CERTIFICAZIONE ISO 27001: COME GENERARE EVIDENZE

Le Aziende che vogliono certificarsi ISO 27001 devono dimostrare di essere conformi ai requisiti richiesti, fornendo evidenza dell’effettiva implementazione del sistema di gestione della sicurezza delle informazioni (SGSI).

Per fornire l’evidenza di conformità può essere utilizzata un’informazione documentata come mezzo di dimostrazione, cioè deve essere chiaro e dimostrabile che un particolare aspetto è stato pianificato e poi è stato anche effettivamente effettuato.

Ma cosa s’intende per informazioni documentate?

Per “Informazioni documentate” la ISO 9001:2015 (norma che ne introduce una definizione comune per tutti i sistemi di gestione) intende qualsiasi informazione in grado di comunicare un messaggio, condividere conoscenze, fornire evidenza di un determinato aspetto, ecc.

La norma precisa che “L’organizzazione deve, nella misura necessaria, mantenere informazioni documentate per supportare il funzionamento dei propri processi e conservare informazioni documentate affinché si possa avere fiducia nel fatto che i processi sono condotti come pianificato”.

Viene così meno la distinzione tra documenti e registrazioni, terminologia usata dalla ISO 9001 del 2008.

Dimostrare la conformità al SGSI

La ISO 27001:2014 al paragrafo 7.5 richiede che il SGSI comprenda informazioni documentate.

Le organizzazioni devono essere in grado di fornire evidenza oggettiva, cioè le prove oggettive di come il SGSI sia stato implementato, in conformità dei requisiti richiesti dalla norma e dell’effettivo funzionamento.

Per evidenza oggettiva s’intendono “dati che supportano l’esistenza o la verità di qualcosa” e “può essere ottenuta attraverso osservazioni, misure, prove o altri mezzi”.

La complessità ed i contenuti delle informazioni documentate varieranno da un’organizzazione all’altra, in base alla dimensione, al tipo di attività, alle competenze creando così un supporto documentale su misura per l’azienda.

Nel generare e aggiornare le evidenze, le informazioni devono essere suddivise in categorie secondo il “tipo” (ad esempio: scritture contabili, log di transazioni, procedure operative, log di audit) e devono contenere dettagli sul periodo di conservazione, sul formato e sul tipo di supporto memorizzazione (cartaceo, elettronico).

Le registrazioni generate come evidenze devono essere adeguatamente protette (per esempio da perdita, distruzione, falsificazione, accesso non autorizzato) e controllate al fine di garantire l’uso, il mantenimento della leggibilità, l’identificabilità e la conservazione.

Per registrazioni possiamo intendere:

– competenza del personale coinvolto attraverso formazione e test di apprendimento;

-registrare data e orario d’ingresso e di uscita dei visitatori;

– valutazione, selezione, monitoraggio continuo dei fornitori esterni e le azioni derivanti da queste attività;

– test di ripristino dei dati di back up;

– attività audit interni;

– riesame della Direzione;

– gestione delle non conformità e di ogni azioni intraprese;

Ogni SGSI si baserà sia sulle informazioni documentate richieste dalla norma ma anche su quelle necessarie all’organizzazione per implementare al meglio il sistema di gestione per la sicurezza delle informazioni.