UNI CEI ISO/IEC 27001:2005

La norma UNI CEI ISO /IEC 27001:2005 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

La norma in questione trae origine dalla norma inglese BS 7799:2, che fino al 2005 rappresentava la principale di norma di riferimento per l’applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Al pari di altri schemi certificabili, il comitato ISO ha emesso unitamente alla norma certificabile una Linea guida (non certificabile) per la sua applicazione, la ISO 27002:2007.

L’obiettivo fondamentale dello standard ISO 27001:2005 è definire un sistema di gestione della sicurezza delle informazioni (SGSI) per garantire la protezione dei dati e delle informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità.

La struttura della ISO 27001:2005 ricalca la struttura della più diffusa ISO 9001:2008, e ne adotta il ben noto approccio per processi. Le due norme presentano ampi punti di contatto (es. adozione modello PDCA, filosofia del miglioramento continuo ecc.), ma la ISO 27001 si differenzia dalla più diffusa ISO 9001 per un approccio basato sulla gestione del rischio. Quindi lo standard prevede:

  • Pianificazione e Progettazione;

  • Implementazione;

  • Monitoraggio;

  • Mantenimento e il miglioramento

Nella fase di progettazione richiede però lo svolgimento di un risk assessment schematizzabile in:

  • Identificazione dei rischi;

  • Analisi e valutazione;

  • Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;

  • Assunzione del rischio residuo da parte del management;

  • Definizione dello Statement of Applicability.

La ISO 27001:2005 è applicabile a imprese operanti nella quasi totalità dei settori merceologici, e prescinde dalla caratteristiche dimensionali dell’organizzazione e/o dalla struttura del suo business.

Per richiedere un preventivo cliccare qui.