La norma ISO 27001:2006 ha per oggetto la tutela delle informazioni. E' un sistema di gestione aziendale, fondato sulla falsa riga della ISO 9001 basato sull'analisi dei rischi circa la sicurezza delle informazioni, legato all'attività aziendale. La certificazione comporta istituire, implementare, attuare, monitorare, revisionare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni gestite dall'azienda.

• Si applica sia all'informazione su supporto cartaceo cartaceo che a quella su supporto elettronico e rende l'informazione:

• riservata, perché l'informazione deve essere accessibile solo da coloro che vi sono autorizzati;

• integra, perché va salvaguardata l'accuratezza e la completezza dell' informazione e dei metodi di elaborazione e conservazione;

• disponibile all'occorrenza, perché gli utenti autorizzati devono avere accesso alle informazioni e ai beni correlati quando ne abbiano bisogno.

Quanto sopra evidenziato ha il vantaggio di innalzare i limiti della competitività, del profitto, dell'immagine aziendale, oltre al rispetto dei requisiti di legge.

Per definire l'impegno necessario alla implementazione del sistema è indispensabile stabilire:

• il contesto e lo scopo del sistema di sicurezza (information security management system – ISMS)

• identificare e valutare i rischi per la sicurezza delle informazioni

• sviluppare un piano per un appropriato trattamento dei rischi

L'analisi dei rischi permette di identificare minacce e vulnerabilità dei dati, gli impatti sull'organizzazione, e consente di determinare il grado di rischio che potrebbe inficiare il sistema di gestione dei dati e delle informazioni.

La LC S.r.l., abituata a lavorare con Enti primari, ha già portato in certificazione alcune società appartenenti a settori operativi diversi, che gestiscono anche dati sensibili.