ISO/IEC 27001: perché certificarsi? È obbligatoria se i miei clienti sono PA?


Lo standard ISO/IEC 27001 (Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall'inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

La versione più recente della norma è la UNI CEI EN ISO/IEC 27001:2017 (pubblicata il 30 marzo 2017), che non è altro che la versione 2013 con due Corrigendum (emessi dall’ISO nel 2014 e 2015):

  1. requisito A.8.1.1: l'inventario, la classificazione e trattamento degli "asset" riguarda ora anche le “informazioni” cui gli asset sono associati.
  2. requisito 6.1.3: la Dichiarazione di Applicabilità deve specificare se sono implementati o meno i “controlli necessari”, e non solo i controlli riferiti all'Annex A.

Non essendo stati introdotti nuovi requisiti, la norma ISO resta in edizione 2013, per cui l’unico impatto sui certificati emessi si potrà avere sul riferimento normativo nazionale in essi riportato.

 

ISO/IEC 27001: overview

La Norma è stata redatta e pubblicata nell'ottobre 2005 (la versione italiana UNI è del 2006) a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione ha sostituito la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Il nuovo standard ha assorbito entrambe le parti: la linea guida è stata recepita dall'ISO come ISO 17799 (Information Technology -Security Techniques - Code of practice for information security management), mentre la seconda parte, lo standard vero e proprio, è stato emesso nell'ottobre 2005 come ISO 27001. Nel 2007 anche il documento ISO 17799 è stato ritirato e sostituito dalla norma ISO 27002, meglio coordinata con la ISO 27001 e parte della serie 27000 che comprende oggi svariati altri documenti correlati al tema della sicurezza delle informazioni.

La norma ISO 27002:2007 è una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative; ISO 27001:2005 è il documento normativo di certificazione al quale l'organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002:2007 non è certificabile in quanto è una semplice raccolta di raccomandazioni.


Le estensioni: ISO/IEC 27017 e ISO/IEC 27018

Nascono rispettivamente nel 2015 e nel 2019 le linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2019:

  • - ISO/IEC 27017 è una linea guida che definisce controlli avanzati sia per fornitori, sia per i clienti di servizi cloud. Chiarisce ruoli e responsabilità dei diversi attori in ambito cloud con l’obiettivo di garantire che i dati conservati in cloud computing siano sicuri e protetti.
  • - ISO/IEC 27018 Codice di condotta per la protezione delle PII (Personally Identifiable information) nei servizi di public cloud per i cloud provider- è una linea guida per i fornitori di servizi cloud pubblici che vogliono migliorare la gestione dei dati personali. L’obiettivo di questo standard è quello di fornire una modalità strutturata, basata sul privacy by design, per far fronte alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.


Gli obiettivi

La norma specifica i requisiti per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell'organizzazione. Inoltre essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell'informazione adatti alle esigenze dell'organizzazione. I requisiti presenti nella norma sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura.

Scopo dello standard è quello di proteggere i dati e le informazioni da una vasta gamma di minacce (accesso non autorizzato, distruzione e furto dati, interruzione di servizio, virus informatici) al fine di assicurare la continuità dell’attività aziendale. Avere un corretto sistema di gestione della sicurezza delle informazioni significa dotarsi di tutte le misure di sicurezza, assicurando i dati in termini di riservatezza, integrità e disponibilità.

  • - Riservatezza: affinché tutte le informazioni siano accessibili solo alle persone autorizzate
  • - Integrità: per prevenire le modifiche indebite, accidentali o fraudolente alle informazioni
  • - Disponibilità: per assicurare che gli utenti possano accedere ai dati sulla base dei propri profili specifici di abilitazione in tempi congruenti con le proprie esigenze operative.


I benefici della certificazione volontaria

La norma ISO 27001 è una norma volontaria, ciò significa che ogni organizzazione può scegliere se intraprendere un percorso di certificazione o meno.

I benefici che ne scaturirebbero sono, fra gli altri:

Aumento della fiducia dei
clienti
Consentirà al mercato di percepire in maniera ancora più accentuata l’impegno aziendale nella sicurezza dei dati e delle informazioni, incrementando conseguentemente la fiducia dei clienti nei confronti dell’azienda quale soggetto in grado di trattare in modo appropriato i dati affidati all'organizzazione.
Proteggere e migliorare la reputazioneGli attacchi informatici stanno aumentando ogni giorno per volume e forza, e i danni finanziari e di immagine causati da una scarsa sicurezza delle informazioni possono essere fatali.

L’implementazione di un ISMS certificato ISO 27001 aiuta a proteggere la tua organizzazione da tali minacce e dimostra che hai adottato le misure necessarie per proteggere la tua attività.

Rispettare i requisiti aziendali, legali, contrattuali e normativiLo Standard è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati, che contribuiscono a proteggere le informazioni in linea con i requisiti normativi, come il Regolamento generale sulla protezione dei dati (GDPR) e le altre leggi sulla sicurezza delle informazioni.
Bandi di garaRimuoverà l'ostacolo alla partecipazione a bandi di gara privati ed in particolare pubblici, per i quali un riferimento a standard di sicurezza internazionali rappresenta un vincolo per l'acquisizione di forniture da terzi.
Evitare sanzioni e perdite associate alle violazioni dei dati “data breach”Secondo uno studio condotto da Ponemon, il costo medio globale di una violazione dei dati è stimato attorno ai 3,86 milioni di dollari (3,23 milioni di euro), aumentato del 6,4% rispetto al 2017.

Come standard internazionalmente riconosciuto per la gestione efficace delle risorse informative, ISO 27001 consente alle organizzazioni di evitare perdite potenzialmente devastanti causate da violazioni dei dati.

Polizze assicurativeDeterminerà un risparmio sui premi di assicurazione per le polizze relative agli incidenti informatici.
Ottenere un giudizio indipendente sul proprio stato di sicurezzaLa certificazione ISO 27001 richiede l’esecuzione di revisioni periodiche e audit interni dell’ISMS, per garantirne un miglioramento continuo. Un revisore esterno esaminerà l’ISMS a intervalli specifici, per stabilire se i controlli funzionano come previsto. Con questa valutazione indipendente, si ottiene l’opinione di un esperto in merito al corretto funzionamento dell’ISMS, e si fornisce anche il livello di sicurezza necessario per proteggere le informazioni dell’organizzazione.


ISO 27001 e Pubblica Amministrazione: la certificazione è obbligatoria?

Premesso che lo standard ISO 27001 è, per definizione, una legge non cogente, è ormai indubbio che la direzione della Pubblica Amministrazione sia quella di orientarsi verso fornitori che siano in grado di garantire determinati livelli di sicurezza.


Fornitori di servizi cloud: il Marketplace

Tra le linee d’azione del Piano Triennale per l’Informatica nella Pubblica Amministrazione 2017 - 2019, approvato con DPCM del 31 maggio 2017, nell’ambito della strategia di evoluzione del modello Cloud della PA, è prevista la definizione di regole e procedure per la qualificazione di Cloud Service Provider (CSP) pubblici. L’Agenzia per l’Italia Digitale in data 09 Aprile 2018 ha emesso due Circolari operative, una, la numero 2, per la qualificazione dei CSP per la PA (servizi IaaS e PaaS) e l’altra, la numero 3, per la qualificazione di servizi SaaS per il Cloud della PA.

Il Fornitore Cloud può trasmettere la richiesta di qualificazione direttamente oppure tramite soggetti terzi (ossia una società che opera in Italia in qualità di rappresentante, distributore commerciale, ecc.). In questi casi il soggetto richiedente assume il ruolo di “partner” del fornitore. La piattaforma richiede al soggetto partner di produrre un opportuno atto di delega che lo autorizzi ad agire in nome e per conto del fornitore ai sensi della normativa vigente. Tutti i servizi qualificati da AgID saranno pubblicati all’interno del “Catalogo dei servizi Cloud per la PA qualificati”

Fra i requisiti richiesti per poter comparire fra i fornitori qualificati sul Marketplace, è necessario dichiarare di essere in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. La certificazione deve essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea.

L’obiettivo è quello, appunto, di dimostrare di essere in grado di erogare i servizi proposti dal punto di vista tecnologico, rispettando i requisiti specifici concernenti sicurezza, privacy e protezione dei dati.


Non solo cloud: approvvigionamento di beni e servizi informatici per le PA

Il 20 maggio scorso, AgID ha pubblicato le indicazioni tecnico-amministrative per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici delle pubbliche amministrazioni, la rispondenza di questi ad adeguati livelli di sicurezza.

Tale documento elenca le caratteristiche che devono avere i contratti ICT ed i relativi fornitori.

Per contratti ICT si intendono:

  • - contratti di sviluppo, realizzazione e manutenzione evolutiva di applicazioni informatiche;
  • - contratti di acquisizione di prodotti (hardware o software);
  • - contratti per attività di operation e conduzione;
  • - contratti per servizi diversi da a) e c) (es. supporto, consulenza, formazione, help desk, …);
  • - contratti per forniture miste, combinazioni delle precedenti tipologie.

Uno dei requisiti specificati per il fornitore è "R2. Il fornitore deve possedere la certificazione ISO /IEC 27001 e mantenerla per tutta la durata della fornitura". Chiunque voglia lavorare con le Pubbliche Amministrazioni, quindi, dovrà necessariamente provvedere alla certificazione.

Questo punto rappresenta un ulteriore passo avanti, poiché non si applica solo a servizi in cloud ma a tutti i servizi ICT, compresi consulenza e formazione.

 

I nostri servizi a supporto

 

I nostri strumenti a supporto

Gestione adempimenti Regolamento Europeo 679/2016 (GDPR)
Scopri di più >
Analisi dei rischi e sicurezza della informazioni ai sensi della ISO/IEC 27001:2013
Scopri di più >
CORA GDPR e CORA 27001 sono moduli della soluzione software GRC CORA, che permette di gestire la compliance a diverse normative con un unico strumento.
Scopri di più >