fbpx

UNI CEI EN ISO/IEC 27001

Sistemi di gestione per la sicurezza delle informazioni

 

 

L’art. 32 del GDPR “Sicurezza del trattamento” stabilisce che il Titolare e il Responsabile del trattamento mettano in atto misure tecniche ed organizzative adeguate per la garanzia della sicurezza dei dati, tenendo conto del contesto specifico, dei rischi presenti nonché dello stato dell’arte e dei costi.

 

In particolare, viene richiesta la capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento e di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente.

 

È responsabilità del Titolare e del Responsabile individuare e mettere in atto misure idonee tenendo conto delle best practice e degli schemi di certificazione disponibili.

 

La norma ISO 27001:2017 “Sistemi di gestione per la sicurezza delle informazioni” è la best practice e il sistema di certificazione di riferimento in quanto definisce i requisiti per stabilire, implementare e migliorare il sistema di gestione delle informazioni.

 

In sintesi, il GDPR definisce i paletti dell’information security: riservatezza, disponibilità, integrità (RID), mentre la norma ISO 27001 approfondisce le misure da mettere in atto che riguardano tre ambiti:

  • la sicurezza organizzativa: policy, processi interni, policy, procecessi, procedure;
  • sicurezza logica e tecnologica (software, sistemi di autenticazione, anti malware, firewall, backup, monitoraggi, aggiornamenti, disaster recovery, ecc.);
  • e sicurezza fisica (edifici, locali, archivi, misure antincendio, controllo accessi, ecc.).

 

L’adozione della norma ISO 27001 garantisce l’efficace gestione dei rischi relativi alla sicurezza dei dati e fornisce le evidenze della conformità dei trattamenti come previsto dal principio di accountability che sta alla base del GDPR.

 

La norma prevede la valutazione delle minacce, l’analisi delle criticità, la messa in atto di misure per garantire la continuità del servizio e ridurre al minimo le conseguenze degli incidenti sulla sicurezza delle informazioni. Pertanto, consente di mettere in sicurezza non solo i dati personali, ma anche tutti i dati aziendali.

Vuoi ricevere maggiori informazioni?

Lascia i tuoi dati e verrai subito ricontattato