Questo sito utilizza i cookie. Visualizza la nostra informativa sui cookie
Chiudere

ISO 27001 e GDPR

ISO/IEC 27001 è un punto di partenza per raggiungere i requisiti tecnici e operativi richiesti dal Regolamento generale sulla protezione dei dati (GDPR, anche conosciuto com RGPD) per prevenire una violazione dei dati.

Nello specifico, un’azienda che ha implementato lo Standard ha già fatto almeno la metà del lavoro richiesto per raggiungere la piena conformità al GDPR, minimizzando il rischio di violazione dei dati.

Il Regolamento afferma che le imprese devono adottare politiche, procedure e processi appropriati per proteggere i dati personali in loro possesso.

L’articolo 32 del Regolamento richiede specificatamente alle imprese, a seconda dei casi, di:

  • Adottare misure per pseudonimizzare e crittografare i dati personali;
  • Garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione;
  • Ripristinare la disponibilità e l’accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico;
  • Implementare un processo per testare e valutare ad intervalli regolari l’efficacia delle misure tecniche ed organizzative per garantire la sicurezza del trattamento.

Inoltre, l’articolo 32 prevede che i rischi derivanti “dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso in modo accidentale o illegale a dati personali” siano identificati e mitigati.

Un efficace sistema di gestione della sicurezza delle informazioni (ISMS) conforme allo standard ISO 27001 soddisferà tutti i requisiti menzionati sopra.

 


Il GDPR offre indicazioni su come evitare una violazione dei dati?

L’articolo 32 dichiara che sono necessarie misure tecniche per proteggere i dati. Sebbene fornisca esempi di misure e controlli di sicurezza, l’articolo non fornisce indicazioni dettagliate su cosa si dovrebbe fare per evitare una violazione dei dati.

Nonostante ciò, il GDPR invita le aziende ad adottare le migliori pratiche e raccomandazioni esistenti in materia, come lo standard ISO 27001.

 


Come migliorare la sicurezza delle informazioni rispettando il GDPR

Sebbene molte aziende comprendono l’importanza di implementare le giuste procedure per rilevare, segnalare e indagare una violazione dei dati, non molte sono invece a conoscenza di come procedere in modo efficace.

I sette passaggi che ti aiutano a prevenire una violazione dei dati:

  1. Scopri dove si trovano le informazioni personali che detieni;
  2. Identifica tutti i rischi che potrebbero causare una violazione dei dati personali;
  3. Applica le misure (o controlli) più appropriate per mitigare i rischi;
  4. Implementa le politiche e le procedure necessarie a supportare tali controlli;
  5. Conduci test e verifiche periodiche per assicurarti che i controlli funzionino come previsto;
  6. Rivedi, segnala e aggiorna i tuoi piani in modo regolare;
  7. Implementa un ISMS completo e solido.

ISO 27001, lo standard internazionale di sicurezza delle informazioni, può aiutarti a raggiungere tutti i punti citati sopra e a proteggere anche tutte le altre informazioni aziendali riservate.

 


Come ISO 27001 può aiutarti a rispettare il GDPR

  • ISO 27001 è uno standard di gestione internazionale che fornisce un quadro comprovato per la gestione della sicurezza delle informazioni. Utilizza un insieme integrato di politiche, procedure, documenti e tecnologie raccomandate sotto forma di un Sistema di gestione della sicurezza delle informazioni (ISMS, conosciuto anche come SGSI in italiano).
  • Un ISMS è un sistema che aiuta a gestire, monitorare, controllare e migliorare le pratiche di sicurezza delle informazioni dell’azienda in un unico posto, in modo coerente ed economico.
  • Facendo ricorso ad un approccio onnicomprensivo, un ISMS allineato allo Standard può aiutare l’azienda a proteggere tutte le sue informazioni aziendali e la proprietà intellettuale, non soltanto i dati personali.
  • Essere conforme ISO 27001 significa che l’azienda ha adottato misure per identificare e gestire in modo regolare i rischi per la sicurezza dei dati. In tal modo, è in grado di tenere il passo con la costante evoluzione delle minacce alla sicurezza.
  • ISO 27001 fornisce indicazioni per l’attuazione di misure appropriate per mitigare tali rischi, con misure tecniche raccomandate in linea con i requisiti del GDPR.
  • Un ISMS conforme allo standard ISO 27001 non solo fornisce una serie di controlli tecnici appropriati, politiche e procedure, processi per il monitoraggio e miglioramento continuo, ma promuove anche la cultura e la consapevolezza della sicurezza delle informazioni in tutta l’azienda.
  • L’ottenimento della certificazione ISO 27001 garantisce in modo indipendente che il proprio ISMS è stato testato e verificato in modo conforme agli standard accettati a livello internazionali per le pratiche di sicurezza delle informazioni.
  • Il conseguimento della certificazione ISO 27001 può anche fornire prove convincenti del fatto che sono state adottate le misure necessarie per soddisfare i requisiti di sicurezza dei dati richiesti dal GDPR.

 


Infografica: 9 modi con cui ISO 27001 ti aiuta a conformarti al GDPR

 

Perchè le misure tecniche non sono sufficienti per la conformità al GDPR?

Le aziende spesso credono, erroneamente, che usare tecnologie all’avanguardia le aiuterà a prevenire le violazioni dei dati. Perchè si sbagliano?

  • Senza un programma completo di sicurezza delle informazioni che prenda in considerazione anche persone e processi, la tecnologia da sola non sarà in grado di fornire una protezione adeguata. I processi aziendali mediocri e i problemi relativi al personale sono tra i punti più comuni di insuccesso nella sicurezza dei dati.
  • La conformità ISO 27001 richiede un impegno per la sicurezza delle informazioni in tutta l’organizzazione. Senza questa impegno, i migliori piani di sicurezza delle informazioni falliscono.
  • Essere conformi ISO 27001 significa che l’azienda rivede ed aggiorna in modo costante il proprio ISMS in linea con le modifiche all’ambiente delle minacce e agli sviluppi del business. Senza un sistema di gestione efficace, i controlli vengono spesso lasciati isolati, diventando ridondanti e disfunzionali.
  • Ottenere la certificazione ISO 27001 aiuta l’azienda ad ottenere una valutazione esterna ed esperta dell’efficacia dei suoi piani di sicurezza delle informazioni, assicurando che le misure implementate siano funzionanti.

 


Che altro si deve fare?

Oltre a raggiungere la conformità ISO 27001, l’azienda deve anche soddisfare determinati requisiti aggiuntivi richiesti dal GDPR coperti da un quadro di riservatezza come la norma BS 10012:2017 – Specification for a personal information management system (PIMS). IT Governance raccomanda l’adozione di entrambi gli standard come parte di un regime di conformità completo.

 


Libri verdi gratuiti

Per saperne di più, scarica i nostri libri verdi gratuiti:

 

Parla con un esperto

Contatta il nostro team per consigli e assistenza sui nostri prodotti e servizi.