La sicurezza delle informazioni nelle risorse umane 27001

Nello sviluppo di una procedura per la gestione delle risorse umane bisogna prevedere la fase di selezione dei candidati, l’assunzione, la formazione, le competenze e il processo disciplinare integrando in essa i controlli di sicurezza Annex A ISO 27001

Due sono le operazioni da compiere nel sistema di gestione per la sicurezza delle informazioni, ai sensi della ISO 27001:2017, per la conformità relativa alla sicurezza nella gestione delle risorse umane. Le sviluppiamo di seguito illustrando i tre passaggi in maniera semplice e schematica.

Per prima cosa, bisogna creare una procedura che tenga sotto controllo le persone (risorse umane), le loro competenze, la loro consapevolezza a riguardo dei rischi e le policy per la sicurezza delle informazioni, le loro abilità operativo-metodologiche in riferimento al loro “ruolo” nel sistema di gestione 27001. Poi si passa all’integrazione dei controlli di sicurezza dell’Annex A della norma all’interno della procedura così da assicurare l’integrazione dei controlli di sicurezza all’interno del processo di gestione delle persone.

La procedura per la gestione delle persone e delle competenze

La procedura, per rispettare i requisiti relativi ai punti 7.2 e 7.3 della ISO 27001:2017, deve disciplinare le seguenti fasi del processo di gestione delle risorse umane:

Come riportato nell’esempio, la procedura da redigere deve stabilire i responsabili per ciascuna fase del processo di gestione delle persone (risorse umane) e le loro competenze. Ovviamente, le attività di lavoro compiute in conformità a quanto prevede ciascuna fase, devono essere documentate in specifiche “registrazioni” che attestano il rispetto dei requisiti normativi relativi ai punti 7.2 e 7.3 della ISO 27001:2017.

L’integrazione dei controlli di sicurezza dell’Annex A

A riguardo della sicurezza delle informazioni nell’ambito della gestione delle risorse umane, l’Annex A della ISO 27001:2017 prevede la serie di controlli n. 7 Sicurezza delle risorse umane. Di seguito abbiamo illustrato, in formato tabellare, il modo in cui il sistema di gestione per la sicurezza delle informazioni deve:

Identificare il singolo controllo di sicurezza
Stabilire come integrare il controllo all’interno del proprio processo di gestione delle risorse umane
Indicare le registrazioni documentate che danno evidenza oggettiva dell’integrazione del controllo nel sistema di gestione
Attribuire la responsabilità dell’efficacia “concreta” del controllo nella protezione della sicurezza delle informazioni

Le tabelle riportate in alto sono tratta dal Piano di sicurezza delle informazioni redatto in occasione dello sviluppo del punto 6 Pianificazione della ISO 27001:2017.

SCARICA I DIMOSTRATVI GRATUITI DELLA MODULISTICA ISO/IEC 27001:2017

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Come gestire la sicurezza delle informazioni attraverso la gestione delle risorse umane ai sensi della ISO/IEC 27001:2017

Questo sito utilizza i cookies