ISO 27001
Gestione della Sicurezza delle Informazioni
ISO 27001 è lo Standard Internazionale che fornisce un quadro per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS), per garantire riservatezza, integrità e disponibilità continua delle informazioni, nonché conformità legale. La certificazione ISO 27001 è essenziale per proteggere le tue risorse più vitali, come le informazioni sui dipendenti e sui clienti, l’immagine del marchio e altre informazioni private. Lo standard ISO include un approccio basato sui processi per avviare, implementare, far funzionare e mantenere il tuo ISMS.
L’implementazione della ISO 27001 è una soluzione ideale per mantenere la conformità ai requisiti legali, come il GDPR, e alle richieste dei clienti, gestendo e valutando i rischi derivanti da potenziali minacce alla sicurezza, tra cui: criminalità informatica, violazioni dei dati personali, atti di terrorismo informatico, incendi/danni, uso improprio, furti e attacchi virali.
Lo standard ISO 27001 è inoltre strutturato per essere compatibile con altri standard di sistemi di gestione, come ISO 9001, ISO 27701 e ISO 22301 ed è neutrale rispetto alla tecnologia e al fornitore, il che significa che è completamente indipendente da qualsiasi piattaforma IT. Pertanto, tutti i membri dell’azienda dovrebbero essere formati sullo standard ISO 27001 e sulla sua applicazione all’intera organizzazione.
Soluzione GRC
I° Parte
- Definizione dell’ambito e iniziale Risk Assessment
- Formazione e sensibiliszzazione del personale
- Pianificazione: A seguito della valutazione del rischio sarà concordato un piano di trattamento del rischio e di messa in opera del sistema di gestione ISO/IEC 27001 con reports di stato avanzamento lavori
- Realizzazione dei controlli di sicurezza: Messa in opera dei controlli (documentali e operativi) di sicurezza presenti nell’allegato A ISO/IEC
-
Implementazioni Policy:
Gestione del personale, Gestione dell’asset inventory, Gestione della sicurezza fisica, Change management, Gestione della conduzione dei sistemi e delle applicazioni, Gestione dei fornitori (inclusi i fornitori di hosting e housing, connettività, sviluppo software, servizi di supporti quali pulizie e guardiania), Gestione del controllo degli accessi informatici (del personale interno, dei fornitori e dei clienti a livello fisico, sistemistico e applicativo), Incident Management e gestione delle richieste dei clienti, Business Continuity Management
II° Parte
-
Realizzazione del sistema di gestione e predisposposizione della seguente documentazione:
Politica di Sicurezza delle Informazioni, Definizione dei ruoli e responsabilità, inclusi quelli relativi alla Direzione (Top Management), Procedura di gestione della documentazione e delle registrazioni, Procedura di gestione degli audit interni, Procedura di gestione del miglioramento (Azioni Correttive e Preventive), Dichiarazione di applicabilità (Statement of Applicability, SOA), Definizione degli indicatori di sicurezza Definizione di un modello di Riesame della Direzione - Supporto alla gestione della documentazione
- Revisione del Risk Assessment
- Riesame della Direzione con definizione dei ruoli e responsabilità
- Definizione dela Politica di Sicurezza delle Informazioni e del Sistema di gestione documentale
- Definizione indicatori e messa in opera del sistema di raccolta
III° Parte
- Preparazione dell’audit con esecuzione audit interni
- Supporto durante l'audit dell'Ente di certificazione
UNI EN ISO 27001:2022 – I contenuti
- Politiche per la sicurezza delle informazioni (lineguida e regolamenti)
- Organizzazione delle sicurezza delle informazioni
- Ruoli e responsabilità (controllo e guida attuativa), Segregazione
- Dispositivi portatili e telelavoro
- Sicurezza delle risorse umane (prima, durante e cessazione del rapporto di lavoro)
- Screening e Termini e condizioni d’impiego
- Consapevolezza, istruzione, addestramento sulla sicurezza delle informazioni
- Gestione degli asset
- Inventario, responsabilità e uso accettabile
- Controllo degli accessi
- Accesso alle reti e ai servizi di rete
- Registrazione, Provisioning e diritti d’accesso degli utenti
- Crittografia
- Sicurezza fisica e ambientale
- Perimetro di sicurezza fisica, minacce, protezione apparecchiature e cablaggi
- Sicurezza delle attività operative
- Procedure operative documentate, gestione cambiamenti e capacità
- Protezione da malware, Backup, Log, Controllo software e gestione vulnerabilità
- Sicurezza delle comunicazioni
- Controlli e sicurezza delle reti
- Gestione trasferimento delle informazione, Accordi di riservatezza
- Acquisizione, sviluppo e manutenzione dei sistemi
- Relazioni con i fornitori
- Filiera di fornitura ICT
- Gestione degli incidenti relativi alla sicurezza delle informazioni
Perché certificarsi alla ISO 27001?
Business continuity
Comprovate credenziali aziendali
Conformità legale
Aumento del volume d'affari
Migliore gestione dei rischi
Fornitore affidabile
SGSI – Sistema di Gestione della Sicurezza delle Informazioni
Un sistema di gestione della sicurezza delle informazioni (SGSI) è un approccio sistematico alla gestione delle informazioni aziendali sensibili in modo che rimangano sicure. Include persone, processi e sistemi IT applicando un processo di gestione del rischio per aiutare le organizzazioni di qualsiasi dimensione, all’interno di qualsiasi settore, a proteggere le risorse informative aziendali.
Con la crescente gravità delle violazioni dei dati nel mondo digitalizzato di oggi, un SGSI (ISMS) è fondamentale per rafforzare la sicurezza informatica della tua organizzazione. Alcuni vantaggi del SGSI includono:
- Maggiore resilienza agli attacchi: un SGSI migliora la tua capacità di prepararti, rispondere e riprenderti da qualsiasi attacco informatico.
- Gestisci tutti i tuoi dati in un unico posto: come framework centrale per le informazioni della tua organizzazione, il SGSI ti consente di gestire tutto in un unico posto.
- Proteggi facilmente qualsiasi forma di informazione: sia che tu voglia proteggere le informazioni cartacee, basate su cloud o digitali, il SGSI può gestire ogni tipo di dati.
- Ridurre i costi della sicurezza delle informazioni: con l’approccio di valutazione e prevenzione del rischio fornito dal SGSI, la tua organizzazione può ridurre i costi dell’aggiunta di livelli di tecnologia difensiva dopo un attacco informatico.
La famiglia ISO/IEC 27000
La famiglia ISO / IEC 27000 raccoglie più di 40 standard internazionali e risponde all’esigenza di gestire la sicurezza delle informazione, individuarne le vulnerabilità e rendere il sistema resiliente. La ISO / IEC 27000 fornisce un vocabolario condiviso in materia, la ISO / IEC 27005 gestisce il rischio, Le ISO / IEC 27017 e ISO / IEC 27018 si preoccupano della sicurezza del cloud, le ISO / IEC 27042 e ISO / IEC 27043 si occupano rispettivamente di tecniche forensi utilizzate per analizzare prove digitali e di indagare sugli incidenti.