Che cos’è ISO 17799?

ISO 17799 è uno standard obsoleto per la sicurezza delle informazioni adottato dall’International Organization for Standardization (ISO) nel 2000. Il codice di pratica, derivato dallo standard britannico noto come BS7799, delineava le migliori pratiche in materia di riservatezza, integrità e disponibilità delle informazioni all’interno di un organizzazione. Ufficialmente noto come ISO / IEC 17799, lo standard era destinato a guidare il personale di gestione delle informazioni incaricato di stabilire sistemi di sicurezza. Gli argomenti trattati includevano la definizione di termini di sicurezza delle informazioni, la classificazione dei tipi di informazioni, la definizione dei requisiti minimi e la proposta di risposte adeguate alle violazioni della sicurezza.

Entro il 2005, i progressi della tecnologia necessitavano di revisioni ISO 17799 per allinearsi con le pratiche e le capacità attuali. È pratica comune dell’ISO rivedere gli standard ogni pochi anni per garantire che linee guida, codici di condotta e standard siano pertinenti e riflettano le tecnologie attuali e le filosofie commerciali internazionali. A seguito delle revisioni del 2005, ISO 17799 divenne noto come ISO / IEC 17799: 2005. Per aiutare a distinguere tra varie incarnazioni di ISO 17799, lo standard originale è diventato noto come ISO / IEC 17799: 2000.

Nel 2007, ISO e International Electrotechnical Commission (IEC) hanno rinumerato lo standard ISO 17799, etichettandolo come ISO / IEC 27002. Spesso definita come la famiglia di standard ISMS, la serie ISO 27000 si occupa interamente di sistemi di gestione della sicurezza delle informazioni o ISMS . La rinumerazione della ISO 17799 ha consentito ai funzionari ISO / IEC di raggruppare i futuri standard di sicurezza in una categoria di linee guida per un facile riferimento. Nel 2007 sono state apportate poche modifiche allo standard, poiché la scelta di rinumerare tali standard è stata puramente una modifica amministrativa per soddisfare le esigenze future previste.

Fin dall’inizio, la ISO 17799 ha affrontato questioni come le politiche di sicurezza, il controllo dell’accesso, la definizione dei tipi di informazioni, lo sviluppo di sistemi di informazione e la valutazione dei rischi. I leader dell’organizzazione potrebbero utilizzare la ISO 17799 come guida per lo sviluppo di sistemi di informazione e garantire la sicurezza di tali sistemi. Linee guida aggiuntive relative all’acquisizione di sistemi esistenti, come in genere si verifica durante le fusioni aziendali, delineano i passaggi per mantenere la sicurezza delle informazioni senza limitare l’accesso al personale chiave. Le raccomandazioni per lo sviluppo di pratiche di sicurezza e per la gestione di casi di violazione della sicurezza sono state incluse nella prima ISO 17799.

Inizialmente, lo standard ISO 17799 completo includeva undici sezioni specifiche per argomento. Tali sezioni includevano la politica di sicurezza, l’organizzazione della sicurezza delle informazioni, la gestione delle risorse, la sicurezza delle risorse umane, la sicurezza fisica e ambientale, la gestione delle comunicazioni e delle operazioni, il controllo degli accessi, l’acquisizione dei sistemi di informazione, la gestione degli incidenti, la gestione della continuità aziendale e la conformità. ISO / IEC 27002 includeva una sezione tematica aggiuntiva, subito dopo le sezioni introduttive, che trattava esclusivamente la valutazione del rischio. Tutte le altre sezioni specifiche dell’argomento sono rimaste intatte, ma includevano aggiornamenti e revisioni pertinenti.