ISO 27001:

sicurezza delle
informazioni e percorso
di certificazione

White paper

Abstract
Un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) è uno strumento indispensabile per
un’organizzazione che voglia proteggersi da attacchi informatici e violazioni dei dati. La norma ISO/IEC 27001
fornisce un quadro di riferimento per lo sviluppo e l’implementazione di un SGSI, efficace per ridurre i rischi
complessivi legati alla sicurezza delle informazioni, supportando le organizzazioni nella conformità alle norme e
ai requisiti di sicurezza applicabili, ed aiutandole a sviluppare la cultura della sicurezza.

TÜV SÜD
Indice Introduzione
INTRODUZIONE 3 I dati digitali, informazioni vitali
per le aziende di ogni settore
CHE COS’È LA ISO/IEC 27001 4 e dimensione, sono sempre
più frequentemente oggetto di
LA STRUTTURA DELLA ISO/IEC 27001:2013 5 attacchi informatici e violazioni,
aumentando il rischio di frode
per imprese, istituzioni e semplici
IL PERCORSO DI CERTIFICAZIONE SECONDO LA ISO/IEC 27001 7
consumatori, oltre a causare
ingenti danni economici in caso di
I VANTAGGI DELLA CERTIFICAZIONE ISO/IEC 27001 8
incidenti. Ancora più preoccupante
è il rischio per alcuni elementi
CONCLUSIONI 9
critici delle infrastrutture, come ad
esempio gli impianti di generazione
elettrica ed energetica, dove gli
attacchi informatici potrebbero
potenzialmente causare la paralisi
totale di comunità e grandi città.
2 Orientarsi nella ISO/IEC 27001 | TÜV SÜD TÜV SÜD | Orientarsi nella ISO/IEC 27001
Un efficace Sistema di Gestione
per la Sicurezza delle Informazioni
(SGSI) può supportare le imprese
di tutte le dimensioni a difendersi
dagli attacchi informatici e da
altre pericolose violazioni di dati.
Lo standard ISO/IEC 27001 fornisce
uno schema dettagliato per lo
sviluppo, l’implementazione e la
manutenzione di un sistema di
gestione per la sicurezza delle
informazioni, e la certificazione
ISO/IEC 27001 è un importante
passo che evidenzia gli sforzi di
un’organizzazione per proteggere
la propria infrastruttura IT e i dati
digitali in suo possesso.
Questo white paper illustra le
origini e la struttura della norma
ISO/IEC 27001, descrive il processo
di certificazione secondo questo
standard ed illustra i potenziali
benefici che derivano dalla sua
adozione.
Lo standard ISO/IEC 27001
può supportare le imprese
nel difendersi da attacchi
informatici e da altri tipi di
violazioni di dati.
3
Cos’è la ISO IEC 27001?
L’ISO/IEC 27001 è uno standard
riconosciuto a livello internazionale
e pubblicato dalla International
Organization for Standardization
(ISO), che specifica i requisiti per
l’implementazione e il mantenimento
di un Sistema di Gestione per la
Sicurezza delle Informazioni (SGSI),
efficace contro i rischi legati alla
sicurezza delle informazioni.
Le organizzazioni che ottengono
la certificazione ISO/IEC 27001
rafforzano la loro capacità
di proteggersi dagli attacchi
informatici e di prevenire l’accesso
indesiderato a dati sensibili o
informazioni riservate.
Pubblicato la prima volta nel 2005,
lo standard ISO/IEC 27001 si basa
sulla BS 7799 Parte 2 ”Sistema
di Gestione della Sicurezza delle
Informazioni - Requisiti e guida
4 Orientarsi nella ISO/IEC 27001 | TÜV SÜD
per l’uso”, rilasciata dal British
Standards Institute nel 1999. Nella
sua prima pubblicazione, la ISO/IEC
27001 si basava in gran parte sul
principio “Plan - Do - Check - Act”
(PDCA), poi ampiamente utilizzato da
altre norme sui sistemi di gestione.
La revisione della norma del 2013 ha
adottato lo schema attuale, presente
nell’Annex SL delle Direttive ISO/
IEC. L’Annex SL impone l’uso di
una struttura e di una terminologia
comune per tutti i gli standard
di Sistema di Gestione, sia per i
nuovi che per quelli attualmente
in revisione, e mantiene il “Plan -
Do - Check - Act”, ma solo come
principio fondamentale.
La ISO/IEC 27001: 2013 sottolinea
l’importanza di misurare e valutare
l’efficacia di un SGSI, e comprende
una sezione dedicata alla gestione
dei servizi IT in outsourcing, dal
momento che molte organizzazioni
si avvalgono di collaborazioni con
aziende esterne per il supporto IT,
anziché gestirli internamente.
Il campo di applicazione della
norma ISO/IEC 27001 è destinato a
coprire tutti i tipi di informazione
in ogni loro forma: dati digitali,
documenti, disegni, fotografie,
comunicazione elettroniche e
registrazioni.
La struttura e i requisiti della ISO/IEC 27001:2013
Dopo aver adottato la struttura e la terminologia definite nell’Annex SL delle Direttive ISO/IEC, la ISO/IEC 27001:2013
risulta sostanzialmente differente dall’edizione originale dello standard del 2005. Inoltre, esso è stato semplificato
per eliminare gli elementi ridondanti e fornire maggiore flessibilità nell’applicazione dei requisiti.
A seguire, un breve sommario dei requisiti della ISO/IEC 27001:2013
NUMERO REQUISITO DESCRIZIONE REQUISITO
Requisito 0: Introduzione Lo standard segue un approccio per processi per l’implementazione di un SGSI. L’edizione 2013 ha eliminato
i riferimenti specifici al modello “plan - do - check - act”
Requisito 1: Scopo e Lo standard specifica i requisiti generali per un SGSI che può essere implementato nelle organizzazioni di
campo di applicazione ogni tipo e dimensione
Requisito 2: Riferimenti La norma ISO/IEC 27000 “Tecniche di sicurezza - sistemi di gestione della sicurezza informatica -
normativi panoramica e terminologia” è l’unico riferimento normativo per la ISO/IEC 27001
Requisito 3: Termini e Lo standard fa riferimento alla ISO/IEC 27000 per tutti i termini e le definizioni.
definizioni
Requisito 4: Contesto Lo standard prevede che un’organizzazione valuti e tenga conto di tutti i fattori interni ed esterni che
dell’organizzazione possono condizionare l’implementazione del SGSI. Tali fattori potrebbero comprendere politiche formali,
obblighi contrattuali e legali, requisiti normativi, condizioni ambientali nonché la cultura dell’organizzazione
stessa.
Requisito 5: Leadership Questo requisito dello standard richiede che la dirigenza di un’organizzazione stabilisca una politica della
sicurezza delle informazioni e una leadership complessiva con responsabilità e autorità per attuare tale
politica e che promuova attivamente nell’organizzazione il valore e l’importanza della sicurezza delle
informazioni.
Requisito 6: Il requisito relativo alla pianificazione prevede la valutazione dei rischi specifici di un’azienda in
Pianificazione materia di sicurezza delle informazioni e lo sviluppo di un piano d’azione per affrontarli. Questo
requisito si riferisce all’Allegato A sui possibili meccanismi di controllo del rischio da considerare,
ma l’organizzazione è la prima responsabile nella determinazione dei controlli specifici necessari per
affrontare i rischi identificati.
Requisito 7: Supporto La norma richiede che un’organizzazione fornisca le risorse necessarie per stabilire, attuare, mantenere
e migliorare continuamente i propri SGSI. Prevede inoltre lo sviluppo e il controllo delle informazioni
documentate sul SGSI.
Requisito 8: Attività Questo requisito prevede l’esecuzione delle politiche, delle pratiche e dei processi che sono coperti
operative dalle clausole precedenti, l’obbligo di mantenere opportune registrazioni che documentano i risultati e
lo svolgimento di valutazioni della performance a intervalli pianificati.
Requisito 9: Valutazione Secondo questo requisito, un’organizzazione deve monitorare, misurare, analizzare e valutare il suo
delle prestazioni SGSI a intervalli pianificati per valutarne l’adeguatezza e l’efficacia.
Requisito 10: Quest’ultimo requisito presenta il concetto di miglioramento continuo e l’importanza di individuare non
Miglioramento conformità e di adottare misure correttive per migliorare l’efficacia del SGSI.
TÜV SÜD | Orientarsi nella ISO/IEC 27001 5
Oltre a questi dieci requisiti, la ISO/IEC 27001:2013 comprende anche l’Allegato A, dal titolo “Obiettivi di controllo e Il percorso di certificazione secondo la ISO/IEC 27001
controlli di riferimento”, che identifica 114 specifici controlli, presi direttamente dalla linea guida ISO/IEC 27002:2013
sulla Gestione della Sicurezza delle Informazioni, categorizzati sotto uno dei 14 differenti “Obiettivi di controllo” come
segue:
L’implementazione di un SGSI secondo i requisiti della norma ISO/IEC 27001 e l’ottenimento della relativa
certificazione prevedono una serie di interventi specifici. Naturalmente i passi necessari per l’attuazione di un
SGSI non sono uguali per tutte le aziende, essendo diverse le problematiche e il grado di preparazione, tuttavia,
NUMERO ALLEGATO DESCRIZIONE ALLEGATO le operazioni indicate di seguito si applicano alla maggior parte delle organizzazioni, indipendentemente dal loro
settore o livello di preparazione:
A.5: Politiche per la sicurezza delle Tratta di come le politiche di sicurezza delle informazioni sono scritte, riesaminate e
informazioni (2 controlli) revisionate
OTTENERE L’IMPEGNO DEL MANAGEMENT AZIENDALE
A.6: Organizzazione della sicurezza delle Dettaglia come vengono assegnati i ruoli e le responsabilità; include anche controlli per i
informazioni (7 controlli) dispositivi mobili e il telelavoro. Per il successo dell’implementazione di qualunque Sistema di Gestione, compreso un SGSI, è necessario l’impegno del management aziendale
ai suoi livelli più alti. Senza questo, le altre priorità di business renderanno inevitabilmente vani tutti gli sforzi di implementazione del sistema.
A.7: Sicurezza delle risorse umane Riguarda i controlli prima, durante e dopo il rapporto di lavoro
(6 controlli)
A.8: Gestione degli asset (10 controlli) Comprende beni durevoli e non, compresa la classificazione di informazioni e la gestione DEFINIRE UNA POLITICA PER LA SICUREZZA DELLE INFORMAZIONI
dei media L’organizzazione identifica e definisce la sua politica per la sicurezza delle informazioni basata sugli obiettivi specifici che desidera raggiungere,
policy che farà da schema per futuri sviluppi, indicando la direzione da seguire e ponendo i principi base sulla sicurezza delle informazioni.
A.9: Controllo degli accessi (14 controlli) Copre tutti gli aspetti riguardanti l’accesso, come i requisiti di controllo degli accessi,
la gestione degli accessi degli utenti e del sistema e l’accesso e il controllo delle
applicazioni.
DEFINIRE L’AMBITO DEL SGSI
A.10: Crittografia (2 controlli) Riguarda la crittografia e il controllo della gestione delle chiavi d’accesso
Attuando una politica per la sicurezza delle informazioni, l’organizzazione identifica quegli aspetti specifici del sistema di gestione della sicurezza
A.11: Sicurezza fisica e ambientale Dettaglia i controlli applicabili ad aree di sicurezza e alle attrezzature delle informazioni che possono effettivamente rientrare nell’ambito del suo SGSI.
(15 controlli)

A.12: Sicurezza delle attività operative
(14 controlli)
A.13: Sicurezza delle comunicazioni
(7 controlli)
A.14: acquisizione, sviluppo e
manutenzione dei sistemi (13 controlli)
A.15: Relazioni con i fornitori
(5 controlli)
A.16: Gestione degli incidenti relativi
alla sicurezza delle Informazioni
(7 controlli)
A.17: Aspetti relativi alla sicurezza
delle informazioni nella gestione della
continuità operativa (4 controlli)
A.18: Conformità (8 controlli)
Include i controlli effettuati sulle operazioni di sicurezza IT, come il controllo del
software operativo, la protezione da malware, il backup, la registrazione e il
monitoraggio, la gestione tecnica delle vulnerabilità e le considerazioni dell’audit
Comprende i controlli relativi alla sicurezza della rete, la segregazione, i servizi di rete, il
trasferimento di informazioni e di messaggi
È dedicata ai controlli per i requisiti di sicurezza dei sistemi informativi e della sicurezza
nei processi di sviluppo e supporto
Tratta i controlli per monitorare i fornitori lungo tutta la catena di approvvigionamento
Include i controlli per la segnalazione di eventi riguardanti la sicurezza e di eventuali
criticità, le procedure per intervenire e la raccolta di prove
Dettaglia i controlli necessari per la pianificazione di una business continuity sicura,
comprese le procedure, le pratiche di verifica e la ridondanza del sistema
Si applica ai controlli necessari per identificare le leggi e i regolamenti vigenti di
sicurezza e per condurre revisioni sulla sicurezza delle informazioni
COMPLETARE UN RISK ASSESSMENT DELLE ATTUALI PRATICHE DI SICUREZZA DELLE INFORMAZIONI
Applicando le metodologie più appropriate, l’organizzazione effettua una valutazione approfondita dei rischi per identificare quelli attualmente
presi in considerazione e quelli che ancora necessitano di attenzione.
IDENTIFICARE E IMPLEMENTARE MISURE PER IL CONTROLLO DEL RISCHIO
L’azienda implementa, valuta e mette in pratica le azioni identificate per ridurre i rischi individuati nel risk assessment. I risultati di queste misure
e pratiche vengono poi monitorati e modificati secondo le necessità per migliorarne l’efficacia.
CONDURRE UN PRE-AUDIT (OPZIONALE)
Una volta implementato un SGSI testato e approvato, l’organizzazione può effettuare un pre-audit per identificare potenziali problematiche
che potrebbero avere un impatto negativo sull’esito dell’audit di certificazione. Ogni non-conformità rispetto ai requisiti della ISO/IEC 27001 è
segnalata ai fini della fattibilità dell’audit di certificazione.
CONDURRE UN AUDIT DI CERTIFICAZIONE PER LA SGSI
In ultimo, viene richiesto a un ente di certificazione indipendente di effettuare un audit formale del SGSI aziendale per la conformità alla ISO/IEC
27001; in caso di esito positivo dell’audit, viene emessa la certificazione.

I controlli di cui all’Allegato A sono individuati come possibili meccanismi di controllo del rischio per soddisfare i
requisiti indicati nel capitolo 6 della norma. Tuttavia, l’organizzazione è tenuta a fare una individuazione completa e
EFFETTUARE AUDIT DI SORVEGLIANZA
indipendente dei meccanismi di controllo specifici per fronteggiare i rischi che deve affrontare.
Le aziende che ottengono la certificazione ISO/IEC 27001 sono soggette a audit di sorveglianza annuali per verificare il mantenimento della
compliance ai requisiti dello standard. Ogni tre anni è necessario effettuare nuovamente l’audit di certificazione.

6 Orientarsi nella ISO/IEC 27001 | TÜV SÜD TÜV SÜD | Orientarsi nella ISO/IEC 27001 7
I vantaggi della Certificazione ISO/IEC 27001 Conclusioni
Le organizzazioni che certificano il loro Sistema di Gestione per la Sicurezza delle Informazioni secondo i requisiti della Tra le organizzazioni di ogni
norma ISO/IEC 27001 ottengono una serie di importanti vantaggi, quali: dimensione e settore va aumentando
l’incidenza di attacchi informatici e
di violazioni della sicurezza dei dati,
Conformità legislativa e normativa compresi quelli personali o sensibili,
Un sistema di gestione certificato ISO/IEC 27001 può aiutare un’organizzazione a soddisfare causando significativi danni
i requisiti legali e normativi applicabili in molte giurisdizioni, oltre a quelli contrattuali per finanziari e reputazionali.
lavorare con altre società. Nel caso di violazioni della sicurezza
dei dati relativamente a elementi di
Approccio sistematico infrastrutture critiche, può essere
La ISO/IEC 27001 fornisce un approccio sistematico e formale alla sicurezza dei dati, compromessa la sicurezza di milioni
aumentando il livello di protezione delle informazioni private e riservate. di persone e il benessere delle
comunità, di qualunque dimensione
Riduzione dei rischi siano. Un Sistema di Gestione per la
Una maggiore sicurezza dei dati riduce anche i rischi complessivi per l’azienda e contribuisce Sicurezza delle Informazioni ha un
a ridurre l’entità dei danni in caso di violazioni. ruolo fondamentale nel controllo e
nella riduzione dei rischi associati
agli attacchi informatici sui dati
digitali; la norma ISO/IEC 27001
fornisce infatti un modello per la
realizzazione e la manutenzione di un
SGSI efficace, e le organizzazioni
che conseguono la certificazione
secondo questo standard possono
ridurre significativamente i rischi e
le conseguenze associate alla
violazione dei dati.
Infine, la ISO/IEC 27001 è
compatibile con altri standard di
Sistemi di Gestione, facilitando il
processo di verifica per quelle
organizzazioni certificate rispetto a
diversi standard.
TÜV SÜD è un leader globale nelle
certificazioni di Sistema di Gestione
secondo le norme ISO/IEC 27001,
ISO 9001, ISO 14001 e secondo altri
standard. Con oltre 54.000
certificazioni di Sistemi di Gestione
emesse ad oggi, l’ente ha
l’esperienza necessaria nelle attività
di verifica e certificazione di
organizzazioni di ogni tipo e settore.
Possiamo anche supportare le
organizzazioni nella transizione alla
ISO/IEC 27001, fornendo un percorso
agevole verso la ricertificazione.

Riduzione dei costi

Riducendo il rischio di violazioni della sicurezza delle informazioni, la certificazione ISO/IEC
può effettivamente ridurre i costi ad essa associati e i danni derivanti dalla violazioni dei dati.

Vantaggio di mercato
Le organizzazioni che hanno conseguito la certificazione ISO/IEC 27001 mettono in evidenza
il loro impegno per la sicurezza delle informazioni sensibili, ottenendo così un importante
vantaggio sul mercato rispetto ai concorrenti non certificati.

8 Orientarsi nella ISO/IEC 27001 | TÜV SÜD TÜV SÜD | Orientarsi nella ISO/IEC 27001 9
COPYRIGHT NOTICE
The information contained in this document represents the current view of TÜV SÜD on the issues discussed as of the date of publication. Because TÜV SÜD must respond to changing
market conditions, it should not be interpreted to be a commitment on the part of TÜV SÜD, and TÜV SÜD cannot guarantee the accuracy of any information presented after the date of
publication.
This White Paper is for informational purposes only. TÜV SÜD makes no warranties, express, implied or statutory, as to the information in this document. Complying with all applicable
copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or
transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of TÜV SÜD.
TÜV SÜD may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided
in any written license agreement from TÜV SÜD, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property.
ANY REPRODUCTION, ADAPTATION OR TRANSLATION OF THIS DOCUMENT WITHOUT PRIOR WRITTEN PERMISSION IS PROHIBITED, EXCEPT AS ALLOWED UNDER THE COPYRIGHT
LAWS. © TÜV SÜD Group – 2014 – All rights reserved - TÜV SÜD is a registered trademark of TÜV SÜD Group.

Le informazioni contenute in questo documento rappresentano la posizione di TÜV SÜD sui temi trattati alla data di pubblicazione del documento. Poichè TÜV SÜD deve rispondere
alle mutevoli condizioni del mercato, quanto espresso non deve essere interpretato come un impegno da parte di TÜV SÜD, che non può garantire l’accuratezza delle informazioni
successivamente alla data di pubblicazione del documento, che ha scopi esclusivamente informativi. TÜV SÜD non fornisce alcuna garanzia, espressa, implicita o di legge, per quanto
riguarda le informazioni contenute in questo documento. Il rispetto di tutte le leggi applicabili sul copyright è responsabilità dell’utente. Fermo restando tutti i diritti coperti da copyright,
nessuna parte di questo documento può essere riprodotta, memorizzata o inserita in un sistema di recupero, o trasmessa in qualsiasi forma e con qualsiasi mezzo (elettronico, meccanico,
tramite fotocopiatura o registrazione o altro), o per qualsiasi scopo, senza l’autorizzazione scritta di TÜV SÜD.
TÜV SÜD può possedere o aver richiesto brevetti marchi, copyright o altri diritti di proprietà intellettuale relativi all’oggetto del presente documento. Salvo quanto espressamente
previsto in un contratto scritto di licenza da parte di TÜV SÜD, questo documento non dà alcuna licenza su notifiche, marchi, copyright o altra proprietà intellettuale. OGNI
RIPRODUZIONE, ADATTAMENTO O TRADUZIONE DI QUESTO DOCUMENTO SENZA PREVIA AUTORIZZAZIONE SCRITTA DA PARTE DI TÜV SÜD SONO VIETATI, tranne per quanto
consentito dalle leggi sul copyright. © TÜV SÜD Group - 2014 - Tutti i diritti riservati - TÜV SÜD è un marchio registrato di TÜV SÜD Group.

DISCLAIMER
All reasonable measures have been taken to ensure the quality, reliability, and accuracy of the information in the content. However, TÜV SÜD is not responsible for the third-party content
contained in this newsletter. TÜV SÜD makes no warranties or representations, expressed or implied, as to the accuracy or completeness of information contained in this newsletter.
This newsletter is intended to provide general information on a particular subject or subjects and is not an exhaustive treatment of such subject(s). Accordingly, the information in this
newsletter is not intended to constitute consulting or professional advice or services. If you are seeking advice on any matters relating to information in this newsletter, you should
– where appropriate – contact us directly with your specific query or seek advice from qualified professional people. The information contained in this newsletter may not be copied,
quoted, or referred to in any other publication or materials without the prior written consent of TÜV SÜD. All rights reserved © 2014 TÜV SÜD.

Sono state adottate tutte le misure possibili per garantire la qualità, l’affidabilità e l’accuratezza delle informazioni contenute. Tuttavia TÜV SÜD non è responsabile per i contenuti
di terzi citati in questo documento. TÜV SÜD non fornisce garanzie o dichiarazione espressa o implicita, circa l’accuratezza e la completezza delle informazioni contenute in questo
documento. Esso è destinato a fornire informazioni di carattere generale su un particolare argomento, o argomenti, e non è una trattazione esaustiva di tale argomento/i. Di conseguenza,
le informazioni in esso contenute non sono destinate a costituire oggetto di consulenza o di pareri o servizi professionali. Se siete interessati alle questioni oggetto di questo documento
dovete contattarci direttamente con una richiesta specifica o chiedere consiglio a qualificati professionisti. Le informazioni contenute in questo documento non possono essere copiate,
citata/e, in qualsiasi altra pubblicazione o materiale senza il preventivo consenso scritto di TÜV SÜD. Tutti i diritti riservati © 2014 TÜV SÜD.

10 Orientarsi nella ISO/IEC 27001 | TÜV SÜD

Orientarsi nella ISO/IEC 27001
www.tuv.it/sistemidigestione
tuv.ms@tuv.it

Scegli la certezza. Aggiungi valore.

TÜV SÜD è un fornitore premium di servizi in ambito sostenibilità, qualità, sicurezza, oltre che in attività di prova,
ispezioni, audit, certificazione e formazione. Presente con oltre 800 sedi nel mondo, possiede accreditamenti in Europa,
Nord e Sud America, Medio Oriente e Asia. Offre servizi che rappresentano un concreto valore aggiunto per le imprese,
i consumatori e l’ambiente.

2014 © TÜV SÜD AG | V-M/MS/27.0/it/SG

TÜV Italia srl

Via Carducci 125, pal. 23
20099 Sesto San Giovanni, Milano, Italia
+39 02 24130.1
www.tuv.it