Standard per la sicurezza delle informazioni - una panoramica

CONTENUTO

• Standard di sicurezza delle informazioni - un elenco generale
• La certificazione è un vantaggio competitivo
• Dieci norme ISO sulla sicurezza delle informazioni che dovreste conoscere
• Altri argomenti della famiglia di norme ISO 2700x
• DQS - Cosa possiamo fare per voi

Norme per la sicurezza delle informazioni: La famiglia di norme ISO 27000

I singoli standard per la sicurezza delle informazioni nella serie ISO 27000 trattano diversi argomenti nell'area della sicurezza delle informazioni. Per esempio, la norma internazionale ISO 27001 specifica un sistema di gestione della sicurezza delle informazioni (ISMS), la ISO 27701 un sistema di gestione della protezione dei dati, la ISO 27017 fornisce una guida sulle misure di sicurezza delle informazioni per il cloud computing, e la ISO 27005 fornisce linee guida per la gestione del rischio di sicurezza delle informazioni.

Le aziende di tutti i settori possono beneficiare dell'approccio sistematicamente strutturato di queste norme per la sicurezza delle informazioni, che permette di proteggere i dati confidenziali contro la perdita e l'abuso, e aiuta a identificare e ridurre in modo affidabile le minacce (potenziali). L'approccio aiuta a garantire la disponibilità dei sistemi IT aziendali, contribuendo così all'ottimizzazione dei processi aziendali, ai costi IT e di processo e alla minimizzazione dei rischi aziendali e di responsabilità.

La certificazione è un vantaggio competitivo

La certificazione ISO 27001, per esempio da parte di DQS, richiede una certa quantità di preparazione e impegno. Tuttavia, l'azienda fornisce la prova documentata che rispetta i requisiti di sicurezza delle informazioni e implementa misure per proteggere i dati aziendali sensibili. Questo è un chiaro vantaggio competitivo.

Dieci norme ISO sulla sicurezza delle informazioni che dovreste conoscere

L'elenco che segue fornisce una panoramica informativa sullo stato attuale della serie di norme ISO 27000 sulla sicurezza delle informazioni. Tutti gli standard sono disponibili per l'acquisto dal sito web ISO.

ISO 27001 - Requisiti per i sistemi di gestione della sicurezza delle informazioni

In tempi in cui i dati e le informazioni sono scambiati come merce rara, la loro protezione è essenziale. Una base ottimale per l'implementazione efficace di una strategia di sicurezza olistica è fornita da un sistema di gestione della sicurezza delle informazioni (ISMS) ben strutturato secondo la norma ISO 27001. Questa è riconosciuta a livello internazionale per la sicurezza delle informazioni in organizzazioni private, pubbliche o non-profit, che non copre solo gli aspetti della sicurezza informatica.

Una ISO 27001 ISMS definisce requisiti, regole e metodi per garantire la sicurezza delle informazioni che richiedono protezione nelle organizzazioni. Lo standard ISO fornisce un modello per stabilire, implementare, monitorare e migliorare il livello di protezione. L'obiettivo è quello di identificare i rischi potenziali per l'azienda, analizzarli e renderli controllabili attraverso misure appropriate. La ISO 27001 formula i requisiti per un tale sistema di gestione, che sono verificati come parte di un processo di certificazione esterna.

È possibile raggiungere questo obiettivo con lo standard:

• Rendere la sicurezza delle informazioni sensibili parte integrante dei processi aziendali.
• Salvaguardia preventiva degli obiettivi di protezione riservatezza, disponibilità e integrità delle informazioni.
• Mantenimento della continuità del business attraverso il miglioramento continuo del livello di sicurezza.
• Sensibilizzazione dei dipendenti e aumento significativo della consapevolezza della sicurezza a tutti i livelli dell'azienda.
• Creazione di fiducia con le parti interessate.
• Istituzione di un efficace processo di gestione del rischio.

ISO 27019 - Misure di sicurezza delle informazioni per la fornitura di energia.

Lo standard di sicurezza delle informazioni ISO 27019 formula misure complementari per il settore dell'industria energetica.

Questo standard vi aiuta a rendere sicuri i vostri sistemi elettronici di controllo dei processi utilizzati per controllare e monitorare la produzione, la trasmissione, lo stoccaggio e la distribuzione di energia elettrica, gas, petrolio e calore, e per controllare i relativi processi di supporto.

Cosa si può fare con questo standard:

• Assicurare sistematicamente gli obiettivi di protezione di riservatezza, disponibilità, integrità delle informazioni.
• Migliorare continuamente il livello di sicurezza e la resistenza all'accesso non autorizzato.
• Ottenere una maggiore sicurezza d'azione e certezza legale, migliorare l'aderenza ai requisiti di conformità pertinenti.
• Aumentare la consapevolezza della sicurezza tra i dipendenti e i manager.
• Raggiungere un alto livello di fiducia e lealtà tra tutte le parti interessate.
• Dimostrare una prova riconosciuta dell'efficacia delle vostre misure di sicurezza alle autorità, come l'Agenzia federale tedesca delle reti (BNetzA).

ISO 27006 - Requisiti per gli enti di certificazione

La norma ISO 27006 si rivolge a enti come DQS che eseguono certificazioni di sistemi di gestione della sicurezza delle informazioni. Lo standard di accreditamento ISO 27006 descrive i requisiti che gli enti di certificazione devono seguire nel valutare i sistemi di gestione dei loro clienti secondo ISO 27001 per la certificazione.

Ciò include ad esempio la prova di sforzi di audit specifici o specifiche sulle qualifiche degli auditor. I processi di accreditamento delineati nella norma garantiscono che i certificati ISO 27001 rilasciati dagli organismi di certificazione accreditati abbiano validità internazionale.

Cosa si può ottenere con questo standard:

• Criteri uniformi per le procedure di audit di certificazione, sorveglianza e ricertificazione
• Garanzia della validità dei certificati ISO 27001
• Garanzia dei requisiti minimi per lo sforzo di audit e la qualificazione del personale che calcola ed esegue le procedure di certificazione

ISO 27002 - Guida ai controlli di sicurezza delle informazioni

Il sistema di gestione della sicurezza delle informazioni (ISMS) secondo la norma ISO 27001 contiene un allegato normativo A: Obiettivi di controllo e controlli di riferimento. Questo allegato contiene misure specifiche da implementare come parte del sistema di gestione, in quanto rilevanti per l'organizzazione. La ISO 27002 è una linea guida con raccomandazioni per l'implementazione delle misure della ISO 27001. 

La linea guida è stata completamente rivista e aggiornata all'inizio del 2022. La nuova edizione fornisce ai responsabili della sicurezza delle informazioni una guida precisa per l'attuazione per garantire che non venga trascurata nessuna misura importante per affrontare i rischi legati alla sicurezza delle informazioni.

Questo allegato contiene misure specifiche da implementare come parte del sistema di gestione, come rilevante per l'organizzazione. ISO 27002 è una guida con raccomandazioni per l'implementazione delle misure di ISO 27001.

È possibile farlo con lo standard:

• Supporto per l'implementazione della ISO 27001
• Attuare le raccomandazioni per le misure dell'allegato A di ISO 27001

ISO 27000 - Panoramica e vocabolario dei sistemi di gestione della sicurezza delle informazioni

La ISO 27000 contiene termini e definizioni che sono usati nella serie di norme ISO 27000. La ISO 27000 fornisce una panoramica dei sistemi di gestione della sicurezza delle informazioni e la serie di norme ISO 27000 con i relativi standard di sicurezza delle informazioni.

In un glossario, i termini (tecnici) sono definiti in modo esplicito e formale.

Cosa si può fare con questa norma:

• Glossario: copertura della maggior parte dei termini tecnici utilizzati nella serie di norme ISO27000 nel campo della sicurezza delle informazioni.
• Chiarezza sulla terminologia
• Chiara comprensione del vocabolario tra valutatori e valutati ("un linguaggio comune")
• Panoramica sui sistemi di gestione della sicurezza delle informazioni: introduzione alla sicurezza delle informazioni, gestione dei rischi e della sicurezza e sistemi di gestione

ISO 27701 - Guida alla gestione della protezione dei dati

Lo standard per la sicurezza delle informazioni specificamente legato alla privacy dei dati ISO 27701 specifica un sistema di gestione della protezione dei dati basato sulla ISO 27001, sulla ISO 27002 (controlli di sicurezza delle informazioni) e sulla ISO 29100 (quadro della privacy dei dati) per affrontare in modo appropriato sia il trattamento dei dati personali che la sicurezza delle informazioni. Questo si applica sia ai controllori che agli elaboratori di dati personali.

Come si può avere successo con questo standard:

• Migliore gestione dei dati personali e della sicurezza delle informazioni
• Applicazione più semplice dei principi comuni di gestione del rischio delle informazioni ai dati personali
• Allineare ed estendere i controlli all'interno della ISO 27001 e della relativa ISO 27002

ISO 27017 - Guida alle misure di sicurezza delle informazioni nei servizi cloud

Lo standard ISO 27017 fornisce una guida alle misure di sicurezza delle informazioni nel cloud computing all'interno degli standard per la sicurezza delle informazioni.

Raccomanda, supporta e fornisce misure aggiuntive per l'implementazione di controlli di sicurezza delle informazioni specifici per il cloud.

Cosa si può ottenere con questo standard:

• Comprendere gli aspetti di sicurezza delle informazioni del cloud computing.
• Progettare e implementare controlli di sicurezza delle informazioni specifici per il cloud
• Controllo sulle opzioni per selezionare, implementare e gestire la sicurezza delle informazioni per il cloud computing

ISO 27018 - Guida alla protezione dei dati nei servizi cloud.

Lo standard ISO 27018 fornisce una guida per assicurare che i fornitori di servizi cloud offrano adeguati controlli di sicurezza delle informazioni per proteggere la privacy dei loro clienti, mettendo al sicuro i dati personali loro affidati.

Questo standard è seguito dalla ISO 27017 (Misure di sicurezza delle informazioni nei servizi cloud), che copre altri aspetti della sicurezza delle informazioni del cloud computing oltre alla protezione dei dati.

Ecco cosa si può fare con lo standard:

• Selezionare i controlli di protezione delle PII come parte dell'implementazione di un sistema di gestione della sicurezza delle informazioni del cloud computing basato su ISO 27001.
• Implementare i controlli di protezione delle PII comunemente accettati.
• Approfondire la conoscenza in quanto lo standard è basato su ISO 27002 ed espande i suoi consigli generali in alcune aree
• Collegare i principi di privacy dell'OCSE incorporati in diverse leggi e regolamenti sulla protezione dei dati

ISO 27005 - Guida alla gestione dei rischi per la sicurezza delle informazioni.

Lo standard ISO 27005 fornisce una guida alla gestione del rischio per la sicurezza delle informazioni e supporta i concetti generali su questo argomento definiti nella ISO 27001.

La ISO 27005 ha anche lo scopo di sostenere l'implementazione della sicurezza delle informazioni basata su un concetto di gestione del rischio.

Con tale norma è possibile:

• Implementare la sicurezza delle informazioni sulla base di un approccio di gestione del rischio.
• Definizione del contesto di gestione del rischio.
• Valutazione quantitativa o qualitativa (cioè identificazione, analisi e valutazione) dei rischi informativi rilevanti.
• Monitoraggio e revisione continua dei rischi, dei trattamenti del rischio, dei requisiti e dei criteri.
• Gestione appropriata dei rischi.
• Comunicazione continua con tutte le parti interessate.

ISO 27007 - Guida all'audit ISMS

La ISO 27007 è una guida per condurre gli audit ed è destinata agli auditor interni ed esterni che valutano un ISMS secondo la ISO/IEC 27001.

La guida si basa molto sulla Guida all'auditing dei sistemi di gestione (ISO 19011) e fornisce ulteriori indicazioni per un sistema di gestione della sicurezza delle informazioni (ISMS).

Ecco come potete avere successo con lo standard:

• Guida specifica per gli audit ISO 27001 ISMS
• Guida alla pianificazione e alla conduzione degli audit integrata dalla ISO 19011
• Informazioni importanti sulle competenze degli auditor ISMS
• Comprensione ed esecuzione degli audit ISMS

DQS - cosa possiamo fare per voi

Dal 1985 DQS è uno specialista leader nella certificazione di sistemi e processi di gestione. Da allora, la storia di DQS è strettamente legata a quella della ISO 9001. Portiamo il nostro know-how mondiale e la nostra vasta conoscenza delle norme ai nostri clienti in circa 30.000 giornate di audit all'anno. Così potete vedere quali sono le vostre opzioni.

Fiducia e competenza

I nostri testi e white paper sono scritti esclusivamente dai nostri esperti di standard o da auditor di lunga data. Così come la panoramica degli standard di sicurezza delle informazioni. Se avete domande sul contenuto del testo o sui nostri servizi al nostro autore, non esitate a contattarci.

Norme di sicurezza delle informazioni: altri argomenti della famiglia di norme ISO 27000

ISO 27003 - Guida allo sviluppo e all'attuazione di un ISMS

ISO/IEC 27003:2017

Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Guida.

ISO 27004 - Guida ai metodi di misurazione della gestione della sicurezza delle informazioni

ISO/IEC 27004:2016

Tecnologia dell'informazione - Tecniche di sicurezza - Gestione della sicurezza delle informazioni - Monitoraggio, misurazione, analisi e valutazione.

ISO 27008 - Guida alla valutazione delle misure di sicurezza delle informazioni

ISO/IEC TS 27008:2019

Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per la valutazione dei controlli di sicurezza delle informazioni

ISO 27009 - Guida all'applicazione settoriale di un sistema di gestione delle informazioni

ISO/IEC 27009:2020

Sicurezza delle informazioni, cybersecurity e protezione della privacy - Applicazione settoriale della ISO/IEC 27001 - Requisiti

ISO 27010 - Guida alla gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e interorganizzative

ISO/IEC 27010:2015

Tecnologia dell'informazione - Tecniche di sicurezza - Gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e interorganizzative

ISO 27011 - Guida alla gestione della sicurezza delle informazioni nel settore delle telecomunicazioni

ISO/IEC 27011:2016

Information technology - Security techniques - Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations

ISO 27013 - Guida per l'implementazione integrata di un ISMS e della gestione dei servizi IT

ISO/IEC 27013:2021

Sicurezza delle informazioni, cybersicurezza e protezione della privacy - Guida all'implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1

ISO 27014 - "Governance" della sicurezza delle informazioni

ISO/IEC DIS 27014:2020

Sicurezza delle informazioni, cybersecurity e protezione della privacy - Governance della sicurezza delle informazioni

ISO 27016 - Economia della gestione della sicurezza delle informazioni

ISO/IEC TR 27016:2014

Tecnologia dell'informazione - Tecniche di sicurezza - Gestione della sicurezza delle informazioni - Economia dell'organizzazione

ISO 27021 - Requisiti per la competenza dei professionisti ISMS

ISO/IEC 27021:2017/AMD 1:2021

echniques - Requisiti di competenza per i professionisti dei sistemi di gestione della sicurezza delle informazioni - Emendamento 1: Aggiunta di clausole o sottoclausole ISO/IEC 27001:2013 ai requisiti di competenza

ISO 27031 - Guida alla continuità operativa

ISO/IEC 27031:2011

Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per la preparazione delle tecnologie dell'informazione e della comunicazione per la continuità aziendale

CONSIGLIO: Leggete il nostro post sul blog sulla gestione della continuità aziendale per sapere cosa raccomanda lo standard ISO 22301 per garantire la continuità dell'esistenza di un'azienda in situazioni eccezionali.

ISO 27032 - Guida alla sicurezza informatica

ISO/IEC 27032:2012

Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per la sicurezza informatica

ISO 27033 - Guida alla sicurezza della rete

ISO/IEC 27033

Tecnologia dell'informazione - Tecniche di sicurezza - Sicurezza di rete
Parte 1: Panoramica e concetti, Parte 2: Linee guida per la progettazione e l'implementazione della sicurezza di rete, Parte 3: Scenari di rete di riferimento - Minacce, tecniche di progettazione e problemi di controllo, Parte 4: Proteggere le comunicazioni tra reti utilizzando gateway di sicurezza, Parte 5: Proteggere le comunicazioni tra reti utilizzando reti private virtuali (VPN), Parte 6: Proteggere l'accesso alla rete IP wireless

ISO 27034 - Guida alla sicurezza delle applicazioni

ISO/IEC 27034

Tecnologia dell'informazione - Tecniche di sicurezza - Sicurezza delle applicazioni
Parte 1: Panoramica e concetti, Parte 2: Quadro normativo dell'organizzazione, Parte 3: Processo di gestione della sicurezza delle applicazioni, Parte 4: Convalida e verifica, Parte 5: Struttura dei protocolli e dei controlli di sicurezza delle applicazioni, Parte 6: Studi sul cast, Parte 7: Quadro di previsione della garanzia

ISO 27035 - Guida alla gestione degli incidenti di sicurezza delle informazioni

ISO/IEC 27035

Information technology - IT security practices - Information security incident management
Parte 1: Fondamenti della gestione degli incidenti, Parte 2: Linee guida per la pianificazione e la preparazione della risposta agli incidenti, Parte 3: Linee guida per la risposta agli incidenti sulle tecnologie dell'informazione e della comunicazione (draft)

ISO 27036 - Guida alle relazioni con i fornitori

ISO/IEC 27036

Tecnologia dell'informazione - Tecniche di sicurezza - Sicurezza delle informazioni per le relazioni con i fornitori
Parte 1: Panoramica e concetti, Parte 2: Requisiti, Parte 3: Linee guida per la sicurezza della catena di fornitura delle tecnologie dell'informazione e della comunicazione, Parte 4: Linee guida per la sicurezza dei servizi cloud

ISO 27037 - Linee guida per la gestione delle prove digitali.

ISO/IEC 27037:2012

Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per l'identificazione, la raccolta, l'acquisizione e la conservazione delle prove digitali

ISO 27038 - Specifiche per la redazione digitale

ISO/IEC 27038:2014

Tecnologia dell'informazione - Tecniche di sicurezza - Specifiche per la redazione digitale

ISO 27039 - Guida ai sistemi di rilevamento delle intrusioni (IDPS)

ISO/IEC 27039:2015

Tecnologia dell'informazione - Tecniche di sicurezza - Selezione, implementazione e operazioni dei sistemi di rilevamento e prevenzione delle intrusioni (IDPS)

ISO 27040 - Guida alla sicurezza dello stoccaggio

ISO/IEC 27040:2015

Tecnologia dell'informazione - Tecniche di sicurezza - Sicurezza dello stoccaggio

ISO 27041 - Guida ai metodi di indagine sugli incidenti

ISO/IEC 27041:2015

Information technology - Security techniques - Guidance on assuring suitability and adequacy of incident investigative method

ISO 27042 - Guida all'analisi e all'interpretazione delle prove digitali.

ISO/IEC 27042:2015

Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per l'analisi e l'interpretazione delle prove digitali

ISO 27043 - Guida ai processi di investigazione degli incidenti.

ISO/IEC 27043:2015

Tecnologia dell'informazione - Tecniche di sicurezza - Principi e processi di indagine sugli incidenti

ISO 27050 - Guida al rilevamento elettronico

ISO/IEC 27050

Information technology - Electronic discovery
Parte 1: Panoramica e concetti, Parte 2: Guida per la governance e la gestione della scoperta elettronica, Parte 3: Codice di pratica per la scoperta elettronica

ISO 27102 - Guida all'assicurazione informatica

ISO/IEC 27102:2019

Gestione della sicurezza delle informazioni - Linee guida per la cyber-assicurazione

ISO 27103 - Guida alla sicurezza informatica e agli standard ISO/IEC

ISO/IEC TR 27103:2018

Tecnologia dell'informazione - Tecniche di sicurezza - Cybersecurity e norme ISO e IEC

ISO 27550 - Ingegneria della privacy per i processi del ciclo di vita del sistema

ISO/IEC TR 27550:2019-09

Tecnologia dell'informazione - Tecniche di sicurezza - Ingegneria della privacy per i processi del ciclo di vita del sistema

ISO 27799 - Gestione della sicurezza delle informazioni nel settore sanitario

ISO 27799:2016

Informatica sanitaria - Gestione della sicurezza delle informazioni in ambito sanitario utilizzando la ISO/IEC 27002