Fondamenti e basi teoriche

Non esiste un unico insieme di regole internazionali che si applicano direttamente all’ISMS (Information Security Management System). L’ISMS agisce come un quadro di riferimento che aiuta le organizzazioni a gestire i rischi per la sicurezza delle informazioni e può essere adattato per essere conforme a diverse normative. Ecco perché non esiste un unico “libro delle regole” per la conformità all’ISMS:

• Focus sulla gestione del rischio: L’ISMS enfatizza l’identificazione e la priorità dei rischi per la sicurezza delle informazioni che sono specifici dell’organizzazione.  Le normative internazionali possono avere obiettivi di sicurezza delle informazioni più ampi, ma spesso consentono una certa flessibilità nel raggiungimento di tali obiettivi.
• Specificità del settore e della sede: Le normative sulla sicurezza delle informazioni possono variare a seconda del settore in cui si opera e della posizione geografica dell’organizzazione.  Ad esempio, un fornitore di servizi sanitari potrebbe dover rispettare l’HIPAA (Health Insurance Portability and Accountability Act) negli Stati Uniti, mentre un’azienda che gestisce dati finanziari in Europa potrebbe dover rispettare il GDPR (General Data Protection Regulation).

L’Organizzazione Internazionale per la Standardizzazione (ISO) offre diversi standard di sicurezza delle informazioni, tra cui l’ampiamente adottato standard ISO 27001 per l’ISMS. Pur non essendo una normativa vera e propria, l’ISO 27001 fornisce un solido quadro di riferimento che può essere utilizzato per conformarsi a varie normative sulla sicurezza delle informazioni.