Lo standard ISO IEC 27001:2017 Sistema di Gestione della Sicurezza delle Informazioni (ISMS) rappresenta l’ultima versione della norma internazionale tesa a garantire la corretta gestione della sicurezza logica, fisica ed organizzativa dei dati. Oggi, grazie alla maggiore circolazione di dati in rete e alla moltiplicazione degli scambi di informazioni a livello globale, il tema della sicurezza è diventato sempre più pressante e di interesse generale.
Il Sistema di Gestione ISO 27001 può essere implementato da tutte le imprese private e pubbliche, indipendentemente dal settore e dal tipo di azienda. L’informazione va considerata al pari di un qualsiasi altro bene e come tale deve essere protetta. L’obiettivo dello standard ISO 27001 è proprio quello di proteggere i dati, al fine di assicurarne l’integrità, la riservatezza e la disponibilità.
La certificazione ISO 27001 contribuisce a raggiungere alti livelli di sicurezza delle informazioni in possesso dell’Organizzazioni e assicura la possibilità di gestire al meglio il grado di accessibilità ai dati.
La certificazione garantisce numerosi vantaggi, tra i quali:
La conformità alla ISO 27001 non solleva l’Organizzazione dal rispetto delle misure minime di sicurezza e dei requisiti richiesti dal Regolamento Europeo 679/2016 (General Data Protection Regulation). Tuttavia esistono diversi punti di contatto:
Una delle preoccupazioni principali per chi si approccia al processo di certificazione per la prima volta è il pensiero di dover stravolgere la propria Organizzazione.
Gli interventi necessari per implementare in maniera appropriata un sistema di gestione della Sicurezza delle Informazioni sono costituiti da una serie di attività che mirano alla riorganizzazione oculata delle pratiche già in atto all’interno dell’azienda al fine di garantire un maggior controllo.
Anche la certificazione ISO 27001, come tutti i principali protocolli internazionali di nuova generazione, si basa sull’approccio Risk-Based Thinking e punta all’analisi e al monitoraggio dei rischi in ottica di prevenzione dei danni, garantendo un piano di gestione coerente con le peculiarità dell’azienda.
In questo modo è possibile identificare l’ambito di applicazione del Business Continuity Management System (BCMS), tenendo conto di:
Il processo per raggiungere la certificazione per la Sicurezza delle Informazioni comincia con l’implementazione del sistema, che può avvenire in autonomia o attraverso il supporto di un consulente esterno.
In seguito all’implementazione, ASACERT verificherà la conformità del sistema rispetto alla normativa e rilascerà la certificazione che ha una validità di 3 anni, soggetta a verifica annuale.
L’audit ha luogo il primo anno ed è diviso in due fasi (Stage 1 e Stage 2) alla fine delle quali viene rilasciata la certificazione.
Entro 12 mesi dal primo rilascio della certificazione si procede ad effettuare una verifica di sorveglianza per accertare che il sistema certificato non sia cambiato e sia ancora conforme. In caso di grandi cambiamenti l’organismo di certificazione può decidere di apportare delle modifiche al certificato al fine di renderlo rispondente alla mutata situazione dell’azienda.
Entro un anno dalla prima verifica di sorveglianza ha poi luogo una seconda verifica di sorveglianza.
Alla fine del terzo anno il certificato va rinnovato per il tramite di un’apposita verifica di rinnovo, pena la perdita di validità del certificato.
Le tempistiche dipendono dal livello di preparazione e conformità del Sistema di Gestione implementato dall’Organizzazione e dalla dimensione aziendale.
Per ottenere indicazioni più dettagliate su costi e tempistiche contattaci e saremo lieti di offrirti tutto il supporto necessario.
Asacert - Assessment & Certification | P. IVA 04484450962 | Realizzazione siti web NautilusADV