Studio tau

ISO 27000
SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

Il problema della sicurezza delle informazioni ha sempre rappresentato un elemento centrale di interesse, la cui rilevanza è stata recentemente sottolineata dalla presenza pervasiva di Internet e dalla conseguente “facilità” di accesso ad informazioni anche critiche.

In questo settore le esigenze di sicurezza delle organizzazioni sono spesso ben maggiori del minimo necessario per rispettare le disposizioni di legge (fra cui il Regolamento UE 2016/679 in materia di dati personali); i loro server contengono infatti informazioni tecniche, commerciali e di altra natura di valore inestimabile, la cui tutela è spesso vitale per la stessa sopravvivenza dell’organizzazione.

Di qui la motivazione a sviluppare norme volontarie per fornire un orientamento ed un supporto alle organizzazioni; senza entrare in una loro disamina di dettaglio, è abbastanza semplice comprendere la loro organizzazione ed i loro principi essenziali.

ISO ha recentemente pubblicato una serie di norme, denominata ISO 27000, che comprende fra gli altri i seguenti documenti:
– ISO 27000, a carattere introduttivo e di definizione della terminologia
– ISO 27001, che definisce i requisiti di un SGSI (acronimo di Sistema di Gestione per la Sicurezza delle Informazioni) organizzato secondo un modello analogo a quello proposto dalle altre norme di sistema e utilizzabile anche per una certificazione di terza parte
– ISO 27002, presenta in dettaglio le best practices per la sicurezza nel settore informatico; il suo obiettivo è quello di fornire delle raccomandazioni per adottare un insieme di controlli che garantisca un effettiva sicurezza dei dati memorizzati in formato elettronico.

La ISO 27001 riprende i contenuti della BS 7799-2, pubblicata in precedenza dal BSI, mentre la ISO 27002 sostituisce la precedente ISO/IEC 17799; le due norme si integrano fra loro, senza peraltro che una ponga specifici vincoli all’utilizzo dell’altra.