Certificazione K-ISMS (Korea Information Security Management System)Korea-Information Security Management System (K-ISMS)

Informazioni sulla certificazione K-ISMSAbout K-ISMS

In base all'articolo 47 della legge sulla promozione delle informazioni e dell'utilizzo della rete per le comunicazioni e la protezione delle informazioni (lingua coreana e lingua inglese), il Governo Coreano ha introdotto la certificazione K-ISMS (Korea-Information Security Management System).Under Article 47 in the “Act on Promotion of Information and Communications Network Utilization and Information Protection” (Korean and English), the Korean government introduced the Korea-Information Security Management System (K-ISMS). Si tratta di un quadro normativo sui sistemi di gestione delle informazioni specifico per il Paese che definisce un insieme rigoroso di requisiti di controllo che consentono di garantire alle organizzazioni in Corea una protezione coerente e sicura delle informazioni.A country-specific ISMS framework, it defines a stringent set of control requirements designed to help ensure that organizations in Korea consistently and securely protect their information assets.

Per ottenere la certificazione, è necessario che una società si sottoponga a un processo di valutazione da parte di un revisore indipendente che include contromisure di sicurezza e di gestione della sicurezza delle informazioni.To obtain the certification, a company must undergo an assessment by an independent auditor that covers both information security management and security countermeasures. La valutazione copre 104 criteri, inclusi 12 controlli in 5 settori della gestione della sicurezza delle informazioni e 92 controlli in 13 settori delle contromisure di sicurezza.It covers 104 criteria including 12 control items in 5 sectors for information security management, and 92 control items in 13 sectors for information security countermeasures. Alcuni di questi controlli includono l'analisi delle responsabilità di gestione della sicurezza dell'organizzazione, dei criteri di sicurezza, della formazione sulla sicurezza, della risposta agli incidenti, della gestione dei rischi e così via.Some of these include examination of the organization’s security management responsibilities, security policies, security training, incident response, risk management, and more. Un comitato esamina i risultati del controllo e concede la certificazione.A special committee examines the results of the audit and grants the certification.

Il quadro normativo K-ISMS è basato sulle strategie e sui criteri di sicurezza delle informazioni più recenti, oltre che sulle misure di sicurezza e sulle procedure di risposta alle minacce per ridurre al minimo l'impatto delle violazioni della sicurezza.The K-ISMS framework is built on successful information security strategies and policies, as well as security counter measures and threat response procedures to minimize the impact of any security breaches. Esistono molti punti in comune con gli obiettivi di controllo ISO/IEC 27001, tuttavia non sono identici.These have a significant overlap with ISO/IEC 27001 control objectives but are not identical. Il sistema K-ISMS si basa su un'analisi più dettagliata dei requisiti rispetto alla valutazione generale che avviene nel sistema ISO/IEC 27001.K-ISMS is more a detailed investigation against requirements than it is a general ISO/IEC 27001 assessment.

Sotto la supervisione del MSIT (Ministry of Science and Information Technology) (lingua coreana e lingua inglese), il KISA (Korea Internet & Security Agency) (lingua coreana e lingua inglese) è l'autorità di certificazione del K-ISMS.Under the supervision of the Korean Ministry of Science and Information Technology (MSIT) (Korean and English), the Korea Internet & Security Agency (KISA) (Korean and English) is the certifying authority of the K-ISMS. La certificazione è valida per tre anni e le entità certificate devono superare un controllo annuale.Certification is valid for three years, and certified entities must pass an annual audit to maintain it.

Microsoft e la certificazione K-ISMSMicrosoft and K-ISMS

In base a una rigorosa valutazione della KISA (Korea Internet & Security Agency), Microsoft Azure ha ottenuto la certificazione K-ISMS (Korea Information Security Management System) per l'hosting dei dati.Based on a rigorous evaluation by the Korea Internet & Security Agency (KISA), Microsoft Azure achieved the Korea Information Security Management System (K-ISMS) certification to host data. La certificazione riguarda i servizi di Azure che includono il calcolo, l'archiviazione, il networking, i database e la sicurezza, oltre all'infrastruttura dei data center nelle regioni di Microsoft Corea centrale e Corea del Sud.The certification covers Azure services that encompass compute, storage, networking, databases, and security, and the datacenter infrastructure of the Microsoft Korea Central and Korea South regions. Le specifiche per la certificazione K-ISMS si basano su ISO/IEC 27001, ISO/IEC 27018 e altri standard internazionali che regolano l'hosting dei dati.The specifications for K-ISMS certification are based on ISO/IEC 27001, ISO/IEC 27018, and other international standards that govern the hosting of data.

Con questa certificazione, i clienti di Azure in Corea possono dimostrare più facilmente la conformità ai requisiti normativi locali per proteggere i principali asset di informazioni digitali e rispettare più facilmente gli standard di conformità della KISA.Achieving this certification means that Azure customers in Korea can more easily demonstrate adherence to local legal requirements to protect key digital information assets and meet KISA compliance standards more easily. Inoltre, le organizzazioni coreane che devono ottenere per legge la certificazione K-ISMS, come alcuni provider di servizi Internet e di rete, grandi ospedali, istituti di istruzione e così via, possono ottenere in modo più efficiente la conformità ai requisiti K-ISMS sulla base della certificazione di Azure.In addition, Korean organizations that have a legislated mandate to obtain their own K-ISMS certification — certain internet and information network service providers, large hospitals and schools, and so on — can more efficiently meet their own KISMS compliance requirements by building on the Azure certification.

Il controllo è stato effettuato sulle misure adottate da Microsoft per proteggere i dati e la relativa riservatezza, tra cui:The audit covered the measures Microsoft takes to secure data and protect its confidentiality including the:

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

La certificazione di Azure è valida per tre anni dalla data di emissione (19 novembre 2018) con una valutazione annuale da parte della KISA, l'organismo di certificazione.Azure certification is effective for three years from the certification date (19 November 2018) with an annual reassessment by KISA, the certifying body.

Domande frequentiFrequently asked questions

Chi deve ottenere la certificazione K-ISMS?Who must obtain the K-ISMS certification?

Per alcuni soggetti la certificazione è obbligatoria mentre per altri è facoltativa.There are voluntary and compulsory subjects. I soggetti per cui la certificazione è facoltativa, come Microsoft, possono comunque richiedere la certificazione se lo desiderano.Voluntary subjects, like Microsoft, apply for K-ISMS certification if they wish. La KISA obbliga alla certificazione i seguenti soggetti:However, KISA mandates certification for compulsory subjects that include:

  • Fornitori di servizi Internet autorizzati dall'articolo 6, sezione 1 della legge sulle comunicazioni, che forniscono servizi di rete per informazioni a Seoul e a tutte le città metropolitane.Internet service providers that are authorized by Article 6, Section 1 of the Telecommunication Business Act and provide information network services in Seoul and all metropolitan cities.

  • Data center Internet designati come "strutture integrate per le informazioni e le comunicazioni" dell'articolo 46 della legge sulla promozione delle informazioni e l'utilizzo della rete per le comunicazioni e la protezione delle informazioni.Internet datacenters designated as an “integrated information and communication facilities” by Article 46 in the Act on Promotion of Information and Communications Network Utilization and Information Protection.

  • Qualsiasi organizzazione che soddisfi le condizioni seguenti:Any organization that meets these conditions:

    • Le strutture sanitarie classificate come "ospedale generale di livello superiore" nell'articolo 3, sezione 4 della legge sul servizio sanitario il cui fatturato annuale o fiscale è pari almeno a 150 milioni USD.Hospitals categorized as a “higher general hospital” in Article 3, Section 4 of the Medical Service Act whose annual sales or tax revenue is at least USD$ 150 million.
    • Istituti di istruzione, in base all'articolo 2 della legge sull'istruzione superiore, in cui il numero di studenti iscritti è pari almeno a 10.000 al 31 dicembre dell'anno immediatamente precedente.Schools, per Article 2 in the Higher Education Act, where the number of enrolled students is at least 10,000 as of December 31 of the immediately preceding year.
    • Fornitori di servizi di rete e di informazioni le cui vendite di servizi di informazioni e comunicazione sono pari almeno a 10 milioni USD oppure hanno avuto una media di almeno 1 milione di utenti al giorno nei tre mesi precedenti, escludendo, tuttavia, le società finanziarie di cui al comma 3 dell'articolo 2 della legge sulle transazioni finanziarie elettroniche.Information network service providers whose sales of information and communication services are at least USD$ 10 million or an average of at least 1 million users per day in the previous three months; excluding, however, a financial company under subparagraph 3 of Article 2 of the Electronic Financial Transactions Act.

In che modo l'integrazione degli standard K-ISMS e K-PIMS influisce sulla certificazione Microsoft?How does the integration of the K-ISMS and K-PIMS impact the Microsoft certification?

Nel novembre 2018, la MSIT (Korea Communications Commission) e il Ministero dell'interno e della sicurezza hanno unito gli standard K-ISMS e K-PIMS (Korea-Personal Information Management System) in un nuovo e unico sistema di certificazione chiamato ISMS-P (Information Security Management System-Personal).In November 2018, the MSIT, Korea Communications Commission, and Ministry of the Interior and Safety merged the K-ISMS and the Korea-Personal Information Management System (K-PIMS) into a new certification system, Information Security Management System-Personal (ISMS-P).

La fusione di questi due sistemi riflette le recenti tendenze di integrazione della sicurezza delle informazioni e della protezione delle informazioni personali.The integration of these two systems reflects the recent trends in the integration of information security and the protection of personal information. L'obiettivo è rafforzare i collegamenti tra questi sistemi e ridurre il carico di lavoro per le aziende nel processo di adeguamento evitando la sovrapposizione dei requisiti.The goal was both to strengthen the links between these systems and to reduce the compliance burden on organizations due to the considerable overlap of requirements. Anziché eseguire 104 controlli K-ISMS e 82 controlli K-PIMS, la nuova certificazione consolidata sarà composta da 80 elementi relativi alla sicurezza delle informazioni e da 22 elementi riguardanti la protezione delle informazioni personali.Instead of 104 K-ISMS controls and 82 K-PIMS controls, the new consolidated certification has 80 items related to information security and 22 items related to the protection of personal information.

Le organizzazioni possono richiedere la certificazione K-ISMS in base agli 80 controlli per la sicurezza delle informazioni, oppure possono richiedere la conformità ISMS-P con 22 controlli aggiuntivi sulla protezione delle informazioni personali.Organizations can apply for the K-ISMS certification based on the 80 controls for information security, or they can apply for the ISMS-P by complying with the 22 additional requirements for personal information protection. Microsoft può richiedere un controllo sulla base del nuovo sistema di certificazione ISMS-P.Microsoft can apply for an audit under the new ISMS-P certification system. Tuttavia, aspettiamo che la certificazione K-ISMS corrente scada nel 2021 per poi richiedere la certificazione ISMS-P.However, we wait until our current K-ISMS certification expires in 2021, at which point we apply for an ISMS-P audit.

Altre risorseAdditional resources