La norma include anche i requisiti per la valutazione ed il trattamento dei rischi relativi alla sicurezza delle informazioni adattati alle necessità dell’azienda ed è quindi applicabile a tutte le organizzazioni, indipendentemente dalla loro tipologia, dimensione e natura. Tale norma è comunque principalmente utilizzata dalle aziende informatiche e di servizi e dalle società di grandi dimensioni, nonché dalle aziende che operano in settori ritenuti critici per quanto riguarda la garanzia della sicurezza dei dati ed informazioni che l’azienda utilizza per sé stessa o per il proprio business verso i clienti.
Attraverso l’applicazione delle indicazioni contenute nello standard ISO/IEC 27001, un’organizzazione può sviluppare un Sistema di Gestione per la Sicurezza delle Informazioni efficace, efficiente e certificabile.
Obiettivi della norma
L'obiettivo della certificazione ISO/IEC 27001 è proprio quello di inquadrare l’insieme delle problematiche che la singola organizzazione deve considerare per sviluppare un sistema di gestione per la sicurezza delle informazioni capace di un’efficace protezione dei dati e delle informazioni.
Il Sistema di Gestione per la Sicurezza delle Informazioni può inoltre essere uno strumento che, a partire dall’analisi delle informazioni aziendali da proteggere e delle minacce e vulnerabilità a cui una organizzazione può essere soggetta (risk assessment), aiuta ad identificare le adeguate contromisure per garantire:
- riservatezza delle informazioni (accessibilità solo agli utenti autorizzati)
- integrità delle informazioni (al sicuro da eventuali danneggiamenti, dolosi o involontari)
- disponibilità delle informazioni (facilmente fruibili on demand).
La norma specifica anche una serie di controlli, raggruppati in 4 famiglie (organizzativi, sul personale, fisici, tecnologici) che devono essere valutati ed applicati dall’organizzazione per garantire la sicurezza delle informazioni.