ISO/IEC 27000, Gestione della Sicurezza delle Informazioni
...vi spiego di che cosa si tratta
La Serie ISO/IEC 27000 (anche nota come "ISMS Family of Standards" o "ISO27k") comprende gli standard per la sicurezza delle informazioni pubblicati in maniera congiunta dalla International Organization for Standardization (ISO) e la International Electrotechnical Commission (IEC).
La serie fornisce le migliori (best practice) raccomandazioni sulla gestione della sicurezza delle informazioni, i rischi e controlli all'interno di un Sistema di Gestione della Sicurezza delle Informazioni [Information Security Management Systems (ISMS)], in maniera analoga a quanto per i sistemi di gestione della qualità supportati dalla serie ISO 9000 o per la protezione ambientale che fa riferimento alla serie ISO 14000.
La serie è volutamente di ampia portata, per ricoprire non solo aspetti di privacy, ma anche di confidenzialità e aspetti di sicurezza tecnica o IT. E' applicabile alle organizzazioni di qualsiasi dimensione o struttura, che sono incoraggiate a valutare i propri rischi di sicurezza, e ad implementare gli appropriati controlli di sicurezza che possano soddisfare le loro necessità, attraverso l'utilizzo delle linee guida e dei suggerimenti lì dove opportuno. Data la natura dinamica della sicurezza delle informazioni, il concetto di ISMS incorpora attività di miglioramento continuo, riassunte dall'approccio di Deming nel Ciclo "plan-do-check-act", che indirizza i cambiamenti nelle minacce, vulnerabilità o impatti degli incidenti di sicurezza relativi alle informazioni.
La famiglia / serie della 27000
Attualmente sono stati rilasciati i seguenti standard della serie, mentre gli altri sono ancora in fase di sviluppo:
-
ISO/IEC 27001 - standard per la definizione, l'implementazione, il controllo ed il miglioramento dell' Information Security Management System (basato sul British Standard BS 7799 Part 2, prima della pubblicazione della ISO/IEC in 2005)
-
ISO/IEC 27002 - code of practice fornisce le linee guida sul ISMS (precedentemente noto come ISO 17799 anch'esso basato sul British Standard BS 7799 Part 1, ultima revisione nel 2005 e rinumerato ISO/IEC 27002:2005 nel luglio del 2007.
-
ISO/IEC 27003 - Information technology -- Security techniques -- Information security management system implementation guidance
-
ISO/IEC 27004 - Information technology -- Security techniques -- Information security management -- Measurement
-
ISO/IEC 27005 - sviluppato per supportare l'implementazione della sicurezza delle informazioni basata su un approccio alla gestione dei rischi (risk management) pubblicato nel 2008.
-
ISO/IEC 27006 - una guida al processo di certificazione/registrazione (pubblicato nel 2007).
-
ISO/IEC 27011 - Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
-
ISO/IEC 27013 - Information technology -- Security techniques -- Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
-
ISO/IEC TR 27015 - Information technology -- Security techniques -- Information security management guidelines for financial services
