Dobbiamo sviluppare due tipologie di procedure. Le gestionali dedicate al funzionamento del sistema di gestione e quelle di sicurezza dedicate all’applicazione dei controlli presenti nell’Annex A della ISO 27001. Iniziamo a sviluppare le gestionali
Con le indicazioni che seguono puoi sviluppare il sistema di gestione della sicurezza delle informazioni nella sua parte più operativa e cioè quella dedicata ai processi e quindi alle procedure che li disciplinano.
Se con l’analisi del contesto e la valutazione dei rischi per la sicurezza delle informazioni l’azienda ha compreso quali informazioni proteggere e da quali rischi, con la pianificazione l’azienda decide come proteggere le informazioni definendo il Piano di sicurezza delle informazioni, così come richiesto dai requisiti del punto 6 della ISO 27001
I controlli dell’Annex A della norma, individuati nel Piano di sicurezza delle informazioni, devono essere integrati nelle attività dell’azienda. Devono cioè essere ” applicati praticamente ” nel concreto svolgimento delle attività di lavoro:
- Dal personale aziendale che elabora le informazioni (responsabili di processi, operatori, etc.)
- Dal personale aziendale individuato per proteggere le informazioni (amministratore di sistema, IT manager, responsabile del sistema informativo, etc.)
Le procedure gestionali
Per sviluppare il sistema di gestione per la sicurezza delle informazioni in maniera efficiente conviene elaborare per prima le procedure gestionali che disciplinano il funzionamento dell’azienda secondo i requisiti della ISO 27001.
Tra queste suggeriamo di elaborare le procedure dedicate ai seguenti aspetti:
- Monitoraggio del contesto
- Organizzazione del personale aziendale
- Gestione dei rischi e delle opportunità
- Elaborazione e gestione degli obiettivi
- Gestione degli asset
- Gestione del personale e delle competenze
- Gestione della comunicazione
- Gestione delle informazioni documentate
- Monitoraggio, misurazione e analisi dei risultati relativi alla sicurezza
- Organizzazione e gestione degli audit interni
- Riesame di direzione
- Gestione delle non conformità
- Miglioramento del sistema
All’interno delle fasi di lavoro disciplinate da queste procedure, per quanto possibile, devono essere integrati i controlli della sicurezza delle informazioni così come previsto dal Piano di sicurezza delle informazioni.
Nella procedura relativa ad esempio alla gestione degli asset della sicurezza devono essere integrati i controlli dell’Annex A dedicati alla gestione degli asset di cui riportiamo l’elenco:
- 8.1.1 Inventario degli asset
- 8.1.2 Responsabilità degli asset
- 8.1.3 Utilizzo accettabile degli asset
- 8.1.4 Restituzione degli asset
Nella procedura dedicata alla gestione del personale e delle competenze invece, devono essere integrati i controlli dell’Annex A che si riferiscono alle risorse umane quali ad esempio quelli del punto 7:
- 7.1.1 Screening
- 7.1.2 Termini e condizioni di impiego
- 7.2.1 Responsabilità della direzione
- 7.2.2 Consapevolezza, istruzione, formazione
- 7.2.3 Processo disciplinare
- 7.3.1 Cessazione o variazione delle responsabilità
Le procedure di sicurezza
Per attuare alcuni controlli di sicurezza per le informazioni, elencati dall’Annex A della ISO 27001, conviene creare delle procedure dedicate (procedure di sicurezza) piuttosto che procedere con la loro integrazione nelle procedure gestionali.
- Il telelavoro
- Il controllo degli accessi
- La crittografia
- La sicurezza fisica e ambientale
- La sicurezza operativa
- La sicurezza delle comunicazioni
- La gestione del sistema informativo
- Il disaster recovery (la gestione degli incidenti della sicurezza)
- La continuità operativa
- La conformità a leggi, regolamenti, decreti
Si tratta di controlli di sicurezza la cui complessità richiede l’elaborazione specifica di procedure mirate. Le procedure di sicurezza che suggeriamo di elaborare riguardano:
