Come implementare un ISMS conforme ISO 27001

Con gli attacchi informatici e le violazioni di dati in aumento, la sicurezza informatica sta rapidamente diventando la principale priorità delle organizzazioni. Molte hanno scelto di mitigare il rischio implementando un sistema di gestione della sicurezza delle informazioni (ISMS).

Un ISMS, conosciuto anche come SGSI in italiano, è un sistema di processi, documenti, tecnologia e persone che aiuta le organizzazioni a gestire, monitorare e migliorare la sicurezza delle informazioni in un unico posto.

ISO 27001 è lo standard internazionale che descrive le best practice per un ISMS.

Vantaggi e benefici

Un ISMS conforme allo standard ISO 27001 può apportare benefici all’organizzazione in diversi modi. Migliora la struttura e l’attenzione dell’organizzazione, esplicitando in modo chiaro chi è responsabile dei vari rischi per la sicurezza delle informazioni. Inoltre protegge e migliora la reputazione dell’organizzazione, dimostrando ai clienti che si sta prendendo la sicurezza delle informazioni sul serio e che si stanno attuando mezzi e misure per proteggere i dati.

Come implementare un ISMS

Ecco i nove passaggi da seguire per implementare un ISMS:

  1. Creare il mandato del progetto
    Il progetto di implementazione dovrebbe iniziare con la nomina di un capo progetto, che lavorerà con gli altri membri del team per creare un piano iniziale.

  2. Avviare il progetto
    Le organizzazioni dovrebbero utilizzare il mandato del progetto per creare una struttura più definita che includa dettagli specifici sugli obiettivi di sicurezza delle informazioni e del team di progetto, il piano ed il registro dei rischi.

  3. Avviare un ISMS
    ISO 27001 riconosce che un “approccio di processo” a miglioramento continuo è il modello più efficace per la gestione della sicurezza delle informazioni. Tuttavia, non specifica una particolare metodologia, consentendo alle organizzazioni di utilizzare qualsiasi metodo esse scelgano, o di continuare con un metodo già collaudato ed in atto.

  4. Creare una struttura di gestione
    Si incomincia con l’identificazione dell’ambito del sistema, che dipende dal contesto. L’ambito deve tenere conto degli uffici, dei dispositivi mobili dei dipendenti e di coloro che lavorano da casa.

  5. Identificare i criteri di sicurezza di base
    Questi sono i requisiti e le misure o i controlli corrispondenti necessari per condurre il business.

  6. Creare un processo di gestione dei rischi
    ISO 27001 consente alle organizzazioni di definere a grandi linee i processi di gestione del rischio. I metodi comuni si concentrano sull’analisi dei rischi per attività o rischi specifici appartenenti a scenari specifici. Ci sono pro e contro per ciascuno di essi, ed alcune organizzazioni si troveranno meglio con uno rispetto che un altro.

  7. Implementare il processo
    Questo è il processo di creazione dei controlli di sicurezza che proteggeranno le risorse informative dell’organizzazione. Per garantire l’efficacia di questi controlli, è necessario verificare che il personale sia in grado di operare o interagire con i controlli e che sia a conoscenza degli obblighi di sicurezza della informazioni.

  8. Misurare, monitorare e riesaminare i risultati
    Affinchè un ISMS sia utile, deve soddisfare gli obiettivi di sicurezza delle informazioni. Le organizzazioni devono misurare, monitorare e verificare le prestazioni del sistema. Ciò comporta l’identificazione di metriche o altri metodi di misurazione dell’efficacia e dell’attuazione dei controlli.

  9. Ottenere la certificazione
    Una volta che l’ISMS è funzionante, le organizzazioni dovrebbero richiederne la certificazione da un ente di certificazione accreditato. La certificazione dimostra che l’ISMS soddisfa i requisiti ISO 27001 e consente alle organizzazioni di godere dei benefici e vantaggi.

Per maggiori dettagli relativi a ciascun punto, scarica il libro verde Implementare un ISMS: Approccio in nove fasi. È gratis! Scarica »

Diventa un esperto di ISMS

Acquisire le competenze necessarie per implementare un ISMS è il primo passo da compiere, e quale metodo migliore che partecipare al nostro ISO 27001 Certified ISMS Foundation Online Training Course?

Questo corso, della durata di un giorno, è il punto di partenza ideale per tutti i futuri project manager e auditor ISO 27001 o per chiunque desideri intraprendere una carriera nella gestione della sicurezza delle informazioni. Sviluppato dal team che ha guidato il primo progetto di certificazione ISO 27001 al mondo, il corso fornisce un’introduzione completa allo Standard e una panoramica delle principali attività di implementazione, tra cui:

  • Una panoramica della norma ISO 27001 e della sua applicazione;
  • La descrizione dei vantaggi della certificazione ISMS in modo dettagliato;
  • Gli elementi chiave della pianificazione del progetto di implementazione di un ISMS;
  • Gli elementi principali dell’ISMS;
  • I passaggi fondamentali della valutazione del rischio secondo ISO 27001; e
  • Una panoramica dei controlli dell’Annex A dello Standard.

IT Governance ha aiutato più di 7000 professionisti in tutto il mondo a conoscere la norma ISO 27001. Il corso di formazione è disponibile, in inglese, nel formato online dal vivo, che consente di studiare e partecipare da qualunque luogo, ufficio o casa che sia. Il corso è disponibile anche in modalità a distanza.

Prossima data disponibile: 16 ottobre 2018 (dalle ore 09.00 alle ore 17.00 CET)

Se prenoti entro la fine di agosto, riceverai in omaggio lo strumento di analisi del gap per ISO 27001:2013 ISMS e ISO 27002:2013 ISMS.

Prenota subito »

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.