IN UN SGQ COME VANNO TRATTATI I DATI E LE INFORMAZIONI?

La ISO/IEC 27001 è lo standard internazionale di riferimento per la gestione della sicurezza delle informazioni. 

    Non si limita alla sola "cybersecurity" tecnica, ma definisce un modello organizzativo completo per proteggere i dati in ogni loro forma (digitale, cartacea o verbale).

    In sintesi si riportano dei punti chiave basati sull'ultimo aggiornamento (ISO/IEC 27001:2022).

1. Il Pilastro: La Triade CIA (confidentiality- integrity - avaiability)

L'obiettivo della norma è proteggere tre caratteristiche fondamentali delle informazioni:

Riservatezza (Confidentiality): garantire che l'informazione sia accessibile solo a chi è autorizzato.

Integrità (Integrity): salvaguardare l'accuratezza e la completezza delle informazioni e dei metodi di elaborazione.

Disponibilità (Availability): assicurare che gli utenti autorizzati abbiano accesso alle informazioni quando ne hanno bisogno.

2. Il Sistema di Gestione (ISMS)

    La norma richiede l'adozione di un ISMS (Information Security Management System). Questo sistema non è un software, ma un insieme di processi aziendali basati sul miglioramento continuo (ciclo PDCA: Plan-Do-Check-Act).

Struttura della Norma (HLS)

Come tutti gli standard ISO moderni, segue una struttura di 10 capitoli (High Level Structure):

Contesto dell'organizzazione: Analisi dei fattori interni ed esterni e delle aspettative degli stakeholder.

Leadership: Impegno del top management e definizione della politica di sicurezza.

Pianificazione: Il cuore della norma, che prevede l'Analisi del Rischio. Si identificano le minacce e si decide come trattarle.

Supporto e Operazioni: Gestione delle risorse, competenze, consapevolezza e documentazione.

Valutazione e Miglioramento: Audit interni, monitoraggio delle prestazioni e azioni correttive.

3. L'Allegato A (I Controlli)

    Mentre i capitoli precedenti trattano di  cosa il sistema debba fare, l'Allegato A fornisce l'elenco dei controlli pratici da implementare. Nella versione 2022, i controlli sono stati riorganizzati in 93 controlli divisi in 4 macro-aree:

• Categoria Descrizione Esempi Organizzativi (37) Politiche e procedure aziendali Classificazione delle informazioni, gestione dei fornitori.
• Persone (8) Sicurezza legata alle risorse umane Screening dei dipendenti, formazione, clausole di riservatezza.
• Fisici (14) Protezione delle sedi e degli asset Controllo accessi agli uffici, protezione dei data center.
• Tecnologici (34) Soluzioni IT e software Autenticazione, backup, crittografia, gestione dei log.

4. Documenti Essenziali per la Certificazione

    Per ottenere la certificazione, un'azienda deve produrre alcuni documenti chiave:

Analisi dei Rischi: Identifica cosa può andare storto e l'impatto potenziale.

SoA (Statement of Applicability): La "Dichiarazione di Applicabilità", che elenca quali dei 93 controlli dell'Allegato A sono stati scelti e perché (o perché sono stati esclusi).

Piano di Trattamento del Rischio (RTP): Come l'azienda intende mitigare i rischi identificati.