Per la conformità alla ISO 27001, dobbiamo progettare due livelli di politica differenti nel sistema di gestione . Il primo per soddisfare il requisito 5.2 della Norma, l’altro deve prevedere singole policy più specifiche, per soddisfare i controlli dell’Annex A
Vuoi procedere allo sviluppo della politica per la sicurezza delle informazioni senza perdere tempo?
Per prima cosa, nell’ambito dello sviluppo della Leadership definisci la Politica di sicurezza generale.
Poi, in occasione dell’implementazione del Piano della sicurezza delle informazioni (o Dichiarazione di applicabilità), stabilisci le seguenti 9 policy:
- Politica per l’impiego dei dispositivi portatili
- Politica per il telelavoro
- Politica per il controllo degli accessi
- Politica dell’impiego di controlli crittografici
- Politica di schermo e scrivania puliti
- Politica di backup
- Politica per il trasferimento delle informazioni
- Politica per lo sviluppo sicuro
- Politica per la sicurezza nei rapporti con i fornitori
I passi da compiere sono due. Gli esempi pratici che seguono possono fornirti degli efficaci suggerimenti per strutturare la Politica per la sicurezza e le policy previste nei controlli. Per prima cosa è importante comprendere una differenza: quella cioè che intercorre tra il termine espresso in lingua italiana “politica” nella ISO 27001 e il termine utilizzato dall’Annex A, in inglese, “policy”.
La politica per la sicurezza delle informazioni ai sensi del 5.2 della ISO 27001
Non bisogna farsi confondere dalla somiglianza. Il termine “politica“, espresso in italiano, si riferisce ad una assunzione di responsabilità di generale di conduzione della sicurezza delle informazioni da parte dell’organizzazione. Si tratta di una politica che riguarda in generale tutte la sicurezza. Dal requisito ISO 27001 appare evidente la portata generale del termine che intende inglobare le finalità dell’organizzazione, tutti gli obiettivi, tutti i requisiti, etc.
Le policy dell’Annex A dei controlli di sicurezza della ISO 27001
Il termine “policy“, lasciato volutamente in lingua inglese nell’Annex A dallo stesso ente di normazione, ha un significato tutt’altro che “generale”. Al contrario “le policy” richieste dall’Annex A vanno intese nel significato originario della lingua anglosassone che traduce policy in regole.
Regole per i dispositivi portatili, regole per il telelavoro, regole per il controllo degli accessi, etc.
Nel Piano della sicurezza delle informazioni è necessario documentare il duplice approccio dell’organizzazione: alla Politica e alle policy. Un esempio potrebbe essere il seguente:
