ISO 27001: di cosa si tratta?
Hai scoperto che hai bisogno di certificarti ISO 27001 ma ancora non ti è chiaro cosa sia. In questa pagina puoi trovare le risposte alle domande che riguardano questa norma. Leggendo questa pagina, infatti, potrai capire cos’è la ISO 27001, a cosa serve e perché può essere un beneficio per la tua azienda avere un SGSI conforme a questa norma.
Indice
Cerchi una consulenza per certificarti ISO 27001 secondo un Sistema di Gestione per la Sicurezza delle Informazioni adeguato?
La norma ISO 27001
La ISO 27001 è la norma internazionale che definisce i requisiti per un Sistema di Gestione per la sicurezza dell’informazione (SGSI o ISMS, dall’inglese Information Security Management System) in riferimento alle tecnologie informatiche ed è stata pubblicata dalla ISO (International Organization for Standardization).
L’ultimo aggiornamento della norma da parte della ISO è del 2017 e per questo si chiama ISO 27001:2017 (anche se tradotta in italiano da UNI nel 2018).
Sistema di Gestione per la Sicurezza delle Informazioni (SGSI)
La gestione delle informazioni oggi giorno non rappresenta solo una componente della realtà di ciascuna azienda, ma si può dire che ormai le organizzazioni si identificano con i propri sistemi informativi. Il valore del business di ogni azienda passa quindi in maniera inevitabile da questa gestione.
Questo significa che la vulnerabilità della sicurezza delle informazioni – che sono soggette a minacce determinate da attacchi, errori, eventi naturali – può mettere a repentaglio in modo serio il business delle aziende. Di fatto le informazioni rappresentano un vero e proprio asset aziendale, e come tale devono essere tutelate.
Le tre “dimensioni” principali delle informazioni che devono essere garantite sono la Riservatezza, l’Integrità e la Disponibilità (RID).
Un Sistema di Gestione per la Sicurezza delle Informazioni, più comunemente SGSI, ha proprio lo scopo di determinare gli strumenti per contrastare le minacce che possono minare questi aspetti .
La norma ISO 27001 è basata sulla logica del PDCA: Plan (Pianificare) – Do (Attuare) – Check (Verificare) – Act (Agire per migliorare) e, come quasi tutte le norme di sistema emesse dopo il 2012, è articolata secondo la cosiddetta Struttura di Alto Livello (HLS) che favorisce l’integrazione con altri sistemi di gestione.
L’approccio che la caratterizza è quello del cosiddetto Risk Based Thinking, cioè della valutazione dei rischi e delle opportunità, strategici e di processo, che vengono analizzati e valutati partendo dall’analisi del contesto, delle parti interessate e dei relativi requisiti decidendo quali azioni attivare per gestire i vari rischi, con l’applicazione di una logica di prevenzione e di miglioramento.
I vantaggi di un SGSI conforme alla ISO 27001:2017
I vantaggi pratici che un’organizzazione può ottenere con l’implementazione e la certificazione di un Sistema di Gestione per la Sicurezza delle Informazioni sono molteplici:
- Garantire la continuità operativa,
- Salvaguadare il know-how aziendale,
- Ridurre al minimo i rischi e i danni che comportano responsabilità legali e contrattuali,
- Migliorare la propria immagine e competitività, domostrando la validità di un sistema conosciuto e affermato in campo internazionale,
- Dare credibilità e fiducia ai propri partner commerciali.
Hai bisogno di un consulente che ti aiuti a certificarti ISO 27001?
Come ottenere la certificazione ISO 27001
Per ottenere la certificazione del proprio SGSI, l’azienda deve rivolgersi ad un Organismo di Certificazione, che ha il compito di verificare la conformità del sistema alla norma di riferimento.
Il processo di certificazione è articolato in primo step (stage 1) finalizzato a verificare la conformità della documentazione del sistema di gestione alla ISO 27001 ed in un secondo step (stage 2) che invece ha lo scopo di verificare il livello di applicazione.
Dopo il rilascio del certificato (che ha validità triennale) sono previsti audit di mantenimento per i primi due anni; al terzo anno viene invece svolto l’audit per il rinnovo del certificato.
Chi può certificarsi ISO 27001?
Qualunque organizzazione, grande o piccola, indipendentemente dal proprio settore e campo di attività, possa certificarsi secondo questo standard.
Ottieni la tua certificazione ISO 27001:2017
Il metodo Brain System per l’implementazione di SGSI conforme alla ISO 27001
Brain System, grazie alla propria esperienza ultraventennale, è in grado di offrire un servizio di consulenza specifico per la progettazione e l’implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni aziendale conforme alla norma UNI EN ISO 27001:2017, costruendo un sistema su misura per la tua realtà seguendo queste fasi di intervento:
- Analisi della situazione esistente presso l’azienda (Check-up),
- Identificazione dei gap rispetto alla norma, agli obiettivi, ai requisiti di compliance e alle best practice di settore (Gap Analysis),
- Stesura della Politica per la Sicurezza delle Informazioni e dei relativi obiettivi,
- Mappatura dei processi aziendali e delle loro interazioni,
- Progettazione del sistema di gestione,
- Analisi del contesto e delle parti interessate,
- Analisi e valutazione dei rischi e delle opportunità rispetto agli obiettivi strategici e di processo, con la definizione delle azioni adeguate per la relativa di gestione e stesura dei piani di miglioramento (Risk Assesment and Management),
- Implementazione e applicazione del sistema di gestione, tramite workshop e formazione aziendale (Implementation Workshops)
- Svolgimento di Audit Interni ed eventuali interventi di miglioramento,
- presenza e assistenza durante l’audit da parte dell’organismo di certificazione.
Inoltre Brain System offre un servizio di mantenimento per le aziende già certificate, di solito consistente nel supporto per la gestione delle anomalie rilevate dall’organismo di certificazione nell’ultimo audit, lo svolgimento di uno o più audit interni con il supporto per la soluzione delle eventuali problematiche che dovessero emergere, la presenza all’audit successivo dell’organismo di certificazione.