ISO / IEC 27000: 2018 offre una panoramica dei sistemi di gestione della sicurezza delle informazioni (ISMS) e i termini e le definizioni comunemente usati nella famiglia di sistemi di gestione della sicurezza delle informazioni ISO / IEC 27001.

Progettata per tutti i tipi di organizzazioni e applicazioni, dalle multinazionali alle piccole e medie imprese, la nuova versione rilasciata a febbraio 2018 è ugualmente valida per le agenzie governative o le organizzazioni non profit.
La famiglia 27000 ha più di una dozzina di standard. La nuova ISO / IEC 27000 pubblicata fornisce una comprensione di come gli standard si incontrano: portata, ruolo, funzione e relazione.
La comunità ISO / IEC 27001 lo troverà utile perché riunisce tutta la terminologia di base utilizzata da altri standard nella famiglia ISO / IEC 27000.

Nell'ambiente aziendale di oggi, dove tecnologia e comunicazione si stanno sviluppando a un ritmo vertiginoso, la protezione delle informazioni è diventata ancora più importante. L'informazione è di grande importanza per un'organizzazione per continuare le sue attività. Nella protezione delle informazioni, l'identificazione dei rischi per la sicurezza e delle minacce alle risorse informative e il controllo dei punti in sospeso nel sistema richiedono seri sforzi. Stabilire la sicurezza delle informazioni e assicurare la continuità dei controlli da eseguire dipende dalla definizione corretta dei principi di sicurezza pertinenti e dalla corretta definizione dei processi di gestione.

Nel mondo degli affari di oggi sicurezza delle informazioni è considerato un rischio serio, e l'identificazione e l'esecuzione di controlli di sicurezza delle informazioni coerenti, nonché l'assunzione di rischi a livelli accettabili, dipendono dall'istituzione di determinati standard all'interno dell'organizzazione.

ISO / IEC 27001 è l'unico standard internazionale verificabile che definisce i requisiti del sistema di gestione della sicurezza delle informazioni (ISMS). È progettato per garantire che siano selezionati controlli di sicurezza adeguati e proporzionati.

Organizzazione degli standard internazionali Il sistema di gestione della sicurezza delle informazioni ISO / IEC 27001 è un insieme di standard che aiutano a proteggere e gestire risorse preziose. È l'unico sistema internazionale che definisce gli standard richiesti per la sicurezza delle informazioni. Questo sistema è progettato per garantire che siano selezionati controlli di sicurezza adeguati e proporzionati.

Nella norma ISO (International Standards Organization) i lavori di preparazione vengono generalmente eseguiti da comitati tecnici. Le norme ISO 27000 sono state preparate anche dal Comitato tecnico congiunto istituito dalla International Standards Organization e dalla International Electrotechnical Commission.

Commissione elettro-tecnica internazionale (IEC - International Electrotechnical Commission) è stata fondata in 1906 e stabilisce standard internazionali per l'elettronica e tecnologie simili. Il Turkish Standards Institute (TSE) è membro di questa commissione. L'obiettivo principale della IEC è migliorare la qualità dei prodotti e dei servizi a livello globale, contribuire alla salute e alla sicurezza umana e sostenere la protezione dell'ambiente. ISO lavora su argomenti che non rientrano nell'ambito della Commissione elettrotecnica internazionale.

Sistema di gestione della sicurezza delle informazioni ISO 27001 aziende consolidate, identificare l'infrastruttura informativa, analizzare i possibili attacchi e pericoli a queste risorse e decidere cosa fare in caso si verifichino questi pericoli. Questo è il sistema più importante tra i sistemi di gestione integrati, in particolare per le organizzazioni che cercano di ottenere l'identità aziendale.

Il sistema di gestione della sicurezza delle informazioni ISO 27001 fornirà all'organizzazione grandi vantaggi in termini di identificazione dei rischi connessi alla protezione delle informazioni e all'individuazione di misure per eliminare o minimizzare tali rischi.

Non vi è alcuna restrizione settoriale in termini di implementazione di questo sistema. Le organizzazioni di ciascun settore possono istituire un sistema di gestione della sicurezza delle informazioni se sentono la necessità di proteggere le informazioni. Tuttavia, soprattutto nelle banche e nelle istituzioni finanziarie, nelle istituzioni sanitarie, nelle agenzie governative, nel settore delle tecnologie dell'informazione, la protezione delle informazioni è molto più importante.

Gli standard ISO 27000 sono in realtà costituiti da molti standard. Alcuni di questi standard sono:

  • Sistema di gestione della sicurezza delle informazioni ISO 27001 standard: Questo è lo standard di base del sistema di gestione della sicurezza delle informazioni.
  • Codice di condotta ISO 27002 per lo standard del sistema di gestione della sicurezza delle informazioni
  • Personalizzazione del sistema di gestione della sicurezza ISO 27003, Guida all'implementazione
  • Bilance ISO 27004, rapporti standard
  • Standard di gestione dei rischi del sistema di gestione delle informazioni ISO 27005
  • ISO 27006 Standard per i requisiti per l'audit e la certificazione della sicurezza delle informazioni

Oggi, Information Security Management è un sistema che deve essere gestito nel suo complesso, comprese tutte le risorse umane nell'organizzazione, in particolare la gestione senior, i sistemi informativi e i processi aziendali.

Abbiamo detto che lo standard del sistema di gestione della sicurezza delle informazioni ISO 27001 è lo standard principale del sistema. Le procedure di installazione e certificazione del sistema di gestione della sicurezza delle informazioni nelle organizzazioni vengono svolte in base a questo standard.

Gli obiettivi principali di questo standard sono:

  • Identificazione delle potenziali vulnerabilità della sicurezza delle informazioni dell'organizzazione, identificazione delle minacce alle risorse informative e controllo sistematico delle stesse.
  • Determinare i controlli per garantire la sicurezza delle risorse informative a rischio, assicurare che tali controlli siano effettuati e mantenere possibili rischi a livelli accettabili.
  • Garantire la continuità dei controlli di sicurezza delle informazioni da eseguire in questo modo e determinare e implementare i processi di gestione per questo scopo.

Lo standard del sistema di gestione della sicurezza delle informazioni ISO 27001 è stato pubblicato dalla International Standards Organization in 2005. Nome completo ISO / IEC 27001: 2005 Information Technology Tecniche di sicurezza Informazioni Sistemi di gestione della sicurezza Requisiti. È comunemente noto come lo standard di certificazione ISO 27001.

Gli standard ISO 27001 riguardano la struttura aziendale, le politiche, le attività di pianificazione, le responsabilità, le attività, le istruzioni di implementazione, i processi aziendali e le risorse di un'organizzazione che ha stabilito questo sistema.