Andrea Giesler | 3 giugno 2019

Lo standard ISO 27001 offre requisiti e un struttura che fornirà una guida per l’implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS). In quanto sistema di gestione, la ISO 27001 si basa sul miglioramento continuo: in questo articolo imparerai di più su come questo si riflette nei requisiti e nella struttura della ISO 27001.

Due parti principali dello standard

Lo standard è diviso in due parti. La prima parte principale è composta da 11 clausole (da 0 a 10). La seconda parte, denominata Allegato A, fornisce una linea guida per 114 obiettivi di controllo e controlli. Le clausole da 0 a 3 (Introduzione, Scopo, Riferimenti normativi, Termini e definizioni) stabiliscono l’introduzione dello standard ISO 27001. Le seguenti clausole da 4 a 10, che forniscono i requisiti ISO 27001 che sono obbligatori se l’azienda vuole essere conforme allo standard, sono esaminati più dettagliatamente in questo articolo.

L’allegato A dello standard supporta il clausole e relativi requisiti con un elenco di controlli non obbligatori, ma selezionati nell’ambito del processo di gestione del rischio. Per ulteriori informazioni, leggi l’articolo La logica di base della ISO 27001: come funziona la sicurezza delle informazioni?

Clausola 4: contesto dell’organizzazione

Un prerequisito per implementare con successo un sistema di gestione della sicurezza delle informazioni è comprendere il contesto dell’organizzazione. È necessario identificare e considerare le questioni esterne e interne, nonché le parti interessate. I requisiti possono includere questioni normative, ma possono anche andare ben oltre.

Con questo in mente, l’organizzazione deve definire l’ambito dell’SGSI. In che misura verrà applicata la ISO 27001 all’azienda?

Leggi di più sul contesto dell’organizzazione negli articoli Come definire il contesto dell’organizzazione secondo ISO 27001, Come identificare le parti interessate secondo ISO 27001 e ISO 22301, e Come definire l’ambito dell’SGSI.

Clausola 5: Leadership

I requisiti della ISO 27001 per una leadership adeguata sono molteplici. L’impegno del top management è obbligatorio per un sistema di gestione. Gli obiettivi devono essere stabiliti in base agli obiettivi strategici di un’organizzazione. Fornire le risorse necessarie per l’ISMS, così come supportare le persone a contribuire all’ISMS, sono altri esempi degli obblighi da soddisfare.

Inoltre, il top management deve stabilire una politica in base alla sicurezza delle informazioni. Questa politica dovrebbe essere documentata, nonché comunicata all’interno dell’organizzazione e alle parti interessate.

Anche i ruoli e le responsabilità devono essere assegnati al fine di soddisfare i requisiti della norma ISO 27001 e di riferire in merito le prestazioni dell’ISMS.

Ulteriori informazioni sul top management nella ISO 27001 in questi articoli: prospettiva del top management sull’implementazione della sicurezza delle informazioni, ruoli e responsabilità del top management in ISO 27001 e ISO 22301 e cosa dovresti scrivi nella tua Politica sulla sicurezza delle informazioni secondo ISO 27001?

Clausola 6: Pianificazione

La pianificazione in un ambiente ISMS dovrebbe sempre tenere conto dei rischi e delle opportunità. Una valutazione del rischio per la sicurezza delle informazioni fornisce una solida base su cui fare affidamento. Di conseguenza, gli obiettivi di sicurezza delle informazioni dovrebbero essere basati sulla valutazione del rischio. Questi obiettivi devono essere allineati agli obiettivi generali dell’azienda. Inoltre, gli obiettivi devono essere promossi all’interno dell’azienda. Forniscono gli obiettivi di sicurezza verso cui lavorare per tutti all’interno e in linea con l’azienda. Dalla valutazione del rischio e dagli obiettivi di sicurezza, viene derivato un piano di trattamento del rischio, basato sui controlli elencati nell’Allegato A.

Per una migliore comprensione dei rischi e delle opportunità, leggere l’articolo ISO 27001 valutazione del rischio & trattamento – 6 passaggi di base. Ulteriori informazioni sugli obiettivi di controllo nell’articolo Obiettivi di controllo ISO 27001 – Perché sono importanti? Per maggiori dettagli sulla direzione di un’azienda, leggi l’articolo Allineamento della sicurezza delle informazioni con la direzione strategica di un’azienda secondo ISO 27001.

Clausola 7: Supporto

Risorse, competenza dei dipendenti, consapevolezza e comunicazione sono questioni fondamentali per sostenere la causa. Un altro requisito è la documentazione delle informazioni secondo ISO 27001. Le informazioni devono essere documentate, create e aggiornate, oltre che essere controllate. È necessario mantenere un insieme adeguato di documentazione per supportare il successo dell’ISMS.

Per ulteriori informazioni su formazione, consapevolezza e comunicazione leggi gli articoli Come eseguire la formazione & consapevolezza per ISO 27001 e ISO 22301 e Come creare un piano di comunicazione secondo a ISO 27001. Ulteriori informazioni sulla gestione dei documenti nell’articolo Gestione dei documenti in ISO 27001 & BS 25999-2.

Clausola 8: funzionamento

I processi sono obbligatori per implementare la sicurezza delle informazioni. Questi processi devono essere pianificati, implementati e controllati. La valutazione e il trattamento del rischio, che devono essere nella mente del top management, come abbiamo appreso in precedenza, devono essere messi in atto.

Ulteriori informazioni sulla valutazione e il trattamento del rischio negli articoli ISO 27001 risk assessment: How to abbinare risorse, minacce e vulnerabilità e come valutare conseguenze e probabilità nell’analisi dei rischi ISO 27001 e in questo diagramma gratuito del processo di valutazione e trattamento del rischio ISO 27001: 2013.

Clausola 9: valutazione delle prestazioni

I requisiti dello standard ISO 27001 prevedono monitoraggio, misurazione, analisi e valutazione del sistema di gestione della sicurezza delle informazioni. Non solo il dipartimento stesso dovrebbe controllare il proprio lavoro, ma è anche necessario condurre audit interni. A intervalli prestabiliti, il top management deve rivedere l’SGSI dell’organizzazione.

Ulteriori informazioni su prestazioni, monitoraggio e misurazione negli articoli Indicatori chiave di prestazione per un ISMS ISO 27001 e Come eseguire il monitoraggio e la misurazione nell’ISO 27001.

Clausola 10: miglioramento

Il miglioramento segue la valutazione. Le non conformità devono essere affrontate agendo ed eliminando le cause quando applicabile. Inoltre, dovrebbe essere implementato un processo di miglioramento continuo, anche se il ciclo PDCA (Plan-Do-Check-Act) non è più obbligatorio (leggi di più su questo nell’articolo Il ciclo PDCA è stato rimosso dai nuovi standard ISO? il ciclo PDCA è spesso consigliato, poiché offre una struttura solida e soddisfa i requisiti della ISO 27001.

Per ulteriori informazioni sul miglioramento della ISO 27001, leggi l’articolo Raggiungere il miglioramento continuo attraverso l’uso di modelli di maturità.

Allegato A (normativo) Obiettivi e controlli di controllo di riferimento

L’allegato A è un utile elenco di obiettivi e controlli di controllo di riferimento. A partire da A.5 Politiche di sicurezza delle informazioni fino a A.18 Conformità, l’elenco offre controlli mediante i quali è possibile soddisfare i requisiti ISO 27001 e derivare la struttura di un SGSI. I controlli, identificati tramite una valutazione del rischio come descritto sopra, devono essere considerati e implementati.

Per di più sull’Allegato A, leggi gli articoli Una guida rapida all’ISO 27001 controlli dell’Allegato A e Come strutturare i documenti per i controlli ISO 27001 Allegato A.

Requisiti di un ISMS

L’implementazione e lo standard stesso potrebbero sembrare impegnativi o complicati a prima vista , perché alcuni requisiti potrebbero non sembrare logici per te. Ma, con un apprendimento più approfondito, le cose vanno a posto e si inizia ad apprezzare la completezza che l’implementazione della ISO 27001 porta nella sicurezza. Subito dopo essere diventato conforme, ti renderai sicuramente conto che lo standard ti offre una linea guida strutturata e sarai soddisfatto della tua decisione sull’implementazione.

Per saperne di più sui requisiti ISO 27001, scarica questa clausola gratuita -clausa spiegazione della ISO 27001.

Qui puoi imparare Quanto dovrebbero essere dettagliati i documenti ISO 27001?

Per i decisori nel mondo delle startup , si consiglia vivamente di leggere perché dovrebbero investire nella ISO 27001 e in che modo l’implementazione può fornire una spinta per l’azienda.

Informazioni sull’autore:

Andrea Giesler è un revisore interno , con sede a Colonia, in Germania, specializzata nelle aree ISO 27001, ISO 9001 e GDPR dell’UE. È un Certified Information Systems Auditor (CISA) ed è certificata in Risk and Information Systems Control (CRISC) da ISACA.