GDPR e ISO27001

La maggior parte delle aziende è ora consapevole di dover rivedere i propri processi interni di protezione dei dati e i sistemi IT e che la scadenza per la conformità è il 25 maggio 2018.

La tabella di marcia applica gli approcci basati sulle best practise a tutte le soluzioni IT che forniamo ai nostri clienti da anni. La sicurezza e la privacy sono sempre state al centro della pianificazione, dei flussi di lavoro e dei consigli. Se sei già un nostro cliente, è probabile che tu abbia già la tecnologia e la struttura giuste e la maggior parte delle tue esigenze si concentrerà sulla creazione di documentazione, processi e politiche IT.

La revisione dei processi interni, della privacy dei dati e della sicurezza IT apre un’ulteriore opportunità per creare un sistema di gestione della sicurezza delle informazioni (ISMS) e in particolare l’opzione di lavorare per una certificazione ISO 27001.
Ci sono una serie di vantaggi chiave:

1. GDPR raccomanda l’uso di schemi di certificazione come ISO 27001 per fornire la necessaria garanzia che l’organizzazione stia gestendo efficacemente i suoi rischi per la sicurezza delle informazioni.

2. ISO 27001 ti aiuterà a mettere in atto i processi che proteggono non solo le informazioni sui clienti ma anche tutte le tue risorse informative, incluse le informazioni archiviate elettronicamente e in formato cartaceo

3. L’ISO 27001 richiede che il tuo regime di sicurezza sia supportato da alti dirigenti e incorporato nella cultura e nella strategia dell’organizzazione. Richiede anche la nomina di una persona che si assume la responsabilità per l’ISMS. Il GDPR richiede una chiara responsabilità per la protezione dei dati in tutta l’organizzazione.

4. Conformità ISO 27001 significa condurre valutazioni periodiche del rischio per identificare minacce e vulnerabilità che possono influenzare il patrimonio informativo e adottare misure per proteggere tali dati. Il GDPR richiede specificamente una valutazione del rischio per garantire che un’organizzazione abbia identificato i rischi che possono avere un impatto sui dati personali.

5. Essendo conforme a GDPR, un’organizzazione deve eseguire regolarmente test e verifiche per dimostrare che il suo regime di sicurezza funziona in modo efficace. Un ISMS conforme allo standard ISO 27001 deve essere valutato regolarmente in base alle linee guida di audit interno fornite dallo Standard.

6. Il GDPR richiede alle organizzazioni di adottare le misure necessarie per garantire che i controlli di sicurezza funzionino come previsto. Il conseguimento della certificazione accreditata ISO 27001 offre una valutazione indipendente ed esperta in merito alla possibilità di implementare misure adeguate per proteggere i dati.

Operare verso la ISO 27001 non solo si affronta la maggior parte dei requisiti GDPR, ma migliora anche la sicurezza interna e la privacy. Oltre a questo molte aziende ora insistono sul fatto che i loro partner o fornitori devono avere la certificazione ISO27001 se desiderano lavorare con loro.

Fonte: Chris Smosarski – Roadmap IT Ltd