Come installare il sistema di gestione della sicurezza delle informazioni ISO 27001

L'istituzione del sistema di gestione della sicurezza delle informazioni è un processo molto laborioso. Tuttavia, la definizione di standard su come garantire la sicurezza delle informazioni e su come proteggere meglio le informazioni è un risultato cruciale per tale organizzazione.

Sistema di gestione della sicurezza delle informazioni il modo in cui ogni organizzazione seguirà è quasi lo stesso.

Scopo dello studio sulla sicurezza delle informazioni

La prima cosa da fare è determinare l'ambito e i limiti dello studio. Un sistema può essere impostato per un'intera organizzazione o per un particolare reparto. In ogni caso, i limiti dello studio dovrebbero essere completi e definiti correttamente. L'ambito dovrebbe essere determinato in linea con la decisione del top management e gli obiettivi di sicurezza delle informazioni dell'organizzazione.

Politica di sicurezza delle informazioni

Questa politica è determinata dal senior management e stabilisce gli obiettivi dello studio e determina i rischi da valutare e i criteri per la gestione del rischio. Il top management dovrebbe sempre stare dietro la politica di sicurezza delle informazioni.

Metodo di valutazione del rischio

Un metodo di valutazione del rischio dovrebbe essere identificato in conformità con la politica di sicurezza delle informazioni. Di conseguenza, dovrebbero essere identificati livelli di rischio accettabili e dovrebbero essere stabiliti i criteri. Le informazioni che dovrebbero essere protette mediante la creazione di una mappa dei rischi dovrebbero essere determinate in base al grado di impatto e alla probabilità che si verifichi il rischio.

Identificazione dei rischi

I rischi che minacciano l'esistenza di informazioni dovrebbero essere identificati utilizzando il metodo di valutazione del rischio da determinare. In questo studio, sarà preparato un inventario delle risorse informative. Le risorse informative da includere nel sistema di gestione della sicurezza delle informazioni saranno elencate in base al loro tipo e gravità. L'emergere di informazioni top-secret può causare gravi danni all'organizzazione, ma rendere le stesse informazioni inutilizzabili può essere meno dannoso.

Valutazione dei rischi

Le misure da adottare per i rischi da determinare sono decise in questa fase. Il rischio può essere eliminato o ridotto a livelli accettabili mediante controlli appropriati. Oppure, i fattori di rischio sono eliminati e il rischio è evitato.

Approvazione del senior management

Dopo aver completato lo studio sulla gestione dei rischi, è necessario ottenere l'approvazione dal senior management per applicarlo.

Se un rischio non può essere completamente eliminato, può essere un rischio accettabile a discrezione del top management.

Sistema di gestione della sicurezza delle informazioni ISO 27001le organizzazioni possono rivolgersi ai manager esperti e ai dipendenti dell'organizzazione di certificazione TURCERT per servizi di consulenza.