Qual è il significato della ISO 27001?
Innanzitutto, è importante notare che il nome completo della ISO 27001 è “ISO / IEC 27001 – Tecnologia dellinformazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti. “
È il principale standard internazionale incentrato sulla sicurezza delle informazioni, pubblicato dallInternational Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Entrambi sono importanti organizzazioni internazionali che sviluppare standard internazionali.
ISO-27001 fa parte di una serie di standard sviluppati per gestire la sicurezza delle informazioni: la serie ISO / IEC 27000.
Qual è lo scopo della ISO 27001?
La ISO 27001 è stata sviluppata per aiutare le organizzazioni, di qualsiasi dimensione e settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso ladozione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS).
Perché è importante ISO 27001?
Non solo lo standard fornisce companion è dotata del know-how necessario per proteggere le proprie informazioni più preziose, ma unazienda può anche ottenere la certificazione ISO 27001 e, in questo modo, dimostrare ai propri clienti e partner di salvaguardare i propri dati.
Gli individui possono anche ottenere la certificazione ISO 27001 frequentando un corso e superando lesame e, in questo modo, dimostrare le proprie capacità a potenziali datori di lavoro.
Poiché si tratta di uno standard internazionale, ISO 27001 è facilmente riconoscibile in tutto il mondo, aumentando le opportunità di business per organizzazioni e professionisti.
Quali sono i 3 obiettivi di sicurezza dellISMS?
Lobiettivo di base della ISO 27001 è proteggerne tre aspetti delle informazioni:
- Riservatezza: solo le persone autorizzate hanno il diritto di accedere alle informazioni.
- Integrità: solo le persone autorizzate possono modificare le informazioni.
- Disponibilità: le informazioni devono essere accessibili alle persone autorizzate ogni volta che è necessario.
Cosè un ISMS?
Un sistema di gestione della sicurezza delle informazioni (ISMS) è un insieme di regole che unazienda deve stabilire per:
- identificare gli stakeholder e le loro aspettative dellazienda in termini di sicurezza delle informazioni
- identificare quali rischi esistono per le informazioni
- definire controlli (salvaguardie) e altri metodi di mitigazione per soddisfare le aspettative identificate e gestire i rischi
- fissare obiettivi chiari su ciò che deve essere raggiunto con la sicurezza delle informazioni
- implementare tutti i controlli e altri metodi di trattamento del rischio
- misurare continuamente se i controlli implementati funzionano come previsto
- apportare miglioramenti continui per rendere lintero SGSI funziona meglio
Questo insieme di regole può essere scritto sotto forma di politiche, procedure e altri tipi di documenti, oppure può essere sotto forma di processi e tecnologie consolidati che non sono documentato. ISO 27001 definisce quali documenti sono richiesti, ovvero quali devono esistere come minimo.
Perché abbiamo bisogno dellISMS?
Ci sono quattro vantaggi aziendali essenziali che unazienda può ottenere risultati con limplementazione di questo standard di sicurezza delle informazioni:
Rispettare i requisiti legali: esiste un numero sempre crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni e la buona notizia è che la maggior parte di essi può essere risolta implementando la ISO 27001: questo standard offre la metodologia perfetta per rispettarli tutti.
Ottieni un vantaggio competitivo: se la tua azienda ottiene la certificazione e i tuoi concorrenti no, potresti avere un vantaggio su di loro agli occhi di quei clienti che sono sensibili a mantenere le loro informazioni al sicuro.
Costi inferiori: la filosofia principale della ISO 27001 è prevenire il verificarsi di incidenti di sicurezza e ogni incidente, grande o piccolo, costa denaro. Pertanto, prevenendoli, la tua azienda risparmierà un bel po di soldi. E la cosa migliore di tutte: linvestimento in ISO 27001 è di gran lunga inferiore al risparmio sui costi che otterrai.
Migliore organizzazione – in genere, le aziende in rapida crescita non hanno il tempo di fermarsi e definire i loro processi e procedure – di conseguenza, molto spesso i dipendenti non sanno cosa deve essere fatto, quando, e da chi. Limplementazione della ISO 27001 aiuta a risolvere tali situazioni, perché incoraggia le aziende a scrivere i loro processi principali (anche quelli che non sono legati alla sicurezza), consentendo loro di ridurre il tempo perso dai propri dipendenti.
Come funziona ISO 27001?
Lobiettivo di ISO 27001 è proteggere la riservatezza, lintegrità e la disponibilità delle informazioni in unazienda. Questo viene fatto scoprendo quali potenziali problemi potrebbero accadere alle informazioni (ad es., valutazione del rischio) e quindi definire cosa è necessario fare per evitare che tali problemi si verifichino (ad esempio, mitigazione del rischio o trattamento del rischio).
Pertanto, la filosofia principale della ISO 27001 si basa su un processo per la gestione dei rischi: scoprire dove si trovano i rischi e quindi trattarli sistematicamente, attraverso limplementazione di controlli di sicurezza (o salvaguardie).
La ISO 27001 richiede che unazienda elenchi tutti i controlli che devono essere implementati in un documento chiamato Dichiarazione di applicabilità.
Quali sono i requisiti per ISO 27001?
I requisiti obbligatori per ISO 27001 sono definiti nelle clausole da 4 a 10: ciò significa che tutti questi requisiti devono essere implementati in unorganizzazione se vuole essere conforme allo standard. I controlli dellallegato A devono essere implementati solo se dichiarati applicabili nella dichiarazione di applicabilità.
I requisiti delle sezioni da 4 a 10 possono essere riassunti come segue:
Clausola 4: contesto di lorganizzazione – definisce i requisiti per comprendere le questioni esterne e interne, le parti interessate e le loro esigenze e definire lambito dellSGSI.
Clausola 5: Leadership – definisce le responsabilità del top management, stabilendo i ruoli e le responsabilità e i contenuti della politica di sicurezza delle informazioni di livello superiore.
Clausola 6: pianificazione: definisce i requisiti per la valutazione del rischio, il trattamento del rischio, la dichiarazione di applicabilità, il piano di trattamento del rischio e la definizione degli obiettivi di sicurezza delle informazioni.
Clausola 7: supporto: definisce i requisiti per la disponibilità di risorse, competenze, consapevolezza, comunicazione e controllo di documenti e registrazioni.
Clausola 8: Operazione: definisce limplementazione della valutazione e del trattamento del rischio, nonché i controlli e altri processi necessari per raggiungere gli obiettivi di sicurezza delle informazioni.
Clausola 9: Valutazione delle prestazioni: definisce i requisiti per il monitoraggio, la misurazione, lanalisi, la valutazione, laudit interno e il riesame della direzione.
Clausola 10: miglioramento – definisce i requisiti per non conformità, correzioni, azioni correttive e miglioramento continuo.
Quali sono i 14 domini della ISO 27001?
sono 14 “domini” elencati nellAllegato A della ISO 27001, organizzati nelle sezioni da A.5 a A.18. Le sezioni riguardano quanto segue:
A.5. Politiche di sicurezza delle informazioni: i controlli in questa sezione descrivere come gestire le politiche di sicurezza delle informazioni.
A.6. Organizzazione della sicurezza delle informazioni: i controlli in questa sezione forniscono la struttura di base per limplementazione e il funzionamento della sicurezza delle informazioni definendone lorganizzazione interna (ad esempio, i ruoli , responsabilità, ecc.) e attraverso gli aspetti organizzativi della sicurezza delle informazioni, come la gestione del progetto, luso di dispositivi mobili e il telelavoro.
A.7. Sicurezza delle risorse umane: i controlli in questa sezione assicurano che le persone che sono sotto il controllo dellorganizzazione vengono assunte, formate e gestite in modo sicuro; inoltre, il pr Vengono affrontati i principi dellazione disciplinare e la risoluzione degli accordi.
A.8. Gestione delle risorse: i controlli in questa sezione assicurano che le risorse di sicurezza delle informazioni (ad esempio, informazioni, dispositivi di elaborazione, dispositivi di archiviazione, ecc.) Siano identificate, che le responsabilità per la loro sicurezza siano designate e che le persone sappiano come gestirle secondo una classificazione predefinita livelli.
A.9. Controllo di accesso: i controlli in questa sezione limitano laccesso alle informazioni e alle risorse informative in base alle reali esigenze aziendali. I controlli sono per laccesso sia fisico che logico.
A.10. Crittografia: i controlli in questa sezione forniscono la base per un uso corretto delle soluzioni di crittografia per proteggere la riservatezza, lautenticità e / o lintegrità delle informazioni.
A.11. Sicurezza fisica e ambientale: i controlli in questa sezione impediscono laccesso non autorizzato alle aree fisiche e proteggono le apparecchiature e le strutture dallessere compromesse da interventi umani o naturali.
A.12. Sicurezza delle operazioni: i controlli in questa sezione garantiscono che i sistemi IT, inclusi i sistemi operativi e il software, siano sicuri e protetti dalla perdita di dati. Inoltre, i controlli in questa sezione richiedono i mezzi per registrare eventi e generare prove, verifica periodica delle vulnerabilità e prendere precauzioni per evitare che le attività di audit influiscano sulle operazioni.
A.13. Sicurezza delle comunicazioni: i controlli in questa sezione proteggono linfrastruttura e i servizi di rete, nonché le informazioni che li attraversano.
A.14. Acquisizione, sviluppo e manutenzione del sistema: i controlli in questa sezione garantiscono che la sicurezza delle informazioni sia presa in considerazione quando si acquistano nuovi sistemi informativi o si aggiornano quelli esistenti.
A.15.Rapporti con i fornitori: i controlli in questa sezione assicurano che anche le attività esternalizzate eseguite da fornitori e partner utilizzino adeguati controlli di sicurezza delle informazioni e descrivono come monitorare le prestazioni di sicurezza di terze parti.
A.16. Gestione degli incidenti di sicurezza delle informazioni: i controlli in questa sezione forniscono una struttura per garantire la corretta comunicazione e gestione di eventi e incidenti di sicurezza, in modo che possano essere risolti in modo tempestivo; definiscono anche come preservare le prove e come imparare dagli incidenti per prevenirne il ripetersi.
A.17. Aspetti della sicurezza delle informazioni della gestione della continuità operativa: i controlli in questa sezione garantiscono la continuità della gestione della sicurezza delle informazioni durante le interruzioni e la disponibilità dei sistemi informativi.
A.18. Conformità: i controlli in questa sezione forniscono un quadro per prevenire violazioni legali, legali, normative e contrattuali e verificare se la sicurezza delle informazioni è implementata ed è efficace secondo le politiche, le procedure e i requisiti definiti dello standard ISO 27001.
Uno sguardo più da vicino a questi domini ci mostra che la gestione della sicurezza delle informazioni non riguarda solo la sicurezza IT (ad es. firewall, antivirus, ecc.), ma anche la gestione dei processi, la protezione legale, la gestione delle risorse umane, protezione, ecc.
Quali sono i controlli ISO 27001?
I controlli ISO 27001 (noti anche come salvaguardie) sono le pratiche da attuare per ridurre i rischi a livelli accettabili. I controlli possono essere tecnici, organizzativi, legali, fisici, umani, ecc.
Quanti controlli ci sono nella ISO 27001?
Lallegato A della ISO 27001 elenca 114 controlli organizzati nelle 14 sezioni numerati da A.5 ad A.18 elencati sopra.
Come vengono implementati i controlli ISO 27001?
I controlli tecnici sono implementati principalmente nei sistemi informativi, utilizzando componenti software, hardware e firmware aggiunto al sistema. Per esempio. backup, software antivirus, ecc.
I controlli organizzativi vengono implementati definendo le regole da seguire e il comportamento previsto da utenti, apparecchiature, software e sistemi. Per esempio. Politica di controllo degli accessi, politica BYOD, ecc.
I controlli legali vengono implementati assicurando che le regole e i comportamenti previsti seguano e applichino le leggi, i regolamenti, i contratti e altri strumenti legali simili a cui lorganizzazione deve conformarsi. Per esempio. NDA (accordo di non divulgazione), SLA (accordo sul livello di servizio), ecc.
I controlli fisici vengono implementati principalmente utilizzando apparecchiature o dispositivi che hanno uninterazione fisica con persone e oggetti. Per esempio. Telecamere a circuito chiuso, sistemi di allarme, serrature, ecc.
I controlli delle risorse umane vengono implementati fornendo conoscenze, istruzione, abilità o esperienza alle persone per consentire loro di svolgere le proprie attività in modo sicuro. Per esempio. formazione sulla consapevolezza della sicurezza, formazione per auditor interni ISO 27001, ecc.
Documenti obbligatori ISO 27001
ISO 27001 specifica un insieme minimo di politiche, procedure, piani, registrazioni e altre informazioni documentate necessarie per diventare conformi.
ISO 27001 richiede la scrittura dei seguenti documenti:
E questi sono i record obbligatori:
Ovviamente, unazienda può decidere di scrivere documenti di sicurezza aggiuntivi se lo trova necessario.
Per visualizzare una spiegazione più dettagliata di ciascuno di questi documenti, scarica il white paper gratuito Checklist of Mandatory Documentation Required by ISO 27001 (2013 Revision).
Quanto costa ISO 27001 ?
I costi di implementazione e certificazione dellISMS dipenderanno dalle dimensioni e dalla complessità dellambito dellSGSI, che varia da organizzazione a organizzazione. Il costo dipenderà anche dai prezzi locali dei vari servizi che utilizzerai per limplementazione.
In generale, questi sono alcuni dei costi da considerare:
- Formazione e letteratura
- Assistenza esterna
- Tecnologie da aggiornare / implementare
- Impegno e tempo dei dipendenti
- Il costo dellente di certificazione
Per vedere una spiegazione più dettagliata della certificazione costi, scarica il white paper gratuito How to Budget an ISO 27001 Implementation Project.
Che cosè la “certificazione ISO 27001”?
Unazienda può richiedere la certificazione ISO 27001 invitando un organismo di certificazione per eseguire laudit di certificazione e, se laudit ha esito positivo, per rilasciare allazienda il certificato ISO 27001. Questo certificato significherà che lazienda è pienamente conforme allo standard ISO 27001.
Un individuo può ottenere la certificazione ISO 27001 seguendo la formazione ISO 27001 e superando lesame. Questo certificato significherà che questa persona ha acquisito le competenze appropriate durante il corso.
Per quanto tempo vale la ISO 27001 una volta certificata?
Una volta che un ente di certificazione ha rilasciato un certificato ISO 27001 a unazienda, è valido per un periodo di tre anni, durante il quale lente di certificazione eseguirà audit di sorveglianza per valutare se lorganizzazione sta mantenendo correttamente lISMS, e se i miglioramenti necessari vengono implementati a tempo debito.
Quali aziende sono certificate ISO 27001?
Il sito web ISO.org fornisce una panoramica generale delle organizzazioni certificate, classificate per settore, paese, numero di siti, ecc. Sondaggio ISO a questo link: https://www.iso.org/the-iso-survey.html.
Per verificare se una determinata azienda è certificata ISO 27001, è necessario contattare lente di certificazione, perché non esiste database centralizzato ufficiale delle aziende certificate.
Una persona può essere certificata ISO?
Sì, una persona può ottenere la certificazione ISO 27001 partecipando a uno o più dei seguenti corsi di formazione e superando lesame:
- Corso per Lead Implementer ISO 27001 – questa formazione è destinata a professionisti e consulenti avanzati.
- Corso per Lead Auditor ISO 27001 – questa formazione è destinata agli auditor in certificazione enti e per i consulenti.
- Corso per revisori interni ISO 27001 – questa formazione è destinata alle persone che eseguiranno audit interni nella propria azienda.
- ISO 27001 Foundations Course: questa formazione è destinata a persone che desiderano apprendere le basi dello standard e le fasi principali dellimplementazione.
Cosa sono gli standard ISO 27000?
Poiché definisce i requisiti per un ISMS, ISO 27001 è lo standard principale nella famiglia di standard ISO 27000. Tuttavia, poiché definisce principalmente ciò che è necessario, ma non specifica come farlo, sono stati sviluppati molti altri standard di sicurezza delle informazioni per fornire ulteriori indicazioni. Attualmente, ci sono più di 40 standard nella serie ISO27k e quelli più comunemente usati sono i seguenti:
ISO / IEC 27000 fornisce termini e definizioni usati nella serie di standard ISO 27k.
ISO / IEC 27002 fornisce linee guida per limplementazione dei controlli elencati nellAllegato A della ISO 27001. Può essere molto utile, perché fornisce dettagli su come implementare questi controlli.
ISO / IEC 27004 fornisce linee guida per la misurazione della sicurezza delle informazioni: si adatta bene alla ISO 27001, perché spiega come determinare se lSGSI ha raggiunto i suoi obiettivi.
ISO / IEC 27005 fornisce linee guida per la gestione dei rischi per la sicurezza delle informazioni. È un ottimo supplemento alla ISO 27001, perché fornisce dettagli su come eseguire la valutazione del rischio e il trattamento del rischio, probabilmente la fase più difficile dellimplementazione.
ISO / IEC 27017 fornisce linee guida per la sicurezza delle informazioni negli ambienti cloud.
ISO / IEC 27018 fornisce linee guida per la protezione della privacy negli ambienti cloud.
ISO / IEC 27031 fornisce linee guida su cosa considerare quando si sviluppa la continuità aziendale per le tecnologie dellinformazione e della comunicazione (ICT). Questo standard è un ottimo collegamento tra la sicurezza delle informazioni e le pratiche di continuità operativa.
Qual è la versione corrente di ISO 27001?
Alla data di pubblicazione di questo articolo, la versione corrente di ISO 27001 è ISO / IEC 27001: 2013.
La prima versione di ISO 27001 è stata rilasciata nel 2005 (ISO / IEC 27001: 2005), la seconda versione nel 2013 e lo standard è stato rivisto lultima volta nel 2019 , quando la versione del 2013 è stata confermata (ovvero, non sono state necessarie modifiche).
È importante notare che diversi paesi membri dellISO possono tradurre lo standard nelle proprie lingue, apportando piccole aggiunte (ad es. , prefazioni nazionali) che non influiscono sul contenuto della versione internazionale della norma. Queste “versioni” hanno lettere aggiuntive per differenziarle dallo standard internazionale, ad esempio, NBR ISO / IEC 27001 designa la “versione brasiliana”, mentre BS ISO / IEC 27001 designa la “versione britannica”. Queste versioni locali dello standard contengono anche lanno in cui sono state adottate dallente di standardizzazione locale, quindi lultima versione britannica è BS EN ISO / IEC 27001: 2017, il che significa che ISO / IEC 27001: 2013 è stato adottato dalla British Standards Institution nel 2017.
Qual è la differenza tra ISO 27001 e 27002?
ISO 27001 definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS), mentre ISO 27002 fornisce indicazioni sullimplementazione dei controlli dalla ISO 27001 Allegato A.
In altre parole, per ogni controllo, la ISO 27001 fornisce solo una breve descrizione, mentre la ISO 27002 fornisce una guida dettagliata.
Qual è la differenza tra NIST e ISO 27001?
Sebbene ISO 27001 sia uno standard internazionale, NIST è unagenzia governativa degli Stati Uniti che promuove e mantiene standard di misurazione negli Stati Uniti, tra cui la serie SP 800, una serie di documenti che specifica migliori pratiche per la sicurezza delle informazioni.
Sebbene non siano la stessa cosa, la serie NIST SP 800 e la ISO 27001 possono essere utilizzate insieme per limplementazione della sicurezza delle informazioni.
ISO 27001 è obbligatoria?
Nella maggior parte dei paesi, limplementazione della ISO 27001 non è obbligatoria. Tuttavia, alcuni paesi hanno pubblicato regolamenti che richiedono a determinati settori di implementare la ISO 27001.
Per determinare se la ISO 27001 è obbligatoria o meno per la tua azienda, dovresti cercare una consulenza legale esperta nel paese in cui operi.
Quali sono i controlli ISO 27001?
Le organizzazioni pubbliche e private possono definire la conformità alla ISO 27001 come un requisito legale nei loro contratti e accordi di servizio con i loro fornitori. Inoltre, come accennato in precedenza, i paesi possono definire leggi o regolamenti che trasformano ladozione della ISO 27001 in un requisito legale che deve essere soddisfatto dalle organizzazioni che operano nel loro territorio.
Per saperne di più sul GDPR dellUE e sul perché è applicabile a tutto il mondo, consulta questo articolo.