L’applicazione dei controlli presenti nell’Annex A della ISO 27001 e l’integrazione nelle procedure gestionali e nelle procedure di sicurezza. Redigi l’elenco completo dei controlli di sicurezza , le registrazioni di sistema e la loro applicazione
Se procedi a creare un elenco ordinato di tutti i controlli che sono presenti nell’Annex A della Norma ISO 27001:2017 riuscirai facilmente a pianificare l’attuazione dei controlli di sicurezza necessari a proteggere le informazioni e ad adempiere ai requisiti presenti nel punto 6 della Norma e cioè la Pianificazione.
Per dare evidenza oggettiva della conformità ai requisiti normativi, in corrispondenza di ciascun controllo previsto dall’Annex A, ti suggeriamo di indicare esattamente:
- Il numero N da applicare al controllo (un semplice numero naturale 1,2,3, etc.)
- Un’indicazione che specifica se il controllo è stato incluso IN oppure NO nel sistema di gestione
- La modalità con cui il controllo è stato applicato
- Il riferimento documentale (registrazione) che dà evidenza oggettiva dell’applicazione del controllo
- Il responsabile dell’efficacia del controllo nei confronti dei rischi per le informazioni
Piano per la sicurezza delle informazioni
Le procedure di sicurezza
Riportiamo per comodità un esempio che dispone in maniera tabellare la corrispondenza tra i controlli dell’Annex A e la loro applicazione in un sistema di gestione per la sicurezza delle informazioni.
Il documento che descrive in maniera dettagliata l’applicazione dei controlli dell’Annex A della ISO 27001:2017 costituisce il Piano di sicurezza delle Informazioni.
La norma ISO 27001:2017 richiede una vera e propria “Dichiarazione di applicabilità” relativa a tali controlli che l’azienda deve attuare ai fini della conformità e della conseguente certificazione del sistema di gestione per la sicurezza delle informazioni. Il piano di sicurezza delle informazioni adempie formalmente anche a questo requisito.
Obiettivi per la sicurezza delle informazioni
A seguito della redazione del Piano di sicurezza delle Informazioni, nello sviluppo di un sistema di gestione per la sicurezza delle informazioni, l’azienda deve determinare i propri obiettivi. La norma ISO 27001:2017 infatti, al punto 6.2 prevede che il sistema debba esprimere la propria efficacia raggiungendo, nei fatti, degli accettabili livelli di sicurezza per le informazioni.
Fai molta attenzione agli obiettivi!
Devono essere correlati allo scopo finale di tutto il lavoro che è sempre (e rimane sempre) quello di proteggere le informazioni dai rischi di perdita di riservatezza, integrità e disponibilità.
Il suggerimento per un sistema efficace è quello di stabilire:
- Degli indicatori di sicurezza nei confronti degli asset di sicurezza identificati nell’inventario degli asset
- Un obiettivo (livello misurabile di sicurezza desiderato) per ciascun indicatore
- Come verrà misurata la “performance” e cioè il risultato effettivamente raggiunto in termini di sicurezza per le informazioni, rispetto all’obiettivo determinato
Il lavoro potrebbe essere ispirato dall’esempio che segue nel quale abbiamo determinato un obiettivo per la sicurezza delle informazioni in riferimento alle risorse umane. L’obiettivo è documentato attraverso la modulistica.
Fai bene attenzione ai dettagli.
L’obiettivo è assolutamente correlato alla sicurezza delle informazioni. Se vuoi che il sistema sia efficace non sottovalutare l’impiego della tecnica S.M.A.R.T. utilizzata per determinare l’obiettivo.
Smart è un acronimo che tradotto in italiano suggerisce di determinare l’obiettivo assicurando che sia:
S Specifico- Specific
A Basato sull’azione-Achievable (espresso attraverso un verbo)
R Realistico- Realistic (compatibile con le risorse disponibili)
T Basato su Tempi e costi- Time-Related
