Cos'è lo standard Iso 27001 e qual è il suo ruolo nell'ambito della sicurezza

Sempre più aziende italiane, anche su esempio europeo e giapponese, sviluppano la percezione che “knowledge is power”. La sfida della qualità, il peso crescente della componente servizi nelle prestazioni attese dalla clientela, l'internazionalizzazione / integrazione dei processi, molti dei quali ottimizzati in outsourcing, rendono le informazioni e il governo delle informazioni l'elemento essenziale della valorizzazione.

Ciò che è sempre stato “memoria storica” nella mente e nelle mani che governano l'impresa deve, nella competizione globale, diventare (anche) management distribuito, conoscenza diffusa, comunicazione. In questo quadro la gestione sicura delle informazioni è determinante.

L'impresa deve governare in modo sicuro una rete complessa di interazioni, processi, risorse, a cominciare da quelle fondamentali costituite dai Clienti e dai fornitori essenziali.

Per questi motivi le pratiche di gestione delle informazioni si evolvono in sistemi di Information Management.

Lo standard Iso 27001 (Iso Iec 17799) è attualmente il solo strumento utilizzato al di fuori degli Stati Uniti per la certificazione di Qualità dei Sistemi di Gestione della Sicurezza delle Informazioni. Tali sistemi, inclusi i non certificati, possono altresì applicare come good practices i controlli dello standard Iso Iec 17799 : 2005.

Secondo tali standard proteggere le informazioni significa garantirne nel tempo, mediante gli opportuni controlli di mitigazione dei rischi adeguatamente individuati:


– l'integrità
– la riservatezza
– la disponibilità


Un sistema certificato garantisce il valore del patrimonio aziendale, protegge le nostre informazioni riservate e i nostri sistemi, dà valore ai nostri SLA e a quelli dei nostri fornitori, (se certificati o almeno opportunamente controllati), riduce i rischi legali e di reputazione, tutela i nostri Clienti, migliora l'approccio a processi statutory sempre più pervasivi, diffonde una cultura aziendale proattiva volta al miglioramento.

Un sistema certificato Iso Iec 27001 o caratterizzato da buone pratiche Iso Iec 17799 è dunque un fattore concreto di miglioramento dell'efficacia dei processi aziendali e di valorizzazione.


La sua applicazione si attua essenzialmente mediante:

– Individuazione e tassonomia dei processi di business
– Gap analysis e Requirement analysis
– Inventario e valorizzazione degli asset
– Individuazione di minacce, vulnerabilità, rischi
– Assessment dei rischi
– Individuazione dei controlli
– Individuazione di politiche, procedure, pratiche, strumenti gestionali
– Monitoraggio e miglioramento


Sicurezza fisica

Il ruolo della sicurezza fisica è quello di proteggere:

– le persone che operano nei siti ove si trovano le apparecchiature informatiche, dagli operatori agli utenti finali
– le aree nelle quali si trovano i dispositivi informatici e di telecomunicazione, e le relative strutture ed impianti
– i componenti del sistema informativo, inclusi i mezzi ed i sistemi di telecomunicazione


Sicurezza logica

Il ruolo della sicurezza logica è quello di proteggere:

– le informazioni trattate, quali documenti, archivi e banche dati
– le reti e i protocolli di comunicazione
– il software di base e di ambiente (incluso quello di controllo e gestione)


Sicurezza organizzativa

Il ruolo della sicurezza organizzativa è quello di garantire la continuità e l'efficacia dell'impegno del management:

– garantire l'efficacia del quadro organizzativo (poteri, responsabilità, compartimentazione, reporting e comunicazione,
   monitoraggio)
– garantire il rispetto di requisiti cogenti (leggi, norme, processi statutory) e di standard interni
– diffondere la cultura della cooperazione e del controllo