ISO 27001 – SISTEMI DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI (SGSI/ISMS)

ISO 27001 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente.
Dal momento che l’informazione è un bene che aggiunge valore all’organizzazione, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo del nuovo standard ISO 27001 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.
L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio, la protezione delle informazioni e degli asset aziendali, ivi inclusi gli asset IT. La norma è applicabile a tutte le imprese o aziende pubbliche, in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda o finalità dell’ente pubblico. Però bisogna tener presente che l’adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e Qualità.

I vantaggi dell’adozione di un ISMS

• Consente al mercato di percepire in maniera ancora più accentuata l’impegno aziendale nella sicurezza dei dati e delle informazioni, incrementando conseguentemente la fiducia dei clienti nei confronti dell’azienda quale soggetto in grado di trattare in modo appropriato i dati affidati all’organizzazione.
• Aiuta a proteggere l’organizzazione da attacchi informatici e i danni finanziari e di immagine causati da una scarsa sicurezza delle informazioni, dimostrando così di aver adottato le misure necessarie per proteggere l’attività.
• Garantire la selezione di controlli di sicurezza adeguati e proporzionati, che contribuiscono a proteggere le informazioni in linea con i requisiti normativi, come il Regolamento generale sulla protezione dei dati (GDPR) e le altre leggi sulla sicurezza delle informazioni.
• Rimuoverà l’ostacolo alla partecipazione a bandi di gara privati ed in particolare pubblici, per i quali un riferimento a standard di sicurezza internazionali rappresenta un vincolo per l’acquisizione di forniture da terzi.
• Protegge la riservatezza, la disponibilità e l’integrità dei dati.