Lo Standard ISO IEC 27001:2017 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell’informazione (Information Security Management System – ISMS).

Tale standard è diretto soprattutto alle Aziende che trattano informazioni proprie o di terzi, la cui protezione rappresenta un aspetto di particolare rilevanza (es. banche, strutture sanitarie, società archiviazione di dati, archivi, software house, ecc.). 

Lo scopo dello standard è di proteggere le informazioni aziendali, assicurandone la confidenzialità, integrità e disponibilità. Tale protezione viene garantita attraverso l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni basato sul modello di miglioramento continuo.

Il processo di implementazione di un Sistema di gestione per la sicurezza delle informazioni prevede i seguenti passaggi fondamentali:

• l’analisi del contesto e la valutazione della rilevanza degli stakeholders;
• la definizione degli asset da tutelare;
• la valutazione dei rischi coerentemente al contesto di riferimento;
• l’aspetto organizzativo della Sicurezza delle Informazioni;
• la definizione dei controlli da implementare.

I 114 controlli richiamati nell’Annex A della norma di riferimento riguardano tra l’altro:

• la politica e l’organizzazione per la sicurezza delle informazioni;
• la sicurezza delle risorse umane;
• la gestione degli asset;
• il controllo degli accessi logici;
• la crittografia;
• la sicurezza fisica e ambientale;
• la sicurezza delle attività operative;
• la sicurezza delle comunicazioni;
• la gestione della sicurezza applicativa;
• la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni;
• il trattamento degli incidenti per la sicurezza delle informazioni;
• la gestione della Business Continuity;
• il rispetto normativo.

Alcuni dei vantaggi derivanti dall’adozione di un sistema di gestione ISO 27001:

• Definire ruoli e responsabilità in associazione ai processi gestiti nell’ambito del SGSI;
• Garantire ai propri clienti una gestione attenta e documentabile della gestione delle informazioni;
• Ridurre i rischi di interruzione della continuità operativa dei processi;
• Dimostrare con imparzialità l’osservanza delle leggi e normative applicabili;
• Monitorare costantemente le prestazioni aziendali e attivare le azioni di miglioramento necessarie.

La SIMART S.r.l. eroga i servizi di progettazione, implementazione, auditing di Sistemi di gestione per la sicurezza delle informazioni e l’eventuale integrazione con altri sistemi di gestione.