La certificazione ISO 27.000 e il regolamento Europeo si sposano molto bene!

La certificazione ISO 27.000 del 2013 certifica quelle aziende che mettono in atto tutta una serie di prassi e procedure che hanno come obiettivo la Sicurezza dei Dati Informatici. Un aspetto che al nuovo Regolamento Europeo sulla Privacy piace tantissimo!

Dati salvati su sistemi informatici

Questa certificazione parte dal principio che una grandissima quantità di informazioni legate alle organizzazioni (siano esse aziende, strutture sanitarie, scuole, alberghi, studi di consulenza etc) sono gestite e salvate tramite supporti informatici. Questo crea una situazione di GRANDE RISCHIO a causa della violabilità di questi sistemi.

In sostanza i passaggi sono:

LE MIE INFORMAZIONI SONO CONSERVATE SU SUPPORTI INFORMATICIfreccia-mondoPrivacyI SUPPORTI INFORMATICI SONO VIOLABILI – RISCHIO!freccia-mondoPrivacyDEVO METTERE IN ATTO STRUMENTI DIFENSIVI PER PROTEGGERE I MIEI DATIfreccia-mondoPrivacyDIMOSTRO CHE I MIEI SISTEMI DIFENSIVI SONO VALIDI CERTIFICANDOMI

 

L’approccio basato sul Risk Management è coerente con quello di altre certificazioni ISO (vedi 9.001:2015 – sistemi di gestione per la qualità) ed è incredibilmente affine a quanto richiesto dal Nuovo Regolamento Europeo sulla Privacy 2016/679: analizzare i rischi legati alla possibile perdita di dati e mettere in atto soluzioni idonee e sufficienti a garantirne la tutela.

Ed è in questo aspetto che la certificazione e il regolamento trovano il maggior punto di contattoTUTELARE I DATI CONSERVATI SU SUPPORTI INFORMATICI

Alcuni esempi

Pensiamo per esempio:

  • alle strutture sanitarie che gestiscono i dati personali e sensibili dei pazienti attraverso il fascicolo sanitario elettronico
  • alle scuole che gestiscono i dati di alunni minorenni tramite sistemi informatici
  • agli studi di consulenza che emettono le buste paga dei lavoratori tramite software dedicati

sono tutte realtà che hanno un altissimo rischio legato alla perdita di dati personali e sensibili a causa di attacchi ai loro sistemi informatici.

A partire da maggio 2018 queste ed altre realtà dovranno essere in grado, in caso di controlli da parte dell’autorità garante, di dimostrare che si sono attivati per mettere in atto tutta una serie di tutele, di procedure e di sorveglianze atte ad evitare che il rischio si concretizzi.

Avere una certificazione ISO 27.000 è un’ottima attestazione che dimostra la volontà dell’organizzazione di strutturare un sistema basato sul principio di protezione dei dati e delle informazioni e senza dubbio può essere un supporto all’integrazione del Nuovo Regolamento Privacy in azienda.

 

Conclusione

Riassumendo i punti in comune che hanno la certificazione ISO e la norma Privacy 679/2016 sono:

  1. Approccio basato sull’analisi del rischio
  2. Applicabilità a tutte le imprese private o pubbliche a prescindere dal settore e dal business
  3. Impostazione tesa ad evitare la perdita di dati preziosi per l’organizzazione e per il suo Cliente
  4. Gestione attraverso Audit periodici di verifica dello stato dei sistemi informatici

Un’azienda che gestisce un volume importante di dati personali e sensibili attraverso computer, server e supporti informatici può avere senza dubbio un grande vantaggio nell’implementare un sistema di gestione basato sulle linee della ISO 27.000, soprattutto in caso di controlli del Garante.

Staff Mondo Privacy

About Staff Mondo Privacy

Siamo uno staff giovane e dinamico, consapevole che l'informazione e la formazione siano gli strumenti migliori per trasmettere la nostra professionalità. Scriviamo i nostri articoli con la volontà di essere di supporto alle aziende con nozioni e tematiche aggiornate.