Standard di gestione della sicurezza delle informazioni ISO/IEC 27001:2013ISO/IEC 27001:2013 Information Security Management Standards

Panoramica di ISO/IEC 27001ISO/IEC 27001 overview

International Organization for Standardization (ISO) è un'organizzazione non governativa indipendente nonché il più grande sviluppatore al mondo di standard internazionali volontari..The International Organization for Standardization (ISO) is an independent nongovernmental organization and the world’s largest developer of voluntary international standards. International Electrotechnical Commission (IEC) è l'organizzazione leader al mondo per la preparazione e la pubblicazione di standard internazionali per tecnologie elettriche, elettroniche e correlate.The International Electrotechnical Commission (IEC) is the world’s leading organization for the preparation and publication of international standards for electrical, electronic, and related technologies.

Pubblicata dalla sottocommissione congiunta ISO/IEC, la famiglia di standard ISO/IEC 27000 riporta centinaia di controlli e meccanismi di controllo per aiutare le organizzazioni di ogni tipo e dimensione a mantenere protette le loro risorse di informazioni.Published under the joint ISO/IEC subcommittee, the ISO/IEC 27000 family of standards outlines hundreds of controls and control mechanisms to help organizations of all types and sizes keep information assets secure. Questi standard globali forniscono un framework per criteri e procedure che includono tutti i controlli legali, fisici e tecnici coinvolti nei processi di gestione dei rischi correlati alle informazioni di un'organizzazione.These global standards provide a framework for policies and procedures that include all legal, physical, and technical controls involved in an organization’s information risk management processes.

ISO/IEC 27001 è uno standard di sicurezza che specifica formalmente un Information Security Management System (ISMS), il cui scopo è fornire un controllo di gestione esplicito per la sicurezza delle informazioni.ISO/IEC 27001 is a security standard that formally specifies an Information Security Management System (ISMS) that is intended to bring information security under explicit management control. In quanto specifica formale, impone requisiti che definiscono come implementare, monitorare mantenere e migliorare costantemente l'ISMS.As a formal specification, it mandates requirements that define how to implement, monitor, maintain, and continually improve the ISMS. Prescrive inoltre un set di best practice che includono requisiti per documentazione, suddivisione delle responsabilità, disponibilità, controllo dell'accesso, sicurezza, controllo, nonché misure correttive e preventive.It also prescribes a set of best practices that include documentation requirements, divisions of responsibility, availability, access control, security, auditing, and corrective and preventive measures. La certificazione ISO/IEC 27001 aiuta le organizzazioni a conformarsi a numerosi requisiti normativi e legali correlati con la sicurezza delle informazioni.Certification to ISO/IEC 27001 helps organizations comply with numerous regulatory and legal requirements that relate to the security of information.

Microsoft e ISO/IEC 27001Microsoft and ISO/IEC 27001

L'accettazione internazionale e l'applicabilità di ISO/IEC 27001 sono il motivo essenziale per cui la certificazione per questo standard è alla base dell'approccio di Microsoft all'implementazione e alla gestione della sicurezza delle informazioni.The international acceptance and applicability of ISO/IEC 27001 is the key reason why certification to this standard is at the forefront of Microsoft’s approach to implementing and managing information security. Il conseguimento della certificazione ISO/IEC 27001 di Microsoft indica il suo impegno a mantenere le promesse fatte ai clienti in termini di conformità ai requisiti di sicurezza.Microsoft’s achievement of ISO/IEC 27001 certification points up its commitment to making good on customer promises from a business, security compliance standpoint. Attualmente, sia Azure pubblico che Azure Germania vengono sottoposti una volta all'anno a controlli di conformità agli standard ISO/IEC 27001 svolti da un organismo di certificazione di terze parti, che fornisce una convalida indipendente dell'implementazione e dell'efficacia dei controlli di sicurezza applicabili.Currently, both Azure Public and Azure Germany are audited once a year for ISO/IEC 27001 compliance by a third-party accredited certification body, providing independent validation that security controls are in place and operating effectively.

Per informazioni sui vantaggi di ISO/IEC 27001 in Microsoft Cloud, scaricare il documento di base sulla conformità ISO/IEC 27001:2013Learn about the benefits of ISO/IEC 27001 on the Microsoft Cloud: Download the ISO/IEC 27001:2013

Servizi cloud Microsoft inclusiMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

Ciclo di controllo: i servizi cloud Microsoft vengono controllati almeno una volta l'anno rispetto agli standard ISO 27001:2013.Audit cycle: Microsoft cloud services are audited at least annually against the ISO 27001:2013 standard.

AzureAzure

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

Microsoft Professional ServicesMicrosoft Professional Services

Valutazioni e reportAssessments and reports

AzureAzure

Office 365Office 365

Azure DevOps ServicesAzure DevOps Services

Vedere gli altri report di controlloSee additional audit reports

Domande frequentiFrequently asked questions

Perché la conformità di Microsoft a ISO/IEC 27001 è importante?Why is Microsoft compliance with ISO/IEC 27001 important?

La conformità a questi standard, confermata da un revisore accreditato, dimostra che Microsoft usa processi e best practice riconosciuti a livello internazionale per gestire l'infrastruttura e l'organizzazione che supporta e fornisce i suoi servizi.Compliance with these standards, confirmed by an accredited auditor, demonstrates that Microsoft uses internationally recognized processes and best practices to manage the infrastructure and organization that support and deliver its services. Il certificato conferma che Microsoft ha implementato le linee guida e i principi generali per l'avvio, l'implementazione, il mantenimento e il miglioramento della gestione della sicurezza delle informazioni.The certificate validates that Microsoft has implemented the guidelines and general principles for initiating, implementing, maintaining, and improving the management of information security.

Dove posso reperire i report di controllo e le dichiarazioni di ambito di ISO/IEC 27001 per i servizi Microsoft?Where can I get the ISO/IEC 27001 audit reports and scope statements for Microsoft services?

Il Service Trust Portal fornisce report di conformità controllati in modo indipendente.The Service Trust Portal provides independently audited compliance reports. È possibile usare il portale per richiedere report, in modo che i revisori possano confrontare i risultati dei servizi cloud di Microsoft ai requisiti normativi e legali che li riguardano.You can use the portal to request reports so that your auditors can compare Microsoft's cloud services results with your own legal and regulatory requirements.

Microsoft conduce test annuali per i problemi dell'infrastruttura?Does Microsoft run annual tests for infrastructure failures?

Sì.Yes. Il processo annuale di certificazione ISO/IEC 27001 per il gruppo Microsoft Cloud Infrastructure and Operations include un controllo della resilienza operativa.The annual ISO/IEC 27001 certification process for the Microsoft Cloud Infrastructure and Operations group includes an audit for operational resiliency. Per visualizzare in anteprima l'ultimo certificato, fare clic sul collegamento seguente.To preview the latest certificate, click the link below.

Da dove iniziare il percorso di conformità della mia organizzazione a ISO/IEC 27001?Where do I start my organization’s own ISO/IEC 27001 compliance effort?

L'adozione di ISO/IEC 27001 è un impegno strategico.Adopting ISO/IEC 27001 is a strategic commitment. Come punto di partenza, consultare ISO/IEC 27000 Directory.As a starting point, consult the ISO/IEC 27000 Directory.

Posso usare la conformità ISO/IEC 27001 dei servizi Microsoft nel processo di certificazione della mia organizzazione?Can I use the ISO/IEC 27001 compliance of Microsoft services in my organization’s certification?

Sì.Yes. Se l'azienda richiede la certificazione ISO/IEC 27001 per le implementazioni distribuite su servizi Microsoft, è possibile usare la certificazione applicabile nella propria valutazione della conformità.If your business requires ISO/IEC 27001 certification for implementations deployed on Microsoft services, you can use the applicable certification in your compliance assessment. Tuttavia, si ha la responsabilità di affidare l'incarico a un perito che valuti l'implementazione aziendale e i controlli e processi all'interno dell'organizzazione in termini di conformità agli standard ISO/IEC 27001.You are responsible, however, for engaging an assessor to evaluate the controls and processes within your own organization and your implementation for ISO/IEC 27001 compliance.

Usare Punteggio di conformità Microsoft per valutare i rischiUse Microsoft Compliance Score to assess your risk

Punteggio di conformità Microsoft è una funzionalità in anteprima nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Score is a preview feature in the Microsoft 365 compliance center to help you understand your organization’s compliance posture and take actions to help reduce risks. Dopo aver configurato Punteggio di conformità, selezionare il modello ISO 27001 preconfigurato nel menu a discesa Modello per aiutare l'organizzazione a rispettare i requisiti di questa normativa.After setting up Compliance Score, select the pre-configured ISO 27001 template from the Template drop-down menu to help your organization meet the requirements for this regulation.

RisorseResources

White paperWhite papers