosciuto, attraverso il quale un'organizzazione può dimostrare di essere capace di tutelare in modo globale il proprio patrimonio informativo (o quello di terzi a lei affidato).

Lo standard consente l’identificazione e l’aggiornamento costante dei processi riguardanti il controllo della sicurezza fisica, logica ed organizzativa; l’analisi dei rischi per l’identificazione delle misure idonee di sicurezza; la gestione di opportune procedure e istruzioni operative frequentemente aggiornate; il monitoraggio dei processi aziendali.

La norma adotta un approccio di processo per costituire, attuare, applicare, controllare, riesaminare, gestire e migliorare un Sistema di Gestione della Sicurezza delle Informazioni.

La norma ISO/IEC ISO 27001 mira a garantire:

  • la riservatezza: proprietà per cui l’informazione non è resa disponibile o rivelata a individui, entità o processi non autorizzati;
  • l’integrità: proprietà relativa alla salvaguardia dell’accuratezza e della completezza delle informazioni e dei beni ad esse collegati;
  • la disponibilità: proprietà di essere accessibile e utilizzabile su richiesta di un’entità autorizzata.

Il Sistema di gestione della Sicurezza delle informazioni è caratterizzato da, e prende in considerazione:

  • le persone, le quali devono essere consapevoli del loro ruolo al fine di garantire la sicurezza delle informazioni;
  • i processi, che devono essere conosciuti, mappati e analizzati in termini di opportunità e rischi;
  • le tecnologie, che devono essere gestite e mantenute.