La ISO 27001 è uno degli standard più popolari al mondo anche perché, essendo la tecnologia informatica in continua crescita, molte aziende hanno bisogno di garantire la sicurezza delle informazioni. Se avete già implementato la ISO 9001 e desiderate implementare anche la ISO 27001, oppure pensate di implementare entrambi gli standard contemporaneamente, l'approccio migliore è quello di creare un sistema di gestione integrato che soddisfi i requisiti di entrambe le norme.
Questo consentirà, infatti, di risparmiare una grande quantità di tempo nell'implementazione e ridurrà anche lo sforzo di manutenzione del sistema e per il raggiungimento della conformità con entrambi gli standard.
La chiave per risparmiare tempo e fatica è quella di partire dalle sezioni che i due standard hanno in comune. Possiamo iniziare con la parte relativa al contesto dell’organizzazione per la quale entrambe le norme richiedono l'identificazione dei fattori interni e di quelli esterni che si possono considerare rilevanti per l'azienda, anche se da prospettive diverse. La ISO 9001, infatti, si concentrerà sulla qualità, mentre la ISO 27001 avrà come tema la sicurezza delle informazioni.
Anche i requisiti relativi alle parti interessate sono comuni tra i due standard perché all’organizzazione viene chiesto di determinare le parti interessate e le loro esigenze relative alla qualità e alla sicurezza delle informazioni. Questi requisiti possono, ovviamente, essere affrontati mediante lo stesso processo e si può creare un elenco integrato delle parti interessate.
Per ciò che riguarda le responsabilità e le autorità da definire, ancora una volta i ruoli e le responsabilità all'interno di un Sistema di gestione della Qualità e di un sistema di gestione della sicurezza informatica sono diversi ma vanno definiti in entrambi i casi, quindi, si può procedere – anche in questo caso - nello stesso modo.
Anche i requisiti relativi alla competenza, alla consapevolezza, alla comunicazione, al controllo dei documenti e alle informazioni documentate sono tutti comuni alle due norme e possono essere affrontati allo stesso modo e contemporaneamente.
Un identico modo di procedere si può riservare anche all’audit interno, al riesame della direzione e alle non conformità e azioni correttive che, seppure andranno a verificare requisiti diversi, ad esaminare input e output differenti, ecc. avranno in comune la conduzione del processo che è identica in entrambi i casi.
Vediamo, a questo punto, in cosa si differenziano la ISO 27001 e la ISO 9001, in modo da prestare particolare attenzione alla parte che bisognerà implementare in maniera autonoma. Tenete conto che le differenze tra gli standard si integrano a vicenda, contribuendo in modo decisivo ad aumentare il successo aziendale, visto che la sicurezza delle informazioni protegge il potenziale dell'azienda e la gestione della qualità lo crea. Le differenze tra le due norme risiedono, per lo più, nei capitoli 6 e 8. La ISO 27001, infatti, rispetto alla ISO 9001 aggiunge quanto segue nel sistema di gestione delle informazioni: una valutazione dei rischi per la sicurezza delle informazioni che è differente rispetto alla ISO 9001 e il trattamento del rischio per la sicurezza delle informazioni. Vediamo come procedere nei due casi.
Per ciò che riguarda la valutazione dei rischi per la sicurezza delle informazioni, l’organizzazione deve sviluppare una metodologia per l'identificazione e la valutazione dei rischi per la sicurezza delle informazioni. Il processo relativo alle certificazioni di sistema può sembrare identico a ciò che si fa anche nella ISO 9001 ma il nostro consiglio è quello di mantenere separate le due parti perché il “peso” relativo nei due standard è differente e si rischierebbe di sovraccaricare un sistema di gestione o di non analizzare abbastanza i rischi nell’altro. L'applicazione della stessa metodologia, in sostanza, potrebbe essere negativa e improduttiva in questo caso specifico.
Relativamente al trattamento del rischio per la sicurezza delle informazioni, invece, questo processo non ha un riscontro nella ISO 9001, quindi può essere eseguito solo in modo indipendente per la ISO 27001. Fondamentalmente, richiede all'organizzazione di applicare uno o più controlli di sicurezza delle informazioni elencati nell'allegato A della ISO 27001.
Terminiamo con i benefici derivanti dall’integrazione dei due sistemi di gestione. Ci sono molte sinergie che consentono di combinare risorse per risparmiare tempo e denaro nel mantenimento e nel miglioramento di un sistema di gestione integrato. Con un approccio olistico al sistema di gestione che incarna le migliori pratiche internazionali, le organizzazioni possono dimostrare la conformità agli standard ISO 27001 e ISO 9001 ai clienti, agli enti di certificazione e alle autorità di regolamentazione.
Inoltre, integrando la gestione della qualità e della sicurezza delle informazioni, le organizzazioni possono dimostrare sia la qualità che la sicurezza dei loro processi, nonché ottenere un vantaggio competitivo significativo attraverso un miglioramento delle performance, una riduzione dei rischi, una maggiore soddisfazione dei clienti e una migliore reputazione.