Menu

Standard ISO/IEC 27001: tutto quello che c’è da sapere

La priorità principale di DiliTrust  è garantire la massima sicurezza delle informazioni e dei dati altamente riservati dei clienti, come dimostrato dalla sua certificazione ISO 27001. Ma quali sono esattamente le aree coperte da questo rigido standard di sicurezza?

STANDARD ISO/IEC 27001: Tutto quello che c’è da sapere

La norma ISO/IEC 27001 è stata creata per la prima volta nell’ottobre 2005 per poi essere rivista nel 2013. È lo standard di sicurezza più riconosciuto a livello internazionale e riguarda tutti i tipi di organizzazioni. Ha sostituito lo standard BS 7799-2 del gruppo British Standards Institution (BSI), che aveva riunito un gruppo di enti dedicati alla standardizzazione, alla certificazione, alla formazione e al controllo della conformità.

Quello che è più importante capire della ISO/IEC 27001 è che considera la sicurezza dei dati in relazione al rischio. In questo senso definisce i requisiti per l’implementazione di un sistema di gestione della sicurezza delle informazioni (SGSI) o ISMS dall’inglese Information Security Management System.

Il suo obiettivo è quello di proteggere i dati e le informazioni da perdita, furto o alterazione. Inoltre, protegge i sistemi informatici dall’hacking o da disastri.

Per questo l’ISO/IEC 27001 è diventato una garanzia di fiducia ed è un importante asset di differenziazione per le aziende che hanno la sua certificazione. È questo il caso di Libreria Sicura di DiliTrust (Data Room).

ISO/IEC 27001: funzionamento

Il sistema di gestione della sicurezza dell’informazione o ISMS definisce un framework globale, a livello non solo tecnico ma anche organizzativo, che riunisce i sistemi informativi, i processi e le figure chiave coinvolte nelle misure di protezione.

Ogni rischio identificato si basa su un rapporto che tiene conto della probabilità che si verifichi e del suo impatto qualora si verificasse. Questo consente al management aziendale di scegliere le misure appropriate per ridurre, prevenire, condividere e accettare il rischio.

A questo fa riferimento uno specifico documento obbligatorio: la dichiarazione di applicabilità, che finalizza il Piano di Trattamento dei Rischi.

Certificazione ISO 27001: processi e sviluppi costanti

La certificazione ISO 27001 ha una durata triennale. Durante questo periodo, viene condotto un audit iniziale da enti indipendenti accreditati e a seguire due audit di sorveglianza; alla scadenza del triennio si tengono gli audit di rinnovo. Gli enti indipendenti sono certificati ISO 27006 e il loro ruolo è quello di assicurare che le deviazioni o le non conformità siano correttamente gestite. Ma anche il progresso delle attività pianificate e la sostenibilità a lungo termine dell’ISMS.

In altre parole, un’azienda che desidera ottenere la certificazione ha un forte interesse ad attuare un monitoraggio accurato e continuo, non solo dei rischi ma anche delle misure di sicurezza selezionate.

Questa prospettiva implica un processo di miglioramento continuo della sicurezza per alzarne il livello e aumentare il controllo dei rischi. Ciò implica anche la riduzione del ricorso a misure identificate come secondarie.

I benefici della certificazione ISO 27001

I Clienti affidano a Libreria Sicura di DiliTrust (Data Room) informazioni strategiche e questo richiede un elevatissimo livello di sicurezza. Ecco perché Libreria Sicura DiliTrust (Data Room) è certificata ISO 27001: il suo ISMS soddisfa i requisiti tecnici e i requisiti di gestione, aggiornamento e miglioramento continuo.

La sicurezza include la crittografia dei dati, sia in movimento che a riposo, l’utilizzo di un HSM, audit periodici, una politica di sicurezza forte ed esigente, ma anche audit di sicurezza interna, revisioni del codice e test sistematici prima che ogni nuova funzionalità venga rilasciata in produzione, test di intrusione automatizzati e giornalieri.

I server di DiliTrust sono inoltre controllati una o due volte all’anno da un’organizzazione esterna per la sicurezza informatica.

Dal lato del cliente, ogni utente è identificato da un nome utente e una password forti. La crittografia dei dati è sistematica e viene eseguita utilizzando il protocollo TLS con i più alti livelli di crittografia (a 256 bit).

Vuoi parlare con un membro del nostro team? Contatto noi!

? Ti potrebbe interessare: