DETTAGLI DIMENTICATI?

ACM CERT

CERTIFICAZIONE | FORMAZIONE

ISO 27001 - SICUREZZA DELLE INFORMAZIONI

RICHIEDI UNA OFFERTA O UN INCONTRO GRATUITO!

ISO 27001

ISO 27001 - ACM

La ISO 27001 Sistema di Gestione della Sicurezza delle Informazioni (Information Security) è uno standard gestionale. Non è uno standard tecnico nel senso di «tecnico informatico» anche se ricomprende la gestione degli aspetti di sicurezza informatica.

Il Sistema di Gestione della Sicurezza delle Informazioni ISO 27001 si applica a tutte le informazioni, qualsiasi sia la modalità di trattamento delle stesse (trattamento informatico o cartaceo).

iso 27001 sicurezza delle informazioni

Il Certificato viene emesso esclusivamente con la norma di riferimento internazionale ISO/IEC 27001:2013. La norma UNI CEI ISO/IEC 27001:2017 recepisce due corrigendum normativi rispetto alla UNI CEI ISO/IEC 27001:2014.

Questo a livello nazionale con le norme tradotte in Italiano dall’UNI. La versione internazionale dell’ISO non ha subito aggiornamento e rimane la ISO/IEC 27001:2013.

ISO 27001 – SICUREZZA DELLE INFORMAZIONI

La famiglia delle ISO 27000 raccoglie gli standard per la gestione della sicurezza delle informazioni.

Applicata a Organizzazioni di qualsiasi tipo e dimensione.

  • Tutte le informazioni conservate e trattate da un’organizzazione sono soggette a minacce determinate da attacchi, errori, eventi naturali, ed è soggetta a vulnerabilità intrinseche al loro uso;
  • Il termine «Sicurezza delle informazioni» è generalmente basato sul considerare le informazioni come un bene (asset) che ha un valore e che richiede una protezione adeguata;
  • Avere a disposizione informazioni accurate e complete, disponibili in tempo utile per coloro che ne hanno un’esigenza autorizzata, è un catalizzatore per l’efficienza del business;
  • Le informazioni sono un asset (bene) che, come altri importanti asset aziendali, sono essenziali per il business di un’organizzazione e conseguentemente necessitano di essere adeguatamente protette.

La Sicurezza delle informazioni comprende tre dimensioni principali (RID):

  • Riservatezza
  • Disponibilità
  • Integrità
iso 27001 riservatezza, integrità, disponibilità

STRUTTURA DELLA NORMA

4.0 CONTESTO DELL’ORGANIZZAZIONE

L’Organizzazione deve determinare i fattori interni ed esterni pertinenti alle sue finalità che influenzano la sua  capacità  di conseguire gli esiti previsti per il proprio sistema di gestione per la sicurezza delle informazioni.

La determinazione  fa riferimento  alla definizione del contesto esterno ed interno dell’organizzazione considerate al  punto 5 dello standard ISO 31000.

MISSIONE STRATEGICA E  CONTESTO DI RIFERIMENTO 

La missione strategica aziendale ed il modello di business adottato per perseguirla determinano il contesto di riferimento esterno in cui l’Organizzazione opera.

CONTESTO DI RIFERIMENTO E REQUISITI DELLE PARTI COINVOLTE

Il  contesto di riferimento  in cui l’Organizzazione opera determina i requisiti delle parti coinvolte nel sistema di gestione per la sicurezza delle informazioni.

REQUISITI DELLE PARTI COINVOLTE  E SCOPO E CAMPO DI APPLICAZIONE DEL SGSI

I requisiti delle parti coinvolte determinano le informazioni da proteggere (beni primari) e i beni utilizzati per trattarle (beni secondari).

L’insieme dei beni secondari costituisce il «perimetro di sicurezza delle informazioni».

5. LEADERSHIP

L’Alta Direzione deve dimostrare la propria leadership e impegno nei riguardi del sistema di gestione per la sicurezza delle informazioni mediante: 

  1. Assicurando che la politica e gli obiettivi per la sicurezza delle informazioni siano stabiliti  e siano compatibili con gli indirizzi strategici dell’Organizzazione;
  2. Assicurando l’integrazione dei  requisiti del sistema di gestione per la sicurezza delle informazioni  nei  processi aziendali;
  3. Assicurando la disponibilità delle risorse necessarie al sistema di gestione per la sicurezza delle informazioni;
  4. Comunicando l’importanza  di un’efficace gestione della sicurezza delle informazioni e dell’essere conforme ai requisiti  del sistema di gestione per la sicurezza delle informazioni;
  5. Assicurando che il sistema di gestione per la sicurezza delle informazioni   consegua gli esiti previsti;
  6. Fornendo guida e sostegno  alle persone  per contribuire all’efficacia  del sistema di gestione per la sicurezza delle informazioni;
  7. Promuovendo il miglioramento continuo;
  8. Fornendo sostegno  ad altri pertinenti  ruoli gestionali  nel dimostrare  la propria leadership  come opportuno  nelle rispettive aree di responsabilità.

6. PIANIFICAZIONE

Nel pianificare il sistema di gestione per la sicurezza delle informazioni, l’Organizzazione  deve considerare i  fattori di cui al punto 4.1 ed i requisiti di cui al punto 4.2  e determinare i rischi e le opportunità che è necessario  affrontare per:

  1. Assicurare che il sistema di gestione per la sicurezza delle informazioni possa conseguire gli esiti previsti;
    1. Prevenire o ridurre gli effetti indesiderati;
    1. Realizzare il miglioramento continuo;

L’Organizzazione deve pianificare:

  • Le azioni per affrontare questi rischi e  le opportunità;
    • Le modalità per:
      • integrare  e attuare le azioni  nei processi  del proprio sistema di gestione per la sicurezza delle informazioni;
      • valutare l’efficacia di tali azioni.

VALUTAZIONE  DEL RISCHIO RELATIVO ALLA SICUREZZA DELLE INFORMAZIONI

iso 31001 - valutazione del rischio

7. SUPPORTO

L’Organizzazione deve determinare e mettere a disposizione le risorse necessarie per stabilire, attuare, mantenere  e migliorare in modo continuo il sistema di gestione per la sicurezza delle informazioni.

Deve:

  • Determinare le necessarie competenze per le persone che svolgono attività sotto il suo controllo e che influenzano  le sue prestazioni  relative alla sicurezza delle informazioni.
  • Assicurare che queste persone siano competenti sulla base di istruzione, formazione, addestramento o esperienze appropriate;
  • Ove applicabile, intraprendere  azioni per acquisire  la necessaria competenza  e valutare l’efficacia delle azioni intraprese;
  • Conservare appropriate informazioni documentate  quale evidenza delle competenze.

STRUTTURA DOCUMENTI

iso 27001 - struttura dei documenti

8. ATTIVITA’ OPERATIVE

L’Organizzazione deve pianificare, attuare  e tenere sotto controllo i processi necessari per soddisfare i requisiti di sicurezza  delle informazioni e per mettere in atto le azioni determinate  al punto 6.1.

Deve anche attuare i piani per conseguire gli obiettivi per la sicurezza delle informazioni di cui al punto 6.2; conservare le informazioni documentate nella misura necessaria ad avere fiducia che i processi siano stati eseguiti come pianificato; tenere sotto controllo  le modifiche pianificate e riesaminare le conseguenze dei cambiamenti involontari, intraprendendo azioni per mitigare qualunque  effetto negativo per quanto necessario e assicurare che i processi affidati all’esterno siano determinati e tenuti sotto controllo

iso 31001 - gestione del rischio punti della norma

9. VALUTAZIONE DELLE PRESTAZIONI

L’Organizzazione deve valutare le prestazioni della sicurezza delle informazioni e l’efficacia del sistema di gestione per la sicurezza delle informazioni e deve terminare:

  1. Cosa è necessario monitorare e misurare, includendo  i processi ed i controlli relativi  alla sicurezza delle informazioni;
    1. I metodi per il monitoraggio, la misurazione, l’analisi e la valutazione, in quanto applicabili, per assicurare risultati validi;
    1. Quando i monitoraggi e le misurazioni devono essere effettuati;
    1. Chi deve monitorare e misurare;
    1. Quando i risultati dei monitoraggi e delle misurazioni devono essere analizzati e valutati;
    1. Chi deve analizzare e valutare  tali risultati.
    1. L’Organizzazione deve conservare appropriate informazioni documentate quale evidenza dei risultati  dei monitoraggi e delle misurazioni.

Determinare:

  • COSA monitorare e misurare (soddisfacimento requisiti legali e altri req., attività e operazioni relativi a rischi, opportunità, progressi verso obiettivi pianificati, efficacia dei controlli)
  • METODI per monitorare, misurare, analizzare, valutare prestazioni
  • CRITERI E INDICATORI
  • QUANDO eseguire monitoraggio, misurazione,
  • Valutazione per assicurare risultati validi
  • QUANDO analizzare e valutare i risultati

10. MIGLIORAMENTO

L’organizzazione deve:

  • Reagire tempestivamente a incidenti o NC (azioni per tenerli sotto controllo e correggerli; affrontarne le conseguenze).
  • Valutare, azioni correttive per eliminare le cause dell’incidente o della NC.i
  • Riesaminare le valutazioni esistenti dei rischi per la SGSI e di altri rischi.
  • Determinare e attuare ogni azione necessaria, comprese le azioni correttive e la gestione del cambiamento.
  • Valutare i rischi per la SGSI che riguardano pericoli nuovi o modificati.
  • Riesaminare efficacia di ogni azione intrapresa, comprese le azioni correttive.
  • Effettuare modifiche del SGSI.

ANNEX A

I controlli possono essere:

  • Politiche;
  • Procedure documentate;
  • Linee guida;
  • Pratiche e prassi;
  • Strutture organizzative.

Possono essere di carattere:

  • Burocratico;
  • Tecnico;
  • Gestionale;
  • Legale.

La parola «controllo» può essere anche usata come sinonimo di salvaguardia o contromisura.

iso 27001 - controlli annex a

GDPR / REGOLAMENTO PRIVACY

Se un’organizzazione ha già implementato questo standard, è almeno a metà strada verso il garantire la protezione dei dati personali dati e minimizzare il rischio di una perdita il cui l’impatto finanziario e la visibilità potrebbe essere devastante per l’organizzazione stessa.

I dati personali, innanzitutto, sono quelle informazioni critiche che tutte le organizzazioni hanno bisogno di proteggere. Naturalmente, alcuni dei requisiti del GDPR sono delle novità, come ad esempio il diritto di informazione, eliminazione e portabilità dei dati.

iso 27001 - gdpr vs. iso 27001

CONTROLLI SICUREZZA ENISA

iso 27001 - controlli sicurezza enisa

COMPATIBILITA’ CON ALTRI SISTEMI DI GESTIONE

I sistemi di gestione per la sicurezza delle informazioni sviluppati in conformità allo standard ISO 27001 sono integrabili con i sistemi di gestione sviluppati in conformità ad altri standard ISO, quali ad es. Sistemi di Gestione per la Qualità ISO 9001, Sistemi di gestione per i Servizi IT ISO 20000-1, Sistemi di Gestione per la Continuità Operativa (Business Continuity) ISO 22301.

La tendenza che si sta affermando è lo sviluppo di un unico sistema di gestione integrato in conformità allo standard ISO 27001, ISO 20000-1, ISO 22301

I vantaggi per l’organizzazione?

  • rafforzare le interfunzionalità della sicurezza delle informazioni e la fiducia dei propri Partner commerciali;
  • integrare la sicurezza delle informazioni e dei sistemi nella strategia globale di gestione del rischio dell’Organizzazione;
  • soddisfare le richieste degli Stakeholders (Azionisti, Legislatore, Clienti, Personale, Amministrazione e Comunità) dimostrando di affrontare e gestire il rischio, garantendo la sostenibilità del buiness;
  • ridurre gli incidenti che comportano responsabilità legali e contrattuali;
  • migliorare le relazioni con la Pubblica Amministrazione;
  • assicurare la protezione di segreti commerciali e del know-how aziendale.

PROCESSO DI CERTIFICAZIONE

Le fasi principali dell’iter di certificazione comprendono:

  • Definizione del contratto;
  • Audit preliminare (su richiesta non obbligatoria): analisi di eventuali lacune e valutazione dell’attuale conformità del ISMS rispetto ai requisiti normativi;
  • Audit Iniziale: verifica volta a valutare l’implementazione dei principi e della struttura del Sistema di Gestione (legislazione e normativa applicabile, policy della sicurezza, analisi dei rischi, Statement of Applicability (SoA), definizione chiara e coerente dello scopo, piano di trattamento dei rischi);
  • Audit di Certificazione: verifica volta a valutare l’adeguata ed efficace implementazione del Sistema di Gestione, attraverso tecniche che prevedono l’analisi dei documenti, osservazioni, interviste al personale. Tale verifica è finalizzata all’emissione del certificato;
  • Audit di Sorveglianza (annuale dopo la certificazione), per controllare il miglioramento continuo;
  • Audit di Rinnovo della certificazione dopo tre anni a seguito di una verifica completa o di una valutazione continua nel tempo.

 

iso 27001 - processo di certificazione

Altre Certificazioni

  • ISO 9001 - ACM

    ISO 9001

    COS’È LO STANDARD ISO 9001 ISO 9001 – Sistemi di Gestione per la Qualità è in assolut...

  • ISO 14001 - ACM

    ISO 14001

    ISO 14001 fa parte di una serie di norme internazionali, che riguardano il Sistema di Gesti...

  • ISO 45001 - ACM

    ISO 45001:2018

    ISO 45001 – lo standard internazionale per la salute e la sicurezza sul lavoro, ...

  • ISO 37001 - ACM

    ISO 37001:2016

    CHE COS’È LO STANDARD ISO 37001 Pubblicato nel 2016, la ISO 37001 – Anti-Briber...

  • ISO 39001 - ACM

    ISO 39001:2012

    CHE COS’È LA ISO 39001? ISO 39001:2012 – Sistema di Gestione della Sicurezza St...

Corsi Lead Auditor

TORNA SU