ISO 27001: come creare una policy di sicurezza delle informazioni

Non c’è bisogno di sottolineare che per ottenere la certificazione ISO 27001 si deve essere conformi allo standard ISO 27001. Ma come si dimostra la conformità? Fornendo la documentazione necessaria che lo attesti. Tra i vari documenti richiesti risalta la policy di sicurezza delle informazioni.

Che cos’è la policy di sicurezza delle informazioni?

La policy di sicurezza delle informazioni è uno dei documenti obbligatori delineati nella Clausola 5.2 dello Standard e stabilisce i requisiti del sistema di gestione della sicurezza delle informazioni (ISMS).

La policy deve essere un documento breve e semplice – approvato dal Consiglio di Amministrazione – che definisce la direzione della gestione della sicurezza delle informazioni in conformità con i requisiti aziendali e le leggi pertinenti.

Elementi fondamentali

Una policy di sicurezza delle informazioni deve riflettere la visione dell’azienda a proposito della sicurezza delle informazioni e deve:

  • Fornire indicazioni che tutta l’azienda deve seguire in merito alla sicurezza delle informazioni;
  • Elencare gli obiettivi di sicurezza delle informazioni;
  • Contenere informazioni su come soddisfare i requisiti commerciali, contrattuali, legali o normativi; e
  • Contenere l’impegno a migliorare in modo continuo l’ISMS.

La policy dovrebbe aiutare a guidare l’approccio dell’azienda alla definizione dell’ISMS e del progetto di implementazione.

Una policy di sicurezza delle informazioni deve tenere in considerazione tutto il personale dell’azienda, e può includere anche clienti, fornitori, azionisti e terze parti. È molto importante considerare l’impatto che avrà su queste figure e sull’intera organizzazione.

Puoi trovare maggiori informazioni sulla policy di sicurezza delle informazioni nel manuale I nove passi per il successo: Compendio per l’attuazione della norma ISO 27001:2013.

Come creare la policy usando modelli precompilati

La policy di sicurezza delle informazioni è uno dei documenti più importanti del tuo ISMS.

Sapere come redigere e compilare la policy per la propria organizzazione può essere difficile, specialmente per quanto riguarda le aziende di grandi dimensioni o con una struttura complessa.

Di seguito, puoi vedere un esempio di policy di sicurezza delle informazioni creata usando un modello personalizzabile, disponibile nell’ISO 27001 ISMS Documentation Toolkit sviluppato da IT Governance.

Esempio di modello personalizzabile relativo alla policy di sicurezza delle informazioni contenuto nell’ISO 27001 ISMS Documentation Toolkit.

Il modello personalizzabile fa parte dell’ISO 27001 ISMS Documentation Toolkit, un kit di documenti precompilati e personalizzabili che ti aiuteranno a risparmiare tempo e a mantenere la documentazione relativa al progetto di implementazione ISO 27001 in perfetto ordine.

Il kit contiene:

  • Un set competo di documenti facili da usare e completamente conformi allo Standard;
  • Una dashboard di facile utilizzo e degli strumenti di analisi del gap per assicurarti una copertura completa dello Standard; e
  • Linee guida degli esperti per aiutarti lungo il percorso di implementazione.

Richiedi una prova gratuita del kit per scoprire in prima persona i benefici che otterrai dal suo uso.

Scarica la versione
in prova gratuita >>
Maggiori informazioni
sul kit di documenti >>

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.