ISO 27000 : INFORMATION SECURITY

Lo standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell’informazione (Information Security Management System – ISMS).
Lo standard è stato creato e pubblicato nell’ottobre 2005 a fini certificativi, in modo da costituire, insieme alla guida ISO/IEC 17799:2005, un sistema completo per garantire la gestione della sicurezza nella tecnologia dell’informazione e, con la sua pubblicazione sostituisce la norma inglese BS 7799- Information Security Management System ISMS, che era la principale norma di riferimento per l’applicazione di un Sistema di Gestione per la sicurezza delle informazioni

Poiché oggi tutte le informazioni nelle aziende sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati , tenendo presente che oggi viviamo in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento.
L’obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (ISMS) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.
La norma è applicabile a imprese operanti nella gran parte dei settori industriali e commerciali.
L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione Qualità ISO 9001:2008 ed il risk management, basandosi sull’approccio dei processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, sempre nell’ottica del miglioramento continuo.
Con le norme della serie 27000 si intende nei prossimi anni, normare tutto il settore della sicurezza informatica, della gestione dei rischi, delle problematiche di metrica e misurazione, soprattutto dell’efficacia dei sistemi di sicurezza implementati, delle metodologie di attuazione.

La serie ISO 27000 è prevista come segue:
• ISO/IEC 27000: principles and vocabulary (in progetto)
• ISO/iec 27001: Information security management system- Requirements (pubblicata nel
mese di ottobre 2005)
• ISO/IEC 27003 :ISMS Implementation guidance (in via di sviluppo)
• ISO/IEC 27004: Information security management metrics and measurement (in via d
 sviluppo)
• ISO/IEC 27005: ISMS Risk management (in via di sviluppo)
L’integrazione della ISO/IEC 17799:2005 nella serie ISO 27000 sarà discussa e decisa entro la primavera del 2007 e se sarà integrata nella serie 27000, diventerà la ISO/IEC 27002