Il compito della gestione del rischio connesso alla sicurezza delle informazioni è affidato ai controlli di sicurezza della sezione ANNEX A norma ISO 27001:2017 e, per alcuni di questi controlli (in grassetto nell’elenco) sono state sviluppate e documentate anche delle Procedure di sicurezza PSI-XX
I rischi connessi alla sicurezza delle informazioni si possono annidare all’interno dei processi primari e processi di supporto, e potrebbero comportare “Perdita della riservatezza, Perdita dell’integrità e Perdita della disponibilità” delle informazioni trattate.
Il trattamento del rischio relativo alla sicurezza delle informazioni ha comportato la redazione di un Piano di sicurezza delle informazioni che riporta:
- Il numero del controllo che fà riferimento al punto indicato dall’Annex A
- Categoria del controllo
- Descrizione del controllo
- Modalità di applicazione del controllo
- Responsabile dell’efficacia del controllo
I controlli di sicurezza in relazione a tutti i requisiti contemplati dall’Annex A (appendice A) della Norma ISO/IEC 27001:2017 sono ordinati nella norma secondo la seguente numerazione:
05 – Politica per la sicurezza delle informazioni
06 – Organizzazione della sicurezza delle informazioni
07 – Sicurezza delle risorse umane
08 – Gestione degli asset
09 – Controllo degli accessi
10 – Crittografia
11 – Sicurezza fisica ed ambientale
12 – Sicurezza delle attività operative
13 – Sicurezza delle comunicazioni
14 – Acquisizione, sviluppo e manutenzione sistemi
15 – Relazioni con i fornitori
16 – Gestione incidenti alla sicurezza delle informazioni
17 – Sicurezza nella gestione della continuità operativa
18 – Conformità