Cos'è?
Lo standard ISO/IEC 27001 è l’unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un SGSI (Sistema di Gestione della Sicurezza delle Informazioni) ed è progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati.
In questo modo è possibile proteggere le informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti.
Questa certificazione, oltre a garantire la protezione dei dati, è fondamentale per creare maggiore fiducia verso l’azienda da parte dei clienti e dei dipendenti, che quotidianamente le affidano le loro informazioni.
In questo senso l’ISO 27001 può essere concepito come un punto di riferimento per la garanzia di riservatezza, integrità e disponibilità delle informazioni, oltre alla conformità legale.
Ogni azienda che curi la propria efficienza ormai gestisce tutti i rischi legati alla sicurezza tramite un Information Security Management System (ISMS).
Un Sistema di Gestione della Sicurezza delle Informazioni è un insieme di policy e procedure che include tutti gli ambiti della gestione IT: fisici, logici, organizzativi e legali. Grazie a questa struttura la sicurezza delle informazioni coinvolge così tutte le funzioni aziendali.
Quante aziende scelgono questo percorso
ISO 27001
Le informazioni e i dati sono un patrimonio per ogni azienda, e garantire una filiera di tutela e sicurezza è una necessità fondamentale.
Come funziona la certificazione Iso 27001
Lo standard più diffuso per la certificazione degli ISMS è rappresentato dalla “famiglia” degli standard ISO 27000 (27001 in generale, 27017 e 27018 per il mondo cloud), che permette anche la certificazione del sistema così creato.
Si può applicare a qualsiasi tipo di organizzazione, per esempio aziende, enti pubblici, istituzioni accademiche e associazioni no-profit indipendentemente dalle informazioni e dalla tipologia di dati personali o aziendali che trattano.
Questa serie di standard è sviluppata da ISO e dalla Commissione Elettrotecnica Internazionale (IEC). Si tratta di una famiglia che include ben più di 20 standard. In questo contesto, per un’azienda è indispensabile affidarsi a un team di esperti per individuare e proporre gli adempimenti necessari, anche in funzione delle procedure interne, della tipologia di dati trattati e degli obiettivi richiesti dalle policy.
Come inizia il percorso verso la certificazione Iso 27001
Come avviene per tutte le certificazioni ISO, per ottenerle è necessario ottemperare a diversi adempimenti, sia dal punto di vista operativo, sia dal punto di vista legale e amministrativo.
- Il primo passaggio, affidato agli esperti di Safecore, è quello di effettuare un pre-audit ISMS, per verificare lo stato attuale delle procedure aziendali in termini di sicurezza informatica e tutela dei dati, personali e strategici.
- Al temine di questa revisione, i tecnici e gli specialisti di Safecore provvederanno tramite una gap analysis a definire gli interventi da intraprendere per avviare il percorso di certificazione e ottenerla, individuando con il cliente un’adeguata roadmap.
I vari step
La nostra lista di controllo ISO 27001 aiuterà la tua organizzazione ad implementare con successo un sistema di gestione della sicurezza delle informazioni attraverso vari step
- Sviluppare una tabella di marcia per l’implementazione di successo dei requisiti richiesti per la Certificazione
- Imposta l’ambito dell’ISMS della tua organizzazione
- Istituire un organo di governo dell’ISMS
- Redigere un inventario degli asset informativi
- Eseguire una valutazione del rischio
- Sviluppare un registro dei rischi
- Documentare un piano di trattamento del rischio
- Completare il foglio di lavoro Dichiarazione di applicabilità
- Creare una politica di sicurezza delle informazioni
- Assemblare i documenti e i registri richiesti
- Stabilire programmi di formazione e sensibilizzazione dei dipendenti
- Eseguire un audit interno
- Sottoporsi ad audit esterno di ISMS per ottenere la certificazione ISO 27001
- Affrontare eventuali non conformità
- Condurre revisioni periodiche della gestione
- Calendarizzare i controlli
- Prendere in considerazione ottimizzazione della certificazione ISO 27001 con l’automazione
Perché scegliere Safecore
Il team Safecore è composto da persone appassionate da sempre alle sfide, soprattutto quelle legate alla sicurezza informatica. Le numerose esperienze affrontate in importanti contesti come quello bancario e assicurativo, l’eterogeneità e il forte legame del team rende Safecore un’ottima arma di prevenzione.
Nel tempo sono state acquisite elevate capacità di Problem Solving e un metodo di pensiero fuori dagli schemi (“Think Outside The Box”) che si è rivelato vitale per raggiungere ottimi risultati.
Il team Safecore è altamente qualificato e vanta svariate certificazioni riconosciute a livello aziendale, tra cui:
- OSCP (Offensive Security Certified Professional)
- OSWE (Offensive Security Web Expert)
- eWPT (eLearnSecurity Web application Penetration Tester)
- eMAPT (eLearnSecurity Mobile Application Penetration Tester)
- eJPT (eLearnSecurity Junior Penetration Tester)
- eCDFP (eLearnSecurity Certified Digital Forensics Professional)
- ISO 27001 Lead Auditor
- ISO 22301 Lead Auditor
La nostra metodologia
Safecore ha sviluppato un approccio olistico che consiste nell’analisi periodica dei rischi provenienti dalle tre componenti fondamentali all’interno di un’organizzazione quali le PERSONE, i PROCESSI e le TECNOLOGIE.
attuare politiche di sicurezza a tutela di tutto il personale, interno ed esterno, coinvolto nell’erogazione di servizi
inclusione dei principi di sicurezza in tutti i processi aziendali nel rispetto di “Security by design”
verificare la sicurezza di tutte le tecnologie adottate all”interno dell’organizzazione con particolare riferimento a quelle dedicate per l’erogazione dei servizi
Il percorso nel tempo con Safecore
Safecore offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.
In particolare, i servizi di Safecore comprendono:
- Definizione dell’ambito di applicazione dell’ISMS in fase di prima implementazione o ampliamento;
- Gap analysis e definizione del piano di intervento;
- Consulenza in fase di implementazione o certificazione per la risoluzione di eventuali non conformità;
- Redazione dell’apparato documentale;
- Analisi dei rischi;
- Supporto per audit interni;
- Attività di riesame;
- Formazione;
- Affiancamento durante gli audit degli enti certificatori.
Inoltre assistiamo le aziende nelle revisioni della propria organizzazione o degli obiettivi aziendali, a seguito dell’emissione di nuove versioni della norma, oppure nell’adozione di nuovi standard dedicati a specifici settori. Non da ultimo diamo supporto per l’integrazione dell’ISMS con altri sistemi di gestione (ISO 9001, ISO 20000, COBIT, ecc.) o con la compliance aziendale (231, GDPR, PCI DSS).
Per quanto tempo è valida la ISO 27001 una volta certificata?
Una volta che un ente di certificazione rilascia un certificato ISO 27001 a un’azienda, questo è valido per un periodo di tre anni, durante i quali l’ente di certificazione eseguirà audit di sorveglianza per valutare se l’organizzazione stia mantenendo correttamente l’SGSI e se vengano implementati i miglioramenti richiesti nei tempi stabiliti.
Chi ne può beneficiare?
Le certificazioni ISO 27000 sono adatte sia per aziende che desiderano impostare un ISMS da zero, sia per aziende già certificate che intendono estendere o rinnovare il loro pool di certificazioni.
Fra gli aspetti più rilevanti dell’offerta di Safecore ci sono soluzioni modulari, supporto continuativo e la possibilità di integrarsi con altri sistemi di gestione con il minore effort possibile, offrendo alle aziende un potenziamento della propria sicurezza e ottimizzando l’investimento richiesto.
