ISO 27001:2005

La 27001:2005 riprende in larga parte la BS 7799-2:2002.
In particolare, i requisiti per la valutazione di un ISMS sono descritti nei primi capitoli da 4 a 8 (un capitolo è stato aggiunto perché il punto 6.4 è diventato il capitolo 6) e nell’Allegato A che riporta i controlli della ISO 17799:2005.

La descrizione dello Statement of Applicability: viene detto che il SoA “deve fornire un riassunto delle decisioni relative al trattamento del rischio” e viene anche richiesto di “dimostrare, per ciascun controllo, la sua relazione con i risultati del risk assessment e del risk treatment, con la politica e con gli obiettivi”; questo documento, quindi, non dovrà più riportare solo riferimenti a procedure o documenti di descrizione in dettaglio del controllo, ma anche una descrizione dei rischi che va a contrastare;

Misurazione dell’efficacia dei controlli di sicurezza: In più punti si fa riferimento alla richiesta di misurare l'efficacia dei controlli o di gruppi di controlli. Questo aspetto è sicuramente quello che rappresenta la maggiore innovazione della nuova norma e il maggiore impegno da chi ha implementato un ISMS. In particolare si potrà fare riferimento alla disponibilità dei sistemi e a statistiche sugli incidenti rilevati e gestiti, ma altri indicatori dovranno essere individuati dalle singole aziende sulla base dei dati e dei sistemi di monitoraggio che hanno a disposizione o compatibili con quelli già esistenti.

Come elementi di minor rilievo si segnalano:

• viene esplicitato che la metodologia di valutazione del rischio deve garantire risultati comparabili e riproducibili, ossia che i risultati di valutazioni del rischio in momenti diversi dell’azienda diano evidenza delle modificazioni eventualmente avvenute, e che la stessa metodologia applicata in condizioni simili dia gli stessi risultati
• viene esplicitata la necessità di rivedere periodicamente il risk assessment, mentre prima si chiedeva di rivedere il solo rischio accettabile
• viene esplicitamente richiesto un documento che descriva la metodologia di risk assessment.

La norma  ISO/IEC 27001 (e la sua linea guida ISO/IEC 17799) è applicabile ad un ampio ventaglio di imprese operanti nella gran parte dei settori commerciali e industriali: finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi etc. L'applicazione della norma da parte di un'impresa rappresenterà una garanzia per i clienti e i fornitori, i quali sapranno con certezza che il problema della sicurezza delle informazioni viene affrontato e gestito seriamente nell'ambito dell'impresa stessa.

Torna sopra