Sistema di Gestione della Sicurezza delle Informazioni

Lo standard ISO/IEC 27001:2022 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni. Questi sistemi sono stati concepiti per proteggere le attività che trattano informazioni; sono basati su principi, obiettivi, politiche e valutazione dei rischi che possono avere un impatto negativo negli affari.

Questo standard è applicabile non solo ad organizzazioni con profilo IT – quasi tutte le organizzazioni, indipendentemente dal proprio campo di affari, può trattare informazioni sensibili circa i propri clienti, collaboratori, altre parti interessate e, in alcuni casi, anche il grande pubblico.

L’attuazione di un Sistema di Gestione della Sicurezza delle Informazioni migliora la sicurezza globale ma, prima di tutto, assicura e mantiene la confidenzialità, la disponibilità e l’integrità delle informazioni.

Contattaci

    RICHIEDI OFFERTA

    Benefici della certificazione
    • Quando un Sistema di Gestione della Sicurezza delle Informazioni è istituito, mantenuto e migliorato, esso favorisce la fiducia di tutte le parti coinvolte nell’organizzazione
    • Il possesso di un certificato di conformità allo standard ISO/IEC 27001:2022 è una garanzia internazionale per il sistema, fornito da un organismo di certificazione affidabile, competente e indipendente

    Benefici di un sistema di gestione della sicurezza delle informazioni operativo

    Applicazioni reali e l’esperienza indicano che la sicurezza assoluta e completa è irraggiungibile.I benefici più significativi di un sistema di gestione della sicurezza delle informazioni operativo, sono che esso fornisce un nuovo modo di vedere e valutare i rischi, focalizzando l’attenzione sugli aspetti della sicurezza, attuando meccanismi di risposta e prevenzione delle minacce che assicurino che non ci saranno ricadute.

    Principi

    La politica e gli strumenti operativi del sistema di gestione della sicurezza delle informazioni sono basati su principi bilanciati e coordinati – per esempio „protezione in profondità“, „minimizzazione del campo di attacco“, „allocazione delle responsabilità e diritti“, „privilegi minimi“ e altri principi pratici provati. I principi fondamentali del sistema di gestione della sicurezza delle informazioni sono basati su specifiche circostanze.

    L’attuazione rigorosa di tali principi assicura che il sistema sia adeguato, utile e pratico per il settore di business entro il quale l’azienda opera.

    Preparazione per la certificazione

    La preparazione per la certificazione richiede che l’organizzazione prepari un inventario e controlli la conformità secondo i requisiti applicabili per la sicurezza. Alcuni dei più importanti sono i seguenti:

    • i documenti e le registrazioni richieste sono realmente disponibili e attuate
    • le misure di sicurezza definite sono applicate e la loro efficienza è documentata
    • gli audit interni sono eseguiti e documentati secondo le pratiche e procedure di auditing stabilite dagli standard ISO 19011, ISO/IEC 27007 e ISO/IEC 27008
    • le revisioni da parte della Direzione sono effettuate e opportunamente documentate
    • il personale dell’organizzazione è formato e informato riguardo il sistema di gestione della sicurezza delle informazioni, compresi i clienti, fornitori, partner e altre parti interessate
    LO SAI CHE…?
    • Per gli operatori che partecipano alle gare d’appalto, in possesso di certificazione ai sensi della norma ISO 27001 (rilasciata però da Enti accreditati), nei contratti relativi a servizi e forniture l’importo della garanzia fideiussoria e del suo eventuale rinnovo, è ridotto del 30%.

    • Diverse autorità di vigilanza hanno già evidenziato lo standard ISO 27001 come un modello di buona prassi per conformarsi al GDPR.
    • Determina un risparmio sui premi di assicurazione per le polizze relative agli incidenti informatici.

    • Il possesso della certificazione ISO 27001 è un requisito obbligatorio per i fornitori di servizi Cloud e ICT per la Pubblica Amministrazione!

    AgID (Agenzia Italiana per la Digitalizzazione) ha pubblicato le indicazioni tecnico-amministrative per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici delle PA, la rispondenza di questi ad adeguati livelli di sicurezza.

    Tale documento elenca le caratteristiche che devono avere i contratti ICT ed i relativi fornitori: uno dei requisiti specificati per il fornitore è “R2. Il fornitore deve possedere la certificazione ISO/IEC 27001 e mantenerla per tutta la durata della fornitura”.