Certificazione di sicurezza dati ISO 27001: cos’è e come ottenerla

La UNI CEI EN ISO/IEC 27001:2017, correntemente denominata ISO 27001, è uno standard internazionale che descrive i requisiti che deve possedere un sistema di gestione della sicurezza delle informazioni (SGSI, o, in inglese, ISMS).

L’ISMS si configura come un insieme integrato di politiche, best practice, procedure, documenti e tecnologie, finalizzato alla valutazione e mitigazione dei rischi a cui può essere soggetto un patrimonio informativo: violazioni, perdita, furto, attacchi informatici.

Il piano di gestione dei rischi, formulato in conformità ai requisiti della ISO 27001, consente di:

  • Identificare gli eventi avversi incombenti sul patrimonio informativo, che ne possono inficiare la riservatezza, la integrità, la disponibilità;
  • Analizzare e valutare i rischi derivanti da tali eventi, associando ad ogni rischio l’entità del danno che si viene a determinare se l’evento avverso accade, e la probabilità che tale evento effettivamente accada;
  • Stabilire la accettabilità / inaccettabilità dei rischi, in base agli accoppiamenti danno / probabilità determinati per ogni rischio;
  • Definire un programma di interventi immediati, destinati a mitigare i rischi di cui si è evidenziata la inaccettabilità, per la non tollerabile entità del danno prefigurabile e/o per la alta probabilità che l’evento avverso si verifichi effettivamente;
  • Definire un programma di interventi a medio / lungo termine, per migliorare il livello di accettabilità degli altri rischi, riducendone la entità del danno e/o la probabilità di accadimento;
  • Assicurare che la valutazione del rischio, ripetuta regolarmente, “produca risultati coerenti, validi e comparabili”.

Certificazione ISO 27001