ISO 27001: come definire e documentare gli obiettivi di sicurezza delle informazioni

Come parte del progetto di certificazione ISO 27001, la tua organizzazione deve dimostrare di essere conforme allo Standard fornendo la documentazione appropriata. Una volta che hai creato una policy di sicurezza delle informazioni, una procedura di valutazione del rischio ed un piano di trattamento del rischio, sarai pronto a definire gli obiettivi di sicurezza delle informazioni per la tua organizzazione.

I tuoi obiettivi devono essere misurabili

La clausola 6.2 dello standard ISO 27001 delinea i requisiti che le organizzazioni devono soddisfare quando creano gli obiettivi di sicurezza delle informazioni. Uno di questi è la misurabilità degli obiettivi, ove possibile.

Avere degli obiettivi misurabili significa evitare situazioni in cui sono i membri del personale a decidere se un obiettivo è stato raggiunto o no. Lasciare la scelta ai singoli porterà a report imprecisi o imparziali, influenzati da coloro che desiderano avere un investimento maggiore nella sicurezza delle informazioni o da coloro che, al contrario, sostengono che le misure esistenti siano già adeguatamente efficaci.

Ma di preciso, cosa dovresti misurare? E Come? ISMS.online suggerisce di tenere a mente i tre principi fondamentali di ISO 27001: riservatezza, integrità e disponibilità.

Secondo ISMS.online, [per noi è fondamentale] “mettere i nostri sistemi a disposizione dei nostri clienti. Il nostro obiettivo di utilizzo dei sistemi è del 99,5% e lo misuriamo ogni mese. Altri obiettivi misurabili sono il non avere problemi nel fare i backup e il non dover ricorrere a misure riparative in seguito a problemi”.

Gli obiettivi di sicurezza delle informazioni variano a seconda del settore e della maturità dell’ISMS (sistema di gestione della sicurezza delle informazioni). Con il tempo, dovrai rivederli ed adattarli ai cambiamenti interni ed esterni all’organizzazione.

Come documentare gli obiettivi

La creazione di obiettivi misurabili è solo uno dei requisiti della clausola 6.2 dello Standard. Ci sono dieci requisiti in totale, la maggior parte dei quali si concentrano sulla capacità dell’organizzazione di comunicare gli obiettivi allo staff, pianificare e implementare le modifiche quando sorgono problemi.

Se non si sa da che parte iniziare, è meglio affidarsi agli esperti di sicurezza delle informazioni ed usare il Kit di documenti ISO 27001 da loro creato.

Tra i vari modelli di documenti precompilati e personalizzabili che trovi al suo interno, il Kit contiene un documento che ti mostra nel dettaglio come documentare la conformità della tua organizzazione allo Standard, accelerando così il tuo progetto.

Il modello di documenti ti semplifica la documentazione degli obiettivi di sicurezza delle informazioni.

Il Kit di documenti ISO 27001 comprende:

  • Un set completo di modelli di documenti obbligatori e di supporto, facili da usare, personalizzabili e conformi allo Standard;
  • Degli strumenti di analisi del gap per assicurarti la copertura completa dello Standard; e
  • Le linee guida ed i suggerimenti degli esperti di sicurezza delle informazioni e ISO 27001 di IT Governance.

Per maggiori informazioni, scarica la versione di prova del kit e scopri in prima persona quanto risparmi in tempo e denaro.

Scarica la versione
in prova gratuita >>
Maggiori informazioni
sul kit di documenti >>

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.