La serie ISO/IEC 27000 “Sistemi di Gestione per la Sicurezza delle Informazioni”
La serie ISO/IEC 27000 “Sistemi di Gestione per la Sicurezza delle Informazioni” è uno standard di sicurezza redatto dalla ISO. Raggruppa un insieme di norme internazionali che si prefiggono di proteggere le informazioni che vengono mantenute ed elaborate da un’organizzazione.
Attraverso questa famiglia di norme, le organizzazioni possono sviluppare ed implementare un proprio sistema per la gestione della sicurezza per le informazioni finanziarie, la proprietà intellettuale, i dati dei dipendenti, di clienti o di terzi.
Le informazioni vengono protette da possibili attacchi informatici, errori umani, calamità naturali o da qualsiasi altra vulnerabilità che si può presentare durante l’utilizzo di un sistema atto a trattare le informazioni (indipendentemente dal fatto che si tratti di un sistema digitale o di un sistema analogico).
La serie ISO/IEC 27000 è applicabile a tutte le organizzazioni di qualsiasi tipo e dimensione, come ad esempio le società commerciali, governative e organizzazioni senza scopo di lucro.
Tutte le organizzazioni sono incoraggiate a valutare i loro rischi informativi, quindi a trattarli in base alle loro esigenze, utilizzando il manuale e i suggerimenti del caso. Data la natura dinamica del rischio e della sicurezza delle informazioni, il SGSI incorpora un feedback continuo e attività di miglioramento per rispondere ai cambiamenti delle minacce, delle vulnerabilità o degli impatti degli incidenti.
La famiglia di norme della serie ISO/IEC 27000 – SGSI
1. Norme che descrivono una panoramica e la terminologia:
- ISO/IEC 27000 Sistemi di gestione della sicurezza delle informazioni – Panoramica e vocabolario.
2. Norme che specificano i requisiti:
- ISO/IEC 27001, Sistemi di gestione per la sicurezza delle informazioni – Requisiti;
- ISO/IEC 27006, Requisiti per gli organismi che forniscono audit e certificazione dei Sistemi di Gestione della Sicurezza delle Informazioni;
- ISO/IEC 27009, Applicazione specifica per settore di ISO / IEC 27001 – Requisiti.
3. Norme che descrivono le linee guida generali:
- ISO/IEC 27002, Codice di condotta per i controlli di sicurezza delle informazioni;
- ISO/IEC 27003, Guida all’implementazione dei SGSI;
- ISO/IEC 27004, Gestione della sicurezza delle informazioni – Misurazione;
- ISO/IEC 27005, Gestione dei rischi per la sicurezza delle informazioni;
- ISO/IEC 27007, Linee guida per la verifica dei SGSI;
- ISO/IEC TR 27008, Linee guida per i revisori dei controlli di sicurezza delle informazioni;
- ISO/IEC 27013, Guida per l’implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1;
- ISO/IEC 27014, Governance della sicurezza delle informazioni;
- ISO/IEC TR 27016, Gestione della sicurezza delle informazioni – Economia organizzativa.
4. Norme che descrivono le linee guida negli specifici ambiti/settori:
- ISO/IEC 27010, Gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e inter-organizzative;
- ISO/IEC 27011, Linee guida sulla gestione della sicurezza delle informazioni per le organizzazioni di telecomunicazioni basate su ISO/IEC 27002;
- ISO/IEC TR 27015, Linee guida per la gestione della sicurezza delle informazioni per i servizi finanziari;
- ISO/IEC 27017, Codice di condotta per i controlli di sicurezza delle informazioni basati su ISO/IEC 27002 per i servizi in cloud;
- ISO/IEC 27018, Codice di condotta per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII;
- ISO/IEC 27019, Linee guida per la gestione della sicurezza delle informazioni basate su ISO/IEC 27002 per i sistemi di controllo del processo, specifici per il settore dei servizi energetici.
5. Altre Norme della famiglia ISO/IEC 27000
- ISO/IEC 27031 – Linee guida per la disponibilità delle tecnologie dell’informazione e della comunicazione per la continuità aziendale
- ISO/IEC 27032 – Linea guida per la sicurezza informatica
- ISO/IEC 27033-1 – Sicurezza della rete – Parte 1: Panoramica e concetti
- ISO/IEC 27033-2 – Sicurezza di rete – Parte 2: Linee guida per la progettazione e l’implementazione della sicurezza di rete
- ISO/IEC 27033-3 – Sicurezza di rete – Parte 3: Scenari di rete di riferimento – Minacce, tecniche di progettazione e problemi di controllo
- ISO/IEC 27033-4 – Sicurezza di rete – Parte 4: Protezione delle comunicazioni tra reti tramite gateway di sicurezza
- ISO/IEC 27033-5 – Sicurezza di rete – Parte 5: Protezione delle comunicazioni su reti che utilizzano reti private virtuali (VPN)
- ISO/IEC 27033-6 – Sicurezza di rete – Parte 6: Protezione dell’accesso alla rete IP wireless
- ISO/IEC 27034-1 – Sicurezza delle applicazioni – Parte 1: Linee guida per la sicurezza delle applicazioni
- ISO/IEC 27034-2 – Sicurezza delle applicazioni – Parte 2: Quadro normativo dell’organizzazione
- ISO/IEC 27034-3 – Sicurezza delle applicazioni – Parte 3: Processo di gestione della sicurezza delle applicazioni
- ISO/IEC 27034-4 – Sicurezza delle applicazioni – Parte 4: Convalida e verifica
- ISO/IEC 27034-5 – Sicurezza delle applicazioni – Parte 5: Protocolli e controlli di sicurezza delle applicazioni Struttura dei dati
- ISO/IEC 27034-6 – Sicurezza delle applicazioni – Parte 6: Casi di studio
- ISO/IEC 27035-1 – Gestione degli incidenti di sicurezza delle informazioni – Parte 1: Principi della gestione degli incidenti
- ISO/IEC 27035-2 – Gestione degli incidenti per la sicurezza delle informazioni – Parte 2: Linee guida per pianificare e preparare la risposta agli incidenti
- ISO/IEC 27035-3 – Gestione degli incidenti per la sicurezza delle informazioni – Parte 3: Linee guida per le operazioni di risposta agli incidenti ICT
- ISO/IEC 27035-4 – Gestione degli incidenti per la sicurezza delle informazioni – Parte 4: Coordinamento
- ISO/IEC 27036-1 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 1: Panoramica e concetti
- ISO/IEC 27036-2 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 2: Requisiti
- ISO/IEC 27036-3 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 3: Linee guida per la sicurezza della catena di approvvigionamento delle tecnologie dell’informazione e della comunicazione
- ISO/IEC 27036-4 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 4: Linee guida per la sicurezza dei servizi cloud
- ISO/IEC 27037 – Linee guida per l’identificazione, la raccolta, l’acquisizione e la conservazione delle prove digitali
- ISO/IEC 27038 – Specifiche per la redazione del documento digitale
- ISO/IEC 27039 – Selezione, diffusione e funzionamento dei sistemi di rilevamento e prevenzione delle intrusioni (IDPS)
- ISO/IEC 27040 – Sicurezza dello storage
- ISO/IEC 27041 – Orientamenti per garantire l’idoneità e l’adeguatezza del metodo investigativo sugli incidenti
- ISO/IEC 27042 – Linee guida per l’analisi e l’interpretazione delle evidenze digitali
- ISO/IEC 27043 – Principi e processi di indagine sugli incidenti
- ISO/IEC 27050-1 – Scoperta elettronica – Parte 1: Panoramica e concetti
- ISO/IEC 27050-2 – Scoperta elettronica – Parte 2: Orientamenti per la governance e la gestione della scoperta elettronica
- ISO/IEC 27050-3 – Scoperta elettronica – Parte 3: Codice di condotta per la scoperta elettronica
- ISO/IEC 27050-4 – Scoperta elettronica – Parte 4: Preparazione tecnica
- ISO/IEC 27701 – Tecniche di sicurezza – Extension to ISO/IEC 27001 and ISO/IEC 27002 per la gestione delle informazioni sulla privacy – Requisiti e Linee guida
- ISO 27799 – Gestione della sicurezza delle informazioni in materia di salute utilizzando ISO/IEC 27002 – guida le organizzazioni del settore sanitario su come proteggere le informazioni sulla salute personale utilizzando ISO/IEC 27002