La serie ISO/IEC 27000 "Information Security Management Systems (ISMS) Family of Standards"^[1] (anche nota, in Italia, come famiglia di norme SGSI, “Sistemi di Gestione per la Sicurezza delle Informazioni”^[2]) è uno standard di sicurezza informatica redatto dalla ISO. Raggruppa un insieme di norme internazionali che si prefiggono di proteggere le informazioni che vengono mantenute ed elaborate da un’organizzazione. Attraverso questa famiglia di norme, le organizzazioni possono sviluppare ed implementare un proprio sistema per la gestione della sicurezza informatica per le informazioni finanziarie, la proprietà intellettuale ed i dati degli addetti, di clienti o di terzi. Le informazioni vengono protette da possibili attacchi informatici, errori umani, calamità naturali o da qualsiasi altra vulnerabilità che si può presentare durante l’utilizzo di un sistema informatico.

La serie ISO/IEC 27000 fornisce un modello, definito da esperti di settore, da seguire nella creazione e mantenimento di un sistema di gestione.
Le norme delle serie:

definiscono i requisiti per creare un SGSI e per coloro che certificano questi sistemi;
forniscono una guida per progettare, attuare, mantenere e migliorare un SGSI;
esprimono le linee guida nei vari ambiti di utilizzo di un SGSI;
valutano la conformità di un SGSI.

La serie ISO/IEC 27000 è applicabile a tutte le organizzazioni di qualsiasi tipo e dimensione, esempio sono società commerciali, governative e organizzazioni non a scopo di lucro. Tutte le organizzazioni sono incoraggiate a valutare i loro rischi informativi, quindi a trattarli in base alle loro esigenze, utilizzando il manuale e i suggerimenti del caso. Data la natura dinamica del rischio e della sicurezza delle informazioni, il SGSI incorpora un feedback continuo e attività di miglioramento per rispondere ai cambiamenti delle minacce, delle vulnerabilità o degli impatti degli incidenti.

Enti che la pubblicano

[modifica | modifica wikitesto]

Le norme della serie ISO/IEC 27000 vengono pubblicate congiuntamente da ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) che insieme formano un sistema specializzato per la standardizzazione a livello mondiale. In particolare le norme della serie ISO/IEC 27000 vengono redatte dal Sottocomitato 27 (SC27, Tecniche di Sicurezza IT) del Comitato Tecnico Congiunto (JCT1, Tecnologia dell’Informazione) di ISO/IEC, sigla completa ISO/IEC STC1 SC27.

Alle attività del SC27 partecipano 50 nazioni con diritto di voto e 19 nazioni come osservatori, per un totale di 69 paesi a cui si aggiungono 35 enti, soggetti e progetti internazionali attraverso liaison. L'Italia ha diritto di voto ed è rappresentata da UNINFO, ente federato di UNI (Ente Nazionale Italiano di Unificazione o anche chiamato Ente Italiano di Normazione) per l'intero settore delle tecnologie informatiche. All'interno di UNINFO è strutturato un SC27 nazionale per garantire adeguata partecipazione alle attività internazionali.

Le norme

[modifica | modifica wikitesto]

La famiglia di norme SGSI

[modifica | modifica wikitesto]

È costituita da norme interdipendenti tra loro (pubblicati o in fase di sviluppo) e include una serie di linee guida. La famiglia viene suddivisa in 4 macroaree:

norme che descrivono una panoramica e la terminologia:
- ISO/IEC 27000 Sistemi di gestione della sicurezza delle informazioni - Panoramica e vocabolario.
norme che specificano i requisiti:
- ISO/IEC 27001, Sistemi di gestione per la sicurezza delle informazioni – Requisiti;
- ISO/IEC 27006, Requisiti per gli organismi che forniscono audit e certificazione dei SGSI;
- ISO/IEC 27009, Applicazione specifica per settore di ISO / IEC 27001 – Requisiti.
norme che descrivono le linee guida generali:
- ISO/IEC 27002, Codice di condotta per i controlli di sicurezza delle informazioni;
- ISO/IEC 27003, Guida all'implementazione dei SGSI;
- ISO/IEC 27004, Gestione della sicurezza delle informazioni – Misurazione;
- ISO/IEC 27005, Gestione dei rischi per la sicurezza delle informazioni;
- ISO/IEC 27007, Linee guida per la verifica dei SGSI;
- ISO/IEC TR 27008, Linee guida per i revisori dei controlli di sicurezza delle informazioni;
- ISO/IEC 27013, Guida per l'implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1;
- ISO/IEC 27014, Governance della sicurezza delle informazioni;
- ISO/IEC TR 27016, Gestione della sicurezza delle informazioni - Economia organizzativa.
norme che descrivono le linee guida negli specifici ambiti/settori:
- ISO/IEC 27010, Gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e inter-organizzative;
- ISO/IEC 27011, Linee guida sulla gestione della sicurezza delle informazioni per le organizzazioni di telecomunicazioni basate su ISO/IEC 27002;
- ISO/IEC TR 27015, Linee guida per la gestione della sicurezza delle informazioni per i servizi finanziari;
- ISO/IEC 27017, Codice di condotta per i controlli di sicurezza delle informazioni basati su ISO/IEC 27002 per i servizi in cloud;
- ISO/IEC 27018, Codice di condotta per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII;
- ISO/IEC 27019, Linee guida per la gestione della sicurezza delle informazioni basate su ISO/IEC 27002 per i sistemi di controllo del processo, specifici per il settore dei servizi energetici.

Altre norme pubblicate

[modifica | modifica wikitesto]

ISO/IEC 27031 - Linee guida per la disponibilità delle tecnologie dell'informazione e della comunicazione per la continuità aziendale
ISO/IEC 27032 - Linea guida per la sicurezza informatica
ISO/IEC 27033-1 - Sicurezza della rete - Parte 1: Panoramica e concetti
ISO/IEC 27033-2 - Sicurezza di rete - Parte 2: Linee guida per la progettazione e l'implementazione della sicurezza di rete
ISO/IEC 27033-3 - Sicurezza di rete - Parte 3: Scenari di rete di riferimento - Minacce, tecniche di progettazione e problemi di controllo
ISO/IEC 27033-4 - Sicurezza di rete - Parte 4: Protezione delle comunicazioni tra reti tramite gateway di sicurezza
ISO/IEC 27033-5 - Sicurezza di rete - Parte 5: Protezione delle comunicazioni su reti che utilizzano reti private virtuali (VPN)
ISO/IEC 27033-6 - Sicurezza di rete - Parte 6: Protezione dell'accesso alla rete IP wireless
ISO/IEC 27034-1 - Sicurezza delle applicazioni - Parte 1: Linee guida per la sicurezza delle applicazioni
ISO/IEC 27034-2 - Sicurezza delle applicazioni - Parte 2: Quadro normativo dell'organizzazione
ISO/IEC 27034-6 - Sicurezza delle applicazioni - Parte 6: Casi di studio
ISO/IEC 27035-1 - Gestione degli incidenti di sicurezza delle informazioni - Parte 1: Principi della gestione degli incidenti
ISO/IEC 27035-2 - Gestione degli incidenti per la sicurezza delle informazioni - Parte 2: Linee guida per pianificare e preparare la risposta agli incidenti
ISO/IEC 27036-1 - Sicurezza delle informazioni per le relazioni con i fornitori - Parte 1: Panoramica e concetti
ISO/IEC 27036-2 - Sicurezza delle informazioni per le relazioni con i fornitori - Parte 2: Requisiti
ISO/IEC 27036-3 - Sicurezza delle informazioni per le relazioni con i fornitori - Parte 3: Linee guida per la sicurezza della catena di approvvigionamento delle tecnologie dell'informazione e della comunicazione
ISO/IEC 27036-4 - Sicurezza delle informazioni per le relazioni con i fornitori - Parte 4: Linee guida per la sicurezza dei servizi cloud
ISO/IEC 27037 - Linee guida per l'identificazione, la raccolta, l'acquisizione e la conservazione delle prove digitali
ISO/IEC 27038 - Redazione del documento
ISO/IEC 27039 - Prevenzione delle intrusioni
ISO/IEC 27040 - Sicurezza dello storage
ISO/IEC 27041 - Garanzia di indagine
ISO/IEC 27042 - Analisi dell'evidenza digitale
ISO/IEC 27043 - Indagine sugli incidenti
ISO/IEC 27050-1 - Scoperta elettronica - Parte 1: Panoramica e concetti
ISO/IEC 27701 - Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
ISO 27799 - Gestione della sicurezza delle informazioni in materia di salute utilizzando ISO/IEC 27002 - guida le organizzazioni del settore sanitario su come proteggere le informazioni sulla salute personale utilizzando ISO/IEC 27002

Schematizzazione norme all'interno della serie ISO/IEC 27000

Note

[modifica | modifica wikitesto]

^ ISO/IEC 27000:2018 - Information technology - Security techniques - Information security management systems - Overview and vocabulary, su iso.org, ISO/IEC.
^ Una terminologia comune per la sicurezza delle informazioni, su uni.com, Ente Nazionale Italiano di Unificazione (UNI). URL consultato il 1º maggio 2019.

Altri progetti

[modifica | modifica wikitesto]

Wikimedia Commons contiene immagini o altri file su ISO/IEC 2700-series

V · D · M Standard ISO
Liste: Lista di standard ISO · Lista di latinizzazioni ISO · Lista di standard IEC Categorie: Standard ISO · Protocolli OSI
1-9999	1 · 2 · 3 · 4 · 5 · 9 · 16 · 31 · 128 · 140 (-5 · -7) · 216 · 217 · 226 · 228 · 233 · 259 · 269 · 302 · 306 · 428 · 639 (-1, -2, -3, -5, -6) · 646 · 690 · 717 · 732 · 746 · 843 · 1000 · 1007 · 1073-1 · 1413 · 1745 · 2014 · 2015 · 2022 · 2108 · 2145 · 2281 · 2709 · 2711 · 2788 · 3029 · 3103 · 3166 (-1, -2, -3) · 3297 · 3307 · 3534 (-1, -2) · 3602 · 3864 · 3901 · 3977 · 4031 · 4157 · 4217 · 5218 · 5775 · 5776 · 5964 · 6166 · 6344 · 6346 · 6425 · 6429 · 6438 · 6523 · 6709 · 7001 · 7002 · 7010 · 7098 · 7185 · 7498 · 7736 · 7810 · 7811 · 7812 · 7813 · 7816 · 8000 · 8217 · 8571 · 8583 · 8601 · 8632 · 8652 · 8807 · 8820-5 · 8859 (-1, -2, -3, -4, -5, -6, -7, -8, -9, -10, -11, -12, -13, -14, -15, -16) · 9000 · 9075 · 9126 · 9241 · 9362 · 9407 · 9506 · 9529 · 9594 · 9660 · 9897 · 9899 (:1999) · 9945 · 9984 · 9985 · 9995
10000-19999	10005 · 10006 · 10007 · 10012 · 10118-3 · 10160 · 10161 · 10165 · 10179 · 10206 · 10303 (-11, -21, -22, -238, -28) · 10383 · 10487 · 10585 · 10589 · 10646 · 10664 · 10668 · 10746 · 10861 · 10957 · 10962 · 10967 · 11073 · 11170 · 11179 · 11404 · 11544 · 11783 · 11784 · 11785 · 11801 · 11898 · 11940 · 11941 · 11941 · 11992 · 12006 · 12052 · 12182:1998 · 12207 · 12234-2 · 13239 · 12354-3 · 13211-1 · 13216 · 13250 · 13346 · 13399 · 13406-2 · 13407 · 13450 · 13485 · 13490 · 13567 · 13568 · 13584 · 13616 · 14000 · 14001 · 14031 · 14396 · 14443 · 14496 (-10, -14) · 14644 · 14649 · 14651 · 14698 · 14698-2 · 14750 · 14882 · 14908 · 14971 · 15022 · 15189 · 15288 · 15291 · 15292 · 15408 · 15444 · 15445 · 15438 · 15504 · 15511 · 15686 · 15693 · 15706 (-2) · 15707 · 15836 · 15897 · 15919 · 15924 · 15926 · 15926 WIP · 15930 · 15948 · 16023 · 16262 · 16684 · 16750 · 16949 · 17024 · 17025 · 17369 · 17799 · 18000 · 18004 · 18014 · 18092 · 18181 · 18245 · 18629 · 18916 · 19005 · 19011 · 19092 (-1, -2) · 19101 · 19105 · 19106 · 19107 · 19108 · 19109 · 19111 · 19112 · 19113 · 19114 · 19115 · 19116 · 19117 · 19118 · 19119 · 19123 · 19125 (-1, -2) · 19128 · 19131 · 19133 · 19135 · 19137 · 19439 · 19501:2005 · 19752 · 19757 · 19770 · 19775-1
20000+	20000 · 20022 · 20700 · 20922 · 21000 · 21047 · 21500 · 21827:2002 · 22000 · 22301 · 23008 (-2, -12) · 23270 · 23271 · 23360 · 23950 · 24014 · 24613 · 25178 · 26000 · 26300 · 26324 · 27000 series · 27000 · 27001 (:2013) · 27002 · 27003 · 27004 · 27005 · 27006 · 27007 · 27032 · 27729 · 27799 · 29500 · 31000 · 32000 · 37001 · 38500 · 39001 · 42010 · 44001 · 45001 · 50001 · 80000
Vedi anche: voci che iniziano per "ISO"

V · D · M

Norme della Commissione elettrotecnica internazionale

IEC standard

IEC 60027 · IEC 60034 · IEC 60038 · IEC 60062 · IEC 60063 · IEC 60068 · IEC 60112 · IEC 60228 · IEC 60269 · IEC 60297 · IEC 60309 · IEC 60320 · IEC 60364 · IEC 60446 · IEC 60559 · IEC 60601 · IEC 60870 (IEC 60870-5 · IEC 60870-6) · IEC 60906-1 · IEC 60908 · IEC 60929 · IEC 60958 (AES3 · S/PDIF) · IEC 61030 · IEC 61131 (IEC 61131-3 · IEC 61131-9) · IEC 61158 · IEC 61162 · IEC 61334 · IEC 61346 · IEC 61355 · IEC 61360 · IEC 61400 · IEC 61499 · IEC 61508 · IEC 61511 · IEC 61784 · IEC 61850 · IEC 61851 · IEC 61883 · IEC 61960 · IEC 61968 · IEC 61970 · IEC 62014-4 · IEC 62026 · IEC 62056 · IEC 62061 · IEC 62196 · IEC 62262 · IEC 62264 · IEC 62304 · IEC 62325 · IEC 62351 · IEC 62365 · IEC 62366 · IEC 62379 · IEC 62386 · IEC 62455 · IEC 62680 · IEC 62682 · IEC 62700 · IEC 63110 · IEC 63119

ISO/IEC standard

ISO/IEC 646 · ISO/IEC 2022 · ISO/IEC 4909 · ISO/IEC 5218 · ISO/IEC 6429 · ISO/IEC 6523 · ISO/IEC 7810 · ISO/IEC 7811 · ISO/IEC 7812 · ISO/IEC 7813 · ISO/IEC 7816 · ISO/IEC 7942 · ISO/IEC 8613 · ISO/IEC 8632 · ISO/IEC 8652 · ISO/IEC 8859 · ISO/IEC 9126 · ISO/IEC 9293 · ISO/IEC 9592 · ISO/IEC 9593 · ISO/IEC 9899 · ISO/IEC 9945 · ISO/IEC 9995 · ISO/IEC 10021 · ISO/IEC 10116 · ISO/IEC 10165 · ISO/IEC 10179 · ISO/IEC 10646 · ISO/IEC 10967 · ISO/IEC 11172 · ISO/IEC 11179 · ISO/IEC 11404 · ISO/IEC 11544 · ISO/IEC 11801 · ISO/IEC 12207 · ISO/IEC 13250 · ISO/IEC 13346 · ISO/IEC 13522-5 · ISO/IEC 13568 · ISO/IEC 13818 · ISO/IEC 14443 · ISO/IEC 14496 · ISO/IEC 14882 · ISO/IEC 15288 · ISO/IEC 15291 · ISO/IEC 15408 · ISO/IEC 15444 · ISO/IEC 15445 · ISO/IEC 15504 · ISO/IEC 15511 · ISO/IEC 15693 · ISO/IEC 15897 · ISO/IEC 15938 · ISO/IEC 16262 · ISO/IEC 17024 · ISO/IEC 17025 · ISO/IEC 18000 · ISO/IEC 18004 · ISO/IEC 18014 · ISO/IEC 19752 · ISO/IEC 19757 · ISO/IEC 19770 · ISO/IEC 19788 · ISO/IEC 20000 · ISO/IEC 21000 · ISO/IEC 21827 · ISO/IEC 23000 · ISO/IEC 23003 · ISO/IEC 23008 · ISO/IEC 23270 · ISO/IEC 23360 · ISO/IEC 24707 · ISO/IEC 24727 · ISO/IEC 24744 · ISO/IEC 24752 · ISO/IEC 26300 · ISO/IEC 27000 · ISO/IEC 27001 · ISO/IEC 27002 · ISO/IEC 27040 · ISO/IEC 27032 · ISO/IEC 29119 · ISO/IEC 33001 · ISO/IEC 38500 · ISO/IEC 42010 · ISO/IEC80000

Portale Diritto

Portale Informatica