Certificazione ISO 27001

La certificazione ISO 27001 è una norma che indica una serie di best pratices utili a costituire un sistema che definisce i requisiti per la gestione di un sistema della “sicurezza delle informazioni, cybersecurity e protezione dati
Oggi i DATI sono un bene prezioso che aggiunge valore all’impresa, e la maggior parte delle informazioni sono custodite su supporti informatici. Per questo, ogni Organizzazione deve essere in grado di garantire la sicurezza delle proprie reti informatiche, soprattutto in un contesto dove le violazioni e gli attacchi dei sistemi sono in continuo aumento.

L’obiettivo principale della ISO 27001

L’obiettivo del nuovo standard ISO 27001 è quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.

Lo scopo è infatti quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT.

La norma è applicabile a tutte le imprese private o pubbliche, in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda.

L’impostazione dello standard ISO 27001 è basato sull’approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni di miglioramento, sorveglianza, nell’ottica del miglioramento continuo.

I vantaggi

La certificazione ISO 2700 porta numerosi vantaggi in azienda:

  • Le procedure operative sono ottimizzate in ottica di una maggior sicurezza
  • Gli incidenti informatici diminuiscono
  • La compliance aziendale, soprattutto lato Regolamento Europeo Privacy, ha maggior consistenza
  • Si evitano sanzioni per incidenti che portano a perdite di dati
  • Clienti e fornitori ricevono maggiori garanzie di sicurezza
  • La reputazione aziendale nella supply chain aumenta
  • E’ possibile partecipare a gare/bandi che richiedo la certificazione ISO 27001 
  • Ogni anno viene effettuato una valutazione oggettiva della sicurezza da parte di una realtà esterna (oggettiva)
  • I fornitori ridurranno gli audit di controllo poiché si affideranno al certificato ISO per le garanzie cercate

ISO 27001:2022

A ottobre 2022 è stata pubblicata la nuova versione della ISO 27001. Rispetto alla precedente versione, sono state riorganizzate le categorie dei controlli e si è posta maggiore attenzione sui concetti della cybersecurity e del GDPR. Il nome stesso della certificazione, “Information security, cybersecurity and privacy protection — Information security management systems — Requirements“, delinea l’intenzione di avere un approccio più ampio rispetto al passato

Per chi è già certificato ci sono 3 anni per fare la transizione al nuovo standard. Chi deve certificarsi da zero può farlo con la precedente versione fino ad ottobre 2023 ma il consiglio è ovviamente quello di procedere già con lo standard aggiornato.

Pubblicata la nuova ISO/IEC 27001:2022

Cosa prevede la ISO 27001?

Come anticipato nel paragrafo precedente, la logica della certificazione ISO 27001 segue il ciclo di deming, ovvero imposta il proprio sistema secondo quattro aspetti cardine:

  • Pianificazione e Progettazione (P)
  • Implementazione (D)
  • Monitoraggio (C)
  • Mantenimento e Miglioramento (A)

Nella fase di progettazione si richiede però lo svolgimento di un risk assessment, schematizzabile in:

  • Identificazione dei rischi;
  • Analisi e valutazione;
  • Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi
  • Assunzione del rischio residuo da parte del management
  • Definizione dello Statement of Applicability.

L’ultimo punto specifica gli obiettivi di controllo adottati e i controlli implementati dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente alla norma sui sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è richiesta ampia documentazione riguardo sia l’analisi del rischio sia le procedure e i controlli a supporto del SGSI.
Tra le condizioni di conformità la norma prevede la pianificazione e realizzazione di attività di autocontrollo gestite dall’impresa, con personale proprio o esterno, purché in entrambi i casi dotato delle necessarie competenze (Audit interno che viene svolto da nostro personale qualificato).

TI SERVONO MAGGIORI INFORMAZIONI? COMPILA IL FORM E TI RICHIAMIAMO NOI!