Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza delle Informazioni (Information Security Management System - ISMS).

Caratteristiche

Lo standard è stato creato e pubblicato nell'ottobre 2005 a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza delle informazioni: con la sua pubblicazione ha sostituito la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Il nuovo standard ha assorbito entrambe le parti: la linea guida è diventata ISO 17799:1 (Information Technology -Security Techniques - Code of practice for information security management), mentre la seconda parte, lo standard vero e proprio, è divenuto nell'ottobre 2005 ISO 27001:05. Volendo essere più precisi, ISO 177991 prescrive la conservazione e la difesa delle risorse informative di un'impresa; ISO 27001:05 è il documento normativo di certificazione al quale un'azienda deve fare riferimento.

Dal momento che l'informazione è un bene che aggiunge valore all'azienda, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L'obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni finalizzato ad una corretta gestione dei dati sensibili dell'azienda.

La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.

L'impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 ed il Risk Management, basandosi sull'approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell'ottica del miglioramento continuo.

Controlli

Di fondamentale importanza è l'Annex A "Control objectives and controls" che contiene i 133 "controlli" a cui, l'organizzazione che intende applicare la norma, deve attenersi.

Essi vanno dalla politica e l'organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell'operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni).

La gestione della Business Continuity e il rispetto normativo, completano l'elenco degli obiettivi di controllo.

L'organizzazione deve motivare quali di questi controlli non sono applicabili all'interno del suo ISMS, per esempio un'organizzazione che non attua al suo interno 'commercio elettronico' può dichiarare non applicabili i controlli 1-2-3 del A.10.9 che si riferiscono appunto all'e-commerce.

Privacy-Safety

La conformità alla ISO 27001, pur accreditata da un organismo autorizzato, non solleva l'organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy; il controllo A.15.1.4 richiede infatti che "La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali".

La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali, sensibili,... dei cittadini, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s'interessa anche, se non principalmente, dei dati di business dell'organizzazione che devono essere salvaguardati per l'interesse stesso dell'organizzazione.

Il D.Lgs. 81/2008, che in Italia regolamenta la sicurezza sui luoghi di lavoro, viene in genere individuato tra quelle normative la cui osservanza deve essere esplicitamente definita e documentata, come previsto nel controllo A.15.1.1 che parla appunto della legislazione applicabile.

Vale la pena di ricordare, a mo' di esempio, che un impianto anti-incendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che contengono informazioni incluse nel dominioo di certificazione che soddisfi i requisiti di legge, non è automaticamente ok per l'esigenze che esprime la norma ISO 27001, che si preoccupa anche della "salvezza" dei "dati" contenuti nei server e nei client, cosa non automaticamente garantita da un sistema anti-incendio conforme alle leggi dello stato.