Cos'è lo standard ISO/IEC 27001:2022?
L'ISO (International Organization for Standardization) è un'organizzazione internazionale indipendente e non governativa a cui aderiscono 170 organismi di normazione nazionali. ISO/IEC 27001 è pubblicato congiuntamente dall'ISO e dalla Commissione elettrotecnica internazionale (IEC) ed è lo standard più conosciuto al mondo per i sistemi di gestione della sicurezza delle informazioni (ISMS). Lo standard ISO/IEC 27001 fornisce a tutte le organizzazioni una guida per stabilire, implementare, mantenere e migliorare continuamente i sistemi di gestione della sicurezza delle informazioni.
Gli standard ISO sono concordati a livello internazionale dagli esperti di sicurezza informatica e sono ampiamente riconosciuti a livello globale. La certificazione ISO è disponibile per le organizzazioni di tutti i settori economici (tutti i tipi di servizi e di produzione, nonché il settore primario; organizzazioni private, pubbliche e non profit).
La conformità allo standard ISO/IEC 27001 significa che un'organizzazione o un'azienda ha messo in atto un sistema per gestire i rischi legati alla sicurezza dei dati posseduti o gestiti dall'organizzazione stessa e che tale sistema impiega tutte le migliori prassi e i principi sanciti da questo standard internazionale.
Regolamento | Attivo ora
La legge DORA è strutturata su cinque pilastri chiave, ognuno dei quali è stato progettato per affrontare aspetti distinti della resilienza operativa digitale dei servizi finanziari.
- Gestione e governance del rischio ICT: la legge DORA attribuisce ai membri del management e del consiglio di amministrazione la responsabilità di definire, implementare e mantenere un quadro di gestione del rischio di ICT per garantire efficacemente una maggiore resilienza operativa digitale. La legge DORA richiede che le entità finanziarie dispongano di un quadro di governance e controllo interno che garantisca una gestione efficace e prudente del rischio di ICT.
- Segnalazione degli incidenti: le organizzazioni di servizi finanziari devono istituire sistemi per monitorare, gestire, registrare, classificare e segnalare gli incidenti legati all'ICT per valutare gli attacchi, attenuare l'impatto sui clienti e sulle operazioni e fare rapporto alle autorità.
- Test di resilienza operativa digitale: le entità finanziarie devono implementare ed eseguire annualmente un programma completo di test di resilienza operativa digitale. La legge DORA indica inoltre che le entità finanziarie devono garantire il coinvolgimento di fornitori terzi di ICT nei loro test di resilienza operativa digitale, se applicabile.
- Rischio di ICT di terzi: uno dei punti chiave della legge DORA è il rischio di ICT di terzi e il suo ruolo nella mitigazione del rischio. Le istituzioni finanziarie si affidano in larga misura a fornitori esterni di ICT che possono trovarsi al di fuori dell'UE, come ad esempio diversi fornitori di cloud. Di conseguenza, le entità finanziarie devono includere il rischio di ICT di terzi come componente integrante del loro quadro di gestione del rischio di ICT.
- Condivisione delle informazioni: la legge DORA incoraggia inoltre la condivisione volontaria di informazioni e intelligence sulle minacce informatiche per migliorare la resilienza operativa digitale del settore.
Gli standard ISO sono concordati a livello internazionale dagli esperti di sicurezza informatica e sono ampiamente riconosciuti a livello globale. La certificazione ISO è disponibile per le organizzazioni di tutti i settori economici (tutti i tipi di servizi e di produzione, nonché il settore primario; organizzazioni private, pubbliche e non profit).
ISO/IEC 27001 è uno standard internazionale che non prevede sanzioni in caso di non conformità. Tuttavia, la certificazione ISO/IEC 27001:2022 può fornire un livello di difesa contro le multe previste da normative come il GDPR in caso di violazione dei dati, dimostrando gli sforzi in buona fede di un'organizzazione nell'implementazione delle migliori prassi di sicurezza delle informazioni.
Mentre ISO/IEC 27001 specifica i requisiti per la creazione di un ISMS, ISO/IEC 27002 fornisce le migliori prassi e i controlli dettagliati che possono essere applicati all'interno dell'ISMS. La differenza principale è che l'ISO/IEC 27001 è uno standard per il quale le organizzazioni possono ottenere la certificazione, mentre l'ISO/IEC 27002 non lo è. I requisiti riportati nella tabella seguente sono elencati sia in ISO 27001 che in ISO 27002.
Come Thales contribuisce alla conformità a ISO/IEC 27001:2022
Thales contribuisce alla conformità delle organizzazioni a ISO/IEC 27001:2022 affrontando i requisiti essenziali elencati nell'allegato A per i controlli sulla sicurezza delle informazioni. Forniamo soluzioni di sicurezza informatica complete in tre aree chiave: sicurezza delle applicazioni, sicurezza dei dati e gestione delle identità e degli accessi.
Soluzioni di conformità a ISO/IEC 27001:2022
Requisiti ISO supportati: 8. Controlli tecnologici
Proteggi applicazioni e API su larga scala nel cloud, on-premise o in un modello ibrido. La nostra suite di prodotti leader di mercato comprende firewall per applicazioni web (WAF), protezione contro attacchi Distributed Denial of Service (DDoS) e BOT dannosi, sicurezza per API, una rete di distribuzione dei contenuti (CDN) sicura e l'autoprotezione dell'applicazione durante l'esecuzione (RASP).
Requisiti ISO supportati: 5. Controlli organizzativi e 8. Controlli tecnologici
Scopri e classifica i dati sensibili in un ambiente informatico ibrido e proteggili automaticamente ovunque, che siano inattivi, in movimento o in uso, utilizzando la tokenizzazione criptata e la gestione delle chiavi. Le soluzioni Thales identificano, valutano e danno priorità ai rischi potenziali per una valutazione accurata dei rischi. Inoltre, identificano i comportamenti anomali e monitorano le attività per individuare potenziali minacce e verificare la conformità, consentendo alle organizzazioni di stabilire le priorità su cui allocare i propri sforzi.
Requisiti ISO supportati: 5. Controlli organizzativi, 6. Controlli sulle persone, 7. Controlli fisici e 8. Controlli tecnologici
Un accesso fluido, sicuro e affidabile alle applicazioni e ai servizi digitali per clienti, dipendenti e partner. Le nostre soluzioni limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al contesto con criteri di accesso granulari e autenticazione a più fattori che aiutano a garantire che l'utente giusto possa accedere alla risorsa giusta, al momento giusto.
eBook
Conformità alla sicurezza delle informazioni, sicurezza informatica e protezione della privacy della certificazione ISO/IEC 27001
Leggi il nostro eBook dettagliato per capire come Thales può contribuire ai requisiti di conformità ISO 27001.
Risorse correlate
Altre normative chiave su protezione e sicurezza dei dati
PCI HSM
MANDATO | ATTIVO ORA
Le specifiche del PCI HSM definiscono un insieme di standard di sicurezza logici e fisici per gli HSM, appositamente per il settore dei pagamenti. La certificazione di conformità al PCI HSM dipende dal rispetto di tali standard.
DORA
REGOLAMENTO | ATTIVO ORA
DORA si propone di rafforzare la sicurezza informatica delle entità finanziarie per garantire che il settore finanziario in Europa sia resiliente di fronte al crescente volume e alla crescente gravità degli attacchi informatici.
Norme sulla notifica delle violazioni dei dati
REGOLAMENTO | ATTIVO ORA
In tutto il mondo sono stati emanati obblighi di notifica delle violazioni dei dati in seguito alla perdita di informazioni personali. Variano a seconda della giurisdizione, ma quasi sempre includono una clausola "safe harbor".
GLBA
REGOLAMENTO | ATTIVO ORA
Il Gramm-Leach-Bliley Act (GLBA), conosciuto anche come Financial Services Modernization Act del 1999, impone alle istituzioni finanziarie di spiegare ai clienti le pratiche di condivisione delle informazioni e di salvaguardare i dati sensibili.