Lo Standard ISO/IEC 27001 – Sistemi di Gestione per la Sicurezza delle Informazioni (o più semplicemente ISO 27001) rappresenta la normativa internazionale diretta all’identificazione dei requisiti essenziali per la gestione e l’impostazione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS).

Si tratta, in particolare, dell’unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un sistema di gestione per la sicurezza delle informazioni.
La norma è progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati.
Essa adotta un approccio di processo in grado di garantire il funzionamento ed il miglioramento del sistema di gestione della sicurezza delle informazioni e della privacy.
La ISO 27001 – Sistemi di Gestione per la Sicurezza delle Informazioni è applicabile a tutte le imprese private o pubbliche: la norma, infatti, prescinde dall’appartenenza ad uno specifico settore di business o dall’organizzazione dell’azienda.
I principali vantaggi di avere un sistema di gestione conforme alla 27001 sono i seguenti:
• La dimostrazione alle parti interessate di una attenta gestione della protezione delle informazioni interne, che rappresenta un vantaggio competitivo in ambito commerciale nei confronti della concorrenza;
• la dimostrazione di un elevato livello di sicurezza delle informazioni all’interno dell’azienda minimizzando i rischi di vulnerabilità tecniche;
• un controllo continuo sui processi più rischiosi nello scambio di dati con clienti o fornitori, che potrebbero portare a conseguenze legali per l’azienda;
• l’implementazione di un sistema di gestione basato sul concetto del miglioramento continuo.
Le fasi della consulenza possono così essere riassunte:
• Definizione del contesto dell’organizzazione
• Definizione dello scopo e del campo di applicazione per la certificazione ISO/IEC 27001
• Valutazione e gestione dei rischi dei rischi
• Dichiarazione di Applicabilità (Statement of Applicability S.O.A.) come da appendice A della norma ISO/IEC 27001 che prevede 114 controlli
• La Politica di Sicurezza Informatica
• La Policy di Sicurezza Informatica
• Le lettere di nomina
• L’elenco apparecchiature HW e SW
• Elenco Applicativi e relative licenze
• Integrazione del Manuale Qualità con gli aspetti della ISO/IEC 27001
• Integrazione delle procedure qualità con gli aspetti della 27001
• Procedure di back up, ripristino dati, disaster recovery
• Procedure di business continuity, gestione degli incidenti informatici con il supporto, per quanto di competenza, dell’Amministratore del Sistema.
