Pubblicato il

Che cosa è la certificazione ISO 27001 e come realizzarla

Condividi con i tuoi amici!

Che cosa è la certificazione ISO 27001 e come realizzarla

La norma internazionale ISO 27001 regola la sicurezza delle informazioni nelle organizzazioni private, pubbliche o non a scopo di lucro. Descrive i requisiti per impostare, realizzare, gestire e ottimizzare un sistema di gestione della sicurezza delle informazioni.

Vedi esempi di documentazione e accedi al Kit documentazione manuale, procedure ISO 27001

Struttura della norma ISO 27001

4.0 CONTESTO DELL’ORGANIZZAZIONE

L’Organizzazione deve determinare i fattori interni ed esterni pertinenti alle sue finalità che influenzano la sua  capacità  di conseguire gli esiti previsti per il proprio sistema di gestione per la sicurezza delle informazioni.

 

5. LEADERSHIP

L’Alta Direzione deve dimostrare la propria leadership e impegno nei riguardi del sistema di gestione per la sicurezza delle informazioni mediante:

  1. Assicurando che la politica e gli obiettivi per la sicurezza delle informazioni siano stabiliti  e siano compatibili con gli indirizzi strategici dell’Organizzazione;
  2. Assicurando l’integrazione dei  requisiti del sistema di gestione per la sicurezza delle informazioni  nei  processi aziendali;
  3. Assicurando la disponibilità delle risorse necessarie al sistema di gestione per la sicurezza delle informazioni;
  4. Comunicando l’importanza  di un’efficace gestione della sicurezza delle informazioni e dell’essere conforme ai requisiti  del sistema di gestione per la sicurezza delle informazioni;
  5. Assicurando che il sistema di gestione per la sicurezza delle informazioni   consegua gli esiti previsti;
  6. Fornendo guida e sostegno  alle persone  per contribuire all’efficacia  del sistema di gestione per la sicurezza delle informazioni;
  7. Promuovendo il miglioramento continuo;
  8. Fornendo sostegno  ad altri pertinenti  ruoli gestionali  nel dimostrare  la propria leadership  come opportuno  nelle rispettive aree di responsabilità.

6. PIANIFICAZIONE

Nel pianificare il sistema di gestione per la sicurezza delle informazioni secondo ISO 27001, l’Organizzazione  deve considerare i  fattori di cui al punto 4.1 ed i requisiti di cui al punto 4.2  e determinare i rischi e le opportunità che è necessario  affrontare per:

  1. Assicurare che il sistema di gestione per la sicurezza delle informazioni possa conseguire gli esiti previsti;
    1. Prevenire o ridurre gli effetti indesiderati;
    1. Realizzare il miglioramento continuo;

L’Organizzazione deve pianificare:

  • Le azioni per affrontare questi rischi e  le opportunità;
    • Le modalità per:
      • integrare  e attuare le azioni  nei processi  del proprio sistema di gestione per la sicurezza delle informazioni;
      • valutare l’efficacia di tali azioni.

7. SUPPORTO

L’Organizzazione deve determinare e mettere a disposizione le risorse necessarie per stabilire, attuare, mantenere  e migliorare in modo continuo il sistema di gestione per la sicurezza delle informazioni.

Deve:

  • Determinare le necessarie competenze per le persone che svolgono attività sotto il suo controllo e che influenzano  le sue prestazioni  relative alla sicurezza delle informazioni.
  • Assicurare che queste persone siano competenti sulla base di istruzione, formazione, addestramento o esperienze appropriate;
  • Ove applicabile, intraprendere  azioni per acquisire  la necessaria competenza  e valutare l’efficacia delle azioni intraprese;
  • Conservare appropriate informazioni documentate  quale evidenza delle competenze.

 

8. ATTIVITA’ OPERATIVE

L’Organizzazione deve pianificare, attuare  e tenere sotto controllo i processi necessari per soddisfare i requisiti di sicurezza  delle informazioni e per mettere in atto le azioni determinate  al punto 6.1.

Deve anche attuare i piani per conseguire gli obiettivi per la sicurezza delle informazioni di cui al punto 6.2; conservare le informazioni documentate nella misura necessaria ad avere fiducia che i processi siano stati eseguiti come pianificato; tenere sotto controllo  le modifiche pianificate e riesaminare le conseguenze dei cambiamenti involontari, intraprendendo azioni per mitigare qualunque  effetto negativo per quanto necessario e assicurare che i processi affidati all’esterno siano determinati e tenuti sotto controllo

9. VALUTAZIONE DELLE PRESTAZIONI

L’Organizzazione deve valutare le prestazioni della sicurezza delle informazioni e l’efficacia del sistema di gestione per la sicurezza delle informazioni e deve terminare:

  1. Cosa è necessario monitorare e misurare, includendo  i processi ed i controlli relativi  alla sicurezza delle informazioni;
    1. I metodi per il monitoraggio, la misurazione, l’analisi e la valutazione, in quanto applicabili, per assicurare risultati validi;
    1. Quando i monitoraggi e le misurazioni devono essere effettuati;
    1. Chi deve monitorare e misurare;
    1. Quando i risultati dei monitoraggi e delle misurazioni devono essere analizzati e valutati;
    1. Chi deve analizzare e valutare  tali risultati.
    1. L’Organizzazione deve conservare appropriate informazioni documentate quale evidenza dei risultati  dei monitoraggi e delle misurazioni.

10. MIGLIORAMENTO

L’organizzazione deve:

  • Reagire tempestivamente a incidenti o NC (azioni per tenerli sotto controllo e correggerli; affrontarne le conseguenze).
  • Valutare, azioni correttive per eliminare le cause dell’incidente o della NC.i
  • Riesaminare le valutazioni esistenti dei rischi per la SGSI e di altri rischi.
  • Determinare e attuare ogni azione necessaria, comprese le azioni correttive e la gestione del cambiamento.
  • Valutare i rischi per la SGSI che riguardano pericoli nuovi o modificati.
  • Riesaminare efficacia di ogni azione intrapresa, comprese le azioni correttive.
  • Effettuare modifiche del SGSI.

ANNEX A

Di fondamentale importanza è l’Annex A della ISO 27001 che contiene i 114 “controlli” (o contromisure) a cui, l’organizzazione che intende applicare la norma, deve attenersi.

Essi riguardano l’altro:
la politica e l’organizzazione per la sicurezza delle informazioni
la sicurezza delle risorse umane
la gestione degli asset
il controllo degli accessi logici
la crittografia
la sicurezza fisica e ambientale
la sicurezza delle attività operative
la sicurezza delle comunicazioni
la gestione della sicurezza applicativa
la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni
il trattamento degli incidenti (relativi alla sicurezza delle informazioni)
la gestione della Business Continuity
il rispetto normativo

Come ottenere la certificazione ISO 27001?

L’audit di certificazione viene effettuato da un organismo accreditato che provvede a  verificare la conformità del sistema documentale  rispetto ai requisiti della norma. Il tutto si conclude con l’ emissione del certificato (validità 3 anni) , che deve essere rinnovato annualmente mediante gli audit di prima e seconda sorveglianza per confermare o meno l’effettivo mantenimento del sistema ISO 27001.
Alla fine del terzo anno viene effettuato un audit per l’eventuale nuova conferma triennale.
La certificazione garantisce tutte le parti interessate (clienti, autorità di vigilanza, consumatori, cittadini) che l’organizzazione opera in conformità ai requisiti stabiliti nello standard di riferimento.

Quanto tempo è necessario per completare la certificazione ISO 27001 e quanto costa?

I tempi necessari al raggiungimento della certificazione dipendono dalla complessità dei processi aziendali e dalla “partecipazione attiva” dell’azienda.
In media occorrono c.a. 4-6 mesi.
Per quanto concerne i costi, questi possono variare in funzione della tipologia di azienda.
Puoi utilizzare questo tools per confrontare diversi preventivi.

Vedi esempi di documentazione e accedi al Kit documentazione manuale, procedure ISO 27001