Che cos'è la ISO 27001? Una spiegazione facile e veloce.

La ISO 27001 è la principale norma internazionale incentrata sulla sicurezza delle informazioni, sviluppata per aiutare le organizzazioni, di ogni dimensione o settore, a proteggere le loro informazioni un modo sistematico e conveniente, attraverso l’adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI).

Che cos'è la ISO 27001? - 27001Academy
Sofrware per la conformità alla iso 27001
Che cos'è la ISO 27001? - 27001Academy
MODELLI PER ISO 27001
Che cos'è la ISO 27001? - 27001Academy
CORSI SU ISO 27001
Le basi

Qual è il significato della ISO 27001?

Che cos'è la ISO 27001? - 27001Academy

What is ISO 27001? Quick and easy explanation.

In primo luogo, è importante notare che il nome completo della ISO 27001 è "ISO/IEC 27001 - Tecnologia dell'informazione - Tecniche per la sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti".

È la principale norma internazionale incentrata sulla sicurezza delle informazioni, pubblicata dall’International Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Entrambi sono importanti organizzazioni internazionali che sviluppano norme internazionali.

La ISO-27001 fa parte di una serie di norme sviluppate per gestire la sicurezza delle informazioni: la serie ISO/IEC 27000.

L’impianto ISO e lo scopo della ISO 27001

L’impianto ISO è una combinazione di politiche e processi da utilizzare per le organizzazioni. La ISO 27001 fornisce un impianto per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l'adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).

Perché la ISO 27001 è importante?

La norma non solo fornisce alle aziende il know-how necessario per proteggere le loro informazioni più preziose, ma un'azienda può anche ottenere la certificazione ISO 27001 e, in questo modo, dimostrare ai propri clienti e partner che tutela i propri dati.

Le persone possono anche ottenere la certificazione ISO 27001 frequentando un corso e superando l'esame e possono dimostrare, in questo modo, le proprie capacità ai potenziali datori di lavoro.

Poiché si tratta di una norma internazionale, la ISO 27001 è facilmente riconoscibile in tutto il mondo, aumentando le opportunità di affari per organizzazioni e professionisti.

Quali sono i 3 obiettivi della sicurezza dell’SGSI?

L'obiettivo fondamentale della ISO 27001 è proteggere questi tre aspetti delle informazioni:

  • Riservatezza: solo le persone autorizzate hanno il diritto ad accedere alle informazioni.
  • Integrità: solo le persone autorizzate possono modificare le informazioni.
  • Disponibilità: le informazioni devono essere accessibili alle persone autorizzate ogni volta che è necessario.

Che cos'è un SGSI?

Un sistema di gestione della sicurezza delle informazioni (SGSI) è un insieme di regole che un'azienda deve stabilire per:

  1. identificare le parti interessate e le loro aspettative nei confronti dell'azienda in termini di sicurezza delle informazioni
  2. identificare quali rischi esistono per le informazioni
  3. definire i controlli (protezioni) e altri metodi di mitigazione per soddisfare le aspettative identificate e gestire i rischi
  4. fissare obiettivi chiari su ciò che deve essere raggiunto con la sicurezza delle informazioni
  5. implementare tutti i controlli e le altre modalità di trattamento dei rischi
  6. misurare continuamente se i controlli implementati funzionano come previsto
  7. apportare miglioramenti continui per far funzionare meglio l'intero SGSI

Questo insieme di regole può essere scritto sotto forma di politiche, procedure e altri tipi di documenti, oppure sotto forma di processi e tecnologie consolidati che non sono documentati. La ISO 27001 definisce quali documenti sono richiesti, cioè quali devono essere prodotti come requisito minimo.


Perché abbiamo bisogno dell'SGSI?

Ci sono quattro vantaggi aziendali essenziali che un'azienda può ottenere con l'implementazione di questa norma per la sicurezza delle informazioni:

Rispettare i requisiti di legge – esiste un numero sempre crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni e la buona notizia è che la maggior parte di essi può essere risolta implementando la ISO 27001 - questa norma offre la metodologia perfetta per rispettarli tutti.

Ottenere un vantaggio sulla concorrenza – se la tua azienda ottiene la certificazione e i tuoi concorrenti no, potresti avere un vantaggio su di loro agli occhi di quei clienti che sono sensibili per quanto riguarda il mantenere le loro informazioni al sicuro.

Costi inferiori – la filosofia principale della ISO 27001 è prevenire il verificarsi di incidenti relativi alla sicurezza – e ogni incidente, grande o piccolo che sia, costa denaro. Pertanto, prevenendoli, la tua azienda risparmierà parecchi soldi. E la cosa migliore è che l'investimento nella ISO 27001 è molto inferiore ai risparmi sui costi che otterrai.

Una migliore organizzazione – in genere, le aziende in rapida crescita non hanno il tempo di fermarsi a definire i propri processi e le proprie procedure – di conseguenza, molto spesso i dipendenti non sanno cosa debba essere fatto, quando e da chi. L'implementazione della ISO 27001 aiuta a risolvere tali situazioni, perché incoraggia le aziende ad annotare i propri processi principali (anche quelli non legati alla sicurezza), consentendo loro di ridurre il tempo perso dai propri dipendenti.

Come funziona la ISO 27001?

L'obiettivo della ISO 27001 è proteggere la riservatezza, l'integrità e la disponibilità delle informazioni in un'azienda. Questo viene fatto scoprendo quali potenziali problemi relativi alle informazioni potrebbero verificarsi (ad esempio, con la valutazione del rischio), e quindi definendo ciò che è necessario fare per evitare che si verifichino tali problemi (ad esempio, con la mitigazione del rischio o il trattamento del rischio).

Pertanto, la filosofia principale della ISO 27001 si basa su un processo di gestione dei rischi: scoprire dove si trovano i rischi e quindi trattarli sistematicamente, attraverso l'implementazione di controlli di sicurezza (o protezioni).

Che cos'è la ISO 27001? Una guida per principianti.

La ISO 27001 richiede all'azienda di elencare tutti i controlli che devono essere implementati in un documento chiamato Dichiarazione di Applicabilità.

Due parti della norma

La norma è divisa in due parti separate. La prima parte principale è composta da 11 clausole (dalla 0 alla 10). La seconda parte, denominata Allegato A, fornisce una linea guida per i 114 obiettivi di controllo e per i controlli. Le clausole dalla 0 alla 3 (Introduzione, Campo di applicazione, Riferimenti normativi, Termini e definizioni) costituiscono l'introduzione della norma ISO 27001. Le clausole seguenti, dalla 4 alla 10, che descrivono i requisiti della ISO 27001 che sono obbligatori se l'azienda vuole essere conforme alla norma, sono esaminate più dettagliatamente in questo articolo.

L'allegato A della norma integra le clausole e i loro requisiti con un elenco di controlli non obbligatori, ma selezionati nell'ambito del processo di gestione del rischio. Per saperne di più, leggi l'articolo The basic logic of ISO 27001: How does information security work?

Requisiti e controlli di sicurezza

Quali sono i requisiti per la ISO 27001?

I requisiti dalle sezioni dalla 4 alla 10 possono essere riassunti come segue:

Clausola 4: Contesto dell'organizzazione – Un prerequisito per implementare con successo un sistema di gestione della sicurezza delle informazioni è comprendere il contesto dell'organizzazione. È necessario identificare e considerare le questioni esterne e interne, nonché le parti interessate. I requisiti possono includere questioni normative, ma possono anche andare ben oltre.

Tenendo quanto sopra in considerazione, l'organizzazione deve definire l'ambito dell’SGSI. In che misura la ISO 27001verrà applicata all'azienda? Per maggiori informazioni sul contesto dell'organizzazione, vedi gli articoli How to define context of the organization according to ISO 27001, How to identify interested parties according to ISO 27001 and ISO 22301, e How to define the ISMS scope.

Clausola 5: Leadership – I requisiti della ISO 27001 per una leadership adeguata sono molteplici. L'impegno dell’alta direzione è obbligatorio per un sistema di gestione. Gli obiettivi devono essere stabiliti in base agli obiettivi strategici di un'organizzazione. Fornire le risorse necessarie per l’SGSI, nonché incentivare le persone a contribuire all'SGSI, sono altri esempi degli obblighi da rispettare.

Inoltre, l’alta direzione deve stabilire una politica in base alla sicurezza delle informazioni. Questa politica deve essere documentata, nonché comunicata all’interno dell’organizzazione e alle parti interessate.

Anche ruoli e responsabilità devono essere definiti e assegnati per soddisfare i requisiti della norma ISO 27001 e per riferire sulle prestazioni dell'SGSI.

Scopri di più sul ruolo dell’alta direzione nella ISO 27001 in questi articoli: Top management perspective of information security implementation, Roles and responsibilities of top management in ISO 27001 and ISO 22301, e What should you write in your Information Security Policy according to ISO 27001?

Clausola 6: Pianificazione – La pianificazione in un ambiente SGSI deve sempre tenere conto dei rischi e delle opportunità. Una valutazione del rischio per la sicurezza delle informazioni fornisce una solida base su cui fare affidamento. Di conseguenza, gli obiettivi della sicurezza delle informazioni devono essere basati sulla valutazione del rischio. Questi obiettivi devono essere allineati agli obiettivi generali dell'azienda. Inoltre, gli obiettivi devono essere promossi all'interno dell'azienda. Questi forniscono dei traguardi per la sicurezza su cui lavorare tutti insieme e allineati all'interno dell'azienda. Dalla valutazione del rischio e dagli obiettivi della sicurezza si ricava un piano di trattamento del rischio, basato sui controlli elencati nell'allegato A.

Per una migliore comprensione dei rischi e delle opportunità, leggi l'articolo La valutazione e il trattamento del rischio nella ISO 27001 – 6 passaggi fondamentali. Scopri di più sugli obiettivi di controllo nell'articolo ISO 27001 control objectives – Why are they important? Per maggiori informazioni sulla direzione di un'azienda, leggi l'articolo Aligning information security with the strategic direction of a company according to ISO 27001.

Clausola 7: Supporto – Risorse, competenza dei dipendenti, consapevolezza e comunicazione sono questioni chiave per sostenere la causa. Un altro requisito è la documentazione relativa alle informazioni secondo la ISO 27001. Le informazioni devono essere documentate, create e aggiornate, oltre ad essere controllate. È necessario mantenere un insieme adeguato di documenti per supportare il successo dell'SGSI.

Per ulteriori informazioni su formazione, sensibilizzazione e comunicazione leggi gli articoli articles How to perform training & awareness for ISO 27001 and ISO 22301 e How to create a Communication Plan according to ISO 27001. Ulteriori informazioni sulla gestione dei documenti nell'articolo Document management in ISO 27001 & BS 25999-2.

Clausola 8: Attività – I processi sono obbligatori per implementare la sicurezza delle informazioni. Questi processi devono essere pianificati, implementati e controllati. La valutazione e il trattamento del rischio, che devono essere tenuti in considerazione dall’alta direzione, come abbiamo appreso in precedenza, devono essere messi in atto.

Scopri di più sulla valutazione e il trattamento del rischio negli articoli Valutazione del rischio nella ISO 27001: come abbinare risorse, minacce e vulnerabilità e Come valutare le conseguenze e la probabilità nell’analisi del rischio nella ISO 27001, e in questo Diagram of the ISO 27001:2013 Risk Assessment and Treatment Process.

Clausola 9: Valutazione delle prestazioni – I requisiti della norma ISO 27001 prevedono il monitoraggio, la misurazione, l'analisi e la valutazione del sistema di gestione della sicurezza delle informazioni. Non solo il reparto stesso dovrà controllare il proprio lavoro, ma devono anche essere condotti degli audit interni. A intervalli prestabiliti, l’alta direzione deve riesaminare l'SGSI dell'organizzazione.

Ulteriori informazioni su prestazioni, monitoraggio e misurazione negli articoli Key performance indicators for an ISO 27001 ISMS e How to perform monitoring and measurement in ISO 27001.

Clausola 10: Miglioramento – Il miglioramento fa seguito alla valutazione. Le non conformità devono essere affrontate agendo ed eliminando le cause, quando applicabile. Inoltre, deve essere attuato un processo di miglioramento continuo, anche se il ciclo PDCA (Plan-Do-Check-Act) non è più obbligatorio (maggiori informazioni a riguardo nell'articolo Has the PDCA Cycle been removed from the new ISO standards?). Tuttavia, il ciclo PDCA è spesso consigliato, in quanto offre una struttura solida e soddisfa i requisiti della norma ISO 27001.

Per ulteriori informazioni sul miglioramento della ISO 27001, leggi l'articolo Achieving continual improvement through the use of maturity models.

Allegato A (normativo) Obiettivi di controllo e controlli di riferimento

L'allegato A è un utile elenco di obiettivi di controllo e di controlli di riferimento. A partire dall’A.5 Politiche della sicurezza delle informazioni fino all’A.18 Conformità, l'elenco offre controlli mediante i quali è possibile soddisfare i requisiti della ISO 27001 e da cui la struttura di un SGSI può essere derivata. I controlli, individuati attraverso una valutazione del rischio come sopra descritto, devono essere presi in considerazione e implementati.

Per ulteriori informazioni sull'allegato A, leggere gli articoli Overview of ISO 27001:2013 Annex A e How to structure the documents for ISO 27001 Annex A.

Quali sono i 14 domini della ISO 27001?

Ci sono 14 "domini" elencati nell'allegato A della ISO 27001, organizzati nelle sezioni dalla A.5 alla A.18. Le sezioni trattano quanto segue:

A.5. Politiche della sicurezza delle informazioni: i controlli in questa sezione descrivono come gestire le politiche della sicurezza delle informazioni.

A.6. Organizzazione della sicurezza delle informazioni: i controlli in questa sezione forniscono il quadro di base per l'implementazione e il funzionamento della sicurezza delle informazioni definendone l'organizzazione interna (ad es. ruoli, responsabilità, ecc.) e attraverso gli aspetti organizzativi della sicurezza delle informazioni, come la gestione dei progetti, l’uso di dispositivi mobili e il telelavoro.

A.7. Sicurezza delle risorse umane: i controlli in questa sezione garantiscono che le persone che sono sotto il controllo dell'organizzazione siano assunte, formate e gestite in modo sicuro; vengono altresì affrontati i principi dell'azione disciplinare e della risoluzione dei contratti.

A.8. Gestione delle risorse: i controlli in questa sezione garantiscono che le risorse per la sicurezza delle informazioni (ad es. informazioni, dispositivi di elaborazione, dispositivi di archiviazione, ecc.) siano identificate, che le responsabilità per la loro sicurezza siano designate e che le persone sappiano come gestirle secondo una classificazione di livelli predefinita.

A.9. Controllo degli accessi: i controlli in questa sezione limitano l'accesso alle informazioni e alle risorse informatiche in base alle reali esigenze aziendali. I controlli riguardano sia l'accesso fisico che logico.

A.10. Crittografia: i controlli in questa sezione forniscono la base per un uso corretto delle soluzioni di crittografia per proteggere la riservatezza, l'autenticità e/o l'integrità delle informazioni.

A.11. Sicurezza fisica e ambientale: i controlli in questa sezione impediscono l'accesso non autorizzato alle aree fisiche e proteggono le apparecchiature e le strutture dall'essere compromesse dall'intervento umano o naturale.

A.12. Sicurezza operativa: i controlli in questa sezione garantiscono che i sistemi IT, inclusi i sistemi operativi e i software, siano sicuri e protetti contro la perdita di dati. Inoltre, i controlli in questa sezione richiedono i mezzi per registrare gli eventi e generare evidenze, la verifica periodica delle vulnerabilità e l’adozione di precauzioni per evitare che le attività di audit influiscano sull’operatività.

A.13. Sicurezza delle comunicazioni: i controlli in questa sezione proteggono l'infrastruttura e i servizi di rete, nonché le informazioni che viaggiano attraverso di essi.

A.14. Acquisizione, sviluppo e manutenzione del sistema: i controlli in questa sezione assicurano che la sicurezza delle informazioni sia presa in considerazione quando si acquistano nuovi sistemi informatici o si aggiornano quelli esistenti.

A.15. Rapporti con i fornitori: i controlli in questa sezione assicurano che anche le attività esternalizzate svolte da fornitori e partner utilizzino adeguati controlli di sicurezza delle informazioni e descrivono come monitorare le prestazioni relative alla sicurezza di terze parti.

A.16. Gestione degli incidenti della sicurezza delle informazioni: i controlli in questa sezione forniscono un quadro per garantire la corretta comunicazione e gestione degli eventi e degli incidenti della sicurezza, in modo che possano essere risolti in modo tempestivo; definiscono anche come preservare le evidenze, nonché come imparare dagli incidenti per prevenirne il ripetersi.

A.17. Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa: i controlli in questa sezione garantiscono la continuità della gestione della sicurezza delle informazioni e la disponibilità dei sistemi informativi durante le interruzioni.

A.18. Conformità: i controlli in questa sezione forniscono un quadro per prevenire violazioni di legge, statutarie, normative e contrattuali e verificare se la sicurezza delle informazioni è implementata ed è efficace in conformità alle politiche, le procedure e i requisiti definiti dalla norma ISO 27001.

Uno sguardo più da vicino a questi domini ci mostra che la gestione della sicurezza delle informazioni non riguarda solo la sicurezza informatica (es. firewall, antivirus, ecc.), ma anche la gestione dei processi, la protezione legale, la gestione delle risorse umane, la protezione fisica, ecc.

Quali sono i controlli della ISO 27001?

I controlli della ISO 27001 (anche detti protezioni) sono le pratiche da implementare per ridurre i rischi a livelli accettabili. I controlli possono essere tecnici, organizzativi, legali, fisici, umani, ecc.

Quanti controlli ci sono nella ISO 27001?

L’Allegato della ISO 27001 A elenca 114 controlli organizzati nelle 14 sezioni numerate da A.5 a A.18 sopra elencate.

Come si implementano i controlli nella ISO 27001?

I controlli tecnici sono implementati principalmente nei sistemi informatici, utilizzando componenti software, hardware e firmware che vengono aggiunti al sistema. Ad esempio backup, software antivirus, ecc.

I controlli organizzativi vengono implementati definendo le regole da seguire e il comportamento atteso dagli utenti, le apparecchiature, i software e i sistemi. Ad esempio, la politica di controllo degli accessi, la politica BYOD ecc.

I controlli di legge sono implementati assicurando che le regole e i comportamenti previsti seguano e applichino le leggi, i regolamenti, i contratti e altri strumenti legali simili a cui l'organizzazione deve attenersi. Ad esempio l’accordo di non divulgazione, l’accordo sul livello del servizio, ecc.

I controlli fisici vengono implementati principalmente utilizzando apparecchiature o dispositivi che hanno un'interazione fisica con persone e oggetti. Ad esempio telecamere a circuito chiuso, sistemi di allarme, serrature, ecc.

I controlli relativi alle risorse umane vengono attuati fornendo conoscenze, istruzione, abilità o esperienza alle persone per consentire loro di svolgere le proprie attività in modo sicuro. Ad esempio, i corsi sulla consapevolezza della sicurezza, i corsi per auditor interni ISO 27001, ecc.

Implementazione e certificazione

Documenti obbligatori per la ISO 27001

La ISO 27001 specifica un insieme minimo di politiche, procedure, piani, registrazioni e altre informazioni documentate necessarie per diventare conformi.

La ISO 27001 richiede la redazione dei seguenti documenti:

  • Campo di Applicazione dell’SGSI (punto3)
  • Politica e Obiettivi per la Sicurezza delle Informazioni (punto2 e 6.2)
  • Metodologia di Valutazione e Trattamento del Rischio (punto 6.1.2)
  • Dichiarazione di Applicabilità (punto 6.1.3 d)
  • Piano di Trattamento del Rischio (punto 6.1.3 e 6.2)
  • Rapporto di Valutazione del Rischio (punto 8.2)
  • Definizione di Ruoli e Responsabilità della Sicurezza (controlli A.7.1.2 e A.13.2.4)
  • Inventario delle Risorse (controllo A.8.1.1)
  • Uso Accettabile delle Risorse (controllo A.8.1.3)
  • Politica per il Controllo degli Accessi (controllo A.9.1.1)
  • Procedure Operative per la Gestione Informatica (controllo A.12.1.1)
  • Principi di Ingegneria di un Sistema Sicuro (controllo A.14.2.5)
  • Politica per la Sicurezza dei Fornitori (controllo A.15.1.1)
  • Procedura per la Gestione degli Incidenti (controllo A.16.1.5)
  • Procedure per la Continuità Operativa (controllo A.17.1.2)
  • Requisiti Statutari, Regolamentari e Contrattuali (controllo A.18.1.1)

E queste sono le registrazioni obbligatorie:

  • Registri di formazione, competenze, esperienza e qualifiche (punto 7.2)
  • Risultati del monitoraggio e della misurazione (punto 9.1)
  • Programma di Audit Interno (punto2)
  • Risultati degli audit interni (punto 9.2)
  • Risultati del riesame della direzione (punto 9.3)
  • Risultati delle azioni correttive (punto 10.1)
  • Registri delle attività degli utenti, eccezioni ed eventi relativi alla sicurezza (controlli A.12.4.1 e A.12.4.3)

Naturalmente, un'azienda può decidere di scrivere dei documenti per la sicurezza aggiuntivi, se lo ritiene necessario.

Per una spiegazione più dettagliata di ciascuno di questi documenti, scaricare il libro bianco gratuito Checklist of Mandatory Documentation Required by ISO 27001 (2013 Revision).

Che cos'è la "certificazione ISO 27001"?

Un'azienda può richiedere la certificazione ISO 27001 invitando un ente di certificazione accreditato a svolgere l'audit di certificazione e, se l'audit ha esito positivo, a rilasciare all'azienda il certificato ISO 27001. Questo certificato significherà che l'azienda è pienamente conforme alla norma ISO 27001.

Un individuo può ottenere la certificazione ISO 27001 seguendo un corso sulla ISO 27001 e superandone l'esame. Questo certificato significherà che questa persona durante il corso ha acquisito adeguate competenze.

Per saperne di più sulla certificazione ISO 27001, vedi questo articolo: Come ottenere la certificazione ISO 27001.

ISO 27000 serie di norme

Quali sono le norme ISO 27000?

Poiché definisce i requisiti per un SGSI, la ISO 27001 è la norma principale nella famiglia delle norme ISO 27000. Tuttavia, poiché definisce principalmente ciò che è necessario, ma non specifica come farlo, sono state sviluppate numerose altre norme per la sicurezza delle informazioni per fornire una guida aggiuntiva. Attualmente, ci sono più di 40 norme nella serie ISO27000 e quelle più comunemente usate sono le seguenti:

La ISO/IEC 27000 fornisce termini e definizioni utilizzati nella serie di norme ISO 27000.

La ISO/IEC 27002 fornisce linee guida per l'implementazione dei controlli elencati nell'allegato A della ISO 27001. Può essere molto utile, perché fornisce indicazioni su come implementare questi controlli.

La ISO/IEC 27004 fornisce linee guida per la misurazione della sicurezza delle informazioni – si adatta bene alla ISO 27001, perché spiega come determinare se l’SGSI ha raggiunto i suoi obiettivi.

La ISO/IEC 27005 fornisce linee guida per la gestione dei rischi per la sicurezza delle informazioni. È un ottimo supplemento alla ISO 27001, perché fornisce indicazioni su come eseguire la valutazione e il trattamento del rischio, probabilmente la fase più difficile dell'implementazione.

La ISO/IEC 27017 fornisce linee guida per la sicurezza delle informazioni negli ambienti cloud.

La ISO/IEC 27018 fornisce linee guida per la protezione della privacy negli ambienti cloud.

La ISO/IEC 27031 fornisce linee guida su cosa considerare quando si sviluppa la continuità aziendale per le tecnologie dell'informazione e della comunicazione.  Questa norma è un ottimo collegamento tra la sicurezza delle informazioni e le pratiche relative alla continuità aziendale.

Qual è la versione corrente della ISO 27001?

Alla data di pubblicazione di questo articolo, la versione corrente della ISO 27001 è la ISO/IEC 27001:2013.

La prima versione della ISO 27001 è stata emessa nel 2005 (ISO/IEC 27001:2005), la seconda versione nel 2013 e la norma è stata revisionata l'ultima volta nel 2019, quando è stata confermata la versione 2013 (cioè non sono state considerate necessarie modifiche).

È importante notare che i diversi paesi membri dell'ISO possono tradurre la norma nella propria lingua, apportando piccole aggiunte (ad es. introduzioni nazionali) che non influiscono sul contenuto della versione internazionale della norma. Queste "versioni" hanno lettere aggiuntive per differenziarle dalla norma internazionale, ad esempio, la NBR ISO/IEC 27001 designa la "versione brasiliana", mentre la BS ISO/IEC 27001 è la "versione britannica". Queste versioni locali della norma contengono anche l'anno in cui sono state adottate dall'ente di standardizzazione locale, quindi l'ultima versione britannica è la BS EN ISO/IEC 27001:2017, il che significa che la ISO/IEC 27001:2013 è stata adottata dal British Standards Institution nel 2017.

Qual è la differenza tra ISO 27001 e 27002?

La ISO 27001 definisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), mentre la ISO 27002 fornisce una guida sull'implementazione dei controlli dell’Allegato A della ISO 27001.

In altre parole, per ogni controllo, la ISO 27001 fornisce solo una breve descrizione, mentre la ISO 27002 fornisce una guida dettagliata.

Qual è la differenza tra NIST e ISO 27001?

Sebbene la ISO 27001 sia una norma internazionale, la NIST è un'agenzia governativa statunitense che promuove e mantiene le norme di misurazione negli Stati Uniti, tra cui la serie SP 800, un insieme di documenti che specifica le migliori pratiche per la sicurezza delle informazioni.

Sebbene non siano la stessa cosa, la serie NIST SP 800 e la ISO 27001 possono essere utilizzate insieme per l'implementazione della sicurezza delle informazioni.

La ISO 27001 è obbligatoria?

Nella maggior parte dei paesi, l'implementazione della ISO 27001 non è obbligatoria. Tuttavia, alcuni paesi hanno pubblicato regolamenti che richiedono ad alcuni settori di implementare la ISO 27001.

Per determinare se la ISO 27001 sia obbligatoria o meno per la tua azienda, dovresti cercare una consulenza legale esperta nel paese in cui operi.

La ISO 27001 è un requisito di legge?

Le organizzazioni pubbliche e private possono definire la conformità alla ISO 27001 come requisito di legge nei loro contratti e accordi di servizio con i loro fornitori. Inoltre, come accennato in precedenza, i paesi possono definire leggi o regolamenti trasformando l'adozione della ISO 27001 in un requisito di legge che deve essere soddisfatto dalle organizzazioni che operano nel loro territorio.

Per saperne di più riguardo al Il GDPR dell’UE e perché si applica al mondo intero, leggi questo articolo.

Advisera Dejan Kosutic
Autore
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.