Lo Standard ISO 27001:2014 è una norma internazionale che stabilisce i requisiti di un Sistema di Gestione della Sicurezza delle Informazioni, in particolare per gli aspetti della sicurezza fisica, logica ed organizzativa (Information Security Management System – ISMS).
La norma ISO 27001:2014 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente accreditato indipendente.
La norma è applicabile a tutte le imprese private o pubbliche in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda.
Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo del nuovo standard ISO 27001:2014 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.
L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2008 ed il Risk management, basandosi sull’approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell’ottica del miglioramento continuo.
La conformità alla ISO 27001, pur accreditata da un organismo autorizzato, non solleva l’organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy.
La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati personali, sensibili, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s’interessa anche dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’organizzazione.