UNA NORMA GARANTE DI SERIETA' IN MERITO ALLA SICUREZZA DELLE INFORMAZIONI
La norma ISO/IEC 27001 (e la sua linea guida ISO/IEC 17799) è lo standard ISO applicabile ad un ampio ventaglio di imprese operanti nella gran parte dei settori commerciali e industriali: finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi etc. L'applicazione della norma da parte di un'impresa rappresenterà una garanzia per i clienti e i fornitori, i quali sapranno con certezza che il problema della sicurezza delle informazioni viene affrontato e gestito seriamente nell'ambito dell'impresa stessa.
La 27001:2005 riprende in larga parte la BS 7799-2:2002. In particolare, i requisiti per la valutazione di un ISMS sono descritti nei primi capitoli da 4 a 8 (un capitolo è stato aggiunto perché il punto 6.4 è diventato il capitolo 6) e nell’Allegato A che riporta i controlli della ISO 17799:2005.
DESCRIZIONE DELLO STATEMENT OF APPLICABILITY
Viene detto che il SoA “deve fornire un riassunto delle decisioni relative al trattamento del rischio” e viene anche richiesto di “dimostrare, per ciascun controllo, la sua relazione con i risultati del risk assessment e del risk treatment, con la politica e con gli obiettivi”; questo documento, quindi, non dovrà più riportare solo riferimenti a procedure o documenti di descrizione in dettaglio del controllo, ma anche una descrizione dei rischi che va a contrastare.
MISURAZIONE DELL'EFFICACIA DEI CONTROLLI DI SICUREZZA
in più punti si fa riferimento alla richiesta di misurare l'efficacia dei controlli o di gruppi di controlli. Questo aspetto è sicuramente quello che rappresenta la maggiore innovazione della nuova norma e il maggiore impegno da chi ha implementato un ISMS. In particolare si potrà fare riferimento alla disponibilità dei sistemi e a statistiche sugli incidenti rilevati e gestiti, ma altri indicatori dovranno essere individuati dalle singole aziende sulla base dei dati e dei sistemi di monitoraggio che hanno a disposizione o compatibili con quelli già esistenti.
Inoltre viene esplicitato che:
- La metodologia di valutazione del rischio deve garantire risultati comparabili e riproducibili, ossia che i risultati di valutazioni del rischio in momenti diversi dell’azienda diano evidenza delle modificazioni eventualmente avvenute, e che la stessa metodologia applicata in condizioni simili dia gli stessi risultati;
- E' necessario rivedere periodicamente il risk assessment (mentre prima si chiedeva di rivedere il solo rischio accettabile);
- Va richiesto un documento che descriva la metodologia di risk assessment.