Qual è la serie di standard ISO 27000?

0 Comments

La famiglia di standard ISO/IEC 270001, nota anche come serie ISO 27000, è una serie di best practice per aiutare le organizzazioni a migliorare la sicurezza delle informazioni.

Pubblicata da ISO (Organizzazione Internazionale per la standardizzazione) e IEC (Commissione Elettrotecnica Internazionale), la serie spiega come implementare le migliori pratiche di sicurezza delle informazioni.

an.,

Lo fa impostando i requisiti ISMS (Information Security management system).

Un ISMS è un approccio sistematico alla gestione del rischio, contenente misure che affrontano i tre pilastri della sicurezza delle informazioni: persone, processi e tecnologia.

La serie è composta da 46 standard individuali, tra cui ISO 27000, che fornisce un’introduzione alla famiglia oltre a chiarire termini e definizioni chiave.,

Non hai bisogno di una comprensione completa degli standard ISO per vedere come funziona la serie, e alcuni non saranno rilevanti per la tua organizzazione, ma ce ne sono alcuni di base con cui dovresti avere familiarità.

ISO 27001

Questo è lo standard centrale della serie ISO 27000, contenente i requisiti di implementazione per un ISMS.

Questo è importante da ricordare, come ISO IEC 27001: 2013 è l’unico standard della serie che le organizzazioni possono essere controllati e certificati contro.,

Questo perché contiene una panoramica di tutto ciò che è necessario fare per raggiungere la conformità, che viene ampliata in ciascuno dei seguenti standard.

ISO 27002

Questo è uno standard supplementare che fornisce una panoramica dei controlli di sicurezza delle informazioni che le organizzazioni potrebbero scegliere di implementare.

Alle organizzazioni è richiesto solo di adottare controlli che ritengono pertinenti, cosa che diventerà evidente durante una valutazione del rischio.,

I controlli sono descritti nell’allegato A di ISO 27001, ma mentre questo è essenzialmente un breve riassunto, ISO 27002 contiene una panoramica più completa, che spiega come funziona ogni controllo, qual è il suo obiettivo e come è possibile implementarlo.

ISO 27017 e ISO 27018

Questi standard ISO supplementari sono stati introdotti nel 2015, spiegando come le organizzazioni dovrebbero proteggere le informazioni sensibili nel cloud.

Questo è diventato particolarmente importante di recente, come le organizzazioni migrano gran parte delle loro informazioni sensibili su server online.,

ISO 27017 è un codice di pratica per la sicurezza delle informazioni, che fornisce informazioni aggiuntive su come applicare i controlli dell’allegato A alle informazioni memorizzate nel Cloud.

Sotto ISO 27001, hai la possibilità di trattarli come un set separato di controlli. Quindi, scegli un set di controlli dall’allegato A per i tuoi dati “normali” e un set di controlli da ISO 27017 per i dati nel cloud.

ISO 27018 funziona essenzialmente allo stesso modo ma con una considerazione extra per i dati personali.,

ISO 27701

Questo è il più recente standard della serie ISO 27000, che copre ciò che le organizzazioni devono fare quando implementano un PIMS (privacy information management system).

È stato creato in risposta al GDPR (General Data Protection Regulation), che istruisce le organizzazioni ad adottare “misure tecniche e organizzative appropriate” per proteggere i dati personali, ma non indica come dovrebbero farlo.

ISO 27701 colma questa lacuna, essenzialmente avvitando i controlli di elaborazione della privacy su ISO 27001.

Perché utilizzare uno standard della serie ISO 27000?,

Le violazioni dei dati sono uno dei maggiori rischi per la sicurezza delle informazioni che le organizzazioni devono affrontare. I dati sensibili vengono utilizzati in tutte le aree delle aziende in questi giorni, aumentando il loro valore per un uso legittimo e illegittimo.

Innumerevoli incidenti si verificano ogni mese, che si tratti di criminali informatici hacking in un database o dipendenti perdere o appropriazione indebita di informazioni. Ovunque vadano i dati, il danno finanziario e reputazionale causato da una violazione può essere devastante.,

Ecco perché le organizzazioni stanno investendo sempre più pesantemente nelle loro difese, utilizzando ISO 27001 come linea guida per una sicurezza efficace.

ISO 27001 può essere applicato a organizzazioni di qualsiasi dimensione e in qualsiasi settore, e l’ampiezza del framework significa che la sua implementazione sarà sempre adeguata alle dimensioni dell’azienda.

Puoi scoprire come iniziare con lo Standard leggendo Information Security & ISO 27001: Un’introduzione.,

Questo libro verde gratuito spiega:

  • Cos’è ISO 27001, come funziona un ISMS e come si relaziona con ISO 9001, ISO 27002 e altri standard;
  • L’importanza delle valutazioni dei rischi e dei piani di trattamento dei rischi;
  • Come lo Standard aiuta a soddisfare i tuoi obblighi legali e normativi; e
  • I tuoi requisiti di audit e certificazione.,

Una versione di questo blog è stato originariamente pubblicato su 10 ottobre 2019.

Lettura consigliata:

  • Qual è la differenza tra ISO 27000 e 27001


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *