UNI EN ISO 27001 – Sistemi di Gestione per la Sicurezza Informatica
ISO/IEC 27001 è uno standard internazionale, promosso dalla ISO (International organization for standardization) e dalla IEC (International electrotechnical commission), per la gestione della sicurezza delle informazioni. ISO/IEC 27001 è applicabile a qualsiasi organizzazione e definisce i requisiti per pianificare, attuare, operare, monitorare, riesaminare, mantenere e migliorare il sistema di gestione per la sicurezza delle informazioni delle aziende.
Certificare il sistema di gestione della sicurezza delle informazioni dimostra il tuo impegno a gestire e proteggere proattivamente le informazioni e le risorse e a garantire la conformità ai requisiti legali. Lo standard consente un approccio complessivo alla sicurezza delle informazioni in tutti gli ambiti interessati: dai documenti in formato digitale a quelli in formato cartaceo, alle strumentazioni hardware (computer e reti) alle competenze del personale.
Il sistema di gestione per la sicurezza delle informazioni dimostra che hai analizzato e valutato in modo sistematico e completo tutti i rischi relativi alla sicurezza delle informazioni, derivanti da attacchi dall’esterno o dall’interno, informatici e non informatici, da errori o dal mancato rispetto della normativa vigente pertinente. ISO/IEC 27001 aiuta la tua azienda a garantire, per le tue informazioni (incluse quelle relative ai tuoi clienti e segreti industriali), gli adeguati livelli di riservatezza, integrità e disponibilità, bilanciando le necessità di protezione e gli investimenti. ISO/IEC 27001 si integra in maniera coerente ed efficace con altri sistemi di gestione, quali ad esempio quelli relativi alla qualità (ISO 9001), all’ambiente (ISO 14001) e alla gestione dei servizi IT (ISO/IEC 20000) e in combinazione con ISO 27701, permette ad un’organizzazione di rispondere agli obblighi previsti dal GDPR.
Un sistema di gestione della sicurezza dei dati secondo la SO 27001 consente non solo un miglioramento continuo dei sistemi di gestione ma anche miglioramento in efficacia ed efficienza dei processi. Lo standard adotta un approccio globale alla sicurezza delle informazioni e alla protezione delle risorse. ISO/IEC 27001 ti aiuterà a proteggere le tue informazioni secondo i seguenti principi:
ISO/IEC 20000-1 Sistemi di Gestione per le Tecnologie Informatiche
L’ISO/IEC 20000-1 “Tecnologie informatiche – Gestione del servizio – Parte 1: Requisiti per un sistema di gestione del servizio” definisce i requisiti che un fornitore di servizi (service provider) deve avere per fornire servizi IT di alto livello di qualità.
Scopo della norma è quello di aiutare i fornitori di servizi informatici a migliorare la qualità del servizio offerto.
La certificazione secondo la ISO/IEC 2000-1 rilasciata da un ente di terza parte è la garanzia che l’azienda ha messo in atto tutte le azioni necessarie per erogare servizi IT di qualità, al fine di soddisfare le aspettative dei propri utilizzatori. Lo standard ISO/IEC 20000-1 è particolarmente indicato per i fornitori di servizi IT sia all’interno sia all’esterno dell’organizzazione, quali, ad esempio, i fornitori di servizi IT in outsourcing, nel settore delle telecomunicazioni, delle attività finanziarie e della Pubblica Amministrazione. Lo standard è applicabile a tutte le Organizzazioni, siano esse grandi, medie o piccole con strutture IT più o meno complesse.
La norma specifica i requisiti per il fornitore del servizio per pianificare, stabilire, attuare, condurre, monitorare, riesaminare, tenere aggiornato e migliorare un sistema di gestione del servizio (SGS). I requisiti includono la progettazione, la transizione, l’erogazione e il miglioramento dei servizi per soddisfare i requisiti del servizio. Il processo di certificazione del Sistema di Gestione per l’IT Service Management (SGITSM) secondo la norma ISO/IEC 20000-1 prevede, in particolare, la valutazione dei seguenti elementi: