Per ottenere la certificazione secondo la norma ISO 27001 è necessario nominare un ente di certificazione accreditato per condurre una valutazione indipendente del sistema di gestione della sicurezza delle informazioni.
ACSQ è un organismo verificato e accreditato per fornire la certificazione ISO 27001 e può dunque assicurare ai vostri clienti e ai vostri partner che possono essere certi che il vostro sistema di gestione per la sicurezza delle informazioni sia stato verificato in modo competente, in base ai requisiti dello standard internazionale.
La norma ISO 27001 si applica a moltissimi campi e, proprio a causa dell'ampia natura dell'archiviazione e della protezione dei dati, una valutazione della sua corretta applicazione coinvolgerà, necessariamente, tutte le aree e tutti i livelli aziendali.
Per implementare un sistema robusto e funzionante è necessario considerare quanto segue:
- bisogna definire l'ambito del sistema;
- occorre stabilire la vostra politica di sicurezza delle informazioni;
- vanno definiti gli obiettivi di sicurezza dell'azienda;
- si deve eseguire una valutazione del rischio per la sicurezza delle informazioni e identificare eventuali aree vulnerabili;
- va formulato un piano di trattamento del rischio;
- bisogna selezionare i metodi di controllo più adatti;
- occorre stabilire politiche e procedure;
- vanno implementati revisioni interne e audit interni;
- bisogna avviare un monitoraggio dell'attività del sistema e della registrazione delle attività degli utenti;
- occorre mantenere i sistemi IT aggiornati con la protezione più recente;
- vanno controllati gli accessi al sistema;
- vanno monitorate le prestazioni dei controlli per identificare opportunità di miglioramento;.
- si devono condurre audit interni;
- bisogna rendere consapevoli i dipendenti e i fornitori dei rischi e dell'importanza della segnalazione di eventuali incidenti;
- quando siete soddisfatti e ritenete che la documentazione e i processi siano a posto, siete pronti per il primo audit da parte dell'ente certificatore.
L'auditor esaminerà la documentazione e si assicurerà che le procedure siano seguite in tutta l'organizzazione L'implementazione di un sistema per la gestione della sicurezza delle informazioni fornirà alla vostra organizzazione un sistema che aiuterà a eliminare o ridurre al minimo il rischio di una violazione della sicurezza che potrebbe avere implicazioni legali o di continuità aziendale.
Un efficace sistema di gestione della sicurezza delle informazioni fornisce un modello di gestione di politiche e procedure che manterranno le vostre informazioni al sicuro, qualunque sia il loro formato. Il conseguimento della certificazione ISO 27001 dimostra che un'azienda:
- ha informazioni protette per evitare che finiscano in mani non autorizzate;
- può basarsi su informazioni garantite e accurate che possono essere modificate solo da utenti autorizzati;
- ha valutato i rischi e mitigato l'impatto di una potenziale violazione dei dati;
- è stata valutata in modo indipendente in base a uno standard internazionale basato sulle migliori pratiche del settore
