Come ottenere la Certificazione ISO 27001 e mantenerla nel tempo

Come ottenere la Certificazione ISO 27001: l’audit di prima certificazione

Come ottenere la certificazione ISO 27001? Le aziende oggi sono maggiormente sottoposte alle minacce di cyber security rispetto al passato. L’utilizzo sempre più ampio di software e dei sistemi informatici erogati in outsourcing, infatti, non consente più il pieno controllo sugli stessi e tanto meno sui dati in essi contenuti. Secondo un recente rapporto Clusit, sono soprattutto le strutture informatiche delle aziende operanti nel settore sanitario e in quello bancario ad essere le più colpite dai cyber criminali.

Le criticità maggiori si verificano quando i cyber attacchi riescono ad intaccare la cosiddetta “Business Continuity” dell’azienda presa di mira. In questi casi, molto spesso, le infrastrutture informatiche oggetto dell’attacco non hanno la possibilità di essere ripristinate nell’immediato in quanto sono sprovviste di adeguati Piani di Disaster Recovery o di Piani di Business Continuity.

Pertanto, per consentire alle aziende di ridurre i rischi sia informatici che di violazione dei dati (data breach) derivanti dalle minacce di cyber security è possibile seguire un percorso di Certificazione ISO 27001 che può supportare le imprese nel difendersi in modo proattivo dagli attacchi informatici, garantendo e rafforzando così la loro capacità di resilienza dagli attacchi informatici.

Di fondamentale importanza sono le figure protagoniste responsabili dell’iter di certificazione ISO/IEC 27001:

  • L’azienda che intende certificarsi;
  • La società di consulenza, cioè il soggetto esterno all’azienda, che guida e consiglia la stessa nel percorso di certificazione.
  • L’ente di certificazione che procede all’audit per la certificazione;
  • L’ente di accreditamento, ovvero il supervisore dell’attività svolta dall’ente di certificazione;

La certificazione si ottiene attraverso un processo che può durare fino a 9/12 mesi a seconda delle caratteristiche (complessità e numerosità) dei processi che compongono l’organizzazione che desidera conseguire la certificazione.

La norma ISO 27001 prevede obbligatoriamente di svolgere alcune attività, tra le più importanti:

  • definire il “campo di applicazione” del SGSI;
  • definire la “politica” per la sicurezza delle informazioni;
  • effettuare un risk assessment all’interno dell’azienda (RTP);
  • identificare e implementare misure per il controllo dei rischi individuati (SOA);
  • adottare procedure interne che aiutino l’azienda a gestire i backup, gli asset, i log di accesso, i metodi di autenticazione;
  • implementare un piano di “Disaster Recovery”;
  • implementare un piano di “Business Continuity”.

La norma ISO 27001 ha 2 peculiarità:

  • La prima peculiarità è la cosiddetta “Dichiarazione di applicabilità” (State of Applicability – SOA); questa dichiarazione è il nucleo portante del Sistema di gestione della sicurezza delle informazioni (SGSI), che contiene al proprio interno un elenco di 114 controlli, che l’azienda deve applicare e adempiere. Questa dichiarazione fornisce un quadro generale dei controlli applicati dall’organizzazione, oppure, nel caso vi sia un’esclusione di un controllo, include la spiegazione dei motivi per cui il controllo è stato escluso. Anche avvalendosi di una società di consulenza esterna, l’azienda imposta il proprio SGSI e valuta che i sistemi di monitoraggio a protezione delle informazioni siamo implementati in modo adeguato e puntuale (a titolo esemplificativo: firewall, antivirus, impostazione di backup, gestione dei log degli utenti, gestione delle credenziali degli utenti e dei relativi ruoli all’interno dell’azienda, revisione dei servizi affidati in gestione a soggetti esterni). L’elenco esaustivo dei controlli con cui redigere il contenuto della Dichiarazione di Applicabilità lo si trova nell’Annex A della norma ISO 27001.
  • La seconda peculiarità della norma ISO 27001 è il cosiddetto Piano di trattamento del rischio (RTP); questo documento descrive come l’organizzazione intende trattare i rischi identificati durante la valutazione del rischio.
    Lo scopo del Piano di trattamento del rischio è quello di definire esattamente chi implementerà ciascun controllo, in quale periodo, con quale budget, ecc.

Prima di andare in certificazione bisogna effettuare due ulteriori passaggi:

  • Audit di prima parte (audit interno) sull’intero sistema da parte di un auditor certificato 27001;
  • Riesame della direzione, ossia un’attività che esamina i risultati degli audit effettuati per garantire che le azioni correttive e i miglioramenti siano implementati, ove necessario.

Una volta che la ISO 27001 sia stata implementata, testata e approvata, l’azienda può effettuare un pre-audit dall’auditor dell’ente di certificazione. Questa è una fase facoltativa ma caldamente consigliata, per individuare possibili problematiche che potrebbero portare ad un esito negativo durante l’audit di certificazione.

A questo punto l’azienda può iniziare la fase all’iter di certificazione, sottoponendosi all’audit di certificazione vero e proprio.

L’audit condotto dal team di auditor dell’ente di certificazione si compone di due momenti:

Audit di stage 1: comprende l’esame dei documenti di Sistema di Gestione, la valutazione della conformità legislativa e dei processi e della struttura dell’Organizzazione.

Audit di stage 2: comprende l’esame di conformità a tuti i requisiti della norma e dei controlli definiti applicabili dall’azienda.

A seguito delle verifiche e in caso di esito positivo, l’azienda riceverà l’attestato di certificazione ISO 27001.

La Certificazione ISO 27001 e il suo mantenimento nel tempo con l’audit di sorveglianza

L’attestato di certificazione ISO 27001 ha una validità di 3 anni e prevede una sorveglianza per i due anni successivi.
Il triennio è pertanto così composto: 1 audit di certificazione + 2 audit di sorveglianza (a distanza di un anno tra i due). Al termine dei 3 anni, l’azienda dovrà sottoporsi a un audit di rinnovo della certificazione che prevede di ripetere l’intero iter di certificazione.

Durante l’audit di certificazione, l’ente verificherà se tutti gli elementi principali del sistema di gestione previsti dalla norma ISO 27001 sono in atto:

  • verificando tutta la documentazione;
  • i processi;
  • le procedure, e come queste sono attuate cercando una coerenza con la documentazione.

Durante gli audit di sorveglianza, l’ente di certificazione verifica se il SGSI funziona o meno, concentrandosi sugli elementi che durante il primo audit non era stato possibile controllare o su aspetti che erano stati identificati come “non conformità minori” o “opportunità di miglioramento”.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Sistema di Gestione per la Qualità ISO 9001
  • Sistema di Gestione Ambientale ISO 14001
  • Sistema di Gestione per la Sicurezza delle Informazioni ISO 27001
  • Sistema di Gestione per la Salute e Sicurezza nei luoghi di Lavoro ISO 45001
  • Sistema di Gestione per la Continuità Operativa ISO 22301
  • Sistema di Gestione per la Sicurezza dei Dati Personali ISO 27701
  • Sistema di Gestione Anticorruzione ISO 37001
  • Sistema di Gestione dei Servizi IT ISO 20000
  • Sistema di Gestione per la Parità di Genere UNi PdR/125
  • Consulenza Modello Organizzativo 231
  • Consulenza per la Responsabilità Sociale SA8000
  • Consulenza per la Sicurezza Alimentare ISO 22000
 

Consulenza per la Certificazione ISO dei Sistemi di Gestione Aziendali – Studio Rabaioli