La ISO/IEC 27001 come misura di accountability

L’applicazione di un sistema di gestione basato sulla ISO/IEC 27001 implica:

  • l’impegno della direzione è fondamentale per orientare tutte le attività verso l’obiettivo della sicurezza dei dati; senza tale sostegno gli investimenti di sicurezza sono destinati a fallire o per lo meno a non raggiungere gli obiettivi prefissi oggetto di investimento da parte della Direzione;
  • Il contesto in cui opera un’organizzazione è dinamico e costantemente sollecitato da elementi interni ed esterni; un sistema di gestione delle informazioni orienta a tale approccio in modo decisamente più marcato di quanto non faccia il GDPR, che è meno sensibile a come l’organizzazione tiene conto della componente di evoluzione;
  • un piano sulla sicurezza delle informazioni deve basarsi sui processi e sulle persone, con la consapevolezza che un approccio esclusivamente tecnologico non è in grado di offrire una protezione soddisfacente;
  • la sicurezza dei dati è minata principalmente da processi non adeguati e personale non consapevole, la ISO/IEC 27001 mette processi e persone al centro dei controlli, e richiede che questi siano visti come un insieme organico e non come una somma di elementi che rischia di diventare ridondante e disfunzionale.

 

Alla luce di tali elementi si può affermare che tutte le misure che sono richieste da un sistema di gestione della sicurezza delle informazioni sono altrettante misure di accountability.

Tutte le organizzazioni che possono soddisfare i requisiti ed i controlli della ISO/IEC 27001 possono richiedere la certificazione ad un ente accreditato che, a fronte di un regolamento, condurrà un piano di audit finalizzato al rilascio, laddove ve ne siano le condizioni, della certificazione.

L’art. 32 del GDPRSicurezza del trattamento “, al paragrafo 2 richiede

“[…] Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

In altri termini richiede che siano applicate le stesse misure che prevede la ISO/IEC 27001 per garantire la riservatezza, integrità e disponibilità dei dati.

Inoltre, l’art. 32 a fronte delle misure tecniche ed organizzative non fornisce indicazioni dettagliate su quali misure mettere in atto (tranne che alcune indicazioni nel paragrafo 1) e come metterle in atto.

Il GDPR orienta le aziende a considerare le migliori pratiche e raccomandazioni esistenti, come la ISO/IEC 27001, per ridurre al minimo il rischio di violazione dei dati.

Inoltre, anche la ISO/IEC 27001 considera sia misure tecniche che organizzative, e non richiede un approccio orientato esclusivamente alla tecnologia.

Dato che la ISO/IEC 27001 è entrata in vigore anni prima del GDPR ed inoltre ha valenza mondiale, essa non è stata concepita per soddisfare le richieste del Regolamento; a questo risponde la ISO/IEC 27701:2019Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”.

Tale norma specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione dei dati personali, basato sulla ISO/IEC 27001, ma che la estende, richiedendo che siano implementati ulteriori requisiti e controlli specifici per la protezione dei dati personali.

Tale strumento di fatto colma le differenze evidenziate fornendo, anche attraverso la componente di linea guida (parte integrante nel documento stesso) significative misure a tutela dei dati personali.

 

Noi di Compet-e abbiamo sviluppato la compliance suite GRC CORA, ci teniamo affinché le vostre realtà possano dimostrare la propria accountability.

CORA CyberSec è il modulo di GRC CORA pensato per consentire alle aziende di supportare le attività di adeguamento e certificazione correlati al mondo della Sicurezza delle Informazioni (ISO/IEC 27001:2013).
Mantieni il registro dei processi / servizi, effettua la BIA e gestisci le SOA.

Per avere informazioni visita il sito di GRC CORA, oppure scrivici qui.

 

Condividi