In un contesto economico caratterizzato dalla crescente importanza della rete nei sistemi di comunicazione, e di una totale dipendenza dagli strumenti tecnologici di informazione e di gestione delle informazioni, sempre più si riscontra la necessità di implementare un sistema di gestione della sicurezza delle informazioni (SGSI) che abbia come obiettivi:

<!--1.    Dimostrare la conformità e l’efficacia delle scelte organizzative e delle attività operative poste in atto per garantire la riservatezza, l’integrità e la disponibilità delle informazioni incluse nel perimetro coperto dal SGSI

<!--2.     Assicurare la :

a.     Continuità del business

b.     Minimizzazione dei danni in caso di incidenti

c.     Massimizzazione degli investimenti effettuati per l’implementazione e la gestione della sicurezza

d.     Miglioramento continuo dell’efficacia organizzativa ed operativa

Questi sono gli obiettivi che si è posto lo standard ISO/IEC 27001:05 che costituisce il punto di partenza per impostare un sistema organizzativo che prenda in considerazione tutti gli aspetti della sicurezza delle informazioni e che si inserisca in un contesto di IT governance evoluto. Questo standard è applicabile a qualsiasi tipo di organizzazione e in particolar modo per le aziende e le organizzazioni quali amministrazioni pubbliche, fornitori di servizi telefonici e telecomunicazioni, dipartimenti/divisioni IT di banche ed assicurazioni, ecc. le quali l’ICT costituisce un asse portante.

Le tappe dello Standard

BS7799-1: 1995 è ISO/IEC 17799:2005 Code of practice for Information Security Management

BS7799-2: 1998 è ISO/IEC 27001:2005 Specification for Information Security Management System

Nel 2005 la norma BS7799-2:2002 è stata convertita in norma ISO comportando l’adozione del modello PDCA, l’approccio per processi, introduzione di procedure documentate a supporto dell’approccio sistemico. E’ stata data forte enfasi all’aspetto della misurabilità del rischio, dell’efficacia del SGSI e dell’efficacia delle contromisure adottate a fronte dei rischi individuati.

La certificazione dei SGSI

L’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni permette alla propria azienda di avere una visione sistemica della sicurezza delle informazioni, basandosi su uno o più standard internazionali: è quindi una necessità interna all’organizzazione.

La certificazione formalmente permette l’inserimento dell’organizzazione all’interno di un registro delle organizzazioni certificate secondo lo standard di riferimento, e può essere intesa come conoscenza della propria sicurezza, come valorizzazione dei propri sforzi di implementazione del SGSI, come opportunità di ampliamento del mercato e soprattutto come consapevole visibilità dell’azienda nel mercato.

Il fatto di essere una norma internazionale a livello ISO la rende appetibile anche per usi contrattuali poiché applicabile e riconosciuta in tutto il mondo. Ciò significa che a breve anche questo standard entrerà a far parte delle richieste di routine per bandi e appalti pubblici così come di contrattazione tra i privati.