ISO 27001:2013
CEI UNI ISO/IEC 27001
La Norma specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un sistema di
gestione per la sicurezza delle informazioni nel contesto di un’organizzazione.
La presente Norma internazionale include anche i requisiti per la valutazione e per il trattamento dei rischi
relativi alla sicurezza delle informazioni adattati alle necessità dell’organizzazione.
I requisiti stabiliti dalla presente Norma internazionale sono di carattere generale e predisposti per essere applicabili a tutte le
organizzazioni, indipendentemente dalla loro tipologia, dimensione e natura.
L’esclusione di qualunque requisito specificato nei punti dal 4 al 10 non è accettabile quando
un’organizzazione dichiara la sua conformità alla presente Norma internazionale.
La normativa ISO 27001 detta i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni e riprende alcuni dei concetti dello standard ISO 9001 l’obiettivo principale è quello di stabilire un sistema per la protezione delle informazioni IT e la gestione del rischio.
Lo standard ISO 27001 prevede attività di:
1) Pianificazione e Progettazione
2) Implementazione
3) Monitoraggio
4) Mantenimento e Miglioramento
5) Analisi dei rischi
6) Obiettivi di controllo
ISO 27001 è applicabile a tutte le imprese private o pubbliche: la norma, infatti, prescinde da uno specifico settore di business o dall’organizzazione dell’azienda. Tuttavia è necessario considerare che l’adozione e la gestione di un Sistema di Gestione della Sicurezza delle Informazioni richiede un impegno di risorse significativo.
Per tale ragione spesso tale sistema è essere seguito da uno specifico ufficio (definito, in gergo, “ufficio Organizzazione e Qualità”) composto da personale certificato.