Tu sei qui

ISO 27001

Certificazione del Sistema di gestione della sicurezza delle informazioni

Certificazione del Sistema di gestione della sicurezza delle informazioni

Il Cineca ha scelto lo standard ISO 27001 (Information Security Management Systems), quale modello di riferimento per garantire un alto livello di protezione per le informazioni più sensibili e critiche. 

Perché il CINECA ha scelto tale standard, quale punto di riferimento per il governo dei processi connessi alla sicurezza dei dati? La risposta è insita nel titolo della norma, che richiama il concetto di sistema di gestione, mutato dal mondo della qualità, che impone all'organizzazione una visione della sicurezza delle informazioni come un insieme di processi da regolamentare tramite la definizione di ruoli, responsabilità, interfacce di comunicazione e procedure operative.

La sicurezza dunque non solo come insieme di contromisure di carattere tecnologico, ma anche di misure di carattere comportamentale ed organizzativo, da definire all'interno di procedure operative documentate. 

Il percorso di implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), secondo i requisiti di tale standard è iniziato nel Settembre del 2005, con il conseguimento della certificazione di conformità alla BS 7799:2002 (standard inglese precursore dello standard ISO 27001) 

Il sistema si è poi evoluto con l'adeguamento allo standard internazionale ISO 27001:2005 e quindi  allo standard ISO/IEC 27001:2013 nel Luglio del 2015. 

Dal 2005 ad oggi, il campo di applicazione del SGSI è stato esteso più volte, includendo ulteriori ambiti di attività rispetto al dominio originale del sistema.  

A Novembre 2018 il Cineca ha raggiunto un ulteriore importante traguardo in quanto ha integrato nel proprio SGSI i controlli previsti dalle Linee guida internazionali ISO/IEC 27017 e ISO/IEC 27018. 

La linea guida ISO/IEC 27018 fa riferimento in particolare agli ulteriori controlli di sicurezza che un cloud service provider dovrebbe applicare in veste di Responsabile del trattamento di dati personali (ISO/IEC 27018) mentre la ISO/IEC 27017 integra la linea guida ISO/IEC 27002 con ulteriori controlli e misure di sicurezza rivolti ai cloud service customers ed ai cloud service providers. 

La corretta applicazione di tali ulteriori Linee guida è stata certificata dal superamento della verifica ispettiva dell’ente di certificazione che ha portato all’ampliamento del campo di applicazione del certificato di conformità, nel seguito riportato: 

Progettazione, sviluppo e manutenzione di infrastrutture tecnologiche e di soluzioni applicative. Erogazione di servizi di housing e hosting di sistemi fisici e  virtuali e servizi di supporto eyes and hands, di gestione ICT e  application management a supporto dell’erogazione di servizi SaaS, di conservazione a norma di documenti  informatici. 

Erogazione di servizi in cloud computing con l’applicazione dei  controlli previsti dalle linee guida ISO/IEC  27017:2015 e ISO/IEC 27018:2014 di tipo public cloud (IaaS e   PaaS) in qualità di cloud service provider.

Erogazione di servizi in cloud computing con l’applicazione dei  controlli previsti dalle linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2014 in modalità SaaS (fornitore  SaaS); le attività e servizi SaaS fanno riferimento agli ambiti Sanità  (sperimentazioni e ricerca clinica, registri  epidemiologici, servizi di supporto alle decisioni), Università,  Istruzione e Ricerca rivolti alla pubblica amministrazione e a soggetti privati. 

Infine, come si evince dalla lettura del campo di applicazione sopra ripotato, i servizi oggetto della certificato sono stati ampliati anche agli ambiti Università, Istruzione e Ricerca.