Sistemi di Sicurezza delle Informazioni – ISO/IEC 27001

SISTEMi DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI - ISO 27001

LA CERTIFICAZIONE

Lo standard ISO IEC 27001:2017 Sistema di Gestione della Sicurezza delle Informazioni (ISMS) rappresenta l’ultima versione della norma internazionale tesa a garantire la corretta gestione della sicurezza logica, fisica ed organizzativa dei dati. Oggi, grazie alla maggiore circolazione di dati in rete e alla moltiplicazione degli scambi di informazioni a livello globale, il tema della sicurezza è diventato sempre più pressante e di interesse generale.

Il Sistema di Gestione ISO 27001 può essere implementato da tutte le imprese private e pubbliche, indipendentemente dal settore e dal tipo di azienda. L’informazione va considerata al pari di un qualsiasi altro bene e come tale deve essere protetta. L’obiettivo dello standard ISO 27001 è proprio quello di proteggere i dati, al fine di assicurarne l’integrità, la riservatezza e la disponibilità.

I VANTAGGI

La certificazione ISO 27001 contribuisce a raggiungere alti livelli di sicurezza delle informazioni in possesso dell’Organizzazioni e assicura la possibilità di gestire al meglio il grado di accessibilità ai dati.

La certificazione garantisce numerosi vantaggi, tra i quali:

  • Identificazione dei rischi e attuazione di specifiche strategie di gestione
  • Consolidamento dei sistemi di sicurezza delle informazioni
  • Protezione dei dati da accessi non autorizzati e da virus informatici
  • Riduzione dei danni che comportano responsabilità legali e contrattuali
  • Positiva influenza sull’immagine aziendale agli occhi di partner e stakeholder
  • Prevenzione del rischio di business interruption.

PERCHE' CERTIFICARSI

La conformità alla ISO 27001 non solleva l’Organizzazione dal rispetto delle misure minime di sicurezza e dei requisiti richiesti dal Regolamento Europeo 679/2016 (General Data Protection Regulation). Tuttavia esistono diversi punti di contatto:

  • Riservatezza, disponibilità e integrità dei dati: necessità di istituire sistemi efficaci per la protezione dei dati e per la gestione della privacy
  • Valutazione dei rischi correlati: obbligatorietà dell’analisi e del monitoraggio dei possibili rischi legati alle specifiche attività dell’Organizzazione
  • Obbligo di notifica: autorità preposte e interessati devono essere informati in modo tempestivo in caso di violazione della privacy
  • Elaborazione dei registri: ogni Organizzazione deve compilare e conservare un registro delle attività e dei dati detenuti.

LA MIA AZIENDA SUBIRA' DEI CAMBIAMENTI?

Una delle preoccupazioni principali per chi si approccia al processo di certificazione per la prima volta è il pensiero di dover stravolgere la propria Organizzazione.

Gli interventi necessari per implementare in maniera appropriata un sistema di gestione della Sicurezza delle Informazioni sono costituiti da una serie di attività che mirano alla riorganizzazione oculata delle pratiche già in atto all’interno dell’azienda al fine di garantire un maggior controllo.

Anche la certificazione ISO 27001, come tutti i principali protocolli internazionali di nuova generazione, si basa sull’approccio Risk-Based Thinking e punta all’analisi e al monitoraggio dei rischi in ottica di prevenzione dei danni, garantendo un piano di gestione coerente con le peculiarità dell’azienda.

COME SI SVOLGE IL PROCESSO DI CERTIFICAZIONE?

Il processo per raggiungere la certificazione per la Sicurezza delle Informazioni comincia con l’implementazione del sistema, che può avvenire in autonomia o attraverso il supporto di un consulente esterno.

In seguito all’implementazione, ASACERT verificherà la conformità del sistema rispetto alla normativa e rilascerà la certificazione che ha una validità di 3 anni, soggetta a verifica annuale.

L’audit ha luogo il primo anno ed è diviso in due fasi (Stage 1 e Stage 2) alla fine delle quali viene rilasciata la certificazione.

Entro 12 mesi dal primo rilascio della certificazione si procede ad effettuare una verifica di sorveglianza per accertare che il sistema certificato non sia cambiato e sia ancora conforme. In caso di grandi cambiamenti l’organismo di certificazione può decidere di apportare delle modifiche al certificato al fine di renderlo rispondente alla mutata situazione dell’azienda.

Entro un anno dalla prima verifica di sorveglianza ha poi luogo una seconda verifica di sorveglianza.

Alla fine del terzo anno il certificato va rinnovato per il tramite di un’apposita verifica di rinnovo, pena la perdita di validità del certificato.

QUANTO TEMPO SERVE PER AVERE LA CERTIFICAZIONE?

Le tempistiche dipendono dal livello di preparazione e conformità del Sistema di Gestione implementato dall’Organizzazione e dalla dimensione aziendale.

Per ottenere indicazioni più dettagliate su costi e tempistiche contattaci e saremo lieti di offrirti tutto il supporto necessario.

DOWNLOAD PDF SERVIZIO