Che cosa è la politica per la sicurezza delle informazioni in un sistema di gestione ISO/IEC 27001

La politica per la sicurezza delle informazioni è una dichiarazione “documentata”, strutturata secondo specifici requisiti, che l’alta direzione deve emanare nelle fasi iniziali di sviluppo del sistema di gestione per la sicurezza delle informazioni.

Il suo sviluppo è un requisito della ISO 27001:2017 per l’implementazione del sistema di gestione.

Il punto fondamentale da centrare, nella redazione della politica per la sicurezza delle informazioni prevista al requisito 5.2 della norma ISO 27001:2017, quello più indicativo, ma non per questo l’unico su cui prestare attenzione è indicato alla lettera b.

Il requisito, esaminandolo attentamente, prevede che l’organizzazione, all’interno della politica per la sicurezza delle informazioni, includa gli obiettivi di sicurezza. Quegli obiettivi che vengono sviluppati nell’ambito dello sviluppo dei requisiti legati alla Pianificazione del punto 6.2.

Obiettivo strategico

Proteggere le informazioni, critiche trattate dall’organizzazione, dai rischi relativi alla perdita della riservatezza, dell’integrità e della disponibilità.

Stabilito l’obiettivo strategico per la sicurezza delle informazioni che è alla base del sistema di gestione “modellato” dalla ISO 27001:2017, gli obiettivi che vanno nella pianificazione possono essere sviluppati, rispetto al nucleo centrale, assumendo un carattere più operativo.

La politica, quindi, parte da un “nucleo motivazionale” che coincide essenzialmente con l’obiettivo strategico che è alla base del sistema di gestione per la sicurezza delle informazioni.

Per ragioni di pratica è bene considerare che la dichiarazione della politica non deve riportare integralmente gli obiettivi, non deve cioè elencare gli obiettivi specifici, misurabili, tempificati così come invece deve accadere nell’ambito della Pianificazione.

Banner ISO 27001-winple

Obiettivi per la pianificazione

Gli obiettivi per la sicurezza delle informazioni devono necessariamente comprendere tutto il campo di applicazione del sistema stesso. Devono riguardare cioè l’intero impianto di sicurezza per le informazioni che l’organizzazione si appresta ad implementare per raggiungere l’obiettivo strategico.

Tali obiettivi devono essere rivolti a degli elementi che, nel loro insieme, devono comprendere l’intera “macchina” che si mette in moto con l’avvio del sistema di gestione riguardando:

  • La sicurezza delle risorse umane, intesa come affidabilità e competenza
  • La sicurezza nella rete informatica e delle comunicazioni
  • La sicurezza del software
  • La sicurezza dei dispositivi di elaborazione (computer)
  • La sicurezza della sede fisica dell’organizzazione e degli archivi (cartacei e database)
  • La sicurezza degli impianti e degli stessi dispositivi che devono garantire la sicurezza per le informazioni

Quelle espressamente richieste, che vanno ad aggiungersi ai controlli dell’Annex A sono le seguenti:

  • Politica per i dispositivi portatili
  • Politica di controllo degli accessi
  • Politica sull’uso dei controlli crittografici
  • Politica di schermo e scrivania puliti
  • Politiche e procedure per il trasferimento delle informazioni
  • Politica per lo sviluppo sicuro
  • Politica per la sicurezza delle informazioni nei rapporti con i fornitori

Il termine rende in italiano il significato di “regole”. L’organizzazione cioè deve stabilire delle policy e cioè delle regole, in aggiunta alla politica per la sicurezza in generale delle informazioni (prevista al requisito 5.2).

Con l’aggiunta dell’Annex A (allegato della norma), la ISO 27001:2017 prevede che anche altre “politiche” vengano sviluppate. Ma in tale caso, il termine più appropriato da utilizzare al posto del vocabolo “politiche” consiste nella sua traduzione in inglese e cioè “policy”.

Quando questi obiettivi sono stati definiti attribuendo loro un risultato specifico e misurabile da raggiungere entro una data ben precisa, non soltanto abbiamo sviluppato il requisito 6.2 della 27001:2017 ma abbiamo anche degli indirizzi chiari con cui “deliberare” una politica per la sicurezza delle informazioni che non si limiti ad essere un’enunciazione vaga e, soprattutto, priva di direzione.

Il termine rende in italiano il significato di “regole”. L’organizzazione cioè deve stabilire delle policy e cioè delle regole, in aggiunta alla politica per la sicurezza in generale delle informazioni (prevista al requisito 5.2).

Quelle espressamente richieste, che vanno ad aggiungersi ai controlli dell’Annex A sono le seguenti:

  • Politica per i dispositivi portatili
  • Politica di controllo degli accessi
  • Politica sull’uso dei controlli crittografici
  • Politica di schermo e scrivania puliti
  • Politiche e procedure per il trasferimento delle informazioni
  • Politica per lo sviluppo sicuro
  • Politica per la sicurezza delle informazioni nei rapporti con i fornitori
Scarica elenco dei contenuti del Kit Procedure ISO 27001 | Edizione 2020 | in formato .PDF

Il prodotto è in promozione a 287€!

Kit Sistemi di gestione ISO 27001

Pacchetto completo di strumenti e modulistica comprendente manualeprocedure di businesssupportosicurezza delle informazioni e modulistica completamente modificabili e personalizzabili che consentono di implementare un sistema di gestione per la sicurezza delle informazioni partendo da una base di contenuti già pronti (stimata all’85%).

Acquista ora in promo a 287€