La certificazione ISO 27001

La Norma è stata creata per indicare come costituire un sistema completo per garantire la gestione
della sicurezza nella tecnologia dell’informazione.
Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior
parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in
grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle
violazioni dei sistemi di sicurezza sono in continuo aumento.

L’obiettivo principale della ISO 27001

L’obiettivo del nuovo standard ISO
27001:2017 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di
assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato
sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei
dati sensibili dell’azienda.

Lo scopo è quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT. La norma è applicabile a tutte le imprese private o pubbliche, in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda. Però bisogna tener presente che l’adozione e gestione di un SGSI richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e Qualità.

L’impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la
Qualità ISO 9001:2015 ed il Risk management, basandosi sull’approccio per processi, strutturato in
politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi,
riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit
interni, non conformità, azioni di miglioramento, sorveglianza, nell’ottica del miglioramento
continuo.

    Iscriviti alla newsletter e ricevi subito lo sconto del 10% per il tuo smart assessment

    Cosa prevede lo standard ISO 27001?

    • Pianificazione e Progettazione;
    • Implementazione;
    • Monitoraggio;
    • Mantenimento e Miglioramento.

    Nella fase di progettazione richiede però lo svolgimento di un risk assessment, schematizzabile in:
    • Identificazione dei rischi;
    • Analisi e valutazione;
    • Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
    • Assunzione del rischio residuo da parte del management;
    • Definizione dello Statement of Applicability.

    L’ultimo punto specifica gli obiettivi di controllo adottati e i controlli implementati
    dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente
    alla norma sui sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è richiesta
    ampia documentazione riguardo sia l’analisi del rischio sia le procedure e i controlli a supporto del
    SGSI.
    Tra le condizioni di conformità la norma prevede la pianificazione e realizzazione di attività di
    autocontrollo gestite dall’impresa, con personale proprio o esterno, purché in entrambi i casi dotato
    delle necessarie competenze (Audit interno che viene svolto da nostro personale qualificato).

    richiedi informazioni

    Il nostro team sarà felice di trovare la soluzione perfetta per te!

    Contattaci