In tempi in cui i dati e le informazioni vengono scambiati come merci, proteggerli è essenziale. Un modo per farlo è quello di implementare una gestione della sicurezza delle informazioni basata sulla serie di norme di sicurezza delle informazioni ISO/IEC 27000. Si tratta di una famiglia internazionale di norme per la sicurezza informatica e la sicurezza delle informazioni in organizzazioni private, pubbliche o no-profit. Sulla base della ISO 27001, si può implementare un sistema di gestione della sicurezza delle informazioni (ISMS), che le organizzazioni e le autorità pubbliche possono impostare, gestire e far certificare per la propria protezione.
Norme per la sicurezza delle informazioni: La famiglia di norme ISO 27000
I singoli standard per la sicurezza delle informazioni nella serie ISO 27000 trattano diversi argomenti nell'area della sicurezza delle informazioni. Per esempio, la norma internazionale ISO 27001 specifica un sistema di gestione della sicurezza delle informazioni (ISMS), la ISO 27701 un sistema di gestione della protezione dei dati, la ISO 27017 fornisce una guida sulle misure di sicurezza delle informazioni per il cloud computing, e la ISO 27005 fornisce linee guida per la gestione del rischio di sicurezza delle informazioni.
Le aziende di tutti i settori possono beneficiare dell'approccio sistematicamente strutturato di queste norme per la sicurezza delle informazioni, che permette di proteggere i dati confidenziali contro la perdita e l'abuso, e aiuta a identificare e ridurre in modo affidabile le minacce (potenziali). L'approccio aiuta a garantire la disponibilità dei sistemi IT aziendali, contribuendo così all'ottimizzazione dei processi aziendali, ai costi IT e di processo e alla minimizzazione dei rischi aziendali e di responsabilità.
La certificazione è un vantaggio competitivo
La certificazione ISO 27001, per esempio da parte di DQS, richiede una certa quantità di preparazione e impegno. Tuttavia, l'azienda fornisce la prova documentata che rispetta i requisiti di sicurezza delle informazioni e implementa misure per proteggere i dati aziendali sensibili. Questo è un chiaro vantaggio competitivo.
Dieci norme ISO sulla sicurezza delle informazioni che dovreste conoscere
L'elenco che segue fornisce una panoramica informativa sullo stato attuale della serie di norme ISO 27000 sulla sicurezza delle informazioni. Tutti gli standard sono disponibili per l'acquisto dal sito web ISO.
ISO 27001 - Requisiti per i sistemi di gestione della sicurezza delle informazioni
In tempi in cui i dati e le informazioni sono scambiati come merce rara, la loro protezione è essenziale. Una base ottimale per l'implementazione efficace di una strategia di sicurezza olistica è fornita da un sistema di gestione della sicurezza delle informazioni (ISMS) ben strutturato secondo la norma ISO 27001. Questa è riconosciuta a livello internazionale per la sicurezza delle informazioni in organizzazioni private, pubbliche o non-profit, che non copre solo gli aspetti della sicurezza informatica.
La guida all'audit di DQS
La Guida all'audit DQS (basata sulla ISO 27001:2013)
Beneficiare di buone domande di audit e di possibili evidenze su controlli selezionati dall'Allegato A.
Dagli esperti del settore.
Una ISO 27001 ISMS definisce requisiti, regole e metodi per garantire la sicurezza delle informazioni che richiedono protezione nelle organizzazioni. Lo standard ISO fornisce un modello per stabilire, implementare, monitorare e migliorare il livello di protezione. L'obiettivo è quello di identificare i rischi potenziali per l'azienda, analizzarli e renderli controllabili attraverso misure appropriate. La ISO 27001 formula i requisiti per un tale sistema di gestione, che sono verificati come parte di un processo di certificazione esterna.
È possibile raggiungere questo obiettivo con lo standard:
- Rendere la sicurezza delle informazioni sensibili parte integrante dei processi aziendali.
- Salvaguardia preventiva degli obiettivi di protezione riservatezza, disponibilità e integrità delle informazioni.
- Mantenimento della continuità del business attraverso il miglioramento continuo del livello di sicurezza.
- Sensibilizzazione dei dipendenti e aumento significativo della consapevolezza della sicurezza a tutti i livelli dell'azienda.
- Creazione di fiducia con le parti interessate.
- Istituzione di un efficace processo di gestione del rischio.
ISO/IEC 27001:2013
Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti
ISO 27019 - Misure di sicurezza delle informazioni per la fornitura di energia.
Lo standard di sicurezza delle informazioni ISO 27019 formula misure complementari per il settore dell'industria energetica.
ISO/IEC 27019:2017
Tecnologia dell'informazione - Tecniche di sicurezza - Controlli di sicurezza delle informazioni per il settore dell'approvvigionamento energetico
Questo standard vi aiuta a rendere sicuri i vostri sistemi elettronici di controllo dei processi utilizzati per controllare e monitorare la produzione, la trasmissione, lo stoccaggio e la distribuzione di energia elettrica, gas, petrolio e calore, e per controllare i relativi processi di supporto.
Cosa si può fare con questo standard:
- Assicurare sistematicamente gli obiettivi di protezione di riservatezza, disponibilità, integrità delle informazioni.
- Migliorare continuamente il livello di sicurezza e la resistenza all'accesso non autorizzato.
- Ottenere una maggiore sicurezza d'azione e certezza legale, migliorare l'aderenza ai requisiti di conformità pertinenti.
- Aumentare la consapevolezza della sicurezza tra i dipendenti e i manager.
- Raggiungere un alto livello di fiducia e lealtà tra tutte le parti interessate.
- Dimostrare una prova riconosciuta dell'efficacia delle vostre misure di sicurezza alle autorità, come l'Agenzia federale tedesca delle reti (BNetzA).
ISO 27006 - Requisiti per gli enti di certificazione
La norma ISO 27006 si rivolge a enti come DQS che eseguono certificazioni di sistemi di gestione della sicurezza delle informazioni. Lo standard di accreditamento ISO 27006 descrive i requisiti che gli enti di certificazione devono seguire nel valutare i sistemi di gestione dei loro clienti secondo ISO 27001 per la certificazione.
ISO/IEC 27006:2021
Tecnologia dell'informazione - Tecniche di sicurezza - Requisiti per gli organismi che forniscono audit e certificazione dei sistemi di gestione della sicurezza delle informazioni
Ciò include ad esempio la prova di sforzi di audit specifici o specifiche sulle qualifiche degli auditor. I processi di accreditamento delineati nella norma garantiscono che i certificati ISO 27001 rilasciati dagli organismi di certificazione accreditati abbiano validità internazionale.
Cosa si può ottenere con questo standard:
- Criteri uniformi per le procedure di audit di certificazione, sorveglianza e ricertificazione
- Garanzia della validità dei certificati ISO 27001
- Garanzia dei requisiti minimi per lo sforzo di audit e la qualificazione del personale che calcola ed esegue le procedure di certificazione
ISO 27002 - Guida ai controlli di sicurezza delle informazioni
Il sistema di gestione della sicurezza delle informazioni (ISMS) secondo la norma ISO 27001 contiene un allegato normativo A: Obiettivi di controllo e controlli di riferimento. Questo allegato contiene misure specifiche da implementare come parte del sistema di gestione, in quanto rilevanti per l'organizzazione. La ISO 27002 è una linea guida con raccomandazioni per l'implementazione delle misure della ISO 27001.
La linea guida è stata completamente rivista e aggiornata all'inizio del 2022. La nuova edizione fornisce ai responsabili della sicurezza delle informazioni una guida precisa per l'attuazione per garantire che non venga trascurata nessuna misura importante per affrontare i rischi legati alla sicurezza delle informazioni.
Annex A
Dai nostri esperti del settore.
La linea guida si basa sulla norma ISO/IEC 27001:2013.
Approfittate delle buone domande di audit e delle possibili prove su controlli selezionati nell'Allegato A.
ISO/IEC 27002:2022 Sicurezza delle informazioni, cybersecurity e protezione della privacy - Controlli di sicurezza delle informazioni
Questo allegato contiene misure specifiche da implementare come parte del sistema di gestione, come rilevante per l'organizzazione. ISO 27002 è una guida con raccomandazioni per l'implementazione delle misure di ISO 27001.
È possibile farlo con lo standard:
- Supporto per l'implementazione della ISO 27001
- Attuare le raccomandazioni per le misure dell'allegato A di ISO 27001
ISO 27000 - Panoramica e vocabolario dei sistemi di gestione della sicurezza delle informazioni
La ISO 27000 contiene termini e definizioni che sono usati nella serie di norme ISO 27000. La ISO 27000 fornisce una panoramica dei sistemi di gestione della sicurezza delle informazioni e la serie di norme ISO 27000 con i relativi standard di sicurezza delle informazioni.
ISO/IEC 27000:2018
Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Panoramica e vocabolario
In un glossario, i termini (tecnici) sono definiti in modo esplicito e formale.
Cosa si può fare con questa norma:
- Glossario: copertura della maggior parte dei termini tecnici utilizzati nella serie di norme ISO27000 nel campo della sicurezza delle informazioni.
- Chiarezza sulla terminologia
- Chiara comprensione del vocabolario tra valutatori e valutati ("un linguaggio comune")
- Panoramica sui sistemi di gestione della sicurezza delle informazioni: introduzione alla sicurezza delle informazioni, gestione dei rischi e della sicurezza e sistemi di gestione
ISO 27701 - Guida alla gestione della protezione dei dati
Lo standard per la sicurezza delle informazioni specificamente legato alla privacy dei dati ISO 27701 specifica un sistema di gestione della protezione dei dati basato sulla ISO 27001, sulla ISO 27002 (controlli di sicurezza delle informazioni) e sulla ISO 29100 (quadro della privacy dei dati) per affrontare in modo appropriato sia il trattamento dei dati personali che la sicurezza delle informazioni. Questo si applica sia ai controllori che agli elaboratori di dati personali.
ISO/IEC 27701:2019-08 Tecniche di sicurezza - Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni sulla privacy - Requisiti e linee guida
Come si può avere successo con questo standard:
- Migliore gestione dei dati personali e della sicurezza delle informazioni
- Applicazione più semplice dei principi comuni di gestione del rischio delle informazioni ai dati personali
- Allineare ed estendere i controlli all'interno della ISO 27001 e della relativa ISO 27002
ISO 27017 - Guida alle misure di sicurezza delle informazioni nei servizi cloud
Lo standard ISO 27017 fornisce una guida alle misure di sicurezza delle informazioni nel cloud computing all'interno degli standard per la sicurezza delle informazioni.
ISO/IEC 27017:2015
Tecnologia dell'informazione - Tecniche di sicurezza - Codice di pratica per i controlli di sicurezza delle informazioni basati sulla ISO/IEC 27002 per i servizi cloud
Raccomanda, supporta e fornisce misure aggiuntive per l'implementazione di controlli di sicurezza delle informazioni specifici per il cloud.
Cosa si può ottenere con questo standard:
- Comprendere gli aspetti di sicurezza delle informazioni del cloud computing.
- Progettare e implementare controlli di sicurezza delle informazioni specifici per il cloud
- Controllo sulle opzioni per selezionare, implementare e gestire la sicurezza delle informazioni per il cloud computing
ISO 27018 - Guida alla protezione dei dati nei servizi cloud.
Lo standard ISO 27018 fornisce una guida per assicurare che i fornitori di servizi cloud offrano adeguati controlli di sicurezza delle informazioni per proteggere la privacy dei loro clienti, mettendo al sicuro i dati personali loro affidati.
ISO/IEC 27018:2019
Tecnologia dell'informazione - tecniche - Codice di pratica per la protezione delle informazioni personali identificabili (PII - personally identifiable information) nei cloud pubblici che agiscono come elaboratori di PII
Questo standard è seguito dalla ISO 27017 (Misure di sicurezza delle informazioni nei servizi cloud), che copre altri aspetti della sicurezza delle informazioni del cloud computing oltre alla protezione dei dati.
Ecco cosa si può fare con lo standard:
- Selezionare i controlli di protezione delle PII come parte dell'implementazione di un sistema di gestione della sicurezza delle informazioni del cloud computing basato su ISO 27001.
- Implementare i controlli di protezione delle PII comunemente accettati.
- Approfondire la conoscenza in quanto lo standard è basato su ISO 27002 ed espande i suoi consigli generali in alcune aree
- Collegare i principi di privacy dell'OCSE incorporati in diverse leggi e regolamenti sulla protezione dei dati
ISO 27005 - Guida alla gestione dei rischi per la sicurezza delle informazioni.
Lo standard ISO 27005 fornisce una guida alla gestione del rischio per la sicurezza delle informazioni e supporta i concetti generali su questo argomento definiti nella ISO 27001.
ISO/IEC 27005:2018-07
Tecnologia dell'informazione - Tecniche di sicurezza informatica - Gestione del rischio per la sicurezza delle informazioni.
La ISO 27005 ha anche lo scopo di sostenere l'implementazione della sicurezza delle informazioni basata su un concetto di gestione del rischio.
Con tale norma è possibile:
- Implementare la sicurezza delle informazioni sulla base di un approccio di gestione del rischio.
- Definizione del contesto di gestione del rischio.
- Valutazione quantitativa o qualitativa (cioè identificazione, analisi e valutazione) dei rischi informativi rilevanti.
- Monitoraggio e revisione continua dei rischi, dei trattamenti del rischio, dei requisiti e dei criteri.
- Gestione appropriata dei rischi.
- Comunicazione continua con tutte le parti interessate.
Per non perdersi mai niente...
La nostra newsletter gratuita vi tiene aggiornati su audit, sistemi di gestione e certificazioni. Leggi i nostri esempi di best practice e ottieni consigli per il tuo successo.
ISO 27007 - Guida all'audit ISMS
La ISO 27007 è una guida per condurre gli audit ed è destinata agli auditor interni ed esterni che valutano un ISMS secondo la ISO/IEC 27001.
ISO/IEC 27007:2020
Sicurezza delle informazioni, cybersicurezza e protezione della privacy - Linee guida per l'auditing dei sistemi di gestione della sicurezza delle informazioni
La guida si basa molto sulla Guida all'auditing dei sistemi di gestione (ISO 19011) e fornisce ulteriori indicazioni per un sistema di gestione della sicurezza delle informazioni (ISMS).
Ecco come potete avere successo con lo standard:
- Guida specifica per gli audit ISO 27001 ISMS
- Guida alla pianificazione e alla conduzione degli audit integrata dalla ISO 19011
- Informazioni importanti sulle competenze degli auditor ISMS
- Comprensione ed esecuzione degli audit ISMS
DQS - cosa possiamo fare per voi
Dal 1985 DQS è uno specialista leader nella certificazione di sistemi e processi di gestione. Da allora, la storia di DQS è strettamente legata a quella della ISO 9001. Portiamo il nostro know-how mondiale e la nostra vasta conoscenza delle norme ai nostri clienti in circa 30.000 giornate di audit all'anno. Così potete vedere quali sono le vostre opzioni.
Fiducia e competenza
I nostri testi e white paper sono scritti esclusivamente dai nostri esperti di standard o da auditor di lunga data. Così come la panoramica degli standard di sicurezza delle informazioni. Se avete domande sul contenuto del testo o sui nostri servizi al nostro autore, non esitate a contattarci.
Norme di sicurezza delle informazioni: altri argomenti della famiglia di norme ISO 27000
ISO 27003 - Guida allo sviluppo e all'attuazione di un ISMS
ISO/IEC 27003:2017
Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Guida.
ISO 27004 - Guida ai metodi di misurazione della gestione della sicurezza delle informazioni
ISO/IEC 27004:2016
Tecnologia dell'informazione - Tecniche di sicurezza - Gestione della sicurezza delle informazioni - Monitoraggio, misurazione, analisi e valutazione.
ISO 27008 - Guida alla valutazione delle misure di sicurezza delle informazioni
ISO/IEC TS 27008:2019
Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per la valutazione dei controlli di sicurezza delle informazioni
ISO 27009 - Guida all'applicazione settoriale di un sistema di gestione delle informazioni
ISO/IEC 27009:2020
Sicurezza delle informazioni, cybersecurity e protezione della privacy - Applicazione settoriale della ISO/IEC 27001 - Requisiti
ISO 27010 - Guida alla gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e interorganizzative
ISO/IEC 27010:2015
Tecnologia dell'informazione - Tecniche di sicurezza - Gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e interorganizzative
ISO 27011 - Guida alla gestione della sicurezza delle informazioni nel settore delle telecomunicazioni
ISO/IEC 27011:2016
Information technology - Security techniques - Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations
ISO 27013 - Guida per l'implementazione integrata di un ISMS e della gestione dei servizi IT
ISO/IEC 27013:2021
Sicurezza delle informazioni, cybersicurezza e protezione della privacy - Guida all'implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1
ISO 27014 - "Governance" della sicurezza delle informazioni
ISO/IEC DIS 27014:2020
Sicurezza delle informazioni, cybersecurity e protezione della privacy - Governance della sicurezza delle informazioni
ISO 27016 - Economia della gestione della sicurezza delle informazioni
ISO/IEC TR 27016:2014
Tecnologia dell'informazione - Tecniche di sicurezza - Gestione della sicurezza delle informazioni - Economia dell'organizzazione
ISO 27021 - Requisiti per la competenza dei professionisti ISMS
ISO/IEC 27021:2017/AMD 1:2021
echniques - Requisiti di competenza per i professionisti dei sistemi di gestione della sicurezza delle informazioni - Emendamento 1: Aggiunta di clausole o sottoclausole ISO/IEC 27001:2013 ai requisiti di competenza
ISO 27031 - Guida alla continuità operativa
ISO/IEC 27031:2011
Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per la preparazione delle tecnologie dell'informazione e della comunicazione per la continuità aziendale
CONSIGLIO: Leggete il nostro post sul blog sulla gestione della continuità aziendale per sapere cosa raccomanda lo standard ISO 22301 per garantire la continuità dell'esistenza di un'azienda in situazioni eccezionali.
ISO 27032 - Guida alla sicurezza informatica
ISO/IEC 27032:2012
Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per la sicurezza informatica
ISO 27033 - Guida alla sicurezza della rete
ISO/IEC 27033
Tecnologia dell'informazione - Tecniche di sicurezza - Sicurezza di rete
Parte 1: Panoramica e concetti, Parte 2: Linee guida per la progettazione e l'implementazione della sicurezza di rete, Parte 3: Scenari di rete di riferimento - Minacce, tecniche di progettazione e problemi di controllo, Parte 4: Proteggere le comunicazioni tra reti utilizzando gateway di sicurezza, Parte 5: Proteggere le comunicazioni tra reti utilizzando reti private virtuali (VPN), Parte 6: Proteggere l'accesso alla rete IP wireless
ISO 27034 - Guida alla sicurezza delle applicazioni
ISO/IEC 27034
Tecnologia dell'informazione - Tecniche di sicurezza - Sicurezza delle applicazioni
Parte 1: Panoramica e concetti, Parte 2: Quadro normativo dell'organizzazione, Parte 3: Processo di gestione della sicurezza delle applicazioni, Parte 4: Convalida e verifica, Parte 5: Struttura dei protocolli e dei controlli di sicurezza delle applicazioni, Parte 6: Studi sul cast, Parte 7: Quadro di previsione della garanzia
ISO 27035 - Guida alla gestione degli incidenti di sicurezza delle informazioni
ISO/IEC 27035
Information technology - IT security practices - Information security incident management
Parte 1: Fondamenti della gestione degli incidenti, Parte 2: Linee guida per la pianificazione e la preparazione della risposta agli incidenti, Parte 3: Linee guida per la risposta agli incidenti sulle tecnologie dell'informazione e della comunicazione (draft)
ISO 27036 - Guida alle relazioni con i fornitori
ISO/IEC 27036
Tecnologia dell'informazione - Tecniche di sicurezza - Sicurezza delle informazioni per le relazioni con i fornitori
Parte 1: Panoramica e concetti, Parte 2: Requisiti, Parte 3: Linee guida per la sicurezza della catena di fornitura delle tecnologie dell'informazione e della comunicazione, Parte 4: Linee guida per la sicurezza dei servizi cloud
ISO 27037 - Linee guida per la gestione delle prove digitali.
ISO/IEC 27037:2012
Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per l'identificazione, la raccolta, l'acquisizione e la conservazione delle prove digitali
ISO 27038 - Specifiche per la redazione digitale
ISO/IEC 27038:2014
Tecnologia dell'informazione - Tecniche di sicurezza - Specifiche per la redazione digitale
ISO 27039 - Guida ai sistemi di rilevamento delle intrusioni (IDPS)
ISO/IEC 27039:2015
Tecnologia dell'informazione - Tecniche di sicurezza - Selezione, implementazione e operazioni dei sistemi di rilevamento e prevenzione delle intrusioni (IDPS)
ISO 27040 - Guida alla sicurezza dello stoccaggio
ISO/IEC 27040:2015
Tecnologia dell'informazione - Tecniche di sicurezza - Sicurezza dello stoccaggio
ISO 27041 - Guida ai metodi di indagine sugli incidenti
ISO/IEC 27041:2015
Information technology - Security techniques - Guidance on assuring suitability and adequacy of incident investigative method
ISO 27042 - Guida all'analisi e all'interpretazione delle prove digitali.
ISO/IEC 27042:2015
Tecnologia dell'informazione - Tecniche di sicurezza - Linee guida per l'analisi e l'interpretazione delle prove digitali
ISO 27043 - Guida ai processi di investigazione degli incidenti.
ISO/IEC 27043:2015
Tecnologia dell'informazione - Tecniche di sicurezza - Principi e processi di indagine sugli incidenti
ISO 27050 - Guida al rilevamento elettronico
ISO/IEC 27050
Information technology - Electronic discovery
Parte 1: Panoramica e concetti, Parte 2: Guida per la governance e la gestione della scoperta elettronica, Parte 3: Codice di pratica per la scoperta elettronica
ISO 27102 - Guida all'assicurazione informatica
ISO/IEC 27102:2019
Gestione della sicurezza delle informazioni - Linee guida per la cyber-assicurazione
ISO 27103 - Guida alla sicurezza informatica e agli standard ISO/IEC
ISO/IEC TR 27103:2018
Tecnologia dell'informazione - Tecniche di sicurezza - Cybersecurity e norme ISO e IEC
ISO 27550 - Ingegneria della privacy per i processi del ciclo di vita del sistema
ISO/IEC TR 27550:2019-09
Tecnologia dell'informazione - Tecniche di sicurezza - Ingegneria della privacy per i processi del ciclo di vita del sistema
ISO 27799 - Gestione della sicurezza delle informazioni nel settore sanitario
ISO 27799:2016
Informatica sanitaria - Gestione della sicurezza delle informazioni in ambito sanitario utilizzando la ISO/IEC 27002
Newsletter DQS
André Saeckel
Responsabile di prodotto DQS per la gestione della sicurezza delle informazioni. Come esperto di norme per il settore della sicurezza delle informazioni e del catalogo di sicurezza IT (infrastrutture critiche), André Säckel è responsabile, tra l'altro, delle seguenti norme e standard specifici del settore: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (sicurezza delle informazioni nell'industria automobilistica). È anche membro del gruppo di lavoro ISO/IEC JTC 1/SC 27/WG 1 come delegato nazionale dell'Istituto tedesco di normazione DIN.