ISO 27001

Gestione della Sicurezza delle Informazioni

ISO 27001 è lo Standard Internazionale che fornisce un quadro per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS), per garantire riservatezza, integrità e disponibilità continua delle informazioni, nonché conformità legale. La certificazione ISO 27001 è essenziale per proteggere le tue risorse più vitali, come le informazioni sui dipendenti e sui clienti, l’immagine del marchio e altre informazioni private. Lo standard ISO include un approccio basato sui processi per avviare, implementare, far funzionare e mantenere il tuo ISMS.

L’implementazione della ISO 27001 è una soluzione ideale per mantenere la conformità ai requisiti legali, come il GDPR, e alle richieste dei clienti, gestendo e valutando i rischi derivanti da potenziali minacce alla sicurezza, tra cui: criminalità informatica, violazioni dei dati personali, atti di terrorismo informatico, incendi/danni, uso improprio, furti e attacchi virali.

Lo standard ISO 27001 è inoltre strutturato per essere compatibile con altri standard di sistemi di gestione, come ISO 9001, ISO 27701 e ISO 22301 ed è neutrale rispetto alla tecnologia e al fornitore, il che significa che è completamente indipendente da qualsiasi piattaforma IT. Pertanto, tutti i membri dell’azienda dovrebbero essere formati sullo standard ISO 27001 e sulla sua applicazione all’intera organizzazione.

Soluzione GRC

I° Parte

II° Parte

III° Parte

UNI EN ISO 27001:2022 – I contenuti 

  • Politiche per la sicurezza delle informazioni (lineguida e regolamenti)
  • Organizzazione delle sicurezza delle informazioni
    • Ruoli e responsabilità (controllo e guida attuativa), Segregazione
    • Dispositivi portatili e telelavoro 
  • Sicurezza delle risorse umane (prima, durante e cessazione del rapporto di lavoro)
    • Screening e Termini e condizioni d’impiego
    • Consapevolezza, istruzione, addestramento sulla sicurezza delle informazioni
  • Gestione degli asset
    • Inventario, responsabilità e uso accettabile
  • Controllo degli accessi
    • Accesso alle reti e ai servizi di rete
    • Registrazione, Provisioning e diritti d’accesso degli utenti
  • Crittografia
  • Sicurezza fisica e ambientale
    • Perimetro di sicurezza fisica, minacce, protezione apparecchiature e cablaggi
  • Sicurezza delle attività operative
    • Procedure operative documentate, gestione cambiamenti e capacità
    • Protezione da malware, Backup, Log, Controllo software e gestione vulnerabilità
  • Sicurezza delle comunicazioni
    • Controlli e sicurezza delle reti
    • Gestione trasferimento delle informazione, Accordi di riservatezza
  • Acquisizione, sviluppo e manutenzione dei sistemi
  • Relazioni con i fornitori
    • Filiera di fornitura ICT
  • Gestione degli incidenti relativi alla sicurezza delle informazioni

Perché certificarsi alla ISO 27001?

Business continuity

Evita i tempi di inattività con la gestione del rischio, la conformità legale e la vigilanza di problemi e preoccupazioni di sicurezza futuri.

Comprovate credenziali aziendali

La verifica indipendente secondo uno standard internazionalmente riconosciuto ti rende maggiormente credibile.

Conformità legale

Scopri in che modo i requisiti normativi influiscono sulla tua organizzazione e sui clienti, riducendo il rischio di subire procedimenti giudiziari e sanzioni.

Aumento del volume d'affari

Le specifiche di approvvigionamento spesso richiedono la certificazione come condizione per la fornitura, quindi la certificazione ti apre le porte.

Migliore gestione dei rischi

Garantisci che i registri dei clienti, le informazioni finanziarie e la proprietà intellettuale siano protetti da perdite, furti e danni.

Fornitore affidabile

La certificazione è riconosciuta e accettata a livello internazionale stabilendo parametri di riferimento del settore

SGSI – Sistema di Gestione della Sicurezza delle Informazioni

Un sistema di gestione della sicurezza delle informazioni (SGSI) è un approccio sistematico alla gestione delle informazioni aziendali sensibili in modo che rimangano sicure. Include persone, processi e sistemi IT applicando un processo di gestione del rischio per aiutare le organizzazioni di qualsiasi dimensione, all’interno di qualsiasi settore, a proteggere le risorse informative aziendali.

Con la crescente gravità delle violazioni dei dati nel mondo digitalizzato di oggi, un SGSI (ISMS) è fondamentale per rafforzare la sicurezza informatica della tua organizzazione. Alcuni vantaggi del SGSI includono:

  • Maggiore resilienza agli attacchi: un SGSI migliora la tua capacità di prepararti, rispondere e riprenderti da qualsiasi attacco informatico.
  • Gestisci tutti i tuoi dati in un unico posto: come framework centrale per le informazioni della tua organizzazione, il SGSI ti consente di gestire tutto in un unico posto.
  • Proteggi facilmente qualsiasi forma di informazione: sia che tu voglia proteggere le informazioni cartacee, basate su cloud o digitali, il SGSI può gestire ogni tipo di dati.
  • Ridurre i costi della sicurezza delle informazioni: con l’approccio di valutazione e prevenzione del rischio fornito dal SGSI, la tua organizzazione può ridurre i costi dell’aggiunta di livelli di tecnologia difensiva dopo un attacco informatico.

La famiglia ISO/IEC 27000

La famiglia ISO / IEC 27000 raccoglie più di 40 standard internazionali e risponde all’esigenza di gestire la sicurezza delle informazione, individuarne le vulnerabilità e rendere il sistema resiliente. La ISO / IEC 27000 fornisce un vocabolario condiviso in materia, la ISO / IEC 27005 gestisce il rischio, Le ISO / IEC 27017 e ISO / IEC 27018 si preoccupano della sicurezza del cloud,  le ISO / IEC 27042 e ISO / IEC 27043 si occupano rispettivamente di tecniche forensi utilizzate per analizzare prove digitali e di indagare sugli incidenti.

ISO 27017

La 27017 introduce controlli avanzati specifici per i servizi cloud: 7 ulteriori elementi di verifica, pensati appositamente per il cloud service.

ISO 27018

Se necessiti di dare maggiori garanzie ai tuoi clienti in merito alla gestione dei PII, la 27018 ti aiuta a rispettare gli obblighi del regolamento UE 679/2016.

ISO 27701

Rappresenta un passo in avanti nella definizione di schemi di certificazione dei trattamenti di dati personali e di raccordo al GDPR.

Raggiungi la conformità normativa: scegli la nostra consulenza

GRCteam - Consulenza
Direttiva NIS 2 - Webinar

Partecipa al webinar gratuito sulla nuova Direttiva Europea NIS 2: approfondimenti tecnici, normativi e strumenti software

L’imminente obbligo di conformità alla Direttiva Europea NIS 2 pone l’obbiettivo di rafforzare il livello globale di cyber sicurezza.

Questa normativa sostituisce la precedente direttiva NIS 1 del 2016 attuando una modernizzazione del quadro europeo in tema di Cyber Security.

Risponderemo insieme alle domande:

Perchè questa nuova normativa? Quali sono i punti salienti e linee guida? Il mio settore è coinvolto? Quali soluzioni ho a disposizione?