Standard ISO/IEC 27001: tutto quello che c’è da sapere

La sicurezza delle informazioni e dei dati altamente confidenziali dei clienti è la priorità n. 1  per DiliTrust Data Room: per questo è certificata ISO 27001. Ma cosa copre esattamente questo standard?

STANDARD ISO/IEC 27001: Tutto quello che c’è da sapere

La norma ISO/IEC 27001 è stata creata per la prima volta nell’ottobre 2005 per poi essere rivista nel 2013. È lo standard di sicurezza più riconosciuto a livello internazionale e riguarda tutti i tipi di organizzazioni. Ha sostituito lo standard BS 7799-2 del gruppo British Standards Institution (BSI), che aveva riunito un gruppo di enti dedicati alla standardizzazione, alla certificazione, alla formazione e al controllo della conformità.

Quello che è più importante capire della ISO/IEC 27001 è che considera la sicurezza dei dati in relazione al rischio. In questo senso definisce i requisiti per l’implementazione di un sistema di gestione della sicurezza delle informazioni (SGSI) o ISMS dall’inglese Information Security Management System. Il suo obiettivo è quello di proteggere i dati e le informazioni da perdita, furto o alterazione. Inoltre protegge i sistemi informatici dall’hacking o da disastri. Per questo l’ISO/IEC 27001 è diventato una garanzia di fiducia ed è un importante asset di differenziazione per le aziende che hanno la sua certificazione. È questo il caso di DiliTrust Data Room.

ISO/IEC 27001: FUNZIONAMENTO

Il sistema di gestione della sicurezza dell’informazione o ISMS definisce un framework globale, a livello non solo tecnico ma anche organizzativo, che riunisce i sistemi informativi, i processi e le figure chiave coinvolte nelle misure di protezione. Ogni rischio identificato si basa su un rapporto che tiene conto della probabilità che si verifichi e del suo impatto qualora si verificasse. Questo consente al management aziendale di scegliere le misure appropriate per ridurre, prevenire, condividere e accettare il rischio. A questo fa riferimento uno specifico documento obbligatorio: la dichiarazione di applicabilità, che finalizza il Piano di Trattamento dei Rischi.

CERTIFICAZIONE ISO 27001: PROCESSI E SVILUPPI COSTANTI

La certificazione ISO 27001 ha una durata triennale. Durante questo periodo, viene condotto un audit iniziale da enti indipendenti accreditati e a seguire due audit di sorveglianza; alla scadenza del triennio si tengono gli audit di rinnovo. Gli enti indipendenti sono certificati ISO 27006 e il loro ruolo è quello di assicurare che le deviazioni o le non conformità siano correttamente gestite. Ma anche il progresso delle attività pianificate e la sostenibilità a lungo termine dell’ISMS.

In altre parole, un’azienda che desidera ottenere la certificazione ha un forte interesse ad attuare un monitoraggio accurato e continuo, non solo dei rischi ma anche delle misure di sicurezza selezionate. Questa prospettiva implica un processo di miglioramento continuo della sicurezza per alzarne il livello e aumentare il controllo dei rischi. Ciò implica anche la riduzione del ricorso a misure identificate come secondarie.

I BENEFICI DELLA CERTIFICAZIONE ISO 27001

I Clienti affidano a DiliTrust Data Room informazioni strategiche e questo richiede un elevatissimo livello di sicurezza. Ecco perché DiliTrust Data Room è certificata ISO 27001: il suo ISMS soddisfa i requisiti tecnici e i requisiti di gestione, aggiornamento e miglioramento continuo.

La sicurezza include la crittografia dei dati, sia in movimento che a riposo, l’utilizzo di un HSM, audit periodici, una politica di sicurezza forte ed esigente, ma anche audit di sicurezza interna, revisioni del codice e test sistematici prima che ogni nuova funzionalità venga rilasciata in produzione, test di intrusione automatizzati e giornalieri. I server di DiliTrust Data Room sono inoltre controllati una o due volte all’anno da un’organizzazione esterna per la sicurezza informatica. Dal lato del cliente, ogni utente è identificato da un nome utente e una password forti. La crittografia dei dati è sistematica e viene eseguita utilizzando il protocollo TLS con i più alti livelli di crittografia (a 256 bit).

Selecting the Optimal Technology for Managing Contracts

Scopri perchè secondo Gartner “I responsabili degli applicativi aziendali hanno una sovrabbondanza di alternative per la gestione dei contratti. Scegliere
l’approccio sbagliato può
essere dannoso per gli
obiettivi di business”.

Consulta il report