Consulenza Sicurezza delle Informazioni ISO/IEC 27001


Il sistema di SICUREZZA DELLE INFORMAZIONI secondo la norma UNI CEI ISO/IEC 27001 ha la funzione di impostare e gestire nel tempo la protezione dei dati e delle informazioni importanti per l’azienda, nonché consentire la riservatezza, l’integrità e la disponibilità continua delle informazioni nonché la conformità legale anche ai sensi della normativa europea sulla protezione e circolazione dei dati personali (REG. UE 2016/679 – GDPR).

Lo schema ISO 27001 è applicabile a tutte le imprese private o pubbliche: la norma, infatti, prescinde da uno specifico settore di business o dall’organizzazione dell’azienda.

Molte organizzazioni in tutto il mondo hanno ottenuto la certificazione ISO/IEC 27001, dimostrando che la certificazione è una parte essenziale della protezione degli asset vitali.


Sistema di Gestione della Sicurezza delle Informazioni ISO/IEC 27001:

I 5 VANTAGGI dello Standard ISO/IEC 27001


1. Incremento del volume degli affari e fidelizzazione dei clienti

Disporre di un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 non solo permette di dimostrare che si sta seguendo le best practice di sicurezza, migliorando i rapporti lavorativi e mantenendo i clienti attuali, ma offre anche un vantaggio di marketing sulla concorrenza.

2. Miglioramento e protezione della reputazione della azienda

Con l’incremento costante degli attacchi informatici i danni finanziari e di immagine causati da una scarsa sicurezza delle informazioni possono essere fatali.
L’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 aiuta a proteggere l’azienda da tali minacce e dimostra che si è adottato le misure necessarie per proteggere la propria organizzazione.

3. Efficientamento della struttura organizzativa

Quando un’azienda cresce rapidamente, il rischio sulla confusione dei ruoli e delle responsabilità di protezione dei dati aumenta di pari passo.
L’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 aiuta le organizzazioni a diventare più produttive, definendo chiaramente le responsabilità dei rischi delle informazioni e dei ruoli.
Con un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 si rende vana la necessità di frequenti controlli, o audit, da parte dei clienti, riducendo così il numero delle giornate dedicate allo svolgimento di essi.

4. Integrazione delle normative vigenti

Un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati, affinchè questi possano contribuire a proteggere le informazioni in linea con il Regolamento Generale sulla Protezione dei Dati (GDPR), con la Direttiva NIS e le altre normative sulla sicurezza delle informazioni.

5. Abbattere il rischio di incorrere in sanzioni e perdite associate ai Data Breach

Un Data Breach costa all’azienda che lo subisce mediamente quasi 4 milioni di dollari in costi.
Un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 consente alle organizzazioni di abbattere in modo consistente le perdite potenzialmente devastanti causate da un Data Breach o più in generale da una violazioni dei dati.


FORMAZIONE E AGGIORNAMENTO DEL PERSONALE
ATTIVITÀ DI CONSULENZA PRIVACY E ASSISTENZA ANNUALE
CONSULENZA PER CASI PARTICOLARI (RICORSI, SEGNALAZIONI…)
MODELLO ORGANIZZATIVO DELLA PRIVACY
NOMINE DI RESPONSABILE DEL TRATTAMENTO DEI DATI
REDAZIONE DELLE INFORMATIVE SUL TRATTAMENTO DEI DATI
REDAZIONE DEI REGISTRI DELLE ATTIVITÀ DEI TRATTAMENTI
REGOLAMENTO PER L’UTILIZZO DEI DISPOSITIVI INFORMATICI
RICOPRIAMO IL RUOLO DI RESPONSABILE DELLA PROTEZIONE DATI
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
VERIFICA DELLA CONFORMITÀ DEL SITO WEB E COOKIES POLICY
CONSULENZA SU VIDEOSORVEGLIANZA E GEOLOCALIZZAZIONE

Realizzazione del Sistema di Gestione per la Sicurezza delle Informazioni


  1. Definizione del contesto dell’organizzazione in accordo con Gestione del rischio UNI ISO 31000 Principi e linee guida;
  2. Definizione dello scopo e del campo di applicazione per la certificazione ISO/IEC 27001;
  3. Valutazione e gestione dei rischi;
  4. Dichiarazione di Applicabilità (Statement of Applicability S.O.A.) come da appendice A della norma ISO/IEC 27001 che prevede 114 controlli;
  5. Politica di Sicurezza Informatica;
  6. Le lettere di nomina;
  7. Elenco apparecchiature HW e SW e relative licenze;
  8. Integrazione del Manuale Qualità con gli aspetti della ISO/IEC 27001;
  9. Integrazione delle Procedure Qualità con gli aspetti della 27001;
  10. Procedure di back up, ripristino dati, disaster recovery;
  11. Procedure di Business Continuity, gestione degli incidenti informatici con il supporto, per quanto di competenza, dell’Amministratore del Sistema.

Sistema di Gestione della Sicurezza delle Informazioni e lo standard ISO/IEC 27001


Lo standard ISO/IEC 27001 specifica formalmente un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), una serie di attività riguardanti la gestione dei rischi di informazione (chiamati “rischi di sicurezza delle informazioni” nella norma).

L’SGSI è un quadro di gestione generale attraverso il quale l’organizzazione identifica, analizza e affronta i suoi rischi informativi.

Il Sistema di Gestione della Sicurezza delle Informazioni garantisce che le disposizioni in materia di sicurezza siano messe a punto per tenere il passo con i cambiamenti normativi, alle minacce alla sicurezza, alle vulnerabilità e agli impatti aziendali, un aspetto molto importante in un campo così dinamico che rappresenta un vantaggio chiave dell’approccio flessibile basato sul rischio.

Lo standard ISO/IEC copre tutti i tipi di organizzazioni (imprese commerciali, agenzie governative, organizzazioni non profit…), di tutte le dimensioni (dalle PMI alle grandi multinazionali) e di tutti i settori (vendita al dettaglio, banche, difesa, sanità, istruzione e governo…).

ISO/IEC 27001 non contiene controlli specifici sulla sicurezza delle informazioni in quanto i controlli necessari variano notevolmente in tutta la vasta gamma di organizzazioni che adottano lo standard.

I controlli di sicurezza delle informazioni della ISO/IEC 27002 sono indicati nell’annex A della ISO/IEC 27001.

Le organizzazioni che adottano ISO/IEC 27001 sono libere di scegliere qualunque specifico controllo di sicurezza delle informazioni sia applicabile ai loro particolari rischi di informazione, attingendo a quelli elencati nel menù e potenzialmente possono integrarli con altre opzioni disponibili.

Come per ISO/IEC 27002, la chiave per selezionare i controlli applicabili è intraprendere una valutazione globale dei rischi informativi dell’organizzazione, che è una parte vitale dell’SGSI.

Inoltre, la direzione può scegliere di evitare, condividere o accettare i rischi relativi alle informazioni anziché mitigarli attraverso i controlli, una decisione di trattamento dei rischi nell’ambito del processo di gestione dei rischi.


ALPHA NETWORK opera con incontri di mezza giornata in azienda con il referente designato, con frequenza settimana / quindicinale; durante gli incontri raccogliamo informazioni su come l’azienda gestisce i vari processi ed attività, con quali risorse e con quali strumenti, scriviamo con il referente aziendale la documentazione necessaria all’implementazione del sistema, ovvero procedure, istruzioni eventuali, modelli e registrazioni oltre al manuale;
le attività di consulenza quindi sono anche momenti di formazione per il responsabile qualità e per il personale coinvolto; a conclusione delle attività di consulenza eseguiamo l’audit interno di “preparazione” alla verifica di certificazione e collaboriamo alla stesura del riesame della direzione.

Ad ogni incontro, se richiesto, sarà compilato un rapporto di consulenza descrittivo delle attività svolte ed eventualmente da svolgere per l’incontro successivo oltre ad un programma di massima dell’incontro successivo.