Ottenere la certificazione ISO/IED 27001, specialmente dopo l’entrata in vigore del GDPR, rappresenta una delle principali soluzioni delle aziende sia pubbliche che private per la corretta gestione delle informazioni.
Il valore delle informazioni va oltre le parole, i numeri e le immagini riportati su carta: conoscenza, concetti, idee, marchi sono esempi di forme intangibili delle informazioni. In un mondo interconnesso, le informazioni e i processi, i sistemi, le reti e il personale coinvolti nel loro trattamento e nella loro protezione, sono elementi che, allo stesso modo di qualsiasi altro asset di importanza per il business, hanno un valore rilevante per un’organizzazione, e di conseguenza meritano o richiedono protezione a fronte di diversi pericoli.
La ISO/IEC 27001 fornisce un insieme di specifiche e requisiti per implementare un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) –un sistema di processi, documenti, tecnologie e persone, che aiuta a gestire, monitorare, controllare e migliorare la sicurezza delle informazioni di una organizzazione.
L’ottenimento di una certificazione ISO/IEC 27001 ha grande valore ed è la prova tangibile della volontà di un’organizzazione di rispettare standard per la sicurezza delle informazioni accettate internazionalmente.
In tale contesto la certificazione ISO 27001, attraverso l’introduzione e il mantenimento di un idoneo sistema di gestione documentato in grado di regolamentare il trattamento dei dati e delle informazioni Aziendali, consente all’azienda di:
- attuare sistematicamente la politica di sicurezza informazioni
- applicare una gestione globale dei rischi legati alla sicurezza delle informazioni e sistemi corrispondenti
- attuare un monitoraggio efficace dei settori a rischio
- definire ed attuare idonei obiettivi ed interventi di sicurezza
- rispettare i principi legislativi e contrattuali
- attuare metodiche generali (anche non tecniche)
- eseguire un’analisi sistematica dei rischi.
Pur trattando di sicurezza delle informazioni, la norma ISO 27001 non solleva l’azienda dal rispetto delle misure minime di sicurezza e dalla protezione dei dati e della Privacy in ottemperanza alla legislazione in vigore.
Legge sulla privacy e norma ISO 27001 si rivelano casomai complementari: la prima tutela dati sensibili, mentre la ISO 27001, che pure richiede che ciò sia fatto, si focalizza sui dati di business dell’organizzazione aziendale, da tutelare nell’interesse stesso dell’azienda.
