27001 CERTIFICAZIONE SISTEMA DI GESTIONE SICUREZZA DELL’INFORMAZIONE

Cos’è la ISO 27001

La sicurezza della informazione (su supporto informatico, cartaceo e similare) è un tema sempre più importante in un mondo dove questa corre su supporti e mezzi informatici interni ed esterni.

Tali informazioni vanno protette dagli innumerevoli rischi che le nuove tecnologie comportano.

La sicurezza dell’ informazione, dunque, non è solo un’ operazione informatica (riservato agli specialisti) ma un sistema organizzativo in cui tutti gli interessati sono attori nella gestione della sicurezza (non solo gli addetti ai lavori).

Occorre quindi un approccio organizzativo e gestionale congiuntamente al contributo dello specialista informatico (che fornisce i mezzi hardware e software).

Diversamente, le informazioni possono essere danneggiate o rese insicure da chiunque, attraverso una molteplicità di azioni. Si tenga conto della sempre più crescente esposizione ai rischi di virus e sabotaggi sulle reti informatiche da parte degli hacher, fenomeni questi, a cui sono più esposte le aziende che non adottano una valida cybersecurity plan.

Un modo per organizzarle, gestirle, monitorarle, in ragionevole sicurezza, è dato dall’implementazione di un sistema di gestione rispondente alla norma 27001 UNI CEI EN ISO/IEC 27001 UNI CEI EN ISO/IEC 2700.

Quest’ultima, rappresenta un’importante strumento di gestione e controllo per la sicurezza dei dati, partendo da un’attenta valutazione dei rischi al fine di aumentarne il livello di sicurezza.

I vantaggi della certificazione  ISO 27001

L’ottenimento della certificazione comprova il raggiungimento di un elevato livello di sicurezza da parte dell’azienda che, pertanto, risponde ai requisiti della norma ISO 27001 e rappresenta la garanzia che l’azienda attua i controlli e le misure necessarie per proteggere i dati e le informazioni al proprio interno.

Tuttavia, anche le aziende non certificate possono (e devono) adottare un sistema di gestione della sicurezza delle informazioni in modo da proteggerle in formato digitale, su dispositivi o nel Cloud, adottando, a tal fine, anche un  valido  firewall personalizzato.

A chi è rivolta

La ISO 27001 è rivolta non solo alle aziende operanti, in senso stretto nell’informatica, ma anche a tutte le altre organizzazioni, sia piccole che grandi, le quali nello svolgimento delle loro attività gestiscono informazioni.

La nostra consulenza

Lo Studio Gallian offre consulenza per elaborare tutta la documentazione necessaria, in particolare per:

  1. inventario degli asset
  • percorso di formalizzazione della informazione: creazione, elaborazione, archiviazione, trasmissione, protezione, distruzione ecc.;
  • asset immateriali: software di elaborazione, comunicazione, sorveglianza e controllo ecc.;
  • asset materiali: hardware a supporto, ferro, per comunicazione, per archivio e similari;
  1. definizione del contesto
  • matrice per tipo di informazione relazionata con gli asset;
  • matrice asset primari relazionata con asset materiali ed immateriali;
  • matrice degli asset relazionata con i punti dell’allegato A alla norma (da A.5 Politiche per la sicurezza delle informazioni a A.18 Conformità);
  • valutazione contesto per fattori interni ed esterni;
  1. valutazione dei rischi e definizione delle azioni di mitigazione:
  • per pericolo relazionata a mezzo matrice per asset materiali ed immateriali, pericoli associati (perdita di riservatezza, integrità delle informazioni, disponibilità delle informazioni, sicurezza delle informazioni ed altro) e conseguenti azioni di mitigazione da porre in atto (attività di gestione, attività di controllo, verifiche ispettive ed altro);
  • per tipo di danno relazionato con le conseguenti minacce: tipo di rischio (accettabile, deliberato, ambientale ed altro) e conseguenti azioni di mitigazione (gestionali, controllo, verifica ed altro);
  • per tipo di vulnerabilità e minaccia possibile. Entità del rischio e conseguenti azioni di mitigazione (gestionali, controllo, verifica ed altro);
  • per tipo di minaccia in collegamento con gli asset (materiali ed immateriali). Pericoli associati : hacker e pirati informatici, criminali informatica, terroristi, spionaggio industriale ( servizi segreti, aziende, governi stranieri, altri interessi di governo), interni (dipendenti poco addestrati, scontenti, malevoli, negligenti, disonesti o licenziati), entità del rischio e conseguenti azioni di mitigazione (gestionali, controllo, verifica ed altro);
  • estrapolazione delle azioni da porre in atto per le attività gestionali, di controllo di verifica ed altro;
  1. implementazione delle attività gestionali di gestione e controllo operativo per quanto riguarda
  • gestione e controllo degli asset immateriali (licenze, password, firewall, internet, posta, cellulari, back up, data logger e similari, configurazione server, back up dati, programmi gestionali, programmi di calcolo, Windows, office e similari);
  • gestione degli asset materiali (ambienti fisici, server e nas, rete di trasmissione, switchs, sistema di comunicazione a mezzo internet;
  • gestione della contrattualistica con le società di servizio nel settore dell’informatica e comunicazione;
  • gestione delle comunicazioni con gli operatori tenuto conto anche dell’allegato A alla norma:
    • diretti – personale interno ed operatori esterni in nome e per conto;
    • indiretti – clienti, fornitori, visitatori;
  • attivazione e gestione della Business Continuity e Disaster Recovery;
  • gestione telelavoro e uso dispositivi informatici (portatili, cellulari, tablet e similari);
  • integrazione del GDPR in relazione agli aspetti della privacy conseguenti alla implementazione del sistema di gestione;
  1. gestione delle risorse
  • materiali – manutenzione dei locali e dei supporti, delle reti, delle macchine ed attrezzature;
  • umane – organigramma, profili, nomine, pianificazione della formazione, formazione ed informazioni ecc;
  1. gestione sistema

Situazioni non conformi, reclami, verifiche ispettive, norme e leggi, azioni correttive (anche preventive e di miglioramento), riunione della direzione, gestione dei rapporti con ente di certificazione);

7.assistenza alla attività di certificazione

Richiesta di preventivi, valutazione – supporto alla scelta dell’ente, organizzazione della attività di audit ecc;

  1. mantenimento del sistema di gestione

Verifiche ispettive, supporto per le azioni correttive /  rapporti con ente /  riunioni della direzione e similari;

  1. attività di formazione ed informazione.

Lo studio offre consulenza sia per il percorso completo, affiancando l’azienda in ogni fase del progetto, sia per attività parziali.

Contattaci, al numero +39 0425/410697 e/o invia una mail a info@studiogallian.net.