Negli ultimi anni è diventato assolutamente necessario munirsi di sistemi di gestione e protezione delle informazioni aziendali come quelle indicate nella norma ISO/IEC 27001 , complice anche un sempre maggiore utilizzo delle tecnologie per questi scopi in aziende di ogni genere e dimensione.
Ma in cosa consiste lo standard ISO/IEC 27001? È indispensabile per un’azienda moderna adeguarvisi?
Iso 27001: cos’è?
La ISO/IEC 27001 (tecnologia delle informazioni – tecniche di sicurezza – sistemi di gestione della sicurezza – requisiti) è una norma di riferimento internazionale contenente al suo interno indicazioni e requisiti per porre in essere un sistema di gestione delle informazioni e standard di sicurezza informatica, fisico/ambientale e organizzativa.
La norma più recente è del 2017 ma in realtà, in senso applicativo, a parte alcune correzioni minime, risulta identica alla versione ISO/IEC 27001 2013.
In parole povere, questa legge, integrata negli anni, è una raccolta di buoni comportamenti per la protezione delle informazioni aziendali online ed offline, di ogni tipo.
La 27001 stabilisce in particolare i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni, chiamato anche ISMS.
Cos’è l’ISMS
L’ISMS (Information Security Management System) è un vero e proprio sistema di gestione del rischio legato alle informazioni aziendali.
Definito anche ” modello ISMS “, deve essere elaborato sulla base delle caratteristiche specifiche dell’impresa e i suoi processi interni più peculiari.
Per realizzarlo è quindi necessario seguire degli specifici passaggi:
- Stabilire uno scopo del progetto e calcolarne i costi generali.
- Creare un team responsabile della gestione del progetto.
- Individuare controlli, processi e procedure.
- Comprendere il processo di gestione PDCA (Plan – Do – Check – Act ) specifico per l’azienda e le sue procedure ed attività.
- Sviluppare in concreto il progetto analizzando anche tutti i rischi.
- Assessment e monitoraggio periodico.
Tutte queste fasi naturalmente richiedono competenze specifiche. L’aiuto di un consulente specializzato non è solo utile, è indispensabile.
Ciò anche perché l’ISMS, se si desidera ottenere la certificazione 27001, deve avere caratteristiche molto rigide e precise.
Come ottenere la certificazione 27001 ISO?
Come già riferito nel paragrafo precedente è necessario implementare un ISMS conforme agli standard ISO/IEC 27001 per ottenere la certificazione, ma non solo.
È anche indispensabile in seguito contattare un organismo certificato di accreditamento autorizzato (ACCREDITA ), membro dell’International Accreditation Forum (IFA).
L’organismo di certificazione serve a controllare tutta la documentazione e la sua conformità.
Effettuerà inoltre delle verifiche della correttezza dei dati di bilancio aziendale e delle procedure.
Solo a conclusione dei controlli sarà eventualmente concessa la certificazione.
Perché certificarsi
Le informazioni sono in tutto e per tutto dei beni. Sono un valore per l’impresa o organizzazione ed in quanto tali è buona prassi difenderle, sempre di più.
Oggi, la maggior parte delle informazioni viene custodita su supporti informatici ed i rischi di violazione dei dati ivi contenuti sono in continuo aumento.
Per questo motivo l’adozione scrupolosa della 27001 ISO è non solo consigliata ma indispensabile ad oggi per le aziende di ogni tipo e le organizzazioni.
Assicura integrità, riservatezza ma contemporaneamente disponibilità dei dati.
Hai bisogno di maggiori informazioni relativamente a questo argomento o di supporto nell’implementazione del Sistema di Gestione della Sicurezza delle Informazioni ISO/IEC 27001 della tua impresa?
Prenota un appuntamento nel nostro studio.