La presentazione di Salvatore Fabbricatore sul tema della ISO 27001 utilizzata in occasione del webinar AIAS Piemonte e Valle d'Aosta del 13 dicembre 2021
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
ISO 27001 - Intervento di Salvatore Fabbricatore
1. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
1
2. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
2
Lo standard ISO/IEC 27001 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle
Informazioni. Questi sistemi sono stati concepiti per proteggere le attività che trattano informazioni e
sono basati su principi, obiettivi, politiche e valutazione dei rischi volte a tutelare i tre pilastri
fondamentali che garantiscono la sicurezza di dati e informazioni in qualsiasi modo trattate:
Riservatezza delle informazioni
Riservatezza significa proteggere le informazioni dagli accessi da parte di soggetti non autorizzati. In
altre parole, all’interno dell’organizzazione, solo chi è autorizzato può accedere alle informazioni
riservate.
Integrità delle informazioni
Integrità vuol dire garantire l'autenticità dell'informazione, che tale informazione non sia alterata e che
la sorgente dell’informazione sia autentica. La mancanza di integrità si manifesta nell’occasione in cui
vengano apportate modifiche (di qualunque tipo e non autorizzate) alle informazioni gestite.
Disponibilità delle informazioni
Disponibilità significa che l'informazione è accessibile agli utenti autorizzati.
3. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
3
Questo standard è applicabile
non solo ad organizzazioni con
profilo IT
quasi tutte le organizzazioni,
indipendentemente dall’attività
esercitata, possono trattare
informazioni sensibili circa i
propri clienti, collaboratori, altre
parti interessate e, in alcuni casi,
anche il grande pubblico.
4. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
4
16:30 - 16:45
"Presentazione di AIAS e AIAs Piemonte"
Salvatore Fabbricatore, segretario regionale AIAS Piemonte
16:45 - 17:00
"La funzione della certificazione nell'ambito della sicurezza dei dati"
Antonio Lucchini – CEO dell’Ente di Certificazione SQS ITALIA.
17:00 - 17:15
"Il processo di implementazione di un sistema di gestione per la sicurezza dei dati"
Salvatore Fabbricatore – Consulente sistemi di gestione
17:15 - 17:30
"Il processo di certificazione di un sistema di gestione per la sicurezza dei dati e principali non conformità
rilevate"
Alberto Rencurosi – SQS ITALIA Area Manager Nord Ovest
17:30 - 17:45
"L'impatto sull'azienda dell'implementazione della ISO 27001"
Alessandro Bellone – Direttore di produzione Elipse srl.
17:45 - 18:00
Spazio per domande e risposte
PROGRAMMA
5. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
5
6. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
6
7. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
7
8. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
8
Fonte: QNA AIAS n° 8/2020
9. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
9
Fonte: QNA AIAS n° 8/2020
10. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
10
Fonte: QNA AIAS n° 8/2020
11. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
11
ANALISI DEI RISCHI
12. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
12
ANALISI DEI RISCHI
13. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
13
ANALISI DEI RISCHI
14. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
14
ANALISI DEI RISCHI
15. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
15
ANALISI DEI RISCHI
16. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
16
ANALISI DEI RISCHI
17. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
17
ANALISI DEI RISCHI
18. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
18
ANALISI DEI RISCHI
19. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
19
ANALISI DEI RISCHI
20. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
20
Per quanto riguarda la politica per la sicurezza delle informazioni, l’organizzazione
adotta due livelli di politica per la sicurezza delle informazioni.
▪ Il livello più alto, livello A, documenta la politica generale all’interno dell’All-05-
20-A Politica per la qualità e la sicurezza delle informazioni.
▪ Il livello inferiore, livello B, documenta le politiche specifiche per argomento. Le
politiche specifiche sono riportate nella documentazione di sistema (es.:
Istruzioni operative per la sicurezza (IOS) con riferimento agli specifici controlli
dell'Annex A.
POLITICA PER LA SICUREZZA DELLE INFORMAZIONI
E STATEMENT OF APPLICABILITY DELLA NORMA
21. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
21
La norma ISO/IEC 27001 specifica una serie di requisiti obbligatori che devono essere soddisfatti per
implementare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme con lo
standard certificabile.
La norma richiede all’Organizzazione di determinare i rischi per la sicurezza delle informazioni e come
tali rischi devono essere trattati.
L’Annex (A) alla norma ISO/IEC 27001 delinea una serie di controlli che devono ovviamente essere
applicabili all’Organizzazione (che è comunque libera di scegliere strutture alternative e controlli che
soddisfano le loro specifiche esigenze di sicurezza).
In tal senso la Direzione definisce una Dichiarazione di Applicabilità (SOA)
SOA
Statement of Applicability
22. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
22
SOA
Statement of Applicability
23. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
23
SOA
Statement of Applicability
24. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
24
SOA
Statement of Applicability
AREA 5 : POLITICA PER LA SICUREZZA DELLE INFORMAZIONI
Obiettivo: Fornire gli indirizzi ed il supporto della direzione per la sicurezza delle informazioni in accordo con i
requisiti di business, con le leggi e con i regolamenti pertinenti.
AREA 6 : ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI
Obiettivo 6.1 : Stabilire un quadro di riferimento gestionale per intraprendere e controllare l’attuazione e l’esercizio
della sicurezza delle informazioni all’interno dell’organizzazione.
Obiettivo 6.2 : ……………………
AREA 7 : SICUREZZA DELLE RISORSE UMANE
Obiettivo 7.1 : Assicurare che il personale e i collaboratori comprendano le proprie responsabilità e siano adatti a
ricoprire i ruoli per i quali sono presi in considerazione.
Obiettivo 7.2 : ………………
Obiettivo 7.3 : ………………
AREA 8 ………………………
………………………..
25. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
25
Esempio (1): controllo A.6.2.2 – Telelavoro
Obiettivo: assicurare la sicurezza del telelavoro nell’uso di dispositivi portatili
Controllo: devono essere attuate una politica e delle misure di sicurezza a suo supporto per proteggere le
informazioni consultate, elaborate e memorizzate presso siti di telelavoro.
26. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
26
27. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
27
6.2.2 Telelavoro
Previsione contrattuali del telelavoro
La nostra organizzazione prevede che alcune attività lavorative possano essere eseguite all’esterno dei locali delle sue
sedi ed in particolare in un ambiente idoneo a:
▪ eseguire la prestazione lavorativa in maniera sicura, efficace ed efficiente almeno tanto quanto sarebbe “in ufficio”;
▪ custodire i necessari dispositivi di lavoro in maniera sicura;
▪ preservare la sicurezza delle informazioni contenute negli asset;
▪ consentire al lavoratore di poter godere del comfort “adeguato” e della necessaria concentrazione (assenza di
distrazioni).
▪ ………………………..
Il telelavoro è disciplinato, ai sensi di legge e conformemente alle specifiche normative in merito, dal contratto di lavoro
che lega l’organizzazione al lavoratore, sia tale contratto di natura individuale o collettiva.
Responsabilità nel telelavoro
RDP Produzione ha la responsabilità:
▪ della supervisione delle attività lavorative compiute in regime di telelavoro;
▪ della sicurezza delle informazioni ad esse associate;
▪ della predisposizione dei controlli di sicurezza.
▪ ……………………..
28. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
28
Telelavoro come misura per la business continuity
L’organizzazione considera il Telelavoro uno strumento efficace da impiegare quando condizioni improvvise ed avverse
dovessero rendere impossibile il proseguire delle attività lavorative all’interno dei locali dell’organizzazione. Il telelavoro
rappresenta, di conseguenza, anche una misura per la “business continuity”.
Regole di prevenzione per il telelavoro
L’organizzazione, allo scopo di tenere sotto controllo i rischi per la sicurezza delle informazioni nell’ambito del telelavoro
applica la politica di sicurezza basata sulle seguenti regole:
▪ rende consapevole il personale, attraverso interventi di formazione, dei pericoli che possono compromettere la
riservatezza, l’integrità e la disponibilità delle informazioni e dei controlli di sicurezza da applicare;
▪ fornisce i dispositivi portatili e vieta l’impiego di dispositivi personali;
▪ amministra il telelavoro con strumenti che permettono la pianificazione e la verifica delle attività eseguite da remoto;
▪ rende disponibile l’assistenza da parte dell'amministratore di sistema – IT Manager per la soluzione di problemi
tecnici;
▪ rende disponibile l’assistenza da parte del RSGI per l'applicazione delle procedure di sicurezza;
▪ predispone apposite utility software per la rendicontazione del lavoro svolto da remoto;
▪ vieta l’impiego di “postazioni di lavoro” occasionali.
6.2.2 Telelavoro
29. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
29
Esempio (2): controllo A.16.1.1 – Responsabilità e procedure
Obiettivo: Assicurare un approccio coerente ed efficace per la gestione degli incidenti relativi alla sicurezza
delle informazioni, incluse le comunicazioni relative agli eventi di sicurezza ed ai punti di debolezza
Controllo: devono essere stabilite le responsabilità e le procedure di gestione per assicurare una risposta rapida,
efficace ed ordinata agli incidenti relativi alla sicurezza delle informazioni.
30. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
30
31. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
31
Introduzione al disaster recovery plan dell'organizzazione
A fronte dei rischi che incombono sulle informazioni, l'organizzazione ha già stabilito i controlli di sicurezza interni che
mantengono il rischio generale ad un livello basso. Tali controlli sono documentati all'interno del Mod-07-10-M-
Inventario degli asset. La probabilità, tuttavia, che determinati incidenti possano accadere, ancorché bassa, non rende
impossibili tali eventi. Se i controlli applicati internamente alla struttura, finalizzati alla protezione delle informazioni
dovessero risultare, in condizioni critiche, inefficaci, compromessi, o comunque non funzionanti, l'organizzazione
mette in atto delle azioni la cui finalità è quella di poter riacquisire, nel più breve tempo possibile, la disponibilità delle
informazioni.
Scopo
La presente IOS ha lo scopo di disciplinare la modalità con cui l'organizzazione gestisce la sopravvenuta indisponibilità
delle informazioni causata dalla distruzione dei supporti residenti nella sua struttura fisica (locali della sede: ufficio
progettazione, ufficio amministrazione, ecc.). Le cause della distruzione dei supporti, come abbiamo visto
nell'identificazione e la valutazione dei rischi, possono consistere in fenomeni fisici o atmosferici quali ad esempio:
▪ Allagamenti (a seguito di eventi atmosferici eccezionali o di guasti/rotture dell’impianto idrico)
▪ Terremoti
▪ Incendi
16.1.1 Responsabilità e procedure
32. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
32
La presente procedura, che scaturisce dall'analisi e dalla valutazione dei rischi, rappresenta il DISASTER RECOVERY
PLAN, ossia il Piano di recupero delle informazioni da attuare in caso di disastro.
L'organizzazione, in generale, per il recupero delle informazioni non più disponibili, adotta il "backup" la cui politica
ed il cui funzionamento sono disciplinati nella procedura di sicurezza IOS-12 – Sicurezza delle attività operative, nel
paragrafo dedicato.
L'organizzazione adotta una soluzione di disaster recovery (di cui il backup è solo una componente) che è stata
progettata in relazione alle caratteristiche tecniche della struttura IT, tenendo conto della quantità di informazioni
che potrebbe "andare persa" a causa di uno degli eventi precedentemente indicati. Per il "ricovero" delle
informazioni, l'organizzazione ha optato per un’infrastruttura informatica completamente ridondante con dati
replicati fuori sede. …………
16.1.1 Responsabilità e procedure
33. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
33
SOA
Statement of Applicability
34. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
34
Nel mese di agosto del 2019 è stata pubblicata la Norma ISO/IEC 27701, che,
basandosi sui requisiti della ISO/IEC 27001, fornisce la possibilità di estendere lo
scopo di applicazione di quest’ultima al perimetro della gestione della Privacy -
GDPR - Regolamento generale sulla protezione dei dati (UE/2016/679). I due
standard possono esser certificati in combinazione.
ISO/IEC 27701 - Gestione delle informazioni sulla privacy
35. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
35
L’implementazione di un Sistema di gestione conforme alle norme ISO/IEC 27701 e ISO 27001
consentirà di soddisfare i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in
materia di protezione dei dati e dimostrerà che sono stati predisposte “misure tecniche e
organizzative appropriate” (articolo 32) per proteggere i dati personali che vengono trattati,
proteggendo i diritti degli interessati, in linea con il principio di accountability descritto nel
Regolamento (articolo 5).
Articolo 32
Sicurezza del trattamento
1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del
trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del
trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di
sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso……….
ISO/IEC 27701 - Gestione delle informazioni sulla privacy
36. Dott. Salvatore Fabbricatore
ISO/IEC 27001
SISTEMI DI GESTIONE PER LA SICUREZZA
DELLE INFORMAZIONI
Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO)
Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943
info@studiofabbricatore.it – www.studiofabbricatore.it
36
L’articolo 42 del GDPR tratta dei meccanismi di certificazione della protezione dei dati. Anche se
non è ancora stata definita e riconosciuta ufficialmente come meccanismo valido in tal senso
dalle autorità competenti (EDPB e Garante), tuttavia è possibile ottenere la certificazione ISO
27001 – e per estensione ISO 27701 – accreditata in modo indipendente da un certification body
riconosciuto, dimostrando così a tutti gli stakeholder che la vostra organizzazione segue le migliori
pratiche internazionali in tema di protezione dei dati personali.
Articolo 42
Certificazione
1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione
di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare
la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.
Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.
ISO/IEC 27701 - Gestione delle informazioni sulla privacy