ISO/IEC 27001 è una certificazione di Sicurezza (Sicurezza delle informazioni, cybersecurity e protezione della privacy); la Direttiva NIS2 fa riferimento specifico a tale standard. Sebbene la ISO/IEC 27001 e la Direttiva NIS2 abbiano scopi diversi, si completano a vicenda in modo efficace. ISO 22301, invece, copre aspetti della gestione della continuità operativa (BCM, Business Continuity Management), il che rafforza ulteriormente l'approccio completo all'implementazione della NIS2.
In primo luogo, è importante notare che il nome completo della ISO 27001 è "ISO/IEC 27001 - Tecnologia dell'informazione - Tecniche per la sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti".
È la principale norma internazionale incentrata sulla sicurezza delle informazioni, pubblicata dall’International Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Entrambi sono importanti organizzazioni internazionali che sviluppano norme internazionali.
La ISO-27001 fa parte di una serie di norme sviluppate per gestire la sicurezza delle informazioni: la serie ISO/IEC 27000.
L’impianto ISO e lo scopo della ISO 27001
L’impianto ISO è una combinazione di politiche e processi da utilizzare per le organizzazioni. La ISO 27001 fornisce un impianto per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l'adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).
ISO 27001 e GDPR
ISO/IEC 27001 è un punto di partenza per raggiungere i requisiti tecnici e operativi richiesti dal Regolamento generale sulla protezione dei dati (GDPR, anche conosciuto come RGPD) per prevenire una violazione dei dati. Infatti, il Regolamento afferma che le imprese devono adottare politiche, procedure e processi appropriati per proteggere i dati personali in loro possesso.
Nello specifico, un’azienda che ha implementato lo Standard ha già fatto almeno la metà del lavoro richiesto per raggiungere la piena conformità al GDPR, minimizzando il rischio di violazione dei dati.
Il GDPR offre indicazioni su come evitare una violazione dei dati?
L’articolo 32 dichiara che sono necessarie misure tecniche per proteggere i dati e richiede specificatamente alle imprese, a seconda dei casi, di:
- Adottare misure per la pseudonimizzazione e cifratura dei dati personali;
- Garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
- Ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico;
- Implementare un processo per testare e valutare ad intervalli regolari l’efficacia delle misure tecniche ed organizzative per garantire la sicurezza del trattamento.
Inoltre, l’articolo 32 prevede che i rischi derivanti “dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso in modo accidentale o illegale a dati personali” siano identificati e mitigati.
Sebbene fornisca esempi di misure e controlli di sicurezza, l’articolo non fornisce indicazioni dettagliate su cosa si dovrebbe fare per evitare una violazione dei dati.
Nonostante ciò, il GDPR invita le aziende ad adottare le migliori pratiche e raccomandazioni esistenti in materia, come lo standard ISO 27001.
Come ISO 27001 può aiutarti a rispettare il GDPR
ISO 27001 è uno standard di gestione internazionale che fornisce un quadro comprovato per la gestione della sicurezza delle informazioni. Utilizza un insieme integrato di politiche, procedure, documenti e tecnologie raccomandate sotto forma di un Sistema di gestione della sicurezza delle informazioni (ISMS, conosciuto anche come SGSI in italiano).