La certificazione ISO 27001


La Norma è stata creata per indicare come costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell’informazione.
Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento.

L’obiettivo principale della ISO 27001

L’obiettivo del nuovo standard ISO 27001:2017 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.

Lo scopo è quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT. La norma è applicabile a tutte le imprese private o pubbliche, in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda. Però bisogna tener presente che l’adozione e gestione di un SGSI richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e Qualità.

L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2015 ed il Risk management, basandosi sull’approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni di miglioramento, sorveglianza, nell’ottica del miglioramento continuo.

Cosa prevede lo standard ISO 27001?

• Pianificazione e Progettazione;
• Implementazione;
• Monitoraggio;
• Mantenimento e Miglioramento.

Nella fase di progettazione richiede però lo svolgimento di un risk assessment, schematizzabile in:
• Identificazione dei rischi;
• Analisi e valutazione;
• Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
• Assunzione del rischio residuo da parte del management;
• Definizione dello Statement of Applicability.

L’ultimo punto specifica gli obiettivi di controllo adottati e i controlli implementati dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente alla norma sui sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è richiesta ampia documentazione riguardo sia l’analisi del rischio sia le procedure e i controlli a supporto del SGSI.
Tra le condizioni di conformità la norma prevede la pianificazione e realizzazione di attività di autocontrollo gestite dall’impresa, con personale proprio o esterno, purché in entrambi i casi dotato delle necessarie competenze (Audit interno che viene svolto da nostro personale qualificato).

richiedi informazioni

Il nostro team sarà felice di trovare la soluzione perfetta per te!