Nuove direttive sulla certificazione in materia di protezione dei dati

Con l’entrata in vigore, nell’autunno 2013, delle norme ISO 27001 e 27002, nella primavera 2014 abbiamo adeguato le nostre direttive sulla certificazione in materia di protezione dei dati e i relativi allegati.

In seguito a una profonda revisione, dal 1° ottobre 2013 sono in vigore le norme ISO/IEC 27001:2013 sui sistemi di gestione della sicurezza delle informazioni. Poiché le nostre norme di certificazione si basano in larga misura sulle norme internazionali poc'anzi citate, è stato necessario adeguare le «Direttive sulle esigenze minime che un sistema di gestione della protezione dei dati (SGPD) deve adempiere» e il relativo allegato. Le modifiche strutturali («Esigenze») alla norma ISO 27001 riguardano essenzialmente l'allineamento all'allegato SL del supplemento consolidato delle direttive ISO/IEC. In particolare, nelle nostre nuove direttive, entrate in vigore il 1° maggio 2014, sono state aggiornate le definizioni, conformemente alla norma ISO/IEC:2014.

Con l'introduzione di nuovi capitoli concernenti la crittografia e i rapporti con i fornitori, nonché con la separazione tra sicurezza operativa e sicurezza delle comunicazioni, la norma ISO 27002 («Code of practice») ha subito una ridefinizione ancora più profonda. Nel complesso la norma attuale consta di 18 capitoli, che insieme comprendono 114 misure. Tutte queste modifiche interessano anche l'allegato alle nostre direttive, intitolato «Codice di pratica per la gestione della protezione dei dati». L'allegato contiene un adeguamento delle misure di attuazione in materia di sicurezza dei dati; nell'ambito della riservatezza dei dati, l'adeguamento si concretizza nell'aggiunta di nuove misure di sicurezza delle informazioni nella gestione di progetti, nell'uso di dispositivi portatili e nel telelavoro; inoltre, sono state aggiunte misure riguardanti la crittografia. In definitiva nell'allegato continuano a figurare nove obiettivi che comprendono 20 misure, fra cui rientrano le misure di sicurezza dei dati, che d'ora in avanti rimandano a 71 misure proposte dalla nuova norma ISO 27002. Le organizzazioni finora certificate dal Servizio di accreditamento svizzero (SAS) ci hanno confermato in seguito che il passaggio, specialmente nell'ambito dei servizi di ricezione dei dati (SRD), si è svolto senza intoppi.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/22--rapporto-d-attivita-2014-2015/nuove-direttive-sulla-certificazione-in-materia-di-protezione-de.html