La ISO/IEC 27001:2022 è lo standard internazionale che stabilisce i requisiti per l’istituzione, l’attuazione, il mantenimento e il miglioramento continuo di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI).
L’obiettivo è proteggere le informazioni di un’organizzazione per garantirne tre aspetti fondamentali: la Riservatezza (accessibilità solo agli autorizzati), l’Integrità (accuratezza e completezza) e la Disponibilità (accessibilità da parte degli autorizzati quando necessario).
Il processo con cui l’organizzazione seleziona e implementa le opzioni per modificare il rischio. Nella ISO 27001, ciò include l’applicazione di misure di controllo (i controlli dell’Allegato A) per ridurre il rischio a un livello accettabile.
L’Allegato A è un elenco normativo dei Controlli di Sicurezza che l’organizzazione deve considerare durante il processo di trattamento del rischio. Non sono tutti obbligatori, ma servono come punto di partenza per selezionare i controlli più appropriati in base alla valutazione dei rischi.
È il processo di identificazione sistematica di sorgenti di rischio, asset informativi, minacce e vulnerabilità, e della loro analisi per determinare la probabilità di accadimento e il potenziale impatto. È la base per decidere quali controlli applicare.
L’Auditor deve verificare che l’organizzazione abbia un approccio metodico alla gestione dei rischi, che il SoA sia coerente con la valutazione del rischio e che i controlli selezionati siano stati implementati e monitorati in modo efficace per garantire la protezione continua degli asset informativi.
La leadership (Capitolo 5) è fondamentale. L’Alta Direzione deve dimostrare impegno assicurando che la politica e gli obiettivi di sicurezza siano compatibili con la direzione strategica dell’organizzazione e fornendo le risorse necessarie.
Le nostre recensioni migliori