ISO/IEC 27001:2005 Tecnologie dell’informazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni
Deliberata nel mese di dicembre del 2005 a sostituzione della BS 7799-2:2002, enfatizza il concetto di "Sistema di Gestione", allo scopo di tenere sotto controllo in modo sistematico e continuativo tutti i processi ritenuti critici per la continuità del business e la protezione delle informazioni come asset aziendale.

La norma copre tutte le tipologie di organizzazioni e specifica i requisiti per attuare, far funzionare, monitorare, riesaminare, tenere aggiornato e migliorare un sistema documentato all'interno di un contesto di rischi legati alle attività centrali dell'organizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessità di una singola organizzazione o di una sua parte. Il sistema è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati.

Benefici della certificazione
approccio di proporzione tra obiettivi e mezzi
attuazione sistematica della politica di gestione della sicurezza delle informazioni
garanzia adeguata e durevole relativamente alla disponibilità delle informazioni necessarie, alla loro affidabilità ed integrità
consapevolezza dei rischi correlati alla sicurezza delle informazioni (importante anche per la definizione del rischio operativo aziendale ai fini eventuali delle condizioni di finanziamento)
gestione globale, a livello aziendale, dei rischi correlati alle informazioni e ai valori che esse trasmettono, scegliendo le contromisure più vantaggiose sia dal punto di vista economico sia dal punto di vista strategico
monitoraggio efficace e continuo miglioramento del livello di sicurezza delle informazioni
assicura il rispetto dei requisiti di legge e/o contrattuali
garanzia di affidabilità, disponibilità ed integrità di tutti i dati e, pertanto, genera maggiore fiducia da parte dei clienti, oltre a benefici per i medesimi.

La norma è ben allineata alle norme gestionali già emesse dall’ISO; questo permette una migliore integrazione dei vari sistemi presenti nelle Aziende. Sussistono, pertanto, possibilità di certificazioni combinate con ISO 9001:2000, Qweb®, ISO 14001:2004,…
Inoltre anche modelli quali i Common Criteria recepiti dall’ISO come ISO/IEC 15408, nonché ITSEC, possono essere integrati al fine di ampliare le potenzialità di controllo e applicazione della norma ISO 27001

Iter di certificazione

1. formulazione di un'offerta economica (senza impegno);
2. stipula di un contratto di certificazione e conseguente invio da parte dell'Organizzazione della documentazione richiesta;
3. audit documentale e presso l’Azienda da parte di valutatori qualificati;
4. Previa delibera del Comitato di Certificazione CISQCERT, rilascio dei certificati CISQCERT e IQNet con conseguente iscrizione dell'organizzazione nel database Aziende Certificate di CISQCERT, della Federazione CISQ .

Verifiche di sorveglianza annuali allo scopo di accertare e confermare la continua e corretta applicazione del sistema di gestione conformemente alla norma di riferimento oggetto della certificazione.