Sicurezza delle informazioni 27001/2006

Sommario: La norma copre tutte le tipologie di organizzazioni (imprese commerciali, agenzie governative, organizzazioni senza scopo di lucro).

Essa specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato all’interno di un contesto di rischi legati alle attività centrali dell’organizzazione.

Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessità di una singola organizzazione o di una sua parte.Il sistema è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati.

L’Oggetto della UNI CEI ISO/IEC 27001:2006 è l’informazione , sotto qualsiasi forma o supporto per la quale devono essere garantite:

• Riservatezza e confidenzialità: garantire che l’informazione sia nota solo a chi ne ha diritto
• Integrità, ovvero non alterabilità: garantire che le informazioni in transito non siano modificate da chi non autorizzato
• Disponibilità: garantire l’operatività di un servizio, la sua accessibilità e fruibilità

Inventario dei beni e Classificazione delle Informazioni:

• Devono essere individuati e classificati i beni che sono rilevanti per la continuità del business dell’azienda sia Hardware che Software che qualsiasi altra natura
• Devono essere individuati differenti livelli di classificazione per ogni singolo bene in relazione all’analisi del rischio
• Il valore è dato dal processo che tratta il bene e non dal valore intrinseco dello stesso.

Serve a  verificare la conformità del sistema di gestione delle informazioni che sono rilevanti per la continuità del business dell’organizzazione.
Alcune possibili applicazioni: D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali – Art. 31 Obblighi di sicurezza”

L’accordo di BASILEA II: tra le tipologie di eventi, legate al “Rischio Operativo”, che il comitato di Basilea ha individuato come potenziali cause di perdite per le banche ci sono:Il rischio di danneggiamento degli assets per incendi, esplosioni, inondazioni, atti vandalici etc.Errori Hardware e/o Software, problemi di telecomunicazione, fermi di energia elettrica etc.

Efficienza e non solo obblighi

Si inizia a pensare alla tutela dei dati personali non solo come obbligo di legge ma anche in termini di efficienza, all’interno di un sistema di gestione aziendale.Efficienza intesa come prevenzione della perdita di dati aziendali, dei risarcimenti danni e delle sanzioni, ma anche dalla messa in essere di procedure uniformi sicure e semplici di gestione delle informazioni.