UNI/CEI EN ISO 27001:2006 - Sicurezza delle informazioni
L'attività di ogni moderna organizzazione, sia essa un'azienda manifatturiera, una società di servizi o un ente pubblico, dipende in modo cruciale dalle corretta gestione e protezione delle informazioni.
Un semplice guasto all'infrastruttura informatica può mettere in ginocchio un'organizzazione, se non sono state prese contromisure adeguate (ad esempio, il backup sistematico e verificato dei dati).
La non adeguata gestione di informazioni riguardanti progetti innovativi o complessi, di grande valore economico, può comportare gravi danni commerciali in caso di perdita, o peggio, divulgazione non controllata.
Inoltre, la diffusione - volontaria o involontaria - di dati personali tutelati ai sensi della legge sulla privacy può avere conseguenze legali molto pesanti.
Si rende pertanto necessario tutelare il patrimonio informativo, garantendo elementi quali la confidenzialità, l'integrità e la disponibilità delle informazioni, in ogni loro formato (archivi cartacei, database elettronici, intranet aziendali, disegni tecnici), mediante un sistema organizzato, dotato di risorse adeguate, metodologia consolidata e registrazioni controllate e corrette: il cosiddetto Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
Il modello di riferimento, per l'applicazione del SGSI da parte delle organizzazioni, è definito dalla norma UNI CEI EN/ISO 27001:2006.
La certificazione del SGSI è volontaria, e può essere rilasciata ad ogni tipo di organizzazione indipendentemente dalla complessità, dal settore merceologico e dalla dotazione di strutture informatiche di rilievo.
L'applicazione di questo modello gestionale consente di identificare le aree di rischio relativamente alle informazioni gestite, valutare economicamente l'impatto di tali rischi sull'organizzazione e porre in atto le opportune azioni mitigative.
A seguito dell'analisi dei rischi, l'organizzazione individua, tra quelli riportati nell'appendice A della norma, i "controlli" applicabili in azienda adeguati alle proprie esigenze, indicandoli in un documento chiamato "Dichiarazione di applicabilità".
Questa Dichiarazione costituisce la base per procedere alla valutazione dell'adeguatezza del livello di gestione delle informazioni prescelto, del suo grado di conoscenza ed applicazione all'interno dell'organizzazione e della corretta identificazione dei possibili rischi.
Dotare la propria organizzazione di un sistema di gestione della sicurezza delle informazioni certificato da un ente terzo consente di:
• individuare le aree di rischio ed i processi critici per l'organizzazione, prevedendo opportune procedure /
controlli per la prevenzione dei rischi e per il loro monitoraggio;
• garantirsi che la definizione e divulgazione all'interno dell'organizzazione di tali procedure e delle
relative azioni mitigative sia diffusa e conosciuta (creazione di una "cultura" della sicurezza);
• assicurare l'integrità del patrimonio informativo aziendale anche nel caso di incidenti gravissimi
(es. fenomeni naturali), garantendo la prima condizione per la ripresa delle attività;
• dare agli "stakeholders" (azionisti, clienti, fornitori, dipendenti, pubblico) una maggior confidenza
nella sicurezza e affidabilità dell'organizzazione e delle sue attività;
• migliorare l'immagine dell'organizzazione sul mercato e presso il grande pubblico;
• soddisfare determinati requisiti di legge (es. legge sulla privacy in relazione ai dati "sensibili");
• ridurre l'impatto economico e legale di eventuali incidenti sulla sicurezza;
• avere a disposizione tutti gli elementi - in caso di dolo o intrusione - per preparare adeguatamente
il terreno per le indagini da parte delle autorità competenti (Polizia postale, Guardia di Finanza);
• ridurre i premi delle polizze assicurative sul patrimonio informativo.
ICIM è organismo accreditato da ACCREDIA per certificare il Sistema di Gestione della Sicurezza delle Informazioni secondo la norma UNI/CEI EN ISO 27001:2006.
Web Design - Project Management: Mosaic Web© - 6DVision Italia©