ISO/IEC 27000

Lo Standard ISO/IEC 27001 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza dell’informazioni. La ISO/IEC 27001 fa parte della famiglia di norme molto più ampia, la ISO/IEC 270xx, che è focalizzata sulla sicurezza delle informazioni ed è generica, cioè non è relativa ad uno specifico settore di mercato. La famiglia di norme 270xx rappresenta, di fatto, sia lo standard di riferimento relativo alla sicurezza delle informazioni, che la best practices di “dettaglio” che fornisce le indicazioni su come implementare correttamente un Sistema di Gestione della Sicurezza delle Informazioni all’interno di un’Organizzazione.

Famiglia di norme ISO/IEC 270xx
Famiglia di norme ISO/IEC 270xx

La famiglia di standard ISO/IEC 27000 è focalizzata sulla sicurezza delle informazioni (quindi, non solo sulla sicurezza informatica) e non si focalizza su alcun specifico settore di mercato o tipologia di organizzazione.

Le norme sono suddivise in due categorie:

Requisiti: standard con specifiche rispetto alle quali può essere condotto un audit da parte di personale indipendente (in questo ambito, fanno parte di questa categoria le sole ISO/IEC 27001 e ISO/IEC 27006); in inglese i requisiti sono introdotti dal verbo shall, in italiano dal verbo deve.

Linee guida: manuali o raccolte di best practice disponibili per una loro selezione al fine di raggiungere un certo obiettivo; in inglese i requisiti sono introdotti dal verbo should, in italiano dal verbo dovrebbe.

La famiglia 270xx è così composta (le norme senza data di pubblicazione non sono state ancora emesse alla data di pubblicazione di questa pagina):

  • ISO/IEC 27000:2014, Information Security Management Systems – Overview and vocabulary;
  • ISO/IEC 27001:2013, Information Security Management Systems – Requirements (di cui è disponibile la traduzione ufficiale italiana UNI CEI ISO/IEC 27001:2014);
  • ISO/IEC 27002:2013 Code of practice for information security management (di cui è disponibile la traduzione ufficiale italiana UNI CEI ISO/IEC 27002:2014);;
  • ISO/IEC 27003:2010, Information Security Management System implementation guidance;
  • ISO/IEC 27004:2009, Information security management – Measurement;
  • ISO/IEC 27005:2011, Information security risk management;
  • ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems;
  • ISO/IEC 27007:2011, Guidelines for information security management systems auditing;
  • ISO/IEC 27008:2011, Guidelines for auditors on information security controls;
  • ISO/IEC 27009, The Use and Application of ISO/IEC 27001 for Sector/Service-Specific Third-Party Accredited Certifications;
  • ISO/IEC 27010:2012, Information security management guidelines for inter-sector communications;
  • ISO/IEC 27011:2008, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002;
  • ISO/IEC 27013:2012, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1.
  • ISO/IEC 27015, Information security management guidelines for financial and insurance services;
  • ISO/IEC 27014:2013,Governance of information security;
  • ISO/IEC 27016, Information security management – Organizational economics;
  • ISO/IEC 27017, Code of practice for information security controls for cloud computing services based on ISO/IEC 27002;
  • ISO/IEC 27018, Code of practice for data protection controls for public cloud computing services;
  • ISO/IEC 27019:2013, Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry.

Esistono anche delle norme non comprese sotto lo stesso titolo generale ma appartenenti comunque alla famiglia degli Information Security Management System. Tra queste si citano:

  • ISO 27799:2008, Health informatics – Information security management in health using ISO/IEC 27002;
  • ISO 31000:2009, Risk management – Principles and guidelines;
  • ISO Guide 73:2009, Risk management – Vocabulary;
  • ISO/TR 31004:2013, Risk management -- Guidance for the implementation of ISO 31000;
  • ISO 31010:2009, Risk management – Risk assessment techniques;
  • ISO 22301:2012, Societal security -- Business continuity management systems --- Requirements;
  • BS 25999-1:2006, Business Continuity Management. Code of Practice.
Share

Rispondi