Posted on Sep 14, 2020 by PBR

Privacy: Lo standard internazionale ISO/IEC 27001 con estensione 27701 per la Sicurezza delle Informazioni

Lo standard internazionale ISO/IEC 27001 descrive un modello gestionale applicabile all'interno di organizzazioni pubbliche e private che hanno come obiettivo la Sicurezza delle Informazioni.

Le informazioni gestite all'interno di un'organizzazione possono essere di diverso tipo, così come le motivazioni che spingono a proteggerle. Alcune organizzazioni, infatti, decidono di proteggere il proprio know-how contenuto, ad esempio, in disegni tecnici, formule e ricette; altre proteggono le informazioni relative ai propri fornitori strategici al fine di evitare un possibile accesso da parte dei loro competitors.
Diversamente, le organizzazioni che operano in campo finanziario e assicurativo hanno necessità di proteggere le informazioni dei propri clienti per evitare che possano diventare di dominio pubblico, con conseguenze in termini di lesione ai diritti ed alle libertà degli interessati.
Le richiamate esigenze di sicurezza sono ancor più stringenti per coloro che operano nel campo sanitario e socioassistenziale: in questo ambito la riservatezza riguarda soprattutto informazioni sensibili relative, tra l'altro, lo stato di salute dei pazienti.

Le modalità utilizzate per gestire e proteggere le informazioni all'interno di un'organizzazione dipendono da vari fattori che possono includere la propria storia, il settore di attività, la tipologia dei clienti, le competenze del personale. Peraltro, le indicate misure di sicurezza costituiscono un fattore di crescita professionale nel rapporto bilaterale azienda/fornitore favorendo il costante upgrade degli standard di sicurezza implementati. Ad esempio, le organizzazioni che operano nel settore IT applicano internamente le misure di sicurezza che propongono ai propri clienti.

In questo panorama eterogeneo, la ISO 27001 propone un modello di riferimento per la gestione della sicurezza delle informazioni. Lo standard internazionale, ovvero equivalente e riconosciuto in tutto il mondo, è certificabile da organismi di certificazione accreditati.

Il set 27000 raggruppa un insieme di standard applicabili al contesto della sicurezza delle informazioni. Il modello gestionale viene definito nello standard 27001.
I principali standard di riferimento sono:

  • ISO 27001: definisce il modello gestionale;
  • ISO 27002: prescrive un insieme di controlli e di misure di sicurezza.

L'implementazione del sistema e l'eventuale certificazione deve tenere conto di entrambi gli standard ISO.

Il set 27000 include altri standard che sono specializzati nel definire misure per la protezione di specifici dati o specifici ambiti di utilizzo. Tra questi ricordiamo lo standard ISO 27701 - Extension to ISO/IEC 27001 e lo standard ISO/IEC 27002 - for Privacy Information Management.

Con Privacy Information Management (PIM) si intende la gestione dei dati personali: la stessa classe di informazioni soggetta in Europa alle misure definite nel GDPR - Regolamento Europeo sulla protezione dei dati personali.

L'applicazione di un sistema ISO 27001 con estensione alla ISO 27701 permette quindi di implementare all'interno di un'organizzazione un modello gestionale per la sicurezza delle informazioni orientato alla gestione dei dati personali.

L'introduzione e l'eventuale certificazione del sistema gestionale ISO 27001 esteso alla ISO 27701, pur non fornendo piena garanzia di compliance al GDPR, costituisce, ad oggi, il riferimento più autorevole per implementare e valutare tutte le misure di protezione dei dati personali e consente di raggiungere un elevato livello di accountability, laddove:

  • consente la trasparente esplicitazione dell'accountability attraverso la definizione di ruoli e responsabilità;

  • permette di gestire la documentazione delle attività di conformità al GDPR poste in essere dall'azienda, nel rispetto dei principi di privacy by design e by default;

  • conferisce "elevata affidabilità" dei processi generando fiducia negli stakeholders circa la capacità dell'azienda di trattare i dati personali;

  • sviluppa competenze e sensibilità interna sul tema del trattamento dei dati personali;

  • consente di dotarsi di efficaci procedure per la gestione di eventuali data breach e delle richieste degli interessati e delle misure tecnico-organizzative idonee a tutelare i dati trattati;

  • consente di soddisfare i requisiti contrattuali dei clienti e di migliorare il rating nelle gare d'appalto;

  • consolida la reputazione aziendale attraverso la possibilità di esibire la certificazione di conformità;

  • consente di beneficiare delle fasi di controllo durante gli audit interni e delle terze parti.

QSA Srl e lo studio legale Ferrante Lombardi Caiaffa e Associati operano da anni nel settore della Sicurezza delle Informazioni e della compliance alla normativa in materia di privacy e possono supportarvi nel percorso di conformità al GDPR e alla implementazione di un sistema di gestione delle informazioni secondo lo standard ISO 27001 con estensione ISO 27701.

comments powered by Disqus