Scopo flessibile SSI, l'estensione della certificazione ISMS alle Linee Guida ISO 27000

La norma ISO/IEC 27001 per i Sistemi di Gestione della Sicurezza delle Informazioni include 60 linee guida di applicazione – 50 delle quali già pubblicate – che declinano i requisiti della Information Security in diversi ambiti e settori: tra questi vi sono il Cloud Computing, la gestione degli incidenti, i Financial Services, la privacy, l'Identity Management, l’autenticazione biometrica su dispositivi mobili, la Cyberinsurance, la sicurezza e la privacy dei sistemi di Big Data, la gestione delle informazioni in materia di salute, la sicurezza delle informazioni nelle relazioni con i fornitori (molto utile per monitorare le supply chain) e molte altre. 

Accredia, per questo tipo di standard, accredita gli Organismi di Certificazione con uno “scopo flessibile”: l’introduzione dello scopo di accreditamento flessibile permette agli OdC, entro un ambito ben definito dell’accreditamento già ottenuto, di rispondere alle richieste avanzate dal mercato, dai clienti, dalle autorità e di ampliare l’applicabilità a nuove Linee Guida, purché appartenenti alla stessa famiglia, rispettando i requisiti di competenze ed operatività definiti nel regolamento e nelle procedure che rispondono ai requisiti della RT-37: “Prescrizioni per l’accreditamento con scopo di accreditamento flessibile”.

Bureau Veritas Italia ha ottenuto questa estensione dell’accreditamento SSI ed è pertanto autorizzata a rilasciare certificati con riferimento alle Linee Guida collegate allo standard e inserite nell’elenco pubblicato qui di seguito, in forma controllata.
Allo stato attuale, Bureau Veritas Italia, verificate le tendenze e le richieste del mercato, ha inserito in questo elenco le seguenti Linee Guida e Standard (ISO 27701):

• ISO/IEC 27018:2014 - Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors; 
• ISO/IEC 27017:2015 - Information technology -- Security techniques -- Code of practice for information security controls based on ISO/IEC 27002 for cloud services; 
• ISO/IEC 27011:2016 - Information technology -- Security techniques -- Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations; 
• ISO/IEC TR 27019:2013 - Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry;
• ISO/IEC 27032:2012 - Information technology -- Security techniques -- Guidelines for cybersecurity;
• ISO/IEC 27035-1:2016 Information technology -- Security techniques -- Information security incident management Principles of incident management;
• ISO/IEC 27035-2:2016 Information technology -- Security techniques -- Information security incident management Guidelines to plan and prepare for incident response.
• ISO/IEC 27037:2017 Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence
• ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines