ISO 27001
- Sistema di gestione per la sicurezza delle informazioni (S.G.S.I.)
ISO/IEC 27017 – Controlli di sicurezza per i servizi cloud
ISO/IEC 27018 – Codice di condotta per la protezione delle PII (Personally Identifiable Information) nei servizi di public cloud per i cloud provider
Con l'ottenimento della Certificazione ISO/IEC 27001, l'azienda attesta la conformità del proprio Sistema di Gestione per la Sicurezza delle Informazioni. Si tratta, quindi, di un Sistema (attività, procedure, istruzioni, direttive e policy di sicurezza) che garantisce la sicurezza nella gestione delle informazioni, cioè quell'insieme di conoscenze e dati che hanno VALORE per un individuo oppure per un'organizzazione.
Ecco i principali vantaggi della conformità allo standard internazionale ISO/IEC 27001:
- Garanzia della gestione efficiente e sicura delle informazioni in qualsiasi ambito o settore;
- Dimostrazione di conformità a requisiti internazionali;
- Identificazione dei rischi e avvio dei controlli per la relativa gestione o eliminazione;
- Flessibilità nell'adattare i controlli a tutte (o solo ad alcune specifiche) aree di business;
- Gli stakeholder e i clienti hanno la sicurezza che i dati sono protetti;
- Maggiore possibilità di rispettare i requisiti per le gare d'appalto grazie alla dimostrazione di conformità.
Diventa quindi necessario, per l'azienda, identificare ed analizzare i rischi, avviare eventuali interventi e le adeguate attività con il fine di gestire, proteggere, controllare e monitorare il flusso delle informazioni con cui lavora quotidianamente con l'obiettivo di evitare eventuali divulgazioni, perdite o appropriazioni non consentite, di notizie considerate private.
Certificarsi ISO 27001 costituisce per l'azienda uno strumento utile (e, in taluni casi, indispensabile) per garantire ai propri clienti e/o utenti finali il massimo della riservatezza e la sicurezza delle informazioni. Si tratta, in modo specifico, di aziende i cui dati vengono ritenuti confidenziali (dati finanziari, amministrativi e fiscali, dati costituenti know-how aziendale, progettazioni, brevetti, etc.), oppure dati di carattere sensibile o giudiziario (volti a rilevare lo stato di salute, l'appartenenza a gruppi religiosi, etc., come meglio indicato dal D.Lgs. 196/2003) la cui divulgazione potrebbe compromettere la vita aziendale.
Il S.G.S.I. è applicabile ad aziende di qualsiasi dimensione, grande o piccola, in qualsiasi settore di attività o parte del mondo. in particolar modo, nei casi in cui la protezione delle informazioni è critica (ed esempio: nei settori finanziario, pubblico e IT). La certificazione ISO 27001 è particolarmente efficace per le aziende che gestiscono informazioni per conto terzi, come le società di outsourcing del settore IT, e può essere utilizzata come garanzia di protezione per le informazioni affidate loro dai propri clienti.
Come si procede per elaborare un sistema di gestione e come certificarsi?
- Si procede con la verifica della conformità legislativa relativa il Paese di appartenenza in merito alle disposizioni legislative che regolamentano la privacy e la sicurezza dei dati;
- Si effettuata una raccolta dei dati e si procede con l'analisi dei rischi in riferimento all'appendice della Norma stessa;
- Si elabora il Sistema di Gestione con le relative procedure, istruzioni, direttive aziendali, policy di sicurezza e gli eventuali interventi necessari per eliminare o minimizzare i rischi;
- Si procede con una verifica della funzionalità del Sistema di Gestione, apportando eventuali interventi correttivi per migliorarne lSefficacia e per essere conformi alle disposizioni normative;
- Si procede con la verifica di Certificazione tramite la scelta di un Ente accreditato.
ISO/IEC 27017 – Controlli di sicurezza per i servizi cloud
Lo standard ISO/IEC 27017, incluso nella serie di Norme ISO/IEC 27001, definisce controlli avanzati sia per i fornitori, sia per i clienti di servizi cloud.
Trattandosi di linee guida, lo standard ISO/IEC 27017 non è certificabile, ma è possibile ottenere un’integrazione di un Certificato esistente ISO/IEC 27001 purché rilasciato da un Ente di Certificazione riconosciuto.
Lo standard fornisce una guida per i servizi cloud basata sui 37 controlli derivanti dallo standard ISO/IEC 27002 e su sette nuovi controlli aggiuntivi focalizzati sui seguenti punti:
- suddivisione delle responsabilità tra fornitore e clienti dei servizi cloud;
- rimozione / assegnazione delle attività alla cessazione di un contratto;
- protezione e separazione degli ambienti virtuali;
- configurazione delle Virtual Machine;
- attività amministrative e procedure connesse con l'ambiente cloud;
- monitoraggio delle attività del cliente all’interno dell'ambiente cloud;
- allineamento degli ambienti virtuali e cloud.
Quali vantaggi si possono ottenere seguendo le linee guida dello standard ISO/IEC 27017?
Un’efficace ed efficiente applicazione dello standard ISO/IEC 27017:
- supporta i fornitori di servizi di cloud nell’affrontare gli obblighi giuridici applicabili, nonché le aspettative dei clienti;
- migliora la trasparenza e definizione dei contratti di servizi cloud;
- fornisce una maggiore garanzia a clienti e stakeholder sulla protezione di dati e informazioni;
- dimostra la presenza di solidi controlli a protezione dei dati;
- protegge la reputazione del brand riducendo il rischio di pubblicità negativa a causa di una violazioni dei dati;
- protegge da sanzioni assicurando che le normative locali siano rispettate riducendo il rischio di multe per violazioni dei dati.
ISO/IEC 27018 – Codice di condotta per la protezione delle PII (Personally Identifiable Information) nei servizi di public cloud per i cloud provider
Lo standard ISO/IEC 27018 specifica le linee guida basate sulla Norma ISO/IEC 27002, prendendo in considerazione i requisiti normativi per la protezione delle PII che possono essere applicabili nel contesto degli ambienti di rischio per la sicurezza delle informazioni di un fornitore di servizi cloud pubblici.
Trattandosi di linee guida, lo standard ISO/IEC 27018 non è certificabile, ma è possibile ottenere un’integrazione di un Certificato esistente ISO/IEC 27001 purché rilasciato da un Ente di Certificazione riconosciuto.
Utilizzato insieme a ISO/IEC 27001, lo standard ISO/IEC 27018 consente ai cloud service provider con infrastruttura certificata di dimostrare che i dati degli utenti sono sicuri e non vengono utilizzati per scopi diversi da quelli per i quali è stato rilasciato il consenso.
Le contromisure specifiche introdotte dallo standard ISO/IEC 27018 si basano sui principi internazionali definiti in ambito di protezione dei dati e delle informazioni. Tali principi costituiscono le fondamenta su cui realizzare e gestire i processi legati alla progettazione, allo sviluppo, all'attuazione, al monitoraggio e alla misurazione e controllo delle politiche e dei protocolli adottati in ambito di privacy nei servizi di cloud computing.
Quali vantaggi si possono ottenere seguendo le linee guida dello standard ISO/IEC 27018?
Un’efficace ed efficiente applicazione dello standard ISO/IEC 27018:
- protegge da implicazioni legali dovute alla mancata conformità alle normative sulla sicurezza e sulla violazione dei dati;
- genera fiducia all’interno del business, rassicurando i clienti e gli stakeholder sulla protezione delle informazioni personali;
- facilita la definizione di contratti di servizi cloud;
- migliora la trasparenza e la credibilità dei servizi cloud;
- assiste il gestore del cloud nel rispetto di tutti gli obblighi che gli competono, trattando dati personali in qualità di Responsabile del trattamento;
- consente al Responsabile del trattamento di operare in modo trasparente, affinché il Titolare del trattamento possa scegliere un fornitore che fornisca adeguate garanzie;
- assiste nell’elaborazione di un accordo contrattuale tra il Titolare ed il Responsabile del trattamento;
- offre ai Titolari del trattamento un meccanismo che permette di esercitare il diritto di audit e di verifica di conformità;
- genera un vantaggio competitivo, attraverso l’implementazione di una protezione di alto livello che si traduce, di fatto, in un vantaggio rispetto ai competitor;
- protegge il brand riducendo il rischio di pubblicità negativa dovuta alla violazione dei dati.
Richiedi maggiori informazioni