Lo standard ISO/IEC 27001:2013 è lo standard internazionale che descrive le best practice per l’implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS, anche conosciuto come SGSI in Italia), ossia un insieme di policy, procedure, processi, misure fisiche e tecniche che aiuta a gestire, monitorare e migliorare la sicurezza delle informazioni.
Si può tranquillamente implementare un ISMS conforme ISO 27001 senza richiederne la sua certificazione; tuttavia, la certificazione accreditata ISO 27001 permette di dimostrare al mondo intero (clienti, fornitori, e azionisti compresi) che l’azienda sta seguendo e mettendo in pratica le best practice internazionali di sicurezza.
Come ottenere la certificazione accreditata ISO 27001
Prima di tutto, si deve implementare un sistema di gestione della sicurezza delle informazioni (ISMS) conforme allo standard ISO 27001.
Ecco le fasi che caratterizzano il progetto di implementazione di un ISMS:
- Identificare l’ambito del progetto
- Ottenere il supporto della dirigenza e allocare il budget necessario
- Identificare le parti da coinvolgere nel progetto e i requisiti legali, normativi e contrattuali da tenere in considerazione
- Effettuare una valutazione del rischio
- Rivedere ed implementare i controlli richiesti
- Sviluppare le competenze interne
- Sviluppare la documentazione richiesta per il sistema di gestione
- Condurre corsi di formazione del personale
- Misurare, monitorare, rivedere ed eseguire audit sul sistema di gestione implementato
Clicca qui per vedere ogni singola fase in dettaglio >>
Una volta implementato il sistema di gestione, si può passare ad un’ulteriore fase, ossia richiedere la certificazione accreditata ISO 27001.
Richiedere la certificazione accreditata ISO 27001
Arrivato a questo punto, devi cercare un organismo di certificazione accreditato dall’ente di accreditamento nazionale (Accredia, per l’Italia), a sua volta membro dell’International Accreditation Forum (IFA).
Accredia, è l’ente unico nazionale di accreditamento, e sul sito web, puoi facilmente identificare se l’organismo di certificazione da te scelto è accreditato ufficialmente o no, ossia se è in grado di emettere certificazioni valide e riconosciute internazionalmente.
Il processo di certificazione
L’organismo di certificazione rivedrà l’intera documentazione relativa all’ISMS e verificherà che i controlli elencati nell’Allegato A dello Standard siano effettivamente ed efficacemente implementati. In seguito, verranno eseguiti audit per verificare le procedure nella pratica. Se l’organismo è soddisfatto dell’implementazione, allora emetterà la certificazione.
Quanto costa la certificazione ISO 27001?
La spesa effettiva dipende dall’organismo di certificazione scelto e dal rischio associato al sistema di gestione della sicurezza delle informazioni implementato. Per maggiori informazioni, clicca qui.
Applica lo standard ISO 27001 con successo
È ora di dare il via al progetto di implementazione ISO 27001! Se non hai molta esperienza o vuoi migliorare le tue conoscenze, ecco come possiamo aiutarti: