Norma ISO/IEC 27009, sicurezza delle informazioni per specifici settori di mercato

Pubblicata la norma ISO/IEC 27009 “Information technology – Security techniques – Sector-specific application of ISO/IEC 27001 – Requirements” che intende ottimizzare l’efficacia della ISO/IEC 27001 fornendo materiale fondamentale per una sua applicazione organica in differenti settori di mercato.

Per le organizzazioni è sempre più importante proteggere le loro informazioni e quelle dei loro clienti. In questo contesto non sorprende la larga diffusione e l’utilizzo della ISO/IEC 27001, norma che specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni nel contesto di un’organizzazione.

A livello politico, commerciale ed economico, è oggi sempre più necessario fornire a specifici settori – la finanza, i trasporti, l’assistenza sanitaria, i progetti che riguardano le infrastrutture (ad esempio le “smart cities”) – una protezione più sartoriale contro le minacce specifiche che pesano sulla sicurezza delle loro informazioni e non solo per contesti generalistici.

Al fine dunque di ottimizzare l’efficacia della ISO/IEC 27001, si aggiunge alla serie la nuova ISO/IEC 27009 “Information technology – Security techniques – Sector-specific application of ISO/IEC 27001 – Requirements” che intende guidare lo sviluppo di norme in questa direzione, fornendo materiale fondamentale per un’applicazione organica della ISO/IEC 27001 a diversi settori di mercato.

“Mentre la norma ISO/IEC 27001 stabilisce un linguaggio comune internazionale per la sicurezza delle informazioni, la ISO/IEC 27009 rafforza questo linguaggio per ciascun specifico settore e guida allo sviluppo di norme per la sicurezza e la riservatezza dei dati” spiega Edward Humphreys, Convenor dell’ISO/IEC JTC 1 SC 27/WG 1 che ha elaborato il documento. “Abbiamo già elaborato diversi standard specifici di settore come la ISO/IEC 27011 per le telecomunicazioni, la ISO/IEC 27017 per il cloud computing e la ISO/IEC 27019 per il settore dell’energia. Queste norme rappresentano degli esempi dove i controlli – complementari a quelli contenuti nella ISO/IEC 27001 – sono stati definiti per rispondere alle esigenze proprie di settori specifici. Nello sviluppare questi standard è risultato chiaro che una struttura e un linguaggio armonizzato, basato sulla ISO/IEC 27001, rende l’elaborazione di future norme di settore più efficaci e evitando duplicazioni”.
“L’obiettivo della ISO/IEC 27009?” – conclude Humphreys – “Garantire l’adozione, nello sviluppo di nuove norme o nel corso di revisione di quelle esistenti, un approccio coerente con quello della ISO/IEC 27001. La nuova norma fornirà dunque dei consigli per completare, affinare o interpretare i requisiti della ISO/IEC 27001 e indicherà come aggiungere o modificare le indicazioni della ISO/IEC 27002 in settori specifici”.

Questo approccio potrebbe risultare determinante per uniformare da un lato e allargare dall’altro lo spettro di requisiti di sicurezza settoriali. Norme di questo tipo sono state infatti scritte nel tempo anche al di fuori di ISO/IEC JTC 1 SC 27, andando a toccare settori sensibili come quello sanitario e quello del controllo del traffico aereo. Fissare una struttura da utilizzare in tutti questi casi permetterà all’utente finale di avere un quadro più chiaro e di poter meglio progettare un sistema di gestione per la sicurezza delle informazioni con le dovute peculiarità.

A livello nazionale ed europeo si sta per esempio pensando di applicare questa impostazione per poter dare indirizzi specifici alle PMI, in modo da permettere a questa galassia di imprese di approcciare in modo consistente e proporzionato alle loro caratteristiche il sempre più diffuso tema della sicurezza delle informazioni.

Fonte: UNI

Approfondimenti

Precedente

Prossimo