Categoria: ISO 27001

Pubblicato il di

I nuovi controlli introdotti dalla ISO 27001:2022 – A.5.7 Informazioni sulle minacce

Prende avvio oggi la presentazione settimanale dei controlli introdotti dalla nuova versione della norma ISO 27001:2022, 1 controllo ogni settimana.
Iniziamo questa settimana con il controllo: A.5.7 Informazioni sulle minacce.

Descrizione. Questo controllo esige la raccolta e l’analisi di dati relativi a minacce potenziali, in vista dell’adozione di opportuni provvedimenti di mitigazione. Queste informazioni potrebbero trattare specifici attacchi, tecniche e tecnologie impiegate dai malintenzionati, nonché trend attuali in fatto di attacchi. La raccolta di tali dati dovrebbe avvenire sia internamente che da fonti esterne, come rapporti dei fornitori, comunicati di enti governativi, e così via.

Tecnologia. Le imprese di minori dimensioni non avranno probabilmente necessità di nuove tecnologie in relazione a questo controllo, ma piuttosto dovranno imparare a ricavare informazioni sulle minacce dai loro sistemi attuali. Se non ne possiedono già uno, le imprese più ampie dovranno implementare un sistema che le informi di nuove minacce (nonché di vulnerabilità e incidenti). Le imprese di qualsiasi grandezza dovranno impiegare le informazioni sulle minacce per fortificare i propri sistemi.

Organizzazione/processi. Sarà necessario creare processi che riguardano la raccolta e l’uso delle informazioni sulle minacce al fine di implementare misure di prevenzione nei sistemi IT, perfezionare la valutazione dei rischi e introdurre nuovi approcci per i test di sicurezza.

Persone. È importante sensibilizzare il personale riguardo alla rilevanza di segnalare le minacce e fornire loro formazione su come e a chi dovrebbero comunicare tali minacce.

Documentazione. Non è richiesta alcuna documentazione specifica dalla norma ISO 27001; Tuttavia, è possibile inserire linee guida relative all’intelligence sulle minacce nei seguenti documenti:

Politica di sicurezza dei fornitori: stabilire il metodo di comunicazione delle informazioni sulle minacce tra l’organizzazione e i suoi fornitori e partner.
Procedure di gestione degli incidenti: stabilire il metodo di comunicazione delle informazioni sulle minacce all’interno dell’organizzazione.
Procedure operative di sicurezza: stabilire le modalità di raccolta ed elaborazione delle informazioni sulle minacce.

Pubblicato il di

Scegliere i Kit Documentali per i Sistemi di Gestione: Una Guida Pratica

Scegliere i Kit Documentali per i Sistemi di Gestione: Una Guida Pratica

Introduzione:
L’implementazione di un sistema di gestione secondo gli standard ISO richiede una documentazione accurata e ben strutturata. I kit documentali sono strumenti preziosi che offrono tutto ciò di cui hai bisogno per avviare o migliorare il tuo sistema di gestione. Ma come scegliere il kit più adatto alle tue esigenze? In questo breve articolo, ti forniremo alcuni consigli pratici per facilitare la tua scelta.

1. Identifica le tue esigenze specifiche:
Prima di scegliere un kit documentale, è importante identificare le esigenze specifiche della tua organizzazione. Considera gli standard ISO pertinenti al tuo settore e individua i processi e le procedure chiave che devono essere documentati. In questo modo, sarai in grado di selezionare un kit che soddisfi le tue esigenze specifiche.

2. Controlla la completezza del kit:
Un kit documentale completo dovrebbe includere un manuale dettagliato, procedure operative standard (SOP) e modulistica in formato editabile. Assicurati che il kit contenga tutti i documenti necessari per l’implementazione e la gestione efficace del tuo sistema ISO.

3. Valuta la qualità dei documenti:
La qualità dei documenti inclusi nel kit è fondamentale. Assicurati che siano redatti in modo chiaro, coerente e aderenti alle norme ISO. Cerca anche documenti che siano facilmente personalizzabili per adattarsi alle esigenze specifiche della tua organizzazione.

4. Considera l’aggiunta di software professionale:
Alcuni kit documentali includono software professionale che facilita la gestione degli audit e delle checklist. Questi strumenti possono semplificare notevolmente il processo di monitoraggio e migliorare l’efficienza complessiva del sistema di gestione. Valuta se il kit che stai considerando offre anche questa aggiunta preziosa.

5. Sconto e opzioni di pagamento:
Esamina le offerte promozionali disponibili, come sconti aggiuntivi o opzioni di pagamento rateale senza interessi. Queste opportunità possono rendere l’acquisto di un kit documentale più conveniente e accessibile per la tua organizzazione.

Conclusione:
Scegliere il kit documentale giusto per il tuo sistema di gestione ISO è un passo importante verso il successo. Seguendo i consigli sopra citati, potrai individuare un kit completo, di alta qualità e personalizzabile per le tue esigenze. Non dimenticare di valutare anche le offerte promozionali disponibili per ottimizzare il tuo investimento. Prenditi il tempo necessario per fare una scelta informata e preparati a semplificare la gestione del tuo sistema ISO.

Pubblicato il di

DPO – Come le policy ISO 27001 possono supportare il DPO nell’attività corrente

Come le policy ISO 27001 possono supportare il DPO nell’attività corrente

Nel contesto attuale, in cui la protezione dei dati personali è diventata una priorità per le organizzazioni, il ruolo del Data Protection Officer (DPO) è fondamentale per garantire la conformità alle normative sulla privacy e per proteggere la privacy degli individui. Una delle risorse più preziose a disposizione di un DPO è l’implementazione delle policy ISO 27001. In questo articolo esploreremo come le policy ISO 27001 possono supportare il DPO nel svolgimento delle sue attività correnti.

Cos’è la norma ISO 27001?

La norma ISO/IEC 27001:2022, nota come “Information technology – Security techniques – Information security management systems – Requirements”, è uno standard internazionale che fornisce una struttura per stabilire, implementare, mantenere e migliorare un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Questa norma definisce un approccio basato sul rischio per identificare, valutare e mitigare i rischi relativi alla sicurezza delle informazioni.

Come le policy ISO 27001 possono supportare il DPO?

1. Strutturazione delle attività del DPO: Le policy ISO 27001 offrono una struttura chiara e ben definita per la gestione della sicurezza delle informazioni. Questa struttura può essere utilizzata dal DPO per organizzare le proprie attività, come l’identificazione dei rischi, l’implementazione di controlli di sicurezza e il monitoraggio delle violazioni dei dati.

2. Definizione dei requisiti di conformità: Le policy ISO 27001 forniscono un insieme completo di requisiti per l’implementazione di un ISMS. Il DPO può utilizzare questi requisiti come riferimento per garantire la conformità alle normative sulla privacy, come il Regolamento Generale sulla Protezione dei Dati (GDPR) nell’Unione Europea. Le policy ISO 27001 aiutano il DPO a identificare e implementare i controlli necessari per proteggere i dati personali.

3. Valutazione dei rischi: Un aspetto cruciale per il DPO è l’identificazione e la valutazione dei rischi per la privacy. Le policy ISO 27001 offrono una metodologia strutturata per condurre valutazioni dei rischi, che consente al DPO di identificare le minacce alla privacy e valutare l’impatto e la probabilità di tali rischi. Ciò consente al DPO di adottare misure preventive e mitigative appropriate per proteggere i dati personali.

4. Implementazione di controlli di sicurezza: Le policy ISO 27001 definiscono un’ampia gamma di controlli di sicurezza che possono essere implementati per proteggere le informazioni sensibili, compresi i dati personali. Questi controlli forniscono al DPO un punto di partenza per la selezione e l’implementazione di misure di sicurezza adeguate per garantire la protezione dei dati personali.

5. Monitoraggio e miglioramento continuo: Le policy ISO 27001 promuovono un approccio di miglioramento continuo. Il DPO può utilizzare questa metodologia per monitorare costantemente l’efficacia delle misure di sicurezza implementate e per identificare eventuali vulnerabilità o lacune. Attraverso audit interni e revisioni periodiche, il DPO può valutare il rispetto delle policy e apportare eventuali aggiornamenti o miglioramenti necessari per mantenere l’efficacia delle misure di protezione dei dati.

Conclusioni

Le policy ISO 27001 rappresentano uno strumento prezioso per il Data Protection Officer nell’attività corrente di protezione della privacy. Queste policy offrono una struttura solida per la gestione della sicurezza delle informazioni e possono essere utilizzate come punto di riferimento per garantire la conformità alle normative sulla privacy. Inoltre, le policy ISO 27001 supportano il DPO nella valutazione dei rischi, nell’implementazione di controlli di sicurezza adeguati e nel monitoraggio continuo per migliorare costantemente le misure di protezione dei dati.

Implementando le policy ISO 27001, le organizzazioni dimostrano un impegno verso la sicurezza delle informazioni e la protezione dei dati personali. Questo non solo contribuisce a mantenere la fiducia dei clienti e degli utenti, ma anche a evitare sanzioni legali e reputazionali. Pertanto, il DPO dovrebbe considerare l’adozione e l’implementazione delle policy ISO 27001 come uno strumento essenziale per supportare il suo ruolo e garantire un’efficace gestione della privacy all’interno dell’organizzazione.

Pubblicato il di

Quanto costa una certificazione ISO 27001?

Quanto costa una certificazione ISO 27001?

La certificazione ISO 27001 è un riconoscimento di grande valore per le organizzazioni che desiderano dimostrare il loro impegno per la sicurezza delle informazioni. Tuttavia, molti si chiedono quanto possa costare ottenere questa certificazione. In realtà, il costo può variare notevolmente a seconda di diversi fattori. In questo articolo, esploreremo i principali elementi che contribuiscono al costo di una certificazione ISO 27001 e forniremo una panoramica dei costi tipici che le organizzazioni possono aspettarsi di affrontare durante il processo di certificazione.

Fattori che influenzano il costo della certificazione ISO 27001

1. Dimensione dell’organizzazione: Il costo della certificazione ISO 27001 dipende spesso dalle dimensioni dell’organizzazione. Le grandi aziende con più dipendenti, sedi multiple e una vasta infrastruttura tecnologica possono richiedere un impegno maggiore in termini di risorse umane e di tempo per implementare i requisiti dello standard. Di conseguenza, il costo della certificazione potrebbe essere più elevato rispetto a quello di un’azienda più piccola.

2. Complessità dell’ambiente operativo: Se l’organizzazione gestisce un ambiente operativo complesso, ad esempio con una vasta rete di sistemi informatici, infrastrutture cloud o un alto numero di partner commerciali, la certificazione ISO 27001 richiederà uno sforzo maggiore per soddisfare i requisiti di sicurezza. Ciò potrebbe comportare costi aggiuntivi per consulenze esterne, strumenti di sicurezza, formazione del personale e altre risorse necessarie per implementare ed eseguire un sistema di gestione della sicurezza delle informazioni efficace.

3. Stato attuale della sicurezza delle informazioni: Se l’organizzazione ha già implementato buone pratiche di sicurezza delle informazioni o ha certificazioni o conformità precedenti, potrebbe richiedere meno sforzo per ottenere la certificazione ISO 27001. D’altra parte, se l’organizzazione parte da zero o ha problemi di sicurezza significativi, potrebbe essere necessario investire maggiormente in risorse e miglioramenti tecnologici per soddisfare gli standard richiesti.

4. Utilizzo di consulenti esterni: Molti organizzazioni scelgono di collaborare con consulenti esterni specializzati in sicurezza delle informazioni per guidarle attraverso il processo di certificazione. L’impiego di consulenti può essere vantaggioso, poiché apportano esperienza, competenze specializzate e un punto di vista oggettivo. Tuttavia, ciò comporta costi aggiuntivi che devono essere considerati nel budget complessivo.

Costi tipici della certificazione ISO 27001

È importante notare che i costi esatti della certificazione ISO 27001 variano considerevolmente da un’organizzazione all’altra. Tuttavia, per fornire una stima approssimativa, di seguito sono riportati alcuni costi tipici che le organizzazioni possono aspettarsi di affrontare durante il processo di certificazione ISO 27001:

1. Valutazione iniziale: Prima di iniziare il processo di certificazione, molte organizzazioni scelgono di effettuare una valutazione iniziale delle proprie pratiche di sicurezza delle informazioni per identificare le lacune e gli ambiti che richiedono miglioramento. Questa valutazione può essere condotta internamente o tramite consulenti esterni. I costi associati a questa fase dipenderanno dalla dimensione e dalla complessità dell’organizzazione, ma possono variare da qualche migliaio a decine di migliaia di euro.

2. Implementazione del sistema di gestione della sicurezza delle informazioni: L’implementazione del sistema richiede tempo, risorse e sforzi per soddisfare tutti i requisiti dell’ISO 27001. Ciò include lo sviluppo di politiche e procedure, la creazione di controlli di sicurezza, la formazione del personale, l’acquisto di strumenti e tecnologie di sicurezza, nonché l’aggiornamento o l’implementazione di infrastrutture tecnologiche. I costi di implementazione possono variare da qualche migliaio a decine di migliaia di euro, a seconda delle esigenze dell’organizzazione.

3. Audit di certificazione: Una volta completata l’implementazione del sistema, sarà necessario un audit di certificazione condotto da un ente di certificazione accreditato. I costi dell’audit dipenderanno dalla dimensione e dalla complessità dell’organizzazione, nonché dal numero di sedi e processi coinvolti. In generale, i costi di un audit di certificazione possono variare da diverse migliaia a decine di migliaia di euro.

4. Costi di mantenimento: Dopo aver ottenuto la certificazione ISO 27001, ci sono costi continui per il mantenimento e l’aggiornamento del sistema di gestione della sicurezza delle informazioni. Questi possono includere costi annuali di rinnovo della certificazione, costi per audit di sorveglianza periodici, formazione continua del personale e altre attività di mantenimento del sistema. I costi di mantenimento possono variare da qualche migliaio a diverse decine di migliaia di euro all’anno.

Conclusioni

Il costo totale per ottenere la certificazione ISO 27001 dipende da una serie di fattori, come la dimensione dell’organizzazione, la complessità dell’ambiente operativo, lo stato attuale della sicurezza delle informazioni e l’utilizzo di consulenti esterni. È importante considerare non solo i costi diretti, ma anche i benefici a lungo termine che una certificazione ISO 27001 può portare, come un migliore controllo dei rischi e un maggiore livello di fiducia dei clienti e degli stakeholder. Prima di intraprendere il processo di certificazione, è consigliabile valutare attentamente i costi e pianificare di conseguenza per garantire un’implementazione e una gestione di successo del sistema di gestione della sicurezza delle informazioni conforme all’ISO 27001.

Ecco un esempio di costi della certificazione ISO 27001 basati sul numero di dipendenti dell’organizzazione. Tieni presente che questi sono solo esempi indicativi e i costi effettivi possono variare in base a molteplici fattori specifici all’organizzazione. I costi forniti sono approssimativi e includono solo i principali elementi di costo.

1. Piccola organizzazione (fino a 50 dipendenti):
– Valutazione iniziale: 3.000-6.000 euro
– Implementazione del sistema: 8.000-15.000 euro
– Audit di certificazione: 5.000-10.000 euro
– Costi di mantenimento annuale: 3.000-5.000 euro

2. Media organizzazione (da 51 a 500 dipendenti):
– Valutazione iniziale: 5.000-10.000 euro
– Implementazione del sistema: 15.000-30.000 euro
– Audit di certificazione: 10.000-20.000 euro
– Costi di mantenimento annuale: 5.000-10.000 euro

3. Grande organizzazione (oltre 500 dipendenti):
– Valutazione iniziale: 10.000-20.000 euro
– Implementazione del sistema: 30.000-50.000 euro
– Audit di certificazione: 20.000-40.000 euro
– Costi di mantenimento annuale: 10.000-20.000 euro

Ricorda che questi sono solo esempi approssimativi basati sul numero di dipendenti. Altri fattori come la complessità dell’ambiente operativo, le infrastrutture tecnologiche coinvolte e il livello di preparazione esistente dell’organizzazione possono influire sui costi complessivi. Inoltre, questi costi non tengono conto di potenziali costi aggiuntivi come la consulenza esterna o l’acquisto di strumenti di sicurezza. È consigliabile ottenere preventivi dettagliati da fornitori di servizi di certificazione e consulenza per avere una stima più precisa dei costi in base alle specifiche esigenze della tua organizzazione.

Pubblicato il di

5 step per aggiornare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) alla nuova versione della norma, con i relativi errori da evitare

5 step per aggiornare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) alla nuova versione della norma

 

Come esperto ISO 27001:2022, ecco gli step per aggiornare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) alla nuova versione della norma:

1. Conoscere le novità introdotte dalla versione 2022 della norma ISO 27001: è importante leggere e comprendere i cambiamenti rispetto alla versione precedente, in modo da capire come adeguare il SGSI alla nuova versione.

Errori da evitare: non prendere in considerazione le novità introdotte dalla nuova versione della norma o sottovalutare la loro importanza.

2. Valutare l’impatto delle nuove novità sul proprio SGSI: una volta comprese le novità, è necessario analizzare come queste impattano sul proprio SGSI. Questa valutazione può portare a modifiche significative nel SGSI esistente.

Errori da evitare: non valutare adeguatamente l’impatto delle novità sulla propria organizzazione o sottovalutare le modifiche necessarie al SGSI esistente.

3. Aggiornare la documentazione del SGSI: una volta che sono state fatte le valutazioni, è necessario aggiornare la documentazione del SGSI per riflettere i cambiamenti apportati.

Errori da evitare: non aggiornare correttamente la documentazione del SGSI o dimenticare di documentare i cambiamenti apportati.

4. Implementare i cambiamenti necessari: una volta che la documentazione è stata aggiornata, è necessario implementare i cambiamenti necessari nel SGSI.

Errori da evitare: non implementare correttamente i cambiamenti o sottovalutare l’importanza di una corretta implementazione.

5. Valutare l’efficacia dei cambiamenti: una volta che i cambiamenti sono stati implementati, è importante valutare la loro efficacia nel raggiungere gli obiettivi di sicurezza delle informazioni dell’organizzazione.

Errori da evitare: non valutare adeguatamente l’efficacia dei cambiamenti o non correggere eventuali problemi riscontrati.

In generale, è importante che le organizzazioni siano consapevoli dei cambiamenti introdotti dalla nuova versione della norma ISO 27001 e prendano tutte le misure necessarie per aggiornare il proprio SGSI. In questo modo, saranno in grado di proteggere meglio le proprie informazioni sensibili e mantenere un alto livello di sicurezza delle informazioni.

Pubblicato il di

Errori da evitare nella gestione delle non conformità: una guida per gli esperti di sistemi di gestione

Errori da evitare nella gestione delle non conformità: una guida per gli esperti di sistemi di gestione

Introduzione
La gestione delle non conformità è un aspetto cruciale dei sistemi di gestione della qualità (QMS), della sicurezza sul lavoro e della gestione ambientale. Identificare e affrontare le non conformità in modo efficace è fondamentale per garantire la conformità alle normative, migliorare la qualità dei prodotti e servizi e ridurre i rischi per la sicurezza e l’ambiente. In questo articolo, esamineremo gli errori comuni nella gestione delle non conformità e forniremo consigli su come evitarli.

Errore 1: Non identificare e documentare adeguatamente le non conformità
Per gestire efficacemente le non conformità, è essenziale identificarle e documentarle in modo accurato. Un errore comune è non raccogliere informazioni sufficienti o dettagliate sulle non conformità, il che rende difficile analizzarle e risolverle. Per evitarlo, assicurati di:
  • Fornire una formazione adeguata al personale su come identificare e segnalare le non conformità
  • Utilizzare strumenti e moduli standardizzati per documentare le non conformità, inclusi i dettagli su quando, dove e perché si sono verificate
Errore 2: Non comunicare le non conformità in modo tempestivo
La comunicazione tempestiva delle non conformità è fondamentale per garantire che vengano affrontate in modo efficace. Ritardi nella comunicazione possono portare a ulteriori problemi e aumentare i rischi per la sicurezza e l’ambiente. Per evitare questo errore:
  • Stabilire processi chiari e linee guida per la comunicazione delle non conformità
  • Utilizzare strumenti di comunicazione efficaci, come e-mail, messaggistica istantanea o software di gestione delle non conformità, per garantire che le informazioni vengano condivise rapidamente e in modo appropriato
Errore 3: Non analizzare le cause delle non conformità
Per prevenire la ricorrenza delle non conformità, è importante analizzare le cause alla radice e identificare le aree di miglioramento. Un errore comune è concentrarsi solo sulla risoluzione immediata del problema, senza esaminare le cause sottostanti. Per evitare questo errore:
Errore 4: Non monitorare e valutare l’efficacia delle azioni correttive e preventive
Una volta implementate le azioni correttive e preventive, è fondamentale monitorarne l’efficacia per garantire che le non conformità siano state risolte e che non si ripresentino. Un errore comune è non effettuare un follow-up adeguato o non valutare l’efficacia delle azioni intraprese. Per evitarlo:
  • Stabilire processi di monitoraggio e valutazione delle azioni correttive e preventive
  • Utilizzare indicatori di performance chiave (KPI) e audit interni per valutare l’efficacia delle azioni e identificare eventuali aree di miglioramento
Errore 5: Non coinvolgere l’intera organizzazione nella gestione delle non conformità
La gestione delle non conformità è una responsabilità condivisa che coinvolge l’intera organizzazione. Un errore comune è limitare la responsabilità alla gestione o ai dipartimenti specifici, il che può portare a una mancanza di impegno e responsabilità da parte di tutto il personale. Per evitare questo errore:
  • Promuovere una cultura della qualità, sicurezza e responsabilità ambientale in tutta l’organizzazione
  • Fornire formazione e sensibilizzazione sulle non conformità e sui processi di gestione a tutti i livelli dell’organizzazione
Conclusione
Evitare questi errori comuni nella gestione delle non conformità può aiutare a garantire che le organizzazioni affrontino efficacemente le non conformità, migliorino la qualità dei prodotti e servizi e riducano i rischi per la sicurezza e l’ambiente. Implementando processi chiari, coinvolgendo l’intera organizzazione e monitorando continuamente l’efficacia delle azioni correttive e preventive, le organizzazioni possono migliorare la loro conformità e ottenere risultati migliori.

Pubblicato il di

 5 errori da evitare nell’aggiornamento alla nuova versione ISO 27001:2022 dei SGSI

5 errori da evitare nell’aggiornamento alla nuova versione ISO 27001:2022 dei SGSI

**Introduzione**

La norma ISO 27001:2022 è la versione aggiornata della precedente ISO 27001:2013, che stabilisce i requisiti per la gestione della sicurezza delle informazioni (SGSI). L’aggiornamento alla nuova versione è fondamentale per garantire la conformità e mantenere un sistema di gestione della sicurezza delle informazioni efficace. Tuttavia, durante il processo di aggiornamento, è possibile commettere alcuni errori che possono compromettere l’efficacia del SGSI. In questo articolo, esamineremo cinque errori comuni da evitare durante l’aggiornamento alla nuova versione ISO 27001:2022.

**1. Non comprendere le differenze tra le due versioni**

Prima di iniziare l’aggiornamento, è fondamentale comprendere le differenze tra la versione ISO 27001:2013 e la nuova ISO 27001:2022. Non prendere in considerazione le modifiche apportate alla struttura, ai requisiti e alle linee guida può portare a una cattiva implementazione del SGSI e a una mancata conformità. Assicurati di studiare attentamente le differenze e di aggiornare la documentazione e le procedure interne di conseguenza.

**2. Trascurare la formazione del personale**

La formazione del personale è un elemento cruciale per garantire la corretta implementazione e il mantenimento del SGSI. Non fornire una formazione adeguata sulle modifiche apportate alla norma ISO 27001:2022 può portare a una mancata comprensione dei nuovi requisiti e a una cattiva gestione della sicurezza delle informazioni. Assicurati di fornire una formazione adeguata a tutto il personale coinvolto nella gestione del SGSI e di aggiornare i piani di formazione in base alle nuove esigenze.

**3. Non coinvolgere la direzione**

Il coinvolgimento della direzione è fondamentale per garantire il successo dell’aggiornamento del SGSI. La direzione deve essere informata sulle modifiche apportate alla norma ISO 27001:2022 e sulle implicazioni per l’organizzazione. Non coinvolgere la direzione può portare a una mancanza di supporto e risorse necessarie per l’aggiornamento, compromettendo l’efficacia del SGSI. Assicurati di coinvolgere la direzione fin dall’inizio del processo di aggiornamento e di mantenerla informata sui progressi e sui risultati.

**4. Non effettuare una revisione completa del SGSI esistente**

Prima di procedere con l’aggiornamento, è importante effettuare una revisione completa del SGSI esistente per identificare eventuali lacune o aree di miglioramento. Non effettuare una revisione completa può portare a una mancata conformità ai nuovi requisiti e a una cattiva gestione della sicurezza delle informazioni. Utilizza la revisione come opportunità per migliorare il SGSI e per garantire che sia conforme alla nuova versione della norma.

**5. Non monitorare e valutare continuamente il SGSI aggiornato**

Una volta completato l’aggiornamento, è fondamentale monitorare e valutare continuamente il SGSI per garantire la sua efficacia e conformità. Non monitorare e valutare il SGSI può portare a una mancata identificazione di problemi o aree di miglioramento, compromettendo la sicurezza delle informazioni. Implementa processi di monitoraggio e valutazione regolari e utilizza i risultati per apportare miglioramenti continui al SGSI.

**Conclusione**

L’aggiornamento alla nuova versione ISO 27001:2022 è un passo importante per garantire la conformità e l’efficacia del SGSI. Evitando questi cinque errori comuni, le organizzazioni possono garantire un processo di aggiornamento più agevole e un SGSI più efficace. Ricorda di comprendere le differenze tra le due versioni, fornire una formazione adeguata al personale, coinvolgere la direzione, effettuare una revisione completa del SGSI esistente e monitorare e valutare continuamente il SGSI aggiornato.

Dr. Matteo Rapparini
www.edirama.org
Titolare Edirama
Consulente Sistemi di Gestione ISO

Pubblicato il di

La nuova ISO/IEC 27001:2022 e il GDPR

La privacy e la sicurezza dei dati sono diventati argomenti sempre più importanti negli ultimi anni, soprattutto in seguito all’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea nel 2018. Con l’obiettivo di fornire un quadro normativo chiaro per la gestione della sicurezza delle informazioni, l’Organizzazione Internazionale per la Standardizzazione (ISO) e la Commissione Elettrotecnica Internazionale (IEC) hanno recentemente pubblicato la nuova versione della norma ISO/IEC 27001:2022.

La norma ISO/IEC 27001:2022 è stata sviluppata per fornire un quadro di riferimento per la gestione della sicurezza delle informazioni a livello globale. La norma fornisce un set di requisiti per la creazione, l’implementazione, il mantenimento e il continuo miglioramento di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) in un’organizzazione.

La nuova versione della norma è stata aggiornata per riflettere i cambiamenti nell’ambiente dei rischi informatici e delle minacce alla sicurezza delle informazioni. La norma si basa sul ciclo di vita del rischio, il che significa che l’organizzazione deve identificare i rischi, valutarli e affrontarli in modo appropriato. Ciò include l’implementazione di controlli di sicurezza appropriati per gestire i rischi identificati e monitorare costantemente l’efficacia di questi controlli.

La norma ISO/IEC 27001:2022 è in linea con i requisiti del GDPR, che richiede che le organizzazioni implementino misure di sicurezza adeguate per proteggere i dati personali. Le organizzazioni devono dimostrare la conformità al GDPR e l’implementazione della norma ISO/IEC 27001:2022 può aiutare a soddisfare questi requisiti.

La norma ISO/IEC 27001:2022 fornisce un quadro completo per la gestione della sicurezza delle informazioni, che copre la gestione dei dati personali. Ciò include la gestione della sicurezza dei dati personali durante la loro raccolta, il loro utilizzo, la loro conservazione e la loro cancellazione. La norma richiede inoltre che le organizzazioni implementino misure di sicurezza tecniche e organizzative appropriate per garantire la sicurezza dei dati personali.

Inoltre, la norma richiede che le organizzazioni effettuino una valutazione dei rischi per identificare i rischi per la sicurezza dei dati personali e implementino misure di sicurezza adeguate per mitigare questi rischi. Ciò include l’implementazione di misure di sicurezza tecniche come la crittografia dei dati e l’accesso solo ai dati di cui l’utente ha bisogno per svolgere il proprio lavoro.

In conclusione, la norma ISO/IEC 27001:2022 fornisce un quadro completo per la gestione della sicurezza delle informazioni che è in linea con i requisiti del GDPR. Implementare questa norma può aiutare le organizzazioni a proteggere i dati personali e dimostrare la conformità al GDPR. La norma richiede alle organizzazioni di seguire un approccio basato sui rischi per identificare e mitigare le minacce alla sicurezza delle informazioni, inclusi i dati personali.

Inoltre, la norma richiede alle organizzazioni di implementare misure di sicurezza tecniche e organizzative appropriate per garantire la sicurezza dei dati personali, tra cui la gestione della sicurezza dei dati durante la raccolta, l’uso, la conservazione e la cancellazione. Le organizzazioni sono anche tenute a effettuare una valutazione dei rischi per identificare i rischi per la sicurezza dei dati personali e implementare misure di sicurezza adeguate per mitigare questi rischi.

L’implementazione della norma ISO/IEC 27001:2022 può portare diversi vantaggi alle organizzazioni, tra cui la riduzione dei rischi informatici e della probabilità di violazione dei dati personali, l’aumento della fiducia dei clienti e degli utenti nei confronti dell’organizzazione e la conformità alle normative sulla privacy.

In sintesi, la norma ISO/IEC 27001:2022 e il GDPR sono due strumenti importanti per la gestione della sicurezza delle informazioni e la protezione dei dati personali. Le organizzazioni possono utilizzare la norma ISO/IEC 27001:2022 come quadro di riferimento per implementare misure di sicurezza adeguate e dimostrare la conformità al GDPR. La gestione adeguata della sicurezza delle informazioni è fondamentale per proteggere i dati personali e garantire la privacy degli utenti.

Pubblicato il di

Tre errori da evitare quando si definisce l’ambito della ISO 27001

La definizione dell’ambito della ISO 27001 è un passaggio cruciale nella pianificazione dell’implementazione del sistema di gestione della sicurezza dell’informazione (SGSI). Ecco tre errori comuni da evitare durante questo processo:

  1. Ambito troppo ampio: definire un ambito troppo ampio può portare a una pianificazione e implementazione del SGSI troppo complessa e costosa. Inoltre, può essere difficile ottenere la conformità e mantenere l’efficacia del sistema.

  2. Ambito troppo limitato: definire un ambito troppo limitato può compromettere l’efficacia del sistema, poiché potrebbero essere trascurati alcuni rischi significativi. Inoltre, potrebbe essere difficile estendere il SGSI in futuro per includere ulteriori attività o processi.

  3. Ambito ambiguo: definire un ambito ambiguo può portare a un’interpretazione errata delle attività e dei processi da includere nel SGSI. Ciò potrebbe compromettere l’efficacia del sistema e portare a una non conformità con i requisiti della norma ISO 27001.

Per evitare questi errori, è importante coinvolgere le parti interessate nel processo di definizione dell’ambito e assicurarsi che ci sia una comprensione chiara e condivisa delle attività e dei processi da includere nel SGSI.