Requisiti EU GDPR: un aiuto dallo standard ISO/IEC 27001
In risposta alle esigenze di un mercato in continua evoluzione, lo scenario internazionale della sicurezza delle informazioni e privacy è cambiato e si è evoluto negli ultimi anni, portando alla definizione del nuovo Regolamento Europeo GDPR. Lo standard ISO/IEC 27001 fornisce un framework comune, descrivendo i requisiti chiave per implementare un efficace sistema di gestione per la sicurezza delle informazioni, rappresentando un prezioso aiuto per garantire la conformità al GDPR, che avrà valore esecutivo dal 25 maggio 2018.
Ecco alcuni punti chiave del Regolamento GDPR, visti dal punto di vista di un sistema di gestione ISO/IEC 27001:
Requisito 1 (GDPR): Risk assessment
ISO/IEC 27001 richiede di condurre un’analisi dei rischi sugli asset informativi, considerando l’aumento dei rischi per le informazioni personali e le potenziali implicazioni economiche di una violazione.
Requisito 2 (GDPR): Compliance
É un requisito di ISO/IEC 27001 avere una lista dei requisiti legislativi e contrattuali e dimostrare la conformità rispetto a tali requisiti.
Requisito 3 (GDPR): Data classification
ISO/IEC 27001 richiede alle organizzazioni di garantire un adeguato livello di protezione delle informazioni in relazione al loro valore per l’organizzazione.
Requisito 4 (GDPR): Notifica di violazione dei dati
ISO/IEC 27001 richiede l’implementazione di procedure per la gestione degli incidenti e la notifica tempestiva attraverso canali appropriati degli eventi legati alla sicurezza delle informazioni.
Requisito 5 (GDPR): Collaborazione con le autorità
ISO/IEC 27001 richiede che vengano “Mantenuti contatti appropriati con le autorità rilevanti”.
Requisito 6 (GDPR): Asset management
ISO/IEC 27001 richiede che vengano identificati gli asset dell’organizzazione e che vengano definiti ruoli e responsabilità appropriati.
Requisito 7 (GDPR): Privacy by design
ISO/IEC 27001 garantisce che la sicurezza delle informazioni sia delineata e implementata come parte integrante dell’intero sviluppo e ciclo di vita del sistema di gestione delle informazioni.
Requisito 8 (GDPR): Relazioni con i fornitori
ISO/IEC 27001 richiede alle organizzazioni la protezione degli asset accessibili ai fornitori e il monitoraggio del servizio di consegna dei fornitori secondo i requisiti della sicurezza delle informazioni.
Requisito 9 (GDPR): Documentazione
ISO/IEC 27001 richiede il mantenimento della documentazione in base alla complessità dei processi.
