SISTEMI DI GESTIONE PER LA SICUREZZA DEI DATI
(NORMA BS7799:2002)

A seguito della Legge 547/1993 sulla criminalità informatica, il valore dell'informazione ha assunto sempre maggiore rilevanza nella società e negli ultimi dieci anni ha mostrato sempre più interesse alle garanzie che devono essere poste nella sua gestione, tecnica ed organizzativa.

La Norma non è specificamente legata ad alcuna tipologia industriale o di collocazione geografica, quindi è possibile sviluppare diverse interpretazioni dello standard che ne rendono possibile l'applicazione in molteplici situazioni: società di servizi o di produzione, pubbliche o private, profit o no-profit.

Il corpo di leggi attuali impone alle aziende, pubbliche e private, una serie di requisiti per garantire il trattamento riservato necessario ai dati sensibili del singolo (legge 675 e sue evoluzioni) e per proteggere le aziende stesse da malversazioni compiute contro di esse (legge 547) o tramite esse (Legge 300/2000 sulla responsabilità penale delle aziende e D.Lgs. 231/2001 collegato).

L'oggetto della Norma BS7799 è l'informazione, sotto qualsiasi forma o supporto, per la quale devono essere garantiti la riservatezza, l'integrità e la disponibilità. La nuova versione della edizione 2002 si allinea perfettamente con le altre norma dei Sistemi di Gestione come la Norma UNI EN ISO 9001:2008 e la Norma UNI ISO 14001:2004, La Norma OHSAS 18001:2007, facilitando lo sviluppo di sistemi integrati e conformi.
La parte prima ha come scopo di fornire una serie di raccomandazioni riguardanti la gestione della sicurezza dell'informazione per garantire al possibilità di organizzare tale gestione su una base comune, condivisa ed efficace. Il modello proposto è un modello dinamico, nel quale vengono identificate 10 aree di intervento:

  • Politica in materia di sicurezza delle informazioni;
  • Principi organizzativi per la gestione della sicurezza dell'informazione;
  • Controllo e classificazione del patrimonio informativo;
  • Sicurezza relativa al personale che gestisce le informazioni;
  • Sicurezza fisica e ambientale;
  • Gestione delle comunicazioni e delle attività operative;
  • Controllo degli accessi alle informazioni;
  • Sviluppo e manutenzione dei sistemi informativi;
  • Gestione continuativa dei processi operativi;
  • Controlli di conformità;
La parte seconda indica le 6 fasi di analisi dalle quali emerge il sistema di gestione:
  • Delimitazione dell'ambito di competenza;
  • Definizione della politica di sicurezza ad alto livello;
  • Analisi e valutazione del rischio;
  • Gestione del rischio;
  • Scelta degli obiettivi e dei relativi controlli da realizzare;
  • Stesura della dichiarazione di attuabilità.
Queste fasi riguardano la progettazione, attuazione, gestione, monitoraggio, revisione ed aggiornamento per un sistema correttamente documentato orientato ai rischi di business dell'azienda. I risultai di tali analisi vengono utilizzati per mantenere nel tempo la sicurezza del proprio patrimonio informativo anche in presenza di eventuali cambiamenti.


BACK Scroll to top