La famiglia della ISO/IEC 27000

Al mondo d'oggi, in un contesto in cui le realtà aziendali traboccano di informazioni, la sicurezza di queste informazioni è più importante che mai. Cosa può offrire, quindi, alle organizzazioni la famiglia sempre in espansione dei sistemi di gestione della sicurezza delle informazioni (SGSI)?

• ISO/IEC 27001: è la più importante tre le norme sui SGSI; adotta un approccio basato sui rischi ed incoraggia il miglioramento continuo dei processi;
• la seconda norma più importante è la ISO/IEC 27002 (in precedenza, BS 7799 Parte 1 ed ISO/IEC 17799): è un codice di prassi per la gestione della sicurezza delle informazioni.

Tra gli altri appartenenti alla famiglia SGSI troviamo:

• ISO/IEC 27003: fornisce una guida a supporto della ISO/IEC 27001 per l'implementazione di un sistema di gestione della sicurezza delle informazioni;
• ISO/IEC 27004: fornisce consigli su cosa, quando e come adottare delle misure per la sicurezza delle informazioni;
• ISO/IEC 27005: fornisce consigli e guida su metodi e tecniche di gestione del rischio SGSI a supporto dei processi di gestione del rischio ISO/IEC 27001;
• ISO/IEC 27006: fornisce i requisiti per l'accreditamento della certificazione riferita all'implementazione di SGSI che si basano sui requisiti ISO/IEC 27001. Questa norma dettaglia i requisiti di certificazione specifici dei SGSI ed è utilizzata in abbinamento alla ISO/IEC 17021-1, la norma generale per l'accreditamento.

In aggiunta a quanto sopra, l'ISO/IEC JTC1/SC27 sta sviluppando vari documenti specifici di settore a supporto della famiglia della ISO/IEC 27000, tra cui:

• ISO/IEC 27011: requisiti per le telecomunicazioni
• ISO/IEC 27012: requisiti per l'industria automotoristica
• ISO/IEC 27013: requisiti per l'associazione mondiale delle lotterie
• ISO/IEC 27014: requisiti per i sistemi informativi dei trasporti

Il SC27 è il comitato responsabile per tutte le norme SGSI ed il professor Edward Humphreys ne dirige la sezione SGSI.