Se stai preparando un audit di certificazione, ricertificazione o sorveglianza rispetto alla nuova versione ISO 27001:2022, potresti essere preoccupato per le novità dello standard e/o del processo di audit che gli auditor cercheranno.
L’ISO 27001:2022 è uno standard internazionale che stabilisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). L’obiettivo principale del SGSI è quello di proteggere le informazioni sensibili dell’organizzazione da minacce interne ed esterne, garantendo la loro integrità, riservatezza e disponibilità.
In questo articolo, ti presenterò le tre cose che il tuo auditor vorrebbe vedere nel tuo SGSI per garantire che soddisfi gli standard richiesti.
- Un’analisi completa dei rischi
La valutazione dei rischi è uno degli elementi fondamentali di un SGSI. La tua organizzazione deve essere in grado di identificare i rischi che potrebbero minacciare la sicurezza delle informazioni, valutare la loro probabilità e impatto, e sviluppare contromisure per mitigarli.
Il tuo auditor vorrebbe vedere una documentazione completa di questa analisi dei rischi, che dimostri che la tua organizzazione ha valutato tutti i rischi rilevanti e ha implementato misure efficaci per mitigarli. L’analisi dei rischi dovrebbe essere aggiornata regolarmente per garantire che sia allineata alle mutevoli minacce e alle esigenze dell’organizzazione.
- Procedure di sicurezza robuste
Le procedure di sicurezza sono il fulcro del tuo SGSI. Queste procedure dovrebbero essere progettate per garantire che le informazioni sensibili siano protette in modo adeguato, che gli utenti autorizzati siano in grado di accedervi e che i dati siano disponibili quando necessario.
Il tuo auditor vorrebbe vedere che la tua organizzazione ha implementato procedure di sicurezza robuste e documentate. Queste procedure dovrebbero includere controlli di accesso, gestione degli account utente, crittografia dei dati, backup e ripristino dei dati, e altre misure di sicurezza adeguate. Inoltre, dovrebbe esserci un sistema di monitoraggio e reportistica che consenta all’organizzazione di rilevare tempestivamente eventuali violazioni di sicurezza.
- Formazione e consapevolezza degli utenti
Anche se il tuo SGSI dispone delle migliori procedure di sicurezza, la sicurezza delle informazioni dell’organizzazione dipende anche dalla formazione e dalla consapevolezza degli utenti. Gli utenti dell’organizzazione devono essere consapevoli delle minacce alla sicurezza delle informazioni e delle procedure di sicurezza dell’organizzazione, e dovrebbero essere in grado di agire di conseguenza.
Il tuo auditor vorrebbe vedere che la tua organizzazione ha implementato un programma di formazione e consapevolezza degli utenti completo e documentato. Questo programma dovrebbe includere la formazione iniziale per tutti i nuovi utenti, la formazione periodica per tutti gli utenti e la formazione specifica per i ruoli a rischio, come i responsabili della sicurezza delle informazioni.
