Con la sigla ISO 9000 si identifica una serie di normative e linee guida sviluppate dall’Organizzazione internazionale per la normazione (ISO), le quali definiscono i requisiti per la realizzazione, in una organizzazione, di un sistema di gestione della qualità, al fine di condurre i processi aziendali, migliorare l’efficacia e l’efficienza nella realizzazione del prodotto e nell’erogazione del servizio, ottenere ed incrementare la soddisfazione del cliente.

La sigla ISO 14001 identifica una norma tecnica dell’Organizzazione internazionale per la normazione (ISO) sui sistemi di gestione ambientale (SGA) che fissa i requisiti di un sistema di gestione ambientale di una qualsiasi organizzazione. Fa parte della serie di norme ISO 14000 sviluppate dal comitato tecnico (TC, dall’inglese Technical Commettee) ISO/TC 207. Tale norma può essere utilizzata per una certificazione, per un’auto-dichiarazione oppure semplicemente come linea guida per stabilire, attuare e migliorare un sistema di gestione ambientale.

La norma ISO 14001, giunta alla sua terza edizione del 2015, si ispira esplicitamente al modello PDCA (Plan-Do-Check-Act, detto anche ciclo di Deming dal nome del suo ideatore William Edwards Deming). Un’estesa linea guida è contenuta nella ISO 14004, che riporta i principi, sistemi e tecniche di supporto per i sistemi di gestione ambientale. Una più sintetica “guida all’uso” è contenuta nella stessa ISO 14001.

Nel febbraio del 2012 sono partiti i lavori della nuova revisione della norma (14001:2015 “Environmental management systems”), che l’ISO ha pubblicato il 15 settembre 2015.

La norma ISO 45001 “Occupational health and safety management systems — Requirements with guidance for use” in italiano “Sistemi di gestione per la salute e sicurezza sul lavoro – Requisiti e guida per l’uso”, è una norma internazionale che specifica i requisiti per un sistema di gestione della salute e sicurezza sul lavoro (in inglese: OH&S, in italiano SSL) e fornisce indicazioni per il suo utilizzo, per consentire alle organizzazioni di fornire posti di lavoro sicuri e salubri prevenendo infortuni sul lavoro e problemi di salute, nonché migliorando SSL in modo proattivo.

È applicabile a qualsiasi organizzazione che desideri istituire, implementare e mantenere un sistema di gestione per migliorare la salute e la sicurezza sul lavoro, eliminare o ridurre i rischi (comprese le carenze del sistema), sfruttare le opportunità di SSL. Aiuta un’organizzazione a raggiungere i risultati attesi del proprio sistema di gestione.

Coerentemente con la politica aziendale per la sicurezze e salute dei luoghi di lavoro, i risultati attesi di un sistema di gestione SSL comprendono:

a) miglioramento continuo delle prestazioni relative alla SSL;
b) soddisfacimento dei requisiti legali e di altri requisiti;
c) raggiungimento degli obiettivi per la SSL.
ISO 45001 è applicabile a qualsiasi organizzazione indipendentemente dalle sue dimensioni, tipo e attività. È applicabile ai rischi SSL sotto il controllo dell’organizzazione, tenendo conto di fattori come il contesto in cui opera l’organizzazione e i bisogni e le aspettative dei suoi lavoratori e delle altre parti interessate.

La norma ISO 22301 “Societal security — Business continuity management systems — Requirements” è una norma internazionale relativa alla gestione della continuità operativa (Business continuity), che definisce i requisiti necessari a pianificare, stabilire, attuare, rendere funzionante un sistema di gestione documentato, e per monitorare, mantenere attivo e migliorare in continuo il sistema di gestione finalizzato a proteggere, ridurre le possibilità di accadimento, preparare, dare risposte ed a ripristinare eventi destabilizzanti per un’organizzazione, quando questi abbiano a manifestarsi.

Lo standard ISO/IEC 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

La versione più recente della norma è la UNI CEI EN ISO/IEC 27001:2017 (pubblicata il 30 marzo 2017), che non è altro che la versione 2013 con due Corrigendum (emessi dall’ISO nel 2014 e 2015):

requisito A.8.1.1: l’inventario, la classificazione e trattamento degli “asset” riguarda ora anche le “informazioni” cui gli asset sono associati.
requisito 6.1.3: la Dichiarazione di Applicabilità deve specificare se sono implementati o meno i “controlli necessari”, e non solo i controlli riferiti all’Annex A.
Non essendo stati introdotti nuovi requisiti, la norma ISO resta in edizione 2013, per cui l’unico impatto sui certificati emessi si potrà avere sul riferimento normativo nazionale in essi riportato.

La serie ISO/IEC 27000 “Information Security Management Systems (ISMS) Family of Standards” (anche nota, in Italia, come famiglia di norme SGSI, “Sistemi di Gestione per la Sicurezza delle Informazioni”) raggruppa un insieme di norme internazionali, che si prefiggono di proteggere le informazioni che vengono mantenute ed elaborate da un’organizzazione. Attraverso questa famiglia di norme, le organizzazioni possono sviluppare ed implementare un proprio framework per la gestione della sicurezza delle proprie risorse informative come: le informazioni finanziarie, la proprietà intellettuale ed i dati dei dipendenti, di clienti o di terzi. Le informazioni vengono protette da possibili attacchi informatici, errori umani, calamità naturali o da qualsiasi altra vulnerabilità che si può presentare durante l’utilizzo di un sistema informatico.

La serie ISO/IEC 27000 fornisce un modello, definito da esperti di settore, da seguire nella creazione e mantenimento di un sistema di gestione.
Le norme delle serie:

definiscono i requisiti per creare un SGSI e per coloro che certificano questi sistemi;
forniscono una guida per progettare, attuare, mantenere e migliorare un SGSI;
esprimono le linee guida nei vari ambiti di utilizzo di un SGSI;
valutano la conformità di un SGSI.
La serie ISO/IEC 27000 è applicabile a tutte le organizzazioni di qualsiasi tipo e dimensione, esempio sono società commerciali, governative e organizzazioni non a scopo di lucro. Tutte le organizzazioni sono incoraggiate a valutare i loro rischi informativi, quindi a trattarli in base alle loro esigenze, utilizzando il manuale e i suggerimenti del caso. Data la natura dinamica del rischio e della sicurezza delle informazioni, il SGSI incorpora un feedback continuo e attività di miglioramento per rispondere ai cambiamenti delle minacce, delle vulnerabilità o degli impatti degli incidenti.

ISO/IEC 27017, Codice di condotta per i controlli di sicurezza delle informazioni basati su ISO/IEC 27002 per i servizi in cloud

La serie ISO/IEC 27000 “Information Security Management Systems (ISMS) Family of Standards”[1] (anche nota, in Italia, come famiglia di norme SGSI, “Sistemi di Gestione per la Sicurezza delle Informazioni”[2]) raggruppa un insieme di norme internazionali, che si prefiggono di proteggere le informazioni che vengono mantenute ed elaborate da un’organizzazione. Attraverso questa famiglia di norme, le organizzazioni possono sviluppare ed implementare un proprio framework per la gestione della sicurezza delle proprie risorse informative come: le informazioni finanziarie, la proprietà intellettuale ed i dati dei dipendenti, di clienti o di terzi. Le informazioni vengono protette da possibili attacchi informatici, errori umani, calamità naturali o da qualsiasi altra vulnerabilità che si può presentare durante l’utilizzo di un sistema informatico.

La serie ISO/IEC 27000 fornisce un modello, definito da esperti di settore, da seguire nella creazione e mantenimento di un sistema di gestione.
Le norme delle serie:

definiscono i requisiti per creare un SGSI e per coloro che certificano questi sistemi;
forniscono una guida per progettare, attuare, mantenere e migliorare un SGSI;
esprimono le linee guida nei vari ambiti di utilizzo di un SGSI;
valutano la conformità di un SGSI.
La serie ISO/IEC 27000 è applicabile a tutte le organizzazioni di qualsiasi tipo e dimensione, esempio sono società commerciali, governative e organizzazioni non a scopo di lucro. Tutte le organizzazioni sono incoraggiate a valutare i loro rischi informativi, quindi a trattarli in base alle loro esigenze, utilizzando il manuale e i suggerimenti del caso. Data la natura dinamica del rischio e della sicurezza delle informazioni, il SGSI incorpora un feedback continuo e attività di miglioramento per rispondere ai cambiamenti delle minacce, delle vulnerabilità o degli impatti degli incidenti.

ISO/IEC 27018, Codice di condotta per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII

La sigla SA 8000 (tecnicamente SA8000:2014; SA sta per Social Accountability) identifica uno standard internazionale di certificazione redatto dal CEPAA (Council of Economical Priorities Accreditation Agency) e volto a certificare alcuni aspetti della gestione aziendale attinenti alla responsabilità sociale d’impresa (o CSR, dall’inglese Corporate Social Responsibility). Questi sono:

• – il rispetto dei diritti umani,
• – il rispetto dei diritti dei lavoratori,
• – la tutela contro lo sfruttamento dei minori,
• – le garanzie di sicurezza e salubrità sul posto di lavoro.

La norma internazionale ha quindi lo scopo di migliorare le condizioni lavorative a livello mondiale e soprattutto permette di definire uno standard verificabile da enti di certificazione.