Gestione e sicurezza delle informazioni nelle PMI

UNINFO, Ente di normazione federato all'UNI per le tecnologie informatiche e loro applicazioni, ha pubblicato il quaderno "La gestione della sicurezza delle informazioni e della privacy nelle PMI" che fornisce le informazioni utili per agevolare l'adozione di sistemi di gestione della sicurezza delle informazioni anche in contesti lavorativi di dimensione medio-piccola.
Il Quaderno è scaricabile gratuitamente dal sito internet di UNINFO ed è rilasciato con licenza Creative Commons "Attribuzione - Non opere derivate 3.0".

Riporto dall'introduzione al Quaderno:

«La normativa privacy si occupa, come è noto, di sicurezza delle informazioni, anche se limitatamente a quelle di carattere personale. E' quindi naturale volerla associare allo standard internazionale ISO/IEC 27001, che definisce i requisiti di un Sistema di gestione per la sicurezza delle informazioni (SGSI). Questo standard è applicabile in modo generale ad aziende di qualsiasi dimensione e riguarda la sicurezza di qualunque tipo di dato e informazione.
Questo Quaderno ha l'obiettivo di facilitare la realizzazione di un Sistema di gestione per la sicurezza delle informazioni (SGSI) che integri al suo interno le misure di sicurezza, incluse le procedure documentate o non documentate, previste dalla normativa italiana sulla tutela dei dati personali e costituisca un quadro di riferimento per mantenerle e migliorarle nel tempo.
Un secondo obiettivo, non meno importante, è quello di mostrare come la costruzione di un SGSI, anche in contesti aziendali di ridotte dimensioni (piccole e medie imprese, PMI), preponderanti nel tessuto economico del nostro Paese, sia un obiettivo raggiungibile con uno sforzo modesto. Tale sforzo, se correttamente indirizzato, può trasformare da costo a valore l'impegno per l'adeguamento al Codice privacy e la realizzazione e manutenzione delle misure di sicurezza delle informazioni.
La realizzazione di un SGSI e la sua integrazione con quanto descritto nel presente Quaderno non assicura la completa conformità al Codice privacy né ai diversi Provvedimenti emanati dal Garante; può tuttavia costituire un valido modo per dimostrare di aver affrontato in modo coerente e sistematico l'individuazione e la gestione delle misure di sicurezza minime e idonee (di cui agli artt. 31-36 del Codice).
E' importante ricordare che la protezione dei dati personali, come regolata dalle disposizioni contenute nel D.lgs. 196/03, non attiene solamente alla gestione della sicurezza dei dati personali per garantirne riservatezza, integrità e disponibilità, ma anche alla definizione di specifiche modalità di trattamento che ne determinano la liceità. In questo Quaderno sono presi in considerazione ed approfonditi gli aspetti che riguardano la sicurezza dei dati personali.»

(Via ComplianceNet)