Tu sei qui

ISO 27001

Certificazione del Sistema di gestione della sicurezza delle informazioni

Il Cineca ha scelto lo standard ISO 27001 (Information Security Management Systems), quale modello di riferimento per garantire un alto livello di protezione per le informazioni più sensibili e critiche.
Il percorso di implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), secondo i requisiti di tale standard è iniziato nel Settembre del 2005, con il conseguimento della certificazione di conformità alla BS 7799:2002 (standard inglese precursore dello standard ISO 27001)
Il sistema si è poi evoluto con l'adeguamento allo standard internazionale ISO 27001:2005 e quindi allo standard ISO/IEC 27001:2013 nel Luglio del 2015.
Dal 2005 ad oggi, il campo di applicazione del SGSI è stato esteso più volte, includendo ulteriori ambiti di attività rispetto al dominio originale del sistema. Attualmente il campo di applicazione della certificazione ISO/IEC 27001:2013 include le seguenti attività:

  • Analisi, progettazione, sviluppo, manutenzione ed erogazione di servizi di decision support system e di infrastrutture tecnologiche e di sistemi informativi per la conduzione, il monitoraggio e l'analisi di sperimentazioni cliniche, registri epidemiologici, prestazioni sanitarie e studi epidemiologici rivolti a organizzazioni operanti nel settore sanitario a cura del dipartimento Sistemi informativi e servizi per la sanità del Cineca;
  • Erogazione di servizi infrastrutturali per sistemi ICT, con particolare riferimento all'housing e hosting di sistemi fisici e virtuali, connettività di rete, sicurezza fisica e logica, servizi tecnici di supporto (Eyes and hands)
  • Analisi, progettazione, sviluppo, manutenzione ed erogazione di servizi di conservazione dei documenti informatici.

Perché il CINECA ha scelto tale standard, quale punto di riferimento per il governo dei processi connessi alla sicurezza dei dati? La risposta è insita nel titolo della norma, che richiama il concetto di sistema di gestione, mutato dal mondo della qualità, che impone all'organizzazione una visione della sicurezza delle informazioni come un insieme di processi da regolamentare tramite la definizione di ruoli, responsabilità, interfacce di comunicazione e procedure operative.
La sicurezza dunque non solo come insieme di contromisure di carattere tecnologico, ma anche di misure di carattere comportamentale ed organizzativo, da definire all'interno di procedure operative documentate.