ISO
27001/BS 7799
La BS 7799:2 - Information Security
Management System (ISMS)- è stata la principale
norma di riferimento per l'applicazione di un
Sistema di gestione per la sicurezza delle informazioni,
oggi evoluta nella ISO/IEC 27001:05
(ISMS: Information technology -- Security techniques
-- Information security management systems --Requirements).
In un contesto dove le violazioni dei sistemi
di sicurezza (crimini ed attacchi informatici)
sono in continuo aumento, è diventato necessario
dotarsi di un sistema che garantisca
una gestione sicura delle informazioni (rischi
informatici).
Le informazioni custodite con mezzi informatici
rappresentano ormai oltre il 60% del capitale
intellettuale aziendale. Sono pertanto
un patrimonio aziendale la cui gestione diventa
strategica per la tutela e lo sviluppo aziendale.
Si tratta di garantire:
| ·
Riservatezza |
| ·
Disponibilità |
| ·
Integrità |
Lo standard ISO/IEC
27001:05 è stato creato e pubblicato
nell'ottobre 2005 a fini certificativi, in modo
da costituire, assieme alla sua linea guida
ISO/IEC 17799:2005, un sistema completo
per garantire la gestione della sicurezza nella
tecnologia dell'informazione: con la sua pubblicazione
sostituisce la norma inglese BS 7799 - Information
Security Management System ISMS.
L'obiettivo del nuovo standard ISO 27001:2005
è proprio quello di proteggere i dati e
le informazioni da minacce di ogni tipo, al fine
di assicurarne l'integrità, la riservatezza
e la disponibilità, e fornire i requisiti
per adottare un adeguato sistema di gestione della
sicurezza delle informazioni (ISMS) finalizzato
ad una corretta gestione dei dati sensibili dell'azienda.
La norma è applicabile a imprese
operanti nella gran parte dei settori commerciali
e industriali, come finanza e assicurazioni, telecomunicazioni,
servizi, trasporti, settori governativi.
In origine la BS 7799 era divisa in 2
parti: la parte 1 era la Linea Guida
e la parte 2 era lo standard vero e proprio.
L'ISO ha adottato con una dichiarazione formale
la parte 1 (Linea Guida) del documento BSI (British
Standard Institute), che è pertanto diventata
ISO 17799:1 (Information technology -- Security
techniques -- Code of practice for information
security management); e nell'ottobre 2005 ha recepito
la seconda parte della BS 7799, che è così
diventata la ISO 27001:05.
Se la ISO 17799:1 fornisce delle indicazioni
non prescrittive per proteggere il patrimonio
informativo di un'azienda, il documento normativo
al quale un'organizzazione che intenda certificarsi
deve far riferimento è la ISO 27001:05.
Con la serie 27000 (altre norme seguiranno alla
27001) si intende, nei prossimi anni, normare
tutto il settore della sicurezza delle informazioni,
della gestione dei rischi, delle problematiche
di metrica e misurazione, soprattutto dell’efficacia
dei sistemi di sicurezza implementati, delle metodologie
di attuazione.
La serie ISO 27000 è così
prevista:
·
ISO/IEC 27000: Principles
and vocabulary (in progetto) |
·
ISO/IEC 27001: Information
security management system - Requirements
(pubblicata ottobre 2005) |
·
ISO/IEC 27003: ISMS Implementation
guidance (in via di sviluppo) |
·
ISO/IEC 27004: Information
security management metrics and measurement
(in via di sviluppo) |
·
ISO/IEC 27005: ISMS Risk
management (in via di sviluppo) |
Secondo la norma ISO 27001 la
sicurezza viene vista come un processo indipendente
dalla tecnologia.
Deve coprire tutti i processi che impattano sulle
caratteristiche di security del prodotto o servizio
immesso sul mercato. Per cui insiste molto sugli
aspetti organizzativi e poco su quelli tecnologici.
L’impostazione dello standard ISO/IEC
27001, così come della ISO/IEC 17799:2005
(destinata a diventare ISO/IEC 27002), è
coerente con quella del Sistema di Gestione per
la Qualità ISO 9001:2000 e il
risk management:
| · approccio
per processi |
| · politica
per la sicurezza |
| · identificazione,
analisi dei rischi |
| · valutazione
e trattamento dei rischi |
| · riesame
e rivalutazione dei rischi |
| · modello
PDCA |
·
utilizzo di procedure e di strumenti come
audit interni, esterni di stage 1 e stage
2, non conformità, azioni correttive
e preventive, sorveglianza, miglioramento
continuo |
Vantaggi ad adeguarsi alla Norma:
Se la decisione dell'azienda
è quella di dotarsi di politiche di sicurezza
di sicura efficacia, allora la norma ISO/IEC
27000 è il riferimento da seguire.
Nata nel 2005 essa delinea perfettamente quale
sia la strada da percorrere per avere un ISMS
(Information Security Management System), ovvero
un sistema di gestione della sicurezza coerente
ed organizzato.
Il miglior vantaggio che si può trarre
dalla normativa è forse proprio questo:
il fatto che indichi una strada precisa e codificata
che riassume tutte le più evolute e recenti
teorie riguardo alle politiche di sicurezza a
livello internazionale.
Se le politiche di sicurezza sono ciò che
serve, allora la ISO 27000 è guida e riferimento
che garantisce che venga fatto tutto il necessario
e che venga fatto secondo criteri oggettivi.
Per maggiori informazioni inerenti all'applicazione
nella Tua impresa della Certificazione ISO/IEC
27001 clicca
qui
|
