Consulenza Certificazione ISO 27001 “Sistemi di Gestione per la Sicurezza delle Informazioni”

Consulenza Certificazione ISO 27001 “SGSI”: i principi della “Riservatezza”, della “Integrità” e della “Disponibilità”

Consulenza Certificazione ISO/IEC 27001: Riservatezza, Integrità e Disponibilità sono i tre pilastri principali per garantire e gestire in maniera efficiente ed efficace la sicurezza dei dati. I dati aziendali sono un bene fondamentale per l’organizzazione e la loro sicurezza è quindi un’alta priorità perché essa funzioni.

La norma 27001 guida alla realizzazione di un sistema di gestione per la sicurezza delle informazioni attraverso una metodologia chiara ed esaurente.

La Norma ISO/IEC 27001 “SGSI”: cosa si intende per Informazione

L’informazione (Information data) è la conoscenza o l’insieme di dati che hanno valore per un individuo o per un’organizzazione.

Le persone desiderano che le proprie informazioni, come ad esempio i dati bancari o i dati relativi allo stato di salute, siano protetti ed al sicuro, in particolare che siano accessibili solo a poche e fidate persone (principio della Riservatezza), accurati e corretti (principio della Integrità) e disponibili in poco tempo (principio della Disponibilità).

Anche un’azienda ha una percezione di cosa si intende per sicurezza delle informazioni; per esempio preservare la segretezza dei progetti e delle ricerche (principio della Riservatezza), accuratezza e correttezza di tutti i dati economici e di produzione (principio della Integrità) e informazioni sempre disponibili all’occorrenza (principio della Disponibilità).

Le informazioni sono archiviate e trasmesse su supporti, questi ultimi possono essere analogici come ad esempio i supporti cartacei, o digitali come ad esempio i DVD, le chiavette USB, gli hard disk dei PC, ecc…).

Un caso particolare di supporto analogico è l’uomo, che nella sua memoria conserva informazioni.

Pertanto, quando si parla di sicurezza delle informazioni, non ci si limita alla sola sicurezza informatica, ossia relativa alle informazioni in formato digitale e trattate dai sistemi dell’Information and Communication Technology (ICT), ma a tutti i sistemi utilizzati per raccogliere, modificare, conservare, trasmettere e distruggere le informazioni.

La Norma ISO/IEC 27001 “SGSI”: i punti chiave

  • la valutazione dei rischi coerentemente al contesto di riferimento;
  • il concetto di informazione (o risorsa informativa) con relativa valorizzazione;
  • gli aspetti economico-finanziari inerenti la Sicurezza delle Informazioni;
  • l’aspetto organizzativo (e non solo tecnologico) della Sicurezza delle Informazioni;
  • l’efficacia del SGSI e delle contromisure adottate per trattare i rischi.

Di fondamentale importanza è l’Annex A che contiene i “controlli” a cui l’organizzazione che intende conseguire la certificazione della norma, deve attenersi.

  • la politica e l’organizzazione per la sicurezza delle informazioni;
  • la sicurezza delle risorse umane;
  • la gestione degli asset;
  • il controllo degli accessi logici;
  • la crittografia;
  • la sicurezza fisica e ambientale;
  • la sicurezza delle attività operative;
  • la sicurezza delle comunicazioni;
  • la gestione della sicurezza applicativa;
  • la relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni;
  • il trattamento degli incidenti (relativi alla sicurezza delle informazioni);
  • la gestione della Business Continuity;
  • il rispetto normativo.

La Norma ISO/IEC 27001 “SGSI”: integrabilità con altri framework di controllo per la Sicurezza delle Informazioni

Nel corso degli anni, molte organizzazioni hanno ampliato il proprio framework di controllo od aggiunto altri standard, come ad esempio Cobit, ITIL, CSF e NIST, per migliorare gli aspetti della Sicurezza delle informazioni che l’allegato A della ISO/IEC 27001 e ISO/IEC 27002 non ha affrontato in modo chiaro o diretto.

Questo è un elemento importante della ISO/IEC 27001, che ha sempre consentito di ampliare la base dei controlli stabilita dall’allegato A, che è un elenco di base da considerare, ma sempre espandibile alla realtà e al contesto di ciascuna organizzazione.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Sistema di Gestione per la Qualità ISO 9001
  • Sistema di Gestione Ambientale ISO 14001
  • Sistema di Gestione per la Sicurezza delle Informazioni ISO 27001
  • Sistema di Gestione per la Salute e Sicurezza nei luoghi di Lavoro ISO 45001
  • Sistema di Gestione per la Continuità Operativa ISO 22301
  • Sistema di Gestione per la Sicurezza dei Dati Personali ISO 27701
  • Sistema di Gestione Anticorruzione ISO 37001
  • Sistema di Gestione dei Servizi IT ISO 20000
  • Sistema di Gestione per la Parità di Genere UNi PdR/125
  • Consulenza Modello Organizzativo 231
  • Consulenza per la Responsabilità Sociale SA8000
  • Consulenza per la Sicurezza Alimentare ISO 22000
 

Consulenza per la Certificazione ISO dei Sistemi di Gestione Aziendali – Studio Rabaioli