08/09/2011 - Specifiche geometriche dei prodotti: una norma definisce concetti, principi e regole
Pubblicata la norma internazionale che offre ai responsabili e al
personale impiegato nei servizi informatici un quadro per l'attuazione
di un approccio alla gestione del rischio, che li aiuterà a gestire i
rischi associati al loro sistema di gestione per la sicurezza delle
informazioni (SGSI). Si tratta della seconda edizione della norma ISO/IEC 27005:2011 "Information technology – Security techniques – Information security risk management".
I rischi in materia di sicurezza delle informazioni rappresentano una
minaccia considerevole per le imprese: possibili perdite o danni
finanziari, mancanza dei servizi essenziali di rete, perdita della
fiducia dei clienti, reputazione danneggiata.
La gestione del rischio è uno degli elementi chiave nella prevenzione di frodi online, furti di identità, danni nei siti web, perdita di dati personali e molti altri incidenti che riguardano la sicurezza dell'informazione.
La gestione del rischio è uno degli elementi chiave nella prevenzione di frodi online, furti di identità, danni nei siti web, perdita di dati personali e molti altri incidenti che riguardano la sicurezza dell'informazione.
La ISO/IEC 27005 descrive il processo di gestione del rischio in
materia di sicurezza informatica e le azioni associate, supportando i
principi generali contenuti nella UNI CEI ISO/IEC 27001 "Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni – Requisiti".
Il quadro presentato nella ISO/IEC 27005 è stato rivisto e aggiornato
in modo da rispecchiare i contenuti dei documenti relativi alla
gestione del rischio:
- UNI ISO 31000 "Gestione del rischio - Principi e linee guida"
- ISO/IEC 31010 "Risk management – Risk assessment techniques"
- ISO Guide 73 "Risk management – Vocabulary".
La norma - in linea con la UNI ISO 31000 - ha lo scopo di aiutare le
imprese a gestire il rischio relativo alla sicurezza delle informazioni
in maniera simile al modo in cui gestiscono altre tipologie di rischio.
La ISO/IEC 27005 aiuterà gli utilizzatori nell'applicazione della UNI
CEI ISO/IEC 27001 sui sistemi di gestione della sicurezza
dell'informazione, fondata su un approccio di gestione del rischio. La
conoscenza dei principi, dei modelli, dei processi e della terminologia
descritti nelle ISO/IEC 27001 e 27002 è importante per comprendere
pienamente questa norma internazionale.
I processi di gestione del rischio relativi alla sicurezza dell'informazione si compongono delle seguenti fasi:
- accertamento del contesto
- valutazione del rischio
- trattamento del rischio
- accettazione del rischio
- comunicazione del rischio
- sorveglianza e revisione del rischio.
Tuttavia, la ISO/IEC 27005:2011 non fornisce alcun metodo specifico
per la gestione del rischio legato alla sicurezza delle informazioni, ma
un approccio generico. Spetta all'organizzazione definire il proprio
approccio a seconda, ad esempio, del campo di applicazione del SGSI, in
funzione del contesto di gestione del rischio o dal settore industriale.
La ISO/IEC 27005:2011 è stata elaborata dal comitato tecnico misto
ISO/IEC JTC 1 "Information technology", sottocomitato SC 27 "IT Security
techniques".
Fonte: UNI
| Prodotti | ||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||
