Lun-Ven 9:00-18:00
Sab-Dom Chiuso
+39.02.58320936
Ufficio Milano
Porta Ticinese, 39
20143 Milano

Una panoramica sulla Certificazione ISO 27001

L'obiettivo della UNI CEI EN ISO/IEC 27001:2017 “Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione – Requisiti” è proteggere la riservatezza, l'integrità e la disponibilità delle informazioni di un'azienda.

Tutto questo viene fatto scoprendo quali potenziali problemi potrebbero accadere alle informazioni (cioè valutando il rischio potenziale), quindi definendo cosa è necessario fare per evitare che si verifichino tali problemi (mitigazione del rischio o trattamento del rischio).

La filosofia alla base della ISO 27001:2017, pertanto, si basa su un processo di gestione dei rischi: scoprire dove si trovano i rischi e trattarli sistematicamente, attraverso l'implementazione dei controlli di sicurezza.

La norma è divisa in due parti. La prima parte, quella principale, consiste di 11 capitoli (da 0 a 10). La seconda parte, denominata Allegato A, fornisce una linea guida per 114 obiettivi e controlli. I capitoli da 0 a 3 (Introduzione, Campo di applicazione, Riferimenti normativi, Termini e definizioni) definiscono l'introduzione dello standard ISO 27001. I punti da 4 a 10 forniscono i requisiti della ISO 27001 il cui rispetto è obbligatorio se l'azienda vuole essere conforme allo standard. L'allegato A supporta i singoli capitoli e i loro requisiti con un elenco di controlli non obbligatori, ma selezionati come parte del processo di gestione del rischio.

I requisiti delle sezioni da 4 a 10 possono essere riassunti come segue:

Capitolo 4: Contesto dell'organizzazione – Un prerequisito per implementare con successo un sistema di gestione della sicurezza delle informazioni è comprendere il contesto in cui opera l'organizzazione. Le questioni esterne e interne, così come le parti interessate, devono essere identificate e prese in considerazione. I requisiti possono includere problemi normativi ma possono anche andare ben oltre. Con questo bene in mente, l'organizzazione deve definire l'ambito del sistema, cioè in quale misura verrà applicata la ISO 27001 nell'azienda.

Capitolo 5: Leadership – I requisiti della ISO 27001 per una leadership adeguata sono molteplici. L'impegno da parte del top management è obbligatorio per un sistema di gestione. Gli obiettivi devono essere stabiliti in base agli obiettivi strategici di un'organizzazione. Fornire le risorse necessarie per il sistema di gestione, così come supportare le persone a contribuire ad esso, sono altri esempi degli obblighi da rispettare. Inoltre, il top management deve stabilire una politica per la sicurezza delle informazioni che dovrebbe essere documentata e comunicata all'interno dell'organizzazione e a tutte le parti interessate. Anche ruoli e responsabilità devono essere assegnati al fine di soddisfare i requisiti della norma ISO 27001.

Capitolo 6: Pianificazione – La pianificazione in un ambiente teso alla gestione della sicurezza delle informazioni dovrebbe sempre tenere conto dei rischi e delle opportunità e, di conseguenza, gli obiettivi del sistema dovrebbero essere basati sulla valutazione del rischio e promossi all'interno dell'azienda. Dalla valutazione del rischio e dagli obiettivi di sicurezza si ricava un piano di trattamento del rischio, basato sui controlli elencati nell'allegato A.

Capitolo 7: Supporto – Le risorse, la competenza dei dipendenti, la consapevolezza e la comunicazione sono questioni chiave per sostenere il sistema. Un altro requisito è che le informazioni devono essere documentate, create e aggiornate, oltre che controllate. È necessario mantenere un'adeguata documentazione per supportare il successo del sistema di gestione.

Capitolo 8: Attività operative – I processi per implementare la sicurezza delle informazioni devono essere pianificati, implementati e controllati. La valutazione e il trattamento dei rischi devono essere messi in atto.

Capitolo 9: Valutazione delle prestazioni - I requisiti dello standard ISO 27001 prevedono il monitoraggio, la misurazione, l'analisi e la valutazione del sistema di gestione della sicurezza delle informazioni. A intervalli regolari il lavoro va verificato tramite audit interni. Ogni sei o dodici mesi (questo è solo un esempio, le tempistiche sono stabilite dall’azienda), il top management deve riesaminare il sistema gestionale dell'organizzazione.

Capitolo 10: Miglioramento – In seguito alla valutazione precedente, va apportato un miglioramento: le non conformità devono essere affrontate agendo ed eliminando le cause là dove applicabile. Inoltre, dovrebbe essere implementato un processo di miglioramento continuo, anche se seguire il ciclo PDCA (Plan-Do-Check-Act) non è più obbligatorio (ma è decisamente consigliato).

Contattaci per informazioni e preventivi

ISO

Certificazione Iso

Ottieni la Quotazione più bassa

compila senza impegno il questionario di richiesta ed ottieni subito la nostra migliore offerta ritagliata su misura per la tua azienda.

RICHIEDI

Trova Certificato

Inserisci il numero del tuo certificato potrai visualizzarlo e scaricarlo in .pdf

Recapiti

Sede Legale:
Ripa Ticinese, 39 - 20143 Milano
Sede di MIlano:
Via della Resistenza, 113 - 20090 Buccinasco
Sede di La Spezia:
Via Giovanni Costantini 38 – 19124 La Spezia.
Tel 02.58320936
Fax 02.58326016
Email info@acsq.it