Dati informatici e sicurezza delle informazioni

Standard della sicurezza delle informazioni 27001

7838 0

Lo standard ISO 27001 è una norma internazionale che riguarda la sicurezza delle informazioni e definisce i requisiti per un SGSI.

La sicurezza delle informazioni è stata infatti analizzata ed indirizzata in una specifica norma ISO, la UNI EN ISO/IEC 27001:2017 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti” (di seguito ISO/IEC 27001). Da tale norma, o la quale integrazione alla stessa, ne sono poi state derivate numerose altre, a comporre quella che usualmente è definita come la “famiglia delle ISO/IEC 27000”.

Sicurezza delle informazioni: che cos’è la norma ISO 27001

La norma ISO/IEC 27001 (UNI CEI EN ISO/IEC 27001:2017 Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un SGSI (Sistema di gestione per la Sicurezza delle Informazioni) nel contesto dell’organizzazione.

IL SGSI contribuisce a preservare la riservatezza, l’integrità e la disponibilità delle informazioni mediante l’applicazione di un processo di gestione del rischio e dà fiducia alle parti interessate sull’adeguatezza della gestione dei rischi.

La norma inoltre stabilisce i requisiti per la valutazione ed il trattamento dei rischi per la sicurezza delle informazioni adatti alle esigenze dell’organizzazione.

Qual è la struttura della norma ISO 27001

La sua struttura, ora rivisitata con l’introduzione dell’HLS (High Level Structure), è sempre stata invidiabile dal punto di vista della chiarezza di esposizione dei contenuti e di risultati attesi.

L’Allegato A

Un ulteriore vantaggio della norma ISO/IEC 27001 è dato da un corposo allegato A (annex A) definito “Obiettivi di controllo e controlli di riferimento”, che sviluppa una serie puntuale appunto di controlli (o contromisure come spesso vengono chiamate) che devono essere attuati per costruire un sistema di gestione per la sicurezza delle informazioni (SGSI).

I principali punti della norma 27001

Vedremo ora i principali punti della norma e li commenteremo per facilitarne la comprensione/interpretazione.
Tralasciamo la parte introduttiva del documento, che non fornisce valore aggiunto alle nostre necessità di implementazione.

Punto 4 – Il contesto dell’organizzazione

Passiamo quindi immediatamente al punto 4 che tratta del «Contesto dell’organizzazione».

Punto 4.1

Al punto 4.1 troviamo le specifiche richieste per «Comprendere l’organizzazione e il suo contesto».
In particolare, si parla del dovere dell’organizzazione di determinare i fattori esterni ed interni che possono influire sull’esito del nostro sistema di gestione per la sicurezza delle informazioni (SGSI).

Viene anche citata la norma ISO/IEC 31000, ed in particolare il punto 5.3 della stessa, che non citeremo perché non offre a nostro avviso ulteriori elementi in quanto la ISO/IEC 31000 è molto generalista e quindi scarsamente efficace rispetto ai nostri obiettivi di concretezza.

Punto 4.2

Al punto 4.2 entriamo più nello specifico della questione e parliamo del «Comprendere le necessità e le aspettative delle parti interessate».

In particolare, viene affermato che l’organizzazione ha l’obbligo di determinare:

  • le parti interessate che operano e possono influire sul SGSI;
  • i requisiti delle stesse in merito al SGSI (che possono ad esempio includere requisiti cogenti ed obblighi contrattuali).

Punto 4.3

Il punto 4.3 è particolarmente importante perché parla di «Determinare il campo di applicazione del SGSI».

Si afferma in particolare che occorra determinare i «confini» del SGSI e «l’applicabilità» dello stesso. In pratica per campo di applicazione si intende il perimetro entro il quale si sviluppa ed agisce il SGSI, inclusi processi e servizi, che non necessariamente deve includere tutta l’organizzazione. Si possono quindi “ritagliare” campi d’applicazione contenuti, per ad esempio certificare solo una parte dei processi/servizi dell’organizzazione, facendo però attenzione che tutti i processi di supporto necessari al campo di applicazione siano comunque inclusi.

Per poter determinare il campo di applicazione, l’organizzazione deve:

  • considerare i fattori esterni ed interni (vedi punto 4.1);
  • i requisiti (vedi punto 4.2);
  • le collaborazioni esistenti con società esterne ed in particolare i punti di contatto (interfacce) e le reciproche dipendenze (interdipendenze) nello svolgimento delle attività.

Il campo di applicazione deve essere incluso all’interno del sistema documentale del SGSI, consigliamo all’interno di un documento di riepilogo quale può essere un manuale (per maggiori informazioni si veda lo specifico capitolo).

Punto 4.4

Il punto 4.4 «Sistema di gestione per la sicurezza delle informazioni», semplicemente stabilisce che debba essere implementato un SGSI, secondo quanto stabilito dalla norma ISO/IEC 27001. Tale SGSI deve essere stabilito, attuato, mantenuto e migliorato nel tempo (vedi Ciclo di Deming).

Punto 5 – La leadership

Al punto 5 troviamo la «Leadership».

In questa sezione si intende spiegare cosa l’alta direzione debba attuare per una corretta implementazione di un SGSI in una organizzazione.

Punto 5.1

Al punto 5.1 troviamo la «Leadership ed impegno» quindi un elenco esaustivo di “compiti” per l’alta direzione, che «deve dimostrare leadership e impegno nei riguardi del» SGSI.

Tale manifestazione deve includere:

  • la creazione di una politica e la definizione di obiettivi in merito alla sicurezza delle informazioni, compatibili con gli indirizzi strategici dell’organizzazione;
  • assicurare l’integrazione tra i requisiti del SGSI ed i processi dell’organizzazione;
  • assicurare le necessarie risorse per l’SGSI;
  • comunicare a tutti gli interessati l’importanza di una efficace gestione del SGSI e del rispettarne le indicazioni;
  • assicurarsi che il SGSI raggiunga i risultati previsti, vigilando e ponendo in essere un controllo attivo sul SGSI;
  • fornire guida e sostegno alle persone nel contribuire a determinare un SGSI efficace;
  • promuovere il «miglioramento continuo» (vedi appositi capitoli);
  • fornire sostegno anche in altri ambiti, affermando la propria leadership, nelle rispettive aree di competenza.

Quindi l’alta direzione è quella che determina la scelta di adottare un SGSI, ed attraverso questi “compiti” si impegna a fornire le necessarie risorse, controllare e fare in modo che lo stesso SGSI possa funzionare e migliorare nel tempo.

La direzione è quindi sia il “creatore” del SGSI perché ne determina la genesi, sia il “preservatore” perché ne fornisce il sostentamento nel tempo (parafrasando l’immagine della trimurti induista, senza essere blasfemi o irrispettosi). C’è da dire, terminando la metafora con l’ultimo elemento, che spesso è la stessa direzione a diventare il “distruttore” del SGSI quando cessa il supporto e/o smette di credere nel suo valore.

Punto 5.2

Al punto 5.2 troviamo delle specifiche in merito alla «Politica» (citata al punto precedente, 5.1 a).

In particolare, l’alta direzione deve stabilire una politica che sia:

  • adatta alle finalità dell’organizzazione;
  • definisca gli obiettivi per l’SGSI (vedi punto 6.2) o «fornisca un quadro di riferimento» per fissare tali obiettivi;
  • comprenda un impegno a soddisfare i requisiti applicabili e attinenti alla sicurezza delle informazioni;
  • includa l’impegno a sviluppare un miglioramento continuo del SGSI;

La politica per il SGSI deve inoltre essere:

  • «disponibile come insieme di informazioni documentate»;
  • divulgata all’interno dell’organizzazione;
  • sempre disponibile per tutte le parti interessate, se necessario.

Quindi vengono definite le caratteristiche essenziali di una politica per il SGSI, e si stabilisce che la stessa deve essere un documento (o un insieme di documenti) all’interno del SGSI, comunicato all’interno dell’organizzazione, ed eventualmente disponibile per tutte le parti interessate (per quanto possibile e pertinente).

Punto 5.3

Al punto 5.3 troviamo «Ruoli, responsabilità e autorità nell’organizzazione».

Esso stabilisce che l‘alta direzione debba assicurare la definizione, assegnazione e comunicazione, delle responsabilità e dell‘autorità per tutti i ruoli correlati alla sicurezza delle informazioni.

Nel farlo l’alta direzione deve:

  • assicurare la conformità del sistema di gestione per la sicurezza delle informazioni, ai requisiti della presente norma internazionale;
  • pretendere di essere aggiornata sulle prestazioni del sistema di gestione per la sicurezza delle informazioni.

Viene precisato inoltre che l’alta direzione può anche assegnare responsabilità e autorità, nelle comunicazioni all’interno dell’organizzazione riferite alle prestazioni del sistema di gestione per la sicurezza delle informazioni.

Punto 6

Al punto 6 troviamo la «Pianificazione».

Al punto 6.1 si parla quindi di «Azioni per affrontare rischi ed opportunità»

Punto 6.1.1

Al punto 6.1.1, «Generalità», si affermano appunto alcuni indirizzi generali di pianificazione del SGSI.

Viene ricordato che l’organizzazione, nell’effettuare la pianificazione del SGSI deve considerare quanto ai punti 4.1 (requisiti) e 4.2 (rischi ed opportunità), o ogni altra questione sia necessaria a:

  • assicurare gli «esiti previsti per il SGSI»;
  • eludere, o mitigare, gli effetti indesiderati;
  • attuare un miglioramento continuo.

Viene anche affermato che l’organizzazione debba effettuare una pianificazione relativa a:

  • «azioni per affrontare questi rischi e opportunità»;
  • modalità per:
    • includere e mettere in atto le azioni di cui al punto precedente, in tutti i processi e nel proprio SGSI;
    • misurarne l’adeguatezza.

Particolarmente importante la questione dei rischi ed opportunità, che diventano quindi la guida per il SGSI, in linea con l’approccio risk based già discusso precedentemente.

Punto 6.1.2

Al punto 6.1.2 troviamo non a caso la «Valutazione del rischio relativo alla sicurezza delle informazioni».

In esso si afferma che l’organizzazione, deve definire e applicare un «processo di valutazione del rischio relativo alla sicurezza delle informazioni» e che lo stesso:

  • determini e mantenga i criteri di rischio relativo alla sicurezza delle informazioni, che devono includere criteri di:
    • accettazione del rischio;
    • valutazione del rischio;
  • assicuri che la ripetizione di valutazione del rischio, in merito alla sicurezza delle informazioni, forniscano «risultati coerenti, validi e confrontabili tra loro»;
  • «identifichi i rischi relativi alla sicurezza delle informazioni» attraverso:
    • l’applicazione di un processo di valutazione del rischio, al fine di identificare i rischi associati alla perdita di riservatezza, di integrità e di disponibilità delle informazioni, che sono state incluse nel campo di applicazione del SGSI;
    • l’identificazione di responsabili per la gestione dei rischi (risk owner);
  • effettui una analisi di tali rischi:
    • includendo la valutazione delle possibili conseguenze, dell’impatto, causate dall’avverarsi dei rischi 6.1.2 e) 1);
    • includendo la definizione della probabilità («verosimiglianza realistica») dell’avverarsi dei rischi identificati al punto 6.1.2 e) 1);
    • stabilendo i livelli di rischio;
  • «ponderi i rischi relativi alla sicurezza delle informazioni»:
    • effettuando comparazioni dei risultati dell’analisi dei rischi ed i criteri di rischio stabiliti al punto 6.1.2 a);
    • definendo le priorità nel trattamento dei rischi.

L’intero processo di valutazione dei rischi deve essere inserito all’interno del SGSI, sotto forma di informazioni documentate, che l’organizzazione deve conservare.

Punto 6.1.3

Al punto 6.1.3 troviamo il «Trattamento del rischio relativo alla sicurezza delle informazioni»

L’organizzazione deve stabilire e mettere in atto un «processo di trattamento del rischio» relativo alla sicurezza delle informazioni, al fine di:

a)  identificare le idonee «opzioni per il trattamento» relative ai rischi della sicurezza delle informazioni, considerando gli esiti della valutazione del rischio;

b)  stabilire i controlli, le contromisure, utili ed efficaci all’attuazione del trattamento (che l’organizzazione può progettare o ricavare da altre fonti);

c)  comparare i controlli di cui sopra, con quelli presenti nell’appendice A (annex A) e verificare che non siano stati trascurati dei necessari controlli (l’appendice A contiene un elenco di controlli che includono i loro obbiettivi, ma possono non essere sufficienti per l’organizzazione che dovrebbe svilupparne di nuovi;

d)  predisporre un documento di «dichiarazione di applicabilità» (Statement of Applicability) che elenchi e descriva i necessari controlli (vedi punti 6.1.3 b) e c)) e ne dia giustificazione per la loro inclusione (che trovino o meno attuazione), e l’elenco degli eventuali controlli previsti dall’allegato A che invece sono stati esclusi;

e)  determinare un «piano di trattamento» dei rischi;

f)  richiedere ed ottenere, da parte dei responsabili dei rischi (risk owner), l’approvazione del piano di trattamento dei rischi, nonché l’accettazione degli eventuali «rischi residui».

L’organizzazione deve conservare sotto forma di informazioni documentate, informazioni relative al processo di trattamento del rischio.

Infine, si richiamano come fonte di ispirazione, i principi e le linee guida generali fornite dalla ISO/IEC 31000 Risk Management – Principles and Guidelines.

Punto 6.2

Al punto 6.2 si parla di «Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli».

In esso si afferma che l’organizzazione deve stabilire obiettivi per la sicurezza delle informazioni per tutta l’organizzazione.

Tali obiettivi devono:

a) non essere in conflitto con la politica;
b) essere misurabili (ove possibile);
c) considerare i requisiti applicabili alla sicurezza delle informazioni e i risultati della valutazione dei rischi e relativo trattamento;
d) essere comunicati a tutti;
e) essere aggiornati.

Si afferma inoltre che l’organizzazione deve conservare informazioni documentate a supporto.

Inoltre, nella pianificazione degli obiettivi per la sicurezza delle informazioni, l’organizzazione deve stabilire:

f)   cosa sarà fatto;
g)  quali risorse si renderanno necessarie;
h) chi sarà il responsabile;
i)   quando sarà completato il piano;
j)   come sarà effettuata la valutazione dei risultati.

Punto 7 – Il supporto

Ed eccoci al punto 7 che ci parla di «Supporto».

Punto 7.1

Al punto 7.1 troviamo la trattazione relativa alle “Risorse”.

L’organizzazione deve fissare e mettere a disposizione le necessarie risorse per «stabilire, attuare, mantenere e migliorare» con continuità il SGSI (vedi ciclo di Deming).

Punto 7.2

Al punto 7.2 troviamo la «Competenza».

L’organizzazione e la sua organizzazione devono:

stabilire le competenze necessarie per le persone che operano sotto il suo controllo e che hanno influenza sul SGSI;

assicurare la competenza delle stesse sulla base di «istruzione, formazione e addestramento o esperienza appropriate»;

c)  dove possibile, intraprendere azioni al fine di acquisire la necessariacompetenza (eseguire formazione e addestramento, affiancamento, riallocazione del personale impiegato, o l’assunzione o incarico a persone competenti), e valutare l’efficacia delle stesse;

d)  «conservare appropriate informazioni documentate, quale evidenza delle competenze».

Punto 7.3

Al punto 7.3 troviamo la «Consapevolezza».

Le persone che operano in organizzazione devono essere consapevoli:

  • «della politica per la sicurezza delle informazioni»;
  • del proprio ruolo e contributo nei confronti del SGSI, comprendendo i benefici del miglioramento relativamente alla sicurezza delle informazioni;
  • delle conseguenze di non attenersi ai requisiti del SGSI.

La consapevolezza è un punto spesso sottovaluto, ma gioca un ruolo fondamentale per il funzionamento del SGSI. Senza consapevolezza difatti non può esserci il giusto livello di partecipazione; partecipazione che vedremo in seguito essere fondamentale per il mantenimento del SGSI nel tempo.

Punto 7.4

Al punto 7.4 troviamo la «Comunicazione».

L’organizzazione deve determinare le necessità per tutte le comunicazioni, sia interne che esterne, in relazione al SGSI.

La stessa deve includere:

  • cosa comunicare;
  • quando comunicare;
  • a chi comunicare;
  • chi deve comunicare;
  • i processi che regolamentano le comunicazioni.

Il tema del “cosa, quando, a chi e chi” è un tema ricorrente nella norma che trova diverse applicazioni.

Punto 7.5

Al punto 7.5 troviamo indicazioni in merito alle spesso citate «Informazioni Documentate», che costituiscono il cuore del SGSI.

Al punto 7.5.1 troviamo le «Generalità» relative a questo tema.

Il SGSI deve includere:

  • «le informazioni documentate richieste dalla presente norma internazionale»;
  • tutte le informazioni documentate che l’organizzazione reputa necessarie, al fine di garantire l’efficacia del SGSI.

Le informazioni documentate possono variare tra una Organizzazione e l’altra, in virtù della:

  • dimensione dell’organizzazione, il tipo di attività, i processi, ed i prodotti/servizi erogati;
  • «complessità dei processi e delle loro interazioni»;
  • «competenza delle persone».

Quest’ultima nota afferma un principio assolutamente condivisibile, al quale ci permettiamo di aggiungere l’esperienza in merito alla sicurezza delle informazioni ed alla maturità del SGSI. Difatti più è maturo un sistema, più tende a crescere la mole di informazioni documentate a corredo.

Punto 7.5.2

Al punto 7.5.2 troviamo la “Creazione e aggiornamento” delle informazioni documentate.

Nel creare ed aggiornare le informazioni documentate, l’organizzazione deve assicurarsi che esse vengano:

  • identificate e descritte (ad esempio titolo, data, autore o numero di riferimento o versione);
  • stabilito un formato standard (ad esempio lingua, grafica, ecc.) e tipologia di supporto (ad esempio cartaceo o elettronico);
  • riesaminate ed approvate, in relazione «all’idoneità e all’adeguatezza».

Punto 7.5.3

Al punto 7.5.3 troviamo il tema del «Controllo delle Informazioni documentate»

Le informazioni documentate richieste dal SGSI e dalla presente norma internazionale, devono essere «tenute sotto controllo» per assicurare che:

  • siano disponibili e pronte all’uso, dove e quando necessario;
  • siano protette in modo adeguato (ad esempio da perdita di riservatezza, utilizzo improprio e perdita d’integrità).

Il controllo dell’organizzazione sulle informazioni documentate deve riguardare:

  • la distribuzione, l’accessibilità (permessi di lettura o modifica), il reperimento e l’uso delle stesse;
  • l’archiviazione e preservazione (ivi incluso il mantenimento della leggibilità);
  • la tenuta sotto controllo delle modifiche (ad esempio le versioni);
  • «la conservazione e successive disposizioni».

Per tutte le informazioni documentate di origine esterna (ad esempio la norma che stiamo commentando) ritenute necessarie al fine della pianificazione e funzionamento del SGSI, esse devono essere identificate e tenute sotto controllo.

Punto 8 – Attività operative

Al punto 8 troviamo le «Attività operative».

Punto 8.1

Al punto 8.1 troviamo la «Pianificazione e controlli operativi»

L’organizzazione deve «pianificare, attuare e tenere sotto controllo» i processi necessari a soddisfare i requisiti di sicurezza delle informazioni e l’attuazione delle azioni identificate al punto 6.1 («Rischi ed opportunità»).

Deve inoltre:
– attuare piani per conseguire gli obiettivi per la sicurezza delle informazioni stabiliti al punto 6.2 («Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli»).
– conservare informazioni documentate (in misura necessaria) a dimostrare la corretta esecuzione dei processi rispetto alla pianificazione.
– tenere sotto controllo le modifiche pianificate (cambiamenti o change) e riesaminare le conseguenze dei cambiamenti non voluti, intraprendendo azioni per mitigare eventuali effetti negativi.

Infine, l’organizzazione deve assicurare che i processi affidati all’esterno, siano identificati e tenuti sotto controllo.

Punto 8.2

Al punto 8.2 troviamo la trattazione della «Valutazione del rischio relativo alla sicurezza delle informazioni».

In esso si afferma che l’organizzazione deve effettuare valutazioni dei rischi relativi alla sicurezza delle informazioni ad intervalli pianificati, o ogni qual volta si propongano o si verifichino «cambiamenti significativi», senza che gli stessi siano in conflitto con le politiche (vedi punto 6.1.2 a)).

L’organizzazione deve, come in ogni altro contesto, conservare informazioni documentate sui risultati delle valutazioni dei rischi effettuate.

Punto 8.3

Al punto 8.3 troviamo il «Trattamento del rischio relativo alla sicurezza delle informazioni».

L’organizzazione deve attuare un «piano di trattamento del rischio relativo alla sicurezza delle informazioni».

L’organizzazione deve inoltre conservare informazioni documentate sui risultati del trattamento dei rischi relativi.

Punto 9 – Valutazione delle prestazioni

Al punto 9 troviamo la «Valutazione delle prestazioni».

Punto 9.1

Al 9.1 troviamo il «Monitoraggio, misurazione, analisi e valutazione».

L’organizzazione deve valutare le prestazioni relative alla sicurezza delle informazioni e più in generale l’efficacia del SGSI.

Per farlo l’organizzazione deve determinare:

  • cosa sia necessario monitorare e misurare, includendo i processi e i controlli relativi alla sicurezza delle informazioni;
  • la metodologia da utilizzarsi ai fini del monitoraggio, misurazione, analisi e valutazione, al fine di assicurare risultati validi (i metodi selezionati dovrebbero produrre risultati comparabili e ripetibili affinché siano considerati validi);
  • quando attuare il monitoraggio e le misurazioni;
  • chi deve attuarli;
  • quando debbano essere analizzati e valutati i risultati del monitoraggio e della misurazione;
  • chi debba effettuarle.

L’organizzazione deve conservare appropriate informazioni documentate quale evidenza dei risultati dei monitoraggi e delle misurazioni.

Punto 9.2

Al punto 9.2 troviamo indicazioni in merito all’«Audit interno».

L’organizzazione deve condurre, ad intervalli pianificati, audit interni al fine di comprendere se l’SGSI:

  • sia conforme ai:
    • propri requisiti;
    • «requisiti della presente norma internazionale»;
  • «sia efficacemente attuato e mantenuto».

L’organizzazione deve inoltre:

  • «pianificare, stabilire, attuare e mantenere uno o più programmi di audit», includendo «frequenze, metodi, responsabilità, requisiti di pianificazione e reporting». I programmi di audit devono inoltre includere la valutazione dell’importanza dei processi coinvolti ed i risultati di precedenti audit;
  • «definire i criteri di audit e il campo di applicazione per ciascun audit»;
  • effettuare una selezione degli auditor, e predisporre una conduzione degli audit al fine di assicurare «l’obiettività e l’imparzialità del processo di audit»;
  • assicurare di presentare i risultati degli audit ai responsabili;
  • «conservare informazioni documentate quale evidenza dell’attuazione del programma di audit e dei risultati di audit».

Punto 9.3

Al punto 9.3 troviamo indicazioni in merito ad un momento importante quale il «Riesame di direzione».

L’alta direzione deve, riesaminare il SGSI dell’organizzazione a intervalli pianificati, al fine di assicurarne l’idoneità, l’adeguatezza e l’efficacia.

Il riesame di direzione deve tenere in considerazione:

  • «lo stato delle azioni derivanti dai precedenti riesami di direzione»;
  • i cambiamenti dei fattori esterni e interni, attinenti al SGSI;
  • la valutazione delle prestazioni relative alla sicurezza delle informazioni, incluse:
    • eventuali non conformità ed azioni correttive;
    • i risultati del monitoraggio e della misurazione;
    • i risultati di audit;
    • il raggiungimento degli obiettivi per la sicurezza delle informazioni;
  • eventuali informazioni di ritorno dalle parti interessate;
  • i risultati della valutazione dei rischi, e lo stato di attuazione del relativo piano di trattamento;
  • le opportunità per il miglioramento continuo.

Quale output dal riesame di direzione, debbono essere incluse decisioni relative alle opportunità per il miglioramento continuo e ogni necessità di modifiche al SGSI.

L’organizzazione deve conservare informazioni documentate quale evidenza dei risultati dei riesami di direzione.

Punto 10 – Miglioramento

Al punto 10 troviamo il «Miglioramento».

Punto 10.1

Al punto 10.1 troviamo le «Non conformità e azioni correttive».

Qualora si verifichi una non conformità, l’organizzazione debba:

  • reagire:
    • intraprendendo azioni «per tenerla sotto controllo e correggerla»;
    • fronteggiarne gli effetti;
  • valutare le azioni necessarie per eliminare le cause (root causes) della non conformità, in modo che non si ripresentino (anche in altro ambito):
    • «riesaminando la non conformità»;
    • determinarne le cause;
    • determinare se esistano o potrebbero attuarsi non conformità simili;
  • «attuare ogni azione necessaria»;
  • riesaminare l’efficacia delle azioni correttive attuate;
  • effettuare, se necessario, modifiche al SGSI.

Si afferma inoltre che «le azioni correttive devono essere adeguate agli effetti delle non conformità riscontrate».

L’organizzazione deve inoltre tenere informazioni documentate quale evidenza:

  • della natura delle NC e ogni azione intrapresa;
  • i risultati delle AC.

Punto 10.2

Al punto 10.2 troviamo il «Miglioramento continuo»

L’organizzazione «deve migliorare in modo continuo l’idoneità, l’adeguatezza e l’efficacia» del SGSI.

La norma ha un allegato tecnico, definito allegato A o Annex A, che introduce 14 raggruppamenti (o punti di controllo), e sviluppati in 35 differenti obiettivi (o obiettivi di controllo), ed ancora in 114 misure di controllo (o controlli) atti al contenimento dei rischi.

Per un approfondimento sul tema consulta il volume:
Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR
Castroreale Renato, Ponti Chiara
www.epc.it

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore