Lo standard ISO 27001 e come certificarsi

Cosa sono le norme ISO?

Le norme ISO stabiliscono delle specifiche su prodotti, servizi e buone pratiche allo scopo di accrescere l’efficacia di tutti i settori dell’economia.

Sono elaborate in un quadro di consenso e condivisione a livello globale ed aiutano ad abbattere gli ostacoli al commercio internazionale.

Lo standard ISO 27001 è una norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI, dall’’inglese Information Security Management System)

Come ottenerle

Un’azienda può dimostrate che le proprie attività rispecchiano i requisiti minimi di una norma ISO ottenendo una certificazione da un organismo di certificazione accreditato (ad esempio l’ITBQ rilasciato da IT Governance).

La certificazione è il processo che verifica la conformità di un sistema organizzativo ai criteri riportati nelle norme ISO ed attesta, attraverso il rilascio di un certificato, che un processo o un servizio è conforme ad una specifica norma; in tal modo il cliente finale può aver piena fiducia che i servizi e i prodotti immessi sul mercato corrispondano a determinate specifiche oppure che le attività vengono svolte con criteri e metodologie appropriate.

Perché proteggere le informazioni?

Mettere al sicuro le proprie informazioni previene diversi tipi di rischi e soprattutto contribuisce a mantenere la continuità operativa.

I sistemi di accesso alle informazioni che utilizzano le reti informatiche su larga scala sono sottoposte a vari tipi di aggressioni volte a perseguire fini illeciti rendendo potenzialmente più vulnerabili le aziende. Infatti, una violazione di dati può distruggere l’immagine aziendale, ridurre il valore del business e compromettere futuri introiti.

Analisi e gestione del rischio

L’elemento centrale dello standard 27001 è l’Analisi e Gestione del Rischio. Per rischio si intende la possibilità che una minaccia sfrutti una vulnerabilità di un sistema per causare predita o danno alle informazioni. L’analisi del rischio è pertanto fondamentale per acquisire conoscenza delle minacce e delle vulnerabilità che incombono sull’azienda e per poter dirigere sforzi e risorse a difesa delle aree più a rischio. Pertanto, ad intervalli pianificati o in caso di cambiamenti significativi, l’azienda deve effettuare l’analisi e la valutazione del rischio e gestire quelli identificati.

La nostra guida tascabile ISO 27001:2013 fornisce un’utile panoramica sugli argomenti appena trattati:

  • La certificazione ISO27001:2013
  • La creazione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI)
  • Le procedure consigliate (ISO27002:2013) per aumentare i livelli di sicurezza e controlli interni

 

I nove passi per il successo: Compendio per l’attuazione della norma ISO 27001:2013:

Una guida essenziale per ottenere la certificazione ISO 27001.

  • Specifica i passaggi chiave di un progetto ISO 27001 dall’inizio fino alla certificazione.
  • Spiega ogni elemento del progetto ISO 27001 in un linguaggio semplice e non tecnico.

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

This site uses Akismet to reduce spam. Learn how your comment data is processed.