LA ISO/IEC 27001 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione” è uno standard internazionale che definisce i requisiti per pianificare, attuare, operare, monitorare, riesaminare, mantenere e migliorare il sistema di gestione per la sicurezza delle informazioni delle aziende.
La certificazione secondo la norma ISO/IEC 27001 è applicabile in particolare alle organizzazioni operanti nella gran parte dei settori commerciali e industriali, nonché alle pubbliche amministrazioni e dimostra che il sistema di gestione della sicurezza delle informazioni è conforme allo standard internazionale di riferimento. Prova inoltre che è stato fatto quanto necessario per minimizzare i rischi a cui sono sottoposte le informazioni gestite.
La norma ISO 27001 può essere applicata a qualsiasi tipo di organizzazione, dalla più piccola fino a quella con più sedi e migliaia di dipendenti e il suo obiettivo primario è quello di creare un sistema dove le informazioni possano circolare in modo sicuro, coinvolgendo tutti gli attori in causa, siano essi interni o esterni.
La certificazione del sistema di gestione della sicurezza delle informazioni permette di:
La norma specifica i requisiti per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell’organizzazione. Inoltre essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell’informazione adatti alle esigenze dell’organizzazione. I requisiti presenti nella norma sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura.
Scopo dello standard è quello di proteggere i dati e le informazioni da una vasta gamma di minacce al fine di assicurare la continuità dell’attività aziendale. Avere un corretto sistema di gestione della sicurezza delle informazioni significa dotarsi di tutte le misure di sicurezza, assicurando i dati in termini di riservatezza, integrità e disponibilità.
Implementare un sistema ISO 27001 in azienda, necessita un certo tempo, un impegno costante da parte della dirigenza e delle risorse coinvolte e soprattutto è un’attività che non può essere effettuata attraverso l’adozione di un pacchetto di documenti standard acquistati online e riversati in azienda.
La nostra azienda potrebbe avere già altri schemi di certificazione adottati (9001, 231, GDPR, etc.) e potrebbe necessitare dell’integrazione dei sistemi esistenti; potrebbe necessitare di rispondere a requisiti particolari da parte dei clienti; potrebbe essere oggetto di bandi con specifiche richieste; tutto questo necessita sicuramente di una prima fase di auditing e assessment che permetta al consulente di capire una possibile maturità dei sistemi già in essere e le priorità per arrivare al livello minimo rispetto ai requisiti della norma.
Successivamente si inizia ad operare a livello di procedure, di controlli e di registri: si evidenziano le eventuali lacune procedurali e si iniziano a predisporre quei punti di controllo che permettono all’azienda di vigilare attivamente sulle operazioni di gestione delle informazioni. Questa fase è estremamente importante, perchè aldilà della produzione di procedure ad hoc, generalmente si devono potenziare o implementare sistemi di controllo sull’infrastruttura informatica che non sempre sono immediati e richiedono valutazioni oltre che del consulente anche dei reparti IT coinvolti.
Quanto tempo serve per effettuare queste fasi iniziali? Dipende.
Non esiste una tempistica predefinita, in alcuni casi può necessitare alcune settimane, in altri qualche mese. Generalmente solo dopo la prima analisi si può capire quali saranno i tempi di implementazione.
Successivamente, una volta creato il sistema, si deve andare a regime attraverso l’adozione di sistemi di controllo e audit specifici. La norma richiede una serie di richieste che devono essere fatte in modo attivo, pertanto si deve abbandonare il concetto di “mi certifico e per un anno sono tranquillo”.
La scelta dell’ente è soggettiva: un ente accreditato che rilascia il certificato ISO 27001 rilascia un documento riconosciuto e valido in tutto il mondo, i cui requisiti soddisfatti sono esattamente gli stessi per qualsiasi ente esso sia. Alcune differenze possono esistere tra enti che rispondono ad Accredia rispetto ad enti esteri, ma questa differenza verrà eventualmente evidenziata in sede di colloquio.
È bene ricordare in ogni caso che i certificati possono essere in ogni caso trasferiti tra gli enti tramite procedure già previste e normate.
Il processo di certificazione prevede il rilascio iniziale, una sorveglianza annuale e un certificato che dopo 3 anni deve essere rinnovato.
Abbiamo esperienza pluriennale sia nell’implementazione dei sistemi ISO 27001 che negli audit sia della norma sia in ambito GDPR, cybersecurity e schemi affini.
Possiamo seguirvi dalla primissima fase di valutazione dove si iniziano a capire anche le vulnerabilità aziendali indipendentemente dalla certificazione, assistendovi lungo tutto il percorso di certificazione fino alla parte di valutazione attraverso gli audit formali per verificare le eventuali non conformità e le azioni correttive necessarie, oltre a erogare la formazione necessaria per il personale che potrebbe essere totalmente all’oscuro di cosa sia un sistema di gestione ISO 27001.
Vi inviatiamo a contattarci attraverso l’apposita pagina per avere ulteriori informazioni.
Synectis srl
P.Iva 06977960480
Copyright © 2024 Synectis srl. All Rights Reserved.
