Certificazione 27001

Cogliamo l’occasione di inaugurare il nostro blog con una breve introduzione.

Mondo 27001 è un brand di GL Consulting, un’azienda nel comasco che dalla sua nascita è fiera di offrire ai clienti una consulenza in diversi settori, grazie a professionisti preparati e pronti ad affrontare quotidianamente nuove sfide.

Perché nasce Mondo 27001? Se conosci Mondo Privacy, non ti è sconosciuto l’impatto che ha avuto il Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR) entrato in vigore il 25 maggio 2018.

Si tratta di un vero e proprio punto di svolta rispetto a come le aziende europee hanno finora archiviato, processato e trasferito i dati personali.

Il numero 27001 non è stato casuale per la scelta del nostro nuovo brand, anzi. Si riferisce alla norma internazionale ISO/IEC 27001, elaborata con lo scopo di prevenire tutti i rischi dell’impresa legati alla sicurezza delle informazioni, anche attraverso l’implementazione di una serie di controlli indicati dallo standard.

Diverse autorità di vigilanza, hanno evidenziato lo standard ISO/IEC 27001 come un modello di buona prassi per conformarsi al GDPR.

Con questo primo articolo cercheremo di aiutarti a navigare in un mondo, quello della 27001.

Perché nasce e cos’è la Norma ISO/IEC 27001?

La Norma ISO/IEC 27001 specifica i requisiti per stabilire, attuare, mantenere e migliorare in modo continuo un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) nel contesto di un’organizzazione.

Un ISMS è uno strumento che permette di controllare in modo sistematico sia la gestione delle informazioni a livello informatico, sia le procedure e i ruoli ad esso dedicati.

La norma ISO/IEC 27001 appartiene alla famiglia ISO 27000: tali norme sono una raccolta di linee guida che, pur essendo non obbligatorie, le aziende potrebbero seguire parzialmente o totalmente per aumentare la sicurezza del trattamento delle informazioni.

La certificazione ISO/IEC 27001 certifica che l’azienda ha messo in atto tutte le procedure al fine di gestire al meglio le informazioni in suo possesso; inoltre il conseguimento della certificazione permette all’azienda di essere una garanzia per i suoi clienti e rappresenta un ottimo biglietto da visita per i futuri clienti.

Ti stai per caso chiedendo che cosa include la norma ISO/IEC 27001?

I requisiti per la valutazione e per il trattamento dei rischi relativi alla sicurezza delle informazioni adattati alle necessità dell’organizzazione.

I requisiti stabiliti dalla presente norma internazionale sono di carattere generale e predisposti per essere applicabili a tutte le organizzazioni, indipendentemente dalla loro tipologia, dimensione e natura.

Quali funzioni ha la nuova Norma ISO/IEC 27001 e a chi può essere applicata?

Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni azienda deve essere in grado di garantire la sicurezza delle proprie informazioni. 

L’obiettivo dello standard ISO/IEC 27001 è proprio quello di impostare un sistema di gestione al fine di assicurarne l’integrità, la riservatezza e la disponibilità delle informazioni.

La norma è applicabile a tutte le imprese private o pubbliche, in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda.

Nella prima fase di progettazione, la norma richiede lo svolgimento di un Risk Assessment, schematizzabile in:

1. Identificazione dei rischi;
2. Analisi e valutazione;
3. Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
4. Assunzione del rischio residuo da parte del management;
5. Definizione dello Statement of Applicability (ovvero, specifica gli obiettivi di controllo adottati e i controlli implementati dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma).

Chi può rilasciare la certificazione alla tua azienda?

L’organizzazione del Sistema di Gestione della Sicurezza delle Informazioni può essere documentata da enti di certificazione, che operano tramite valutatori qualificati, esaminando periodicamente lo stato delle condizioni di conformità. Bisogna infatti tener presente che l’adozione e gestione di un Sistema di Gestione della Sicurezza delle Informazioni richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e Qualità.

Non dimenticare che alla Legge sulla Privacy è preponderante alla certificazione ISO/IEC 27001. È richiesto infatti che “La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali”.

La differenza sostanziale tra la legge sulla Privacy e la norma ISO/IEC 27001 è che la prima tutela dati personali, sensibili e non, mentre seconda pur richiedendo che ciò sia fatto, si interessa anche dei dati di business dell’organizzazione che devono essere salvaguardati per l’interesse stesso dell’ente.

Tra le condizioni di conformità la norma prevede la pianificazione e realizzazione di attività di autocontrollo gestite dall’impresa, con personale proprio o esterno, purché in entrambi i casi dotato delle necessarie competenze.

Vuoi maggiori informazioni? Hai bisogno di personale qualificato? CONTATTACI!