Versione delle 18:39, 23 gen 2021 modifica Sistoiv (discussione \| contributi) Utenti autoverificati 6 242 modifiche mNessun oggetto della modifica ← Differenza precedente		Versione delle 23:10, 10 mar 2021 modifica annulla Laurentius (discussione \| contributi) Amministratori dell'interfaccia, Amministratori 14 319 modifiche minuscole Differenza successiva →
Riga 5: == Storia == La ~~Norma~~norma è stata redatta e pubblicata nell'ottobre [[2005]] (la versione italiana UNI è del 2006) a fini [[certificato\|certificativi]], in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione. Con la sua pubblicazione ha sostituito la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava la principale norma di riferimento per l'applicazione di un ~~Sistema~~sistema di ~~Gestione~~gestione per la ~~Sicurezza~~sicurezza delle ~~Informazioni~~informazioni (SGSI). Il nuovo standard ha assorbito entrambe le parti: la linea guida è stata recepita dall'ISO come ISO 17799 (Information Technology - Security Techniques - Code of practice for information security management), mentre la seconda parte, lo standard vero e proprio, è stato emesso nell'ottobre 2005 come ISO 27001. Nel 2007 anche il documento ISO 17799 è stato ritirato e sostituito dalla norma ISO 27002, meglio coordinata con la ISO 27001 e parte della serie 27000 che comprende oggi svariati altri documenti correlati al tema della sicurezza delle informazioni. Riga 22: == Versione 2017 == La versione più recente della norma è la UNI CEI EN ISO/IEC 27001:2017 (pubblicata il 30 marzo 2017), che non è altro che la versione 2013 con due ~~Corrigendum~~corrigendum (emessi ~~dall’ISO~~dall'ISO nel 2014 e 2015): # ''requisito A.8.1.1'': l'inventario, la classificazione e trattamento degli "asset" riguarda ora anche le “informazioni” cui gli asset sono associati. Riga 78: == Privacy-Safety == La conformità alla ISO 27001, pur certificata da un organismo di certificazione, magari accreditato, non solleva l'organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla [[~~Privacy~~privacy]]; il controllo A.18.1.4 richiede infatti che "La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali". La differenza sostanziale tra legge sulla [[~~Privacy~~privacy]] e la norma ISO 27001 è che la legge sulla privacy tutela [[dati personali]], sensibili e non, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s'interessa anche dei dati di ''business'' dell'organizzazione che devono essere salvaguardati per l'interesse stesso dell'organizzazione. Il [[Testo Unico Sicurezza Lavoro\|d. lgs. 81/2008]], che in Italia regolamenta la [[sicurezza]] sui luoghi di lavoro, viene in genere individuato tra quelle normative la cui osservanza deve essere esplicitamente definita e documentata, come previsto nel controllo A.18.1.1 che parla appunto della legislazione ''applicabile''.

ISO/IEC 27001: differenze tra le versioni