Lo standard ISO 27001 integra l’articolo 32 del GDPR poiché definisce best practice per garantire la sicurezza dei dati, attenuando dunque i rischi all’interno dell’organizzazione, e che definiscono l’efficacia del sistema di gestione, soddisfacendo e dimostrando, allo stesso tempo, conformità ai clienti, ai partner commerciali ed organismi di controllo.
Un Sistema di Gestione di Sicurezza delle Informazioni (SGSI) conforme allo standard ISO/IEC 27001:2013 è lo strumento, internazionalmente riconosciuto, attraverso il quale un'organizzazione può dimostrare di essere capace di tutelare in modo globale il proprio patrimonio informativo (o quello di terzi a lei affidato).
Lo standard consente l’identificazione e l’aggiornamento costante dei processi riguardanti il controllo della sicurezza fisica, logica ed organizzativa; l’analisi dei rischi per l’identificazione delle misure idonee di sicurezza; la gestione di opportune procedure e istruzioni operative frequentemente aggiornate; il monitoraggio dei processi aziendali.
La norma adotta un approccio di processo per costituire, attuare, applicare, controllare, riesaminare, gestire e migliorare un Sistema di Gestione della Sicurezza delle Informazioni.
La norma ISO/IEC ISO 27001 mira a garantire:
Il Sistema di gestione della Sicurezza delle informazioni è caratterizzato da, e prende in considerazione: