Sistema di gestione per la sicurezza delle informazioni - ISO 27001

ISO/IEC 27001:2005 è uno standard internazionale che definisce un Sistema di Gestione della Sicurezza Informatica (ISMS) pubblicato dall’Organizzazione Internazionale per la Standardizzazione (ISO) e dalla Commissione Internazionale Elettrotecnica (IEC).

In un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento, l'obiettivo dello standard ISO 27001:2005 è quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell'Azienda.
L’ufficialità della specifica impone l’obbligo di conformità a richieste esplicite. Le organizzazioni che adottano ISO/IEC 27001:2005 devono quindi essere ispezionate da enti esterni e certificate ufficialmente.


ISO/IEC 27001 richiede che il management:

  • Esamini sistematicamente i rischi alla sicurezza dei dati dell’organizzazione, valutando le minacce, le vulnerabilità e i possibili rischi;
  • Progetti e implementi un sistema completo e coerente di controlli di sicurezza informatica o altre forme di elaborazione dei rischi;
  • Adotti un processo di gestione per verificare che i controlli di sicurezza informatica siano continuamente rispondenti alle necessità dell’Azienda.

La ISO 27001:2005 presenta elementi in comune con la ISO 9001 che definisce i requisiti di un Sistema di gestione per la Qualità; le norme adottano il medesimo approccio per processi e il modello PDCA (Plan-Do-Check-Act) per il miglioramento continuo. Ciò permette all'Azienda di integrare in un unico sistema di gestione la qualità e la sicurezza.