Lavora con noi

My Qualifica
Accedi/Registrati

Stai visualizzando:

/ISO 27001

ISO 27001

LA norma ISO 27001

LA NORMA ISO 27001

Lo standard ISO/IEC 27001 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione” è una norma internazionale che ha come obiettivo quello di creare un sistema di gestione della sicurezza delle informazioni. Inoltre, essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni adatti alle esigenze dell’organizzazione.

Lo scopo dello standard è quello di assicurare la protezione dei dati e delle informazioni da tutta una serie di minacce (accesso non autorizzato, distruzione e furto dati, interruzione di servizio, virus informatici) al fine di garantire la continuità dell’attività aziendale. Per le Organizzazioni, essere in possesso di un corretto sistema di gestione delle informazioni significa dotarsi di tutte le misure di sicurezza, tutelando i dati in termini di riservatezza, integrità e disponibilità.

Lo standard ISO/IEC 27001:2017 è suddiviso in dieci sezioni secondo la HIGH LEVEL STRUCTURE, la tipica struttura che caratterizza anche altri sistemi di gestione (quali ISO 9001, 14001, 45001, 37001, e può essere quindi facilmente integrata in un sistema di gestione esistente. Le prime tre sezioni sono di carattere introduttivo, le successive sette sezioni definiscono concretamente i requisiti relativi al Sistema di Gestione della sicurezza informatica e rappresentano il “cuore” della norma:

Sezione 4 – Contesto dell’organizzazione 

La norma ha voluto inquadrare gli elementi interni ed esterni con un approccio “high level” e considerare, per la prima volta, una serie di ulteriori fattori che possono influenzare il modo in cui l’organizzazione gestisce le proprie responsabilità in materia di sicurezza informatica: questi fattori possono essere sia di tipo esterno (aspetti tecnologici, finanziari/economici, competitivi dei propri prodotti/servizi nei confronti della concorrenza dal punto di vista ambientale, e legali/normativi) che di tipo interno (dimensioni, struttura, interfacce e interdipendenze tra le attività svolte dall’organizzazione).  

Da ciò deriva che l’analisi del contesto richiede una valutazione non solo di elementi interni ma anche di elementi esterni che in precedenza venivano di solito considerati marginalmente nell’ambito del SGA.

Tale estensione dell’analisi rappresenta quindi un aspetto di maggiore complessità della norma e di vitale importanza, in quanto il tutto permette di stabilire ed impostare una serie di azioni atte a prevenire e mitigare tutti i possibili eventi di perdita e indisponibilità delle informazioni, ciò risulta ancora più evidente nella successiva analisi delle parti interessate e nell’attività generale di pianificazione che la normativa dettaglia e chiarisce.

In quest’ottica, è evidente il significativo ampliamento di prospettiva che la ISO/IEC 27001 chiede al Sistema di Gestione per la Sicurezza delle Informazioni, i cui obiettivi e le cui azioni devono infatti essere definiti ed attuati sulla base di una conoscenza del contesto in grado di fornire all’organizzazione una visione complessiva e una migliore e più strategica comprensione di tutti gli elementi del proprio contesto (inquadramento sociale, dimensioni e struttura dell’organizzazione, cambiamenti normativi, finanziari e tecnologici, interazioni con gli stakeholder etc.) che possono influire sul modo in cui essa gestisce le proprie attività, consentendo allo stesso tempo di intercettare e cogliere le opportunità di prevenzione.

Sezione 5 – Leadership

Questo standard attribuisce un ruolo attivo e centrale al top management (Organo direttivo o Alta direzione) nel processo di radicamento degli impegni per la sicurezza delle informazioni nel business dell’azienda. Un messaggio molto chiaro e preciso, che la ISO/IEC 27001 esplicita sin dall’Introduzione della norma, in cui si afferma chiaramente come il successo di un SGSI dipenda dall’impegno di tutti i livelli e di tutte le funzioni dell’organizzazione, guidate e indirizzate a tal fine dal suo Top Management, a cui spetta anzitutto il compito di cogliere e di valorizzare le opportunità connesse alla sicurezza delle informazioni, in particolare quelle che presentano implicazioni sotto il profilo strategico e competitivo.

La ISO/IEC 27001:2017 chiede inoltre all’alta direzione di assicurarsi che la Politica per la sicurezza delle informazioni e gli obiettivi siano coerenti e compatibili con gli indirizzi strategici e con il contesto dell’azienda: l’analisi del contesto, come detto sopra, fornisce input fondamentali al Top Management per identificare sia gli indirizzi strategici dell’organizzazione (Politica ed obiettivi per la sicurezza delle informazioni), sia le funzioni aziendali con ruoli e responsabilità rilevanti per la loro realizzazione.

Sezione 6 – Pianificazione 

Il Punto 6 della norma è dedicato alla Pianificazione del Sistema e può considerarsi il “cuore” della ISO/IEC 27001:2017, in cui da un lato, trovano applicazione e si connettono i tre concetti di contesto, azioni per affrontare il rischio e opportunità e dall’altro, la pianificazione degli obiettivi per la sicurezza delle informazioni ed il loro raggiungimento. 

Il processo di pianificazione va impostato secondo una logica risk-based, mirata ad identificare e a valutare rischi e opportunità connessi ai fenomeni di sicurezza delle informazioni, al fine di determinare le azioni da sviluppare per assicurare che il Sistema non solo raggiunga i suoi obiettivi, ma prevenga o riduca effetti e conseguenze indesiderati connessi alle attività, prodotti e servizi dell’organizzazione e ne amplifichi benefici ed effetti positivi.

Sezione 7 – Supporto 

Il punto 7 della norma riguarda la gestione e il controllo di tutte le risorse e gli asset all’interno dell’organizzazione sia esse intese come risorse umane, come infrastrutture, come ambiente di lavoro ecc.

La sezione include inoltre i requisiti relativi alla competenza, consapevolezza, comunicazione e controllo delle informazioni documentate (i documenti e le registrazioni richiesti per i processi).

In questo punto, si trovano tutti i requisiti relativi alla competenza, consapevolezza, comunicazione, formazione, processo di assunzione ed informazione documentata.

L’informazione documentata è un fortissimo elemento innovativo, sostituisce i termini “procedure” e “registrazioni” e può essere redatta e conservata nella forma che l’organizzazione ritiene più adeguata in funzione delle proprie esigenze, rischi ed opportunità. L’estensione delle informazioni documentate di un sistema di gestione per la sicurezza delle informazioni può variare in base alla: 

  • Dimensione dell’organizzazione e al tipo di attività, processi, prodotti e servizi
  • Complessità dei processi
  • Competenza del personale
  • Infrastruttura informatica aziendale

Sezione 8 – Attività operative 

Tale sezione descrive il controllo operativo che deve eseguire l’organizzazione sui suoi processi e in che modo debba essere preparata a soddisfare tutti i requisiti per la sicurezza delle informazioni, rappresentando la parte l’operativa concreta del SGSI. 

L’organizzazione in questa fase mette in atto le prestazioni relative alle valutazioni sul rischio di sicurezza delle informazioni a intervalli pianificati, archiviando le informazioni documentate per registrare i risultati e dare evidenza del raggiungimento degli obiettivi prefissati. 

Sezione 9 – Valutazione delle prestazioni 

Questa sezione definisce i requisiti necessari per il monitoraggio, la misurazione, l’analisi e la valutazione dell’efficacia del sistema di gestione. Infatti, come per gli altri standard strutturati con un HIGH LEVEL STRUCTURE, all’organizzazione è richiesto di impostare il processo in modo molto più articolato, coerente e innestato sul Sistema di Gestione sicurezza delle informazioni, definendo chiaramente:

  1. Cosa misurare e monitorare
  2. Quando misurare e monitorare
  3. Quando analizzare e valutare i risultati delle misurazioni e dei monitoraggi

Sezione 10 – Miglioramento 

È chiaramente esplicitato in questo punto della norma l’obiettivo del sistema di gestione sicurezza delle informazioni, ovvero quello del miglioramento delle performances di prevenzione e viene enfatizzato un messaggio che avrebbe dovuto già essere compreso da tempo dalle organizzazioni dotate di un SGSI certificato: le non conformità hanno una connotazione positiva nella gestione del Sistema e devono pertanto essere “vissute” dall’azienda in modo costruttivo e funzionale all’efficacia del Sistema stesso, infatti, un SGSI efficace è quello in cui gli scostamenti dai requisiti, sono tempestivamente rilevati dal personale dell’organizzazione e sono utilizzate come leva per alimentare il miglioramento. Da qui la scelta della ISO/IEC 27001 di inviare il segnale esplicito dell’inserimento delle NC nel Punto norma dedicato al miglioramento continuo.

Lo standard ISO/IEC 27001 prevede anche l’Allegato A che delinea 114 controlli per aiutare a proteggere le informazioni in molteplici aree dell’organizzazione. Questo fornisce inoltre una guida per le migliori pratiche e rappresenta un valido riferimento per valutare quali controlli siano più adatti all’organizzazione.

A CHI è RIVOLTA LA ISO 27001

A chi è rivolta la ISO 27001

La norma ISO/IEC 27001 è rivolta a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura. Questo tipo di certificazione può essere richiesta sia alle imprese operanti nei settori commerciali e industriali sia alle pubbliche amministrazioni, a dimostrazione che il sistema di gestione della sicurezza delle informazioni è conforme allo standard internazionale di riferimento. Tale adempimento, inoltre, attesta alle autorità competenti che l’impresa ha provveduto a ridurre al minimo i rischi a cui sono sottoposte le informazioni gestite.

la proposta

la proposta

Qualifica Group s.r.l. sarà lieta di accompagnare e sostenere le aziende durante il percorso di certificazione o  implementazione di un sistema di gestione in conformità alla norma ISO/IEC 27001:2017 mediante una consulenza “cucita” sulle sue richieste, garantendo:

  1. Uno sviluppo ed una crescita dell’organizzazione interna
  2. Un miglioramento delle prestazioni del capitale umano
  3. Una riduzione degli sprechi e dei costi di gestione

Di seguito sono illustrate le fasi principali da percorrere per l’ottenimento della certificazione ISO/IEC 27001:2017

Fase 1 – Incontro con i principali referenti dell’azienda per eseguire un check-up aziendale in tale incontro si acquisiranno i dati interni aziendali attraverso interviste ai dirigenti aziendali, ai responsabili di settore nonché si reperirà la documentazione aziendale necessaria;

Fase 2 Rilevazione di eventuali difformità tra quanto applicato in azienda rispetto a quanto previsto nella norma ISO/IEC 27001:2017 e rispetto alla cogenza normativa di settore (Regolamento UE 2016/679, D.Lgs 101/2018, sicurezza 81/08 etc.);

Fase 3 Stabilire ruoli, definizione degli asset e allocare risorse laddove la fase precedente abbia fatto emergere lacune o necessità;

Fase 4 Analisi del contesto, dei rischi e delle opportunità, finalizzata a sviluppare un programma di miglioramento;

Fase 5 Analisi delle attività aziendali che possono avere impatto significativo sulla sicurezza delle informazioni con verifica delle leggi applicabili alla specifica realtà aziendale;

Fase 6 – Stabilire la politica per la sicurezza delle informazioni;

Fase 7 Preparare i flussi dei processi;

Fase 8 Preparare tutta la documentazione ritenuta necessaria per attuare un sistema di gestione efficace per la Vostra Organizzazione;

Fase 9 Formazione il personale sulla normativa ISO/IEC 27001:2017;

Fase 10 Monitorare il programma di miglioramento;

Fase 11 Audit periodici per riesaminare le performance aziendali con la direzione;

Fase 12 Individuare l’ente di certificazione più adatto alle esigenze di certificazione;

Fase 13 Supporto durante la visita dell’ente di certificazione;

Fase 14 Chiusura di eventuali NC;

Fase 15 Interfaccia con l’ente per monitorare lo stato di emissione del certificato;

Fase 16 Supporto al mantenimento della certificazione per gli anni successivi.

i vantaggi

i vantaggi

I vantaggi tangibili che si possono ottenere da in SG certificato secondo lo standard internazionale ISO/IEC 27001 sono:

  • Miglioramento dell’immagine aziendale sul mercato
  • Aumento del punteggio nelle gare d’appalto
  • Aumento di fiducia da parte dei propri clienti e vantaggio di marketing sulla concorrenza
  • Riduzione dei controlli e facilitazioni nell’ottenimento di autorizzazioni amministrative
  • Riduzione di sanzioni e perdite associate alle violazioni dei dati
  • Ridurre gli incidenti che comportano responsabilità legali e contrattuali

Potrebbe interessarti anche

divisore

Contattaci

Credito d’imposta fino al 50% per acquisto beni per un massimo di 2,5 milioni di euro