Utente:SpippolaBo/ISO/IEC 27001:2013

Da Wikipedia, l'enciclopedia libera.
Vai alla navigazione Vai alla ricerca

ISO/IEC 27001:2013 è uno standard sulla sicurezza delle informazioni che è stato pubblicato il 25 settembre 2013.[1] Sostituisce lo ISO/IEC 27001:2005, è pubblicato dall'International Organization for Standardization (ISO) e lo International Electrotechnical Commission (IEC) dai sottocomitati congiunti, ISO/IEC JTC 1/SC 27.[2] Si tratta delle specifiche per un information security management system (ISMS). Le organizzazioni che applicano lo standard possono essere certificate conformi da un organismo di certificazione indipendente ed accreditato dopo il completamento con successo di un controllo di conformità formale.

Struttura dello standard[modifica | modifica wikitesto]

Il titolo ufficiale dello standard è "Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza dell'informazione - Requisiti".

ISO/IEC 27001:2013 tratta 10 temi brevi ed una lunga appendice e copre:

1. Ambito dello standard
2. Come consultare il documento
3. Riuso dei termini e delle definizioni in ISO/IEC 27000
4. Contesto organizzativo e portatori di interesse
5. Il governo della sicurezza delle informazioni e il supporto di alto livello per la linea di condotta
6. Progettare un sistema di gestione della sicurezza delle informazioni; valutazione del rischio; trattamento del rischio
7. Mantenere un sistema di gestione della sicurezza delle informazioni
8. Rendere operativo un sistema di gestione della sicurezza delle informazioni
9. Controllare le performance del sistema
10. Azione correttiva
Allegato A: Lista dei controlli e loro obiettivi.

Questa struttura rispecchia l'articolazione di altri nuovi standard di gestione come l'ISO 22301 (gestione della continuità del business);[3] questo aiuta le organizzazioni che vogliono aderire a più standard, permettendo di migliorare la gestione IT da prospettive differenti.[4] Gli allegati B and C presenti nella versione 27001:2005 sono stati rimossi.[5]

I cambiamenti dallo standard del 2005[modifica | modifica wikitesto]

Lo standard del 2013 mette più enfasi nella misura e nella valutazione di quanto l'ISMS di una organizzazione svolge bene la propria attività,[6]  e c'è una nuova sezione sull'outsourcing, che riflette il fatto che molte organizzazioni si affidano a terze parti per ottenere alcuni servizi IT.[7] Non mette enfasi sul ciclo Plan-Do-Check-Act così come faceva lo standard precedente 27001:2005. Altri processi di miglioramento continuo come il metodo DMAIC di "Sei Sigma" (Six Sigma in inglese) possono essere realizzati.[8] Vi è una maggiore attenzione al contesto organizzativo della sicurezza delle informazioni ed è cambiata la valutazione dei rischi.[9]  Nell'insieme 27001:2013 è progettata per per affiancarsi meglio ad altri standard di gestione come ISO 9000 e ISO/IEC 20000, e ha più elementi in comune con essi.[10]

Note[modifica | modifica wikitesto]

  1. ^ "ISO/IEC 27001:2013 - Information technology -- Security techniques -- Information security management systems -- Requirements".
  2. ^ "ISO - ISO Standards - ISO/IEC JTC 1/SC 27 - IT Security techniques".
  3. ^ Zhou, James (March 2011).
  4. ^ Breslin, Paul (14 March 2014).
  5. ^ "ISO/IEC 27001:2013(en) Table of Contents".
  6. ^ Herbert, Chantall (3 June 2014).
  7. ^ "ISO 27001 update is around the corner".
  8. ^ "Update to ISO 27001 Planned for 2013".
  9. ^ "BS ISO/IEC DIS 27001 (Draft ISO27001 2013)".
  10. ^ Mackie, Ryan (2 April 2013).
Estratto da "https://it.wikipedia.org/w/index.php?title=Utente:SpippolaBo/ISO/IEC_27001:2013&oldid=84263320"