Consulenza ISO 27001: Gestione per la Sicurezza delle Informazioni

Cos’è la ISO 27001 e perché è importante?

La ISO 27001 è uno standard internazionale che fornisce un quadro per i sistemi di gestione della sicurezza delle informazioni (ISMS), garantendo la riservatezza, l’integrità e la disponibilità continua delle informazioni, oltre alla conformità legale. Ottenere la certificazione è cruciale per proteggere le risorse più vitali, come le informazioni sui dipendenti e sui clienti, l’immagine del marchio e altre informazioni private. Lo standard ISO prevede un approccio basato sui processi per avviare, implementare, far funzionare e mantenere il tuo ISMS.

Implementare la ISO 27001 è una soluzione ideale per garantire la conformità ai requisiti legali, come il GDPR, e alle richieste dei clienti, gestendo e valutando i rischi derivanti da potenziali minacce alla sicurezza, come la criminalità informatica, le violazioni dei dati personali, gli atti di terrorismo informatico, gli incendi o i danni, l’uso improprio e i furti.

Nel 2019, circa il 32% delle aziende ha riportato violazioni o attacchi alla sicurezza informatica negli ultimi 12 mesi. La ISO 27001 è strutturata per essere compatibile con altri standard di sistemi di gestione, come la ISO 9001, ed è neutrale rispetto alla tecnologia e al fornitore, il che significa che è completamente indipendente da qualsiasi piattaforma IT. Pertanto, tutti i membri dell’azienda dovrebbero essere formati su cosa significa lo standard e su come si applica in tutta l’organizzazione.

Ottenere la certificazione ISO 27001 accreditata dimostra che la tua azienda si impegna a seguire le migliori pratiche di sicurezza delle informazioni. Inoltre, la certificazione offre una valutazione esperta sulla protezione adeguata delle informazioni della tua organizzazione.

Se possiedi la certificazione ISO 27001:2013, avrai tempo fino al 31 ottobre 2025 per aggiornare il tuo SGSI e la tua certificazione alla ISO 27001:2022. Dopo ottobre 2025 tutti i certificati ISO 27001:2013 cesseranno di essere validi. Il tuo ente di certificazione dovrà condurre una valutazione di transizione entro questo periodo e rilasciarti un certificato aggiornato. La valutazione della transizione determinerà se hai aggiornato il tuo SGSI ai nuovi requisiti della ISO 27001:2022, comprese le modifiche ai controlli dell’Allegato A. Puoi completare la transizione al nuovo standard ISO 27001 in occasione di un audit di sorveglianza, di ricertificazione o autonomo. In genere, ciò richiederà un tempo di audit aggiuntivo.

I benefici della certificazione

Soddisfazione del cliente
Dare ai clienti la certezza che i loro dati personali/informazioni siano protetti e che la riservatezza sia sempre rispettata.

Business continuity
Evitare i tempi di inattività con la gestione del rischio, la conformità legale e la vigilanza sui problemi e preoccupazioni di sicurezza futuri.

Conformità legale
Comprendere come i requisiti legali e normativi influiscono sulla tua organizzazione e sui suoi clienti, riducendo al contempo il rischio di subire procedimenti giudiziari e sanzioni.

Migliore gestione dei rischi
Garantire che i registri dei clienti, le informazioni finanziarie e la proprietà intellettuale siano protetti da perdite, furti e danni.

Comprovate credenziali aziendali
La verifica indipendente secondo uno standard internazionalmente riconosciuto ti rende maggiormente credibile.

Capacità di aumentare il volume d’affari
Le specifiche di approvvigionamento spesso richiedono la certificazione come condizione per la fornitura.

Riconoscimento globale come fornitore affidabile
La certificazione è riconosciuta a livello internazionale e accettata attraverso le catene di approvvigionamento del settore, stabilendo parametri di riferimento del settore.

Inoltre, grazie alla certificazione, potrai:

  • Proteggere gli asset
  • Incrementare la fiducia dei clienti
  • Attuare o implementare strategie di sicurezza
  • IT Governance
  • Gestire eventuali incidenti
  • Ridurre i rischi
  • Ridurre i tempi di inattività
  • Minimizzare le perdite e prevenire
  • Mitigare le minacce
  • Ridurre i tempi di fermo
  • Proteggere da violazioni dei dati
  • Fare checklist delle conformità

Come ottenere la certificazione e qual è la sua validità?

Ottenere la certificazione ISO 27001, o qualsiasi altra norma ISO, può essere un processo impegnativo che richiede tempo e risorse. Ecco i passaggi generali per ottenere una certificazione ISO:

  1. Familiarizzarsi con la Norma: Il primo passo è capire esattamente cosa richiede la norma ISO che intendi seguire. Questo comporta la lettura e la comprensione della norma stessa, oltre ad acquisire formazione o consulenza se necessario
  2. Valutazione Iniziale: Effettua un’autovalutazione per capire dove si trova la tua organizzazione rispetto agli standard ISO. Questo può implicare una revisione dei processi aziendali esistenti, delle politiche e delle procedure.
  3. Pianificazione: In base alla valutazione iniziale, crea un piano per portare la tua organizzazione in linea con la norma ISO. Questo può includere la definizione di nuovi processi, l’aggiornamento di quelli esistenti e la formazione del personale.
  4. Implementazione: Esegui il piano. Questo è spesso il passaggio più lungo e può comportare numerose modifiche all’organizzazione. Durante questa fase, è fondamentale documentare ogni cambiamento apportato e fornire una formazione adeguata ai membri del team.
  5. Audit Interno: Dopo aver implementato le modifiche, si esegue un audit interno per verificare la conformità dell’organizzazione alla norma ISO. Questo audit dovrebbe essere condotto da una parte imparziale all’interno dell’organizzazione o da un consulente esterno.
  6. Azione Correttiva: Se l’audit interno rileva aree non conformi alla norma ISO, vengono adottate misure correttive. Questo può comportare ulteriori modifiche ai processi aziendali o una formazione aggiuntiva per il personale.
  7. Audit di Certificazione: Quando l’organizzazione è certa di rispettare la norma ISO, un ente di certificazione esterno esegue un audit ufficiale. Se l’audit ha esito positivo, l’ente rilascia la certificazione ISO.
  8. Mantenimento e Rinnovo: Una volta ottenuta la certificazione, l’organizzazione deve mantenerla e rinnovarla periodicamente. Questo comporta audit di sorveglianza aggiuntivi da parte dell’ente di certificazione.

La certificazione ha una durata di tre anni. Durante questo periodo, però, non rimane semplicemente statica. L’ente di certificazione effettuerà controlli regolari, noti come audit di sorveglianza, per assicurarsi che la tua organizzazione continui a rispettare gli standard della ISO 27001.

Al termine del triennio, se la tua organizzazione desidera mantenere la certificazione, sarà necessario sottoporsi a un nuovo audit di rinnovo o di ricertificazione, simile a quello iniziale. Se l’audit avrà esito positivo, la certificazione verrà rinnovata per altri tre anni.

5 vantaggi competitivi del Sistema di Gestione della Sicurezza delle Informazioni ISO/IEC 27001

Incrementare il volume di affari e mantenere i clienti attuali

Avere un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 non solo dimostra l’adozione delle migliori pratiche di sicurezza, migliorando i rapporti lavorativi e mantenendo i clienti attuali, ma offre anche un vantaggio competitivo significativo sul mercato.


Migliorare e proteggere la reputazione della azienda

Con l’aumento degli attacchi informatici, i danni finanziari e di immagine risultanti da una scarsa sicurezza delle informazioni possono essere devastanti. Implementare un Sistema di Gestione della Sicurezza delle Informazioni aiuta a proteggere l’azienda da tali minacce e dimostra l’adozione di misure adeguate per salvaguardare l’organizzazione.


Rendere più efficiente la struttura organizzativa

Quando un’azienda cresce rapidamente, il rischio sulla confusione dei ruoli e delle responsabilità di Quando un’azienda cresce rapidamente, il rischio di confusione sui ruoli e le responsabilità relative alla protezione dei dati aumenta. L’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni aiuta le organizzazioni a diventare più produttive, definendo chiaramente le responsabilità legate ai rischi informativi e ai vari ruoli. Avere un Sistema di Gestione della Sicurezza delle Informazioni conforme alla ISO/IEC 27001 elimina anche la necessità di frequenti audit da parte dei clienti, riducendo così il numero di giorni dedicati a queste attività.

Integrazione delle normative vigenti

Un Sistema di Gestione è ideato per assicurare l’adozione di controlli di sicurezza adeguati e proporzionati, in modo che contribuiscano a proteggere le informazioni conformemente al Regolamento Generale sulla Protezione dei Dati (GDPR), alla Direttiva NIS e ad altre normative sulla sicurezza delle informazioni.

Ridurre il rischio di sanzioni e perdite associate ai Data Breach

Un Data Breach può costare all’azienda colpita una media di quasi 4 milioni di dollari in termini di costi. Implementando un Sistema di Gestione, le organizzazioni possono ridurre significativamente le perdite potenzialmente devastanti causate da un Data Breach o, più in generale, da una violazione dei dati.

Principi Fondamentali della ISO 27001

Gestione del Rischio

La gestione del rischio è un elemento fondamentale della normativa. Il processo di gestione del rischio ha lo scopo di identificare, valutare e gestire i rischi per la sicurezza delle informazioni all’interno di un’organizzazione.

Ecco come si svolge la gestione del rischio secondo la norma ISO 27001:

  1. Identificazione del Rischio: Il primo passo consiste nell’individuare i potenziali rischi per la sicurezza delle informazioni, che possono includere minacce come virus o malware, accessi non autorizzati ai sistemi o la perdita di dati dovuta a guasti hardware.
  2. Valutazione del Rischio: Una volta identificati i rischi, è necessario valutarli considerando la loro probabilità di occorrenza e l’impatto che potrebbero avere sull’organizzazione. La combinazione di probabilità e impatto determina il livello di rischio.
  3. Trattamento del Rischio: Dopo la valutazione, l’organizzazione deve decidere come gestire ciascun rischio. Le opzioni includono accettare il rischio, se considerato basso, mitigarlo con controlli di sicurezza, trasferirlo (ad esempio tramite assicurazioni) o evitarlo completamente evitando attività rischiose.
  4. Implementazione dei Controlli: I controlli di sicurezza selezionati per mitigare i rischi devono essere implementati. Questi possono includere l’installazione di software antivirus, la formazione dei dipendenti sulla sicurezza delle informazioni, o l’aggiornamento delle politiche di accesso ai sistemi.
  5. Monitoraggio e Revisione: Infine, è necessario monitorare e rivedere regolarmente sia i rischi che l’efficacia dei controlli implementati. Se i rischi si modificano o i controlli risultano inefficaci, potrebbe essere necessario ripetere il processo di gestione del rischio.

La gestione del rischio è un processo continuo che fa parte del sistema di gestione della sicurezza delle informazioni (ISMS) richiesto dalla ISO 27001. Questo approccio permette alle organizzazioni di proteggere proattivamente le proprie informazioni contro le minacce potenziali.

Il Ruolo del Management nella Sicurezza delle Informazioni

Il ruolo del management è essenziale per una gestione efficace della sicurezza delle informazioni. Secondo la norma ISO 27001, il management riveste un ruolo centrale nell’assicurare che l’organizzazione implementi e mantenga un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) efficace. Ecco alcuni punti chiave riguardanti il ruolo del management:

  1. Politica sulla Sicurezza delle Informazioni: Il management è incaricato di definire, approvare e comunicare la politica sulla sicurezza delle informazioni all’interno dell’organizzazione.
  2. Definizione dell’ISMS: Il management deve assicurare che l’ISMS sia definito correttamente, includendo l’ambito, gli obiettivi, i rischi e le opportunità, i ruoli e le responsabilità, la valutazione del rischio e il trattamento del rischio.
  3. Assegnazione delle Risorse: Il management deve destinare le risorse necessarie per l’implementazione, il mantenimento e il miglioramento continuo dell’ISMS, che possono includere finanziamenti, personale, tecnologia e tempo.
  4. Formazione e Sensibilizzazione: È compito del management promuovere la formazione e la sensibilizzazione del personale riguardo alla sicurezza delle informazioni.
  5. Monitoraggio e Revisione: Il management è responsabile del monitoraggio, della misurazione, dell’analisi e della valutazione dell’efficacia dell’ISMS, incluso l’esecuzione di audit interni e la revisione periodica del sistema.
  6. Miglioramento Continuo: Il management deve assicurare il miglioramento continuo dell’ISMS in risposta ai cambiamenti nei rischi di sicurezza delle informazioni e alle opportunità di miglioramento identificate.

Il ruolo del management è quindi fondamentale per la sicurezza delle informazioni. Il loro impegno e sostegno sono cruciali per assicurare l’efficacia dell’ISMS e per mantenere la sicurezza delle informazioni come una priorità all’interno dell’organizzazione.

Consulenza ISO 27001

Introduzione alla Consulenza sulla Sicurezza delle Informazioni

Nell’era digitale odierna, la sicurezza delle informazioni è diventata una questione critica per tutte le organizzazioni, indipendentemente dalla loro dimensione o settore. Implementare e gestire efficacemente un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) secondo la norma ISO 27001 può essere un compito complesso e impegnativo. È qui che entra in gioco il consulente per la sicurezza delle informazioni.

Perché avere un consulente sulla sicurezza delle informazioni?

Un consulente per la sicurezza delle informazioni è un professionista esperto che offre consigli e supporto alle organizzazioni per proteggere le loro informazioni. Ecco perché potrebbe essere necessario avvalersi di un consulente:

  • Competenza tecnica: Un consulente possiede le competenze e l’esperienza necessarie per comprendere e affrontare le sfide tecniche legate alla sicurezza delle informazioni.
  • Conoscenza delle normative: Un consulente è aggiornato sulle ultime normative e standard in materia di sicurezza delle informazioni, tra cui la ISO 27001.
  • Risorse: Molte organizzazioni non dispongono delle risorse interne sufficienti per gestire efficacemente la sicurezza delle informazioni. Un consulente può fornire il supporto necessario senza la necessità di assumere personale a tempo pieno.
  • Visione oggettiva: Un consulente esterno può offrire una prospettiva imparziale e una valutazione onesta della sicurezza delle informazioni di un’organizzazione.

Come un consulente può aiutare?

Un consulente per la sicurezza delle informazioni può offrire una serie di servizi per aiutare un’organizzazione a proteggere le proprie informazioni:

  • Valutazione della sicurezza delle informazioni: Un consulente può condurre un’analisi approfondita dei rischi legati alla sicurezza delle informazioni dell’organizzazione e individuare le aree che necessitano di miglioramenti.
  • Implementazione dell’ISMS: Un consulente può accompagnare l’organizzazione nel processo di implementazione di un ISMS conforme alla norma ISO 27001.
  • Formazione del personale: Un consulente può fornire formazione specifica al personale sulle tematiche della sicurezza delle informazioni, aumentando la consapevolezza e riducendo il rischio di violazioni.
  • Preparazione per l’audit: Un consulente può preparare l’organizzazione per l’audit di certificazione ISO 27001, migliorando le possibilità di successo.
  • Supporto continuo: Anche dopo l’implementazione dell’ISMS, un consulente può offrire supporto continuo per il monitoraggio, la revisione e il miglioramento del sistema.

In conclusione, un consulente per la sicurezza delle informazioni può fornire un supporto prezioso alle organizzazioni che desiderano proteggere le proprie informazioni in un mondo sempre più digitale e connesso. 

Passaggi per l’Implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS) 

L’implementazione di un ISMS secondo la norma ISO 27001 segue un processo strutturato:

  1. Definizione della Politica sulla Sicurezza delle Informazioni: La politica deve riflettere gli obiettivi dell’organizzazione in materia di sicurezza delle informazioni e fornire un quadro per la definizione degli obiettivi di sicurezza.
  2. Definizione dell’Ambito dell’ISMS: Occorre stabilire le aree dell’organizzazione, le funzioni, le informazioni, i processi e le posizioni geografiche che saranno coperte dall’ISMS.
  3. Valutazione del Rischio: Questa fase comporta l’identificazione, l’analisi e la valutazione dei rischi relativi alla sicurezza delle informazioni.
  4. Trattamento del Rischio: In questa fase, l’organizzazione decide come affrontare i rischi individuati, ad esempio evitando, trasferendo, accettando o mitigando tali rischi.
  5. Implementazione dei Controlli di Sicurezza: I controlli di sicurezza selezionati per mitigare i rischi devono essere implementati.
  6. Formazione e Sensibilizzazione: È essenziale formare il personale e aumentare la consapevolezza riguardo ai requisiti di sicurezza delle informazioni.
  7. Monitoraggio e Revisione L’ISMS deve essere monitorato, misurato, analizzato e valutato periodicamente per assicurarne l’efficacia e il miglioramento continuo.
  8. Audit Interno e Revisione da Parte della Direzione: Devono essere effettuati audit interni regolari, seguiti da revisioni della direzione per garantire che l’ISMS sia efficace e per identificare eventuali opportunità di miglioramento.
  9. Certificazione ISO 27001: L’organizzazione può decidere di ottenere la certificazione da un ente accreditato.

Ruolo del Management

Il management riveste un ruolo cruciale durante tutto il processo di implementazione dell’ISMS. È responsabile di dimostrare il proprio impegno verso la sicurezza delle informazioni, assegnare le risorse necessarie, definire la politica di sicurezza delle informazioni, promuovere la formazione e la sensibilizzazione, effettuare revisioni regolari dell’ISMS e sostenere il miglioramento continuo.

Ruolo del Consulente

Un consulente può offrire un supporto essenziale nell’implementazione dell’ISMS. Può fornire consulenze esperte, aiutare nell’identificazione e valutazione dei rischi, supportare l’implementazione dei controlli di sicurezza, offrire formazione, preparare l’organizzazione per l’audit di certificazione e assistere nel monitoraggio, nella revisione e nel miglioramento dell’ISMS. 

Il nostro approccio

1° step – Messa a punto di un piano 

Il successo del sistema è maggiormente garantito se si elabora un piano significativo e realistico, misurando le prestazioni in base a esso e adattandolo prontamente a situazioni impreviste.

2° step – Comprensione della norma e dei propri stakeholder 

Avere una chiara comprensione delle ragioni dell’implementazione dello standard e di chi può influenzare o essere influenzato dal vostro ISMS vi aiuterà a progettare meglio il sistema di gestione.

3° step – Processi di gestione 

Per l’efficace attuazione del vostro ISMS, i seguenti processi e la relativa comprensione da parte del Top Management sono fondamentali:

  • Conoscere bene il proprio mercato, gli stakeholder, i rischi, gli obiettivi e le strategie vi aiuterà a definire meglio il contesto e a guidare l’ISMS, promuovendo un’etica di miglioramento continuo.
  • Assegnare risorse adeguate (umane, tecnologiche, temporali e finanziarie) per lo sviluppo, l’attuazione e il controllo del vostro ISMS.
  • Gli audit interni verificano che il sistema di gestione funzioni come previsto, identificando non solo le eventuali non conformità, ma anche le opportunità di miglioramento.
  • Il riesame della direzione offre al Top Management l’opportunità di valutare l’efficacia del sistema di gestione e il suo supporto al business.
  • Assicurarsi di avere personale adeguatamente formato e competente all’interno dell’organizzazione.

4° step – Definizione del campo di applicazione 

È essenziale definire accuratamente il campo di applicazione del vostro ISMS, identificando i confini logici e fisici del sistema di gestione della sicurezza delle informazioni e le relative responsabilità.

5° step – Politica ISMS 

Definite la vostra politica ISMS in termini di caratteristiche del business, organizzazione, ubicazione, asset e tecnologia.

6° step – Valutazione e gestione dei rischi 

La valutazione dei rischi è la base su cui si costruisce l’ISMS. Il processo deve considerare minacce, vulnerabilità e opportunità relative alle attività, determinare il livello di rischio e identificare i controlli per gestire tali rischi.

7° step – Trattamento del rischio 

I livelli di rischio identificati vengono confrontati con il livello di rischio accettabile stabilito dalle politiche di sicurezza dell’organizzazione. Una volta determinati i livelli di rischio, si implementano i controlli per la loro mitigazione.

8° step – Gap analysis 

Un nostro valutatore condurrà una gap analysis per concentrarsi sulle aree critiche del sistema, identificare punti di debolezza e assicurare che il sistema sia certificabile, valorizzando i sistemi di gestione o le procedure esistenti.

9° step – Certificazione 

La certificazione consiste in una valutazione esterna del sistema di gestione della sicurezza delle informazioni per verificarne la conformità ai requisiti della norma ISO 27001. Il processo si articola in due fasi:

  • un’analisi del sistema;
  • una valutazione iniziale, la cui durata dipende dalla dimensione e dalla natura dell’organizzazione.

La famiglia di norme della serie ISO/IEC 27000 – SGSI

Norme che descrivono una panoramica e la terminologia

ISO/IEC 27000 Sistemi di gestione della sicurezza delle informazioni – Panoramica e vocabolario.

Norme che specificano i requisiti

ISO/IEC 27001, Sistemi di gestione per la sicurezza delle informazioni – Requisiti;
ISO/IEC 27006, Requisiti per gli organismi che forniscono audit e certificazione dei Sistemi di Gestione della Sicurezza delle Informazioni;
ISO/IEC 27009, Applicazione specifica per settore di ISO / IEC 27001 – Requisiti.

Norme che descrivono le linee guida generali

ISO/IEC 27002, Codice di condotta per i controlli di sicurezza delle informazioni;
ISO/IEC 27003, Guida all’implementazione dei SGSI;
ISO/IEC 27004, Gestione della sicurezza delle informazioni – Misurazione;
ISO/IEC 27005, Gestione dei rischi per la sicurezza delle informazioni;
ISO/IEC 27007, Linee guida per la verifica dei SGSI;
ISO/IEC TR 27008, Linee guida per i revisori dei controlli di sicurezza delle informazioni;
ISO/IEC 27013, Guida per l’implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1;
ISO/IEC 27014, Governance della sicurezza delle informazioni;
ISO/IEC TR 27016, Gestione della sicurezza delle informazioni – Economia organizzativa.

Norme che descrivono le linee guida negli specifici ambiti/settori

ISO/IEC 27010, Gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e inter-organizzative;
ISO/IEC 27011, Linee guida sulla gestione della sicurezza delle informazioni per le organizzazioni di telecomunicazioni basate su ISO/IEC 27002;
ISO/IEC TR 27015, Linee guida per la gestione della sicurezza delle informazioni per i servizi finanziari;
ISO/IEC 27017, Codice di condotta per i controlli di sicurezza delle informazioni basati su ISO/IEC 27002 per i servizi in cloud;
ISO/IEC 27018, Codice di condotta per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII;
ISO/IEC 27019, Linee guida per la gestione della sicurezza delle informazioni basate su ISO/IEC 27002 per i sistemi di controllo del processo, specifici per il settore dei servizi energetici.

Altre Norme della famiglia ISO/IEC 27000

 ISO/IEC 27031 – Linee guida per la disponibilità delle tecnologie dell’informazione e della comunicazione per la continuità aziendale
ISO/IEC 27032 – Linea guida per la sicurezza informatica
ISO/IEC 27033-1 – Sicurezza della rete – Parte 1: Panoramica e concetti
ISO/IEC 27033-2 – Sicurezza di rete – Parte 2: Linee guida per la progettazione e l’implementazione della sicurezza di rete
ISO/IEC 27033-3 – Sicurezza di rete – Parte 3: Scenari di rete di riferimento – Minacce, tecniche di progettazione e problemi di controllo
ISO/IEC 27033-4 – Sicurezza di rete – Parte 4: Protezione delle comunicazioni tra reti tramite gateway di sicurezza
ISO/IEC 27033-5 – Sicurezza di rete – Parte 5: Protezione delle comunicazioni su reti che utilizzano reti private virtuali (VPN)
ISO/IEC 27033-6 – Sicurezza di rete – Parte 6: Protezione dell’accesso alla rete IP wireless
ISO/IEC 27034-1 – Sicurezza delle applicazioni – Parte 1: Linee guida per la sicurezza delle applicazioni
ISO/IEC 27034-2 – Sicurezza delle applicazioni – Parte 2: Quadro normativo dell’organizzazione
ISO/IEC 27034-3 – Sicurezza delle applicazioni – Parte 3: Processo di gestione della sicurezza delle applicazioni
ISO/IEC 27034-4 – Sicurezza delle applicazioni – Parte 4: Convalida e verifica
ISO/IEC 27034-5 – Sicurezza delle applicazioni – Parte 5: Protocolli e controlli di sicurezza delle applicazioni Struttura dei dati
ISO/IEC 27034-6 – Sicurezza delle applicazioni – Parte 6: Casi di studio
ISO/IEC 27035-1 – Gestione degli incidenti di sicurezza delle informazioni – Parte 1: Principi della gestione degli incidenti
ISO/IEC 27035-2 – Gestione degli incidenti per la sicurezza delle informazioni – Parte 2: Linee guida per pianificare e preparare la risposta agli incidenti
ISO/IEC 27035-3 – Gestione degli incidenti per la sicurezza delle informazioni – Parte 3: Linee guida per le operazioni di risposta agli incidenti ICT
ISO/IEC 27035-4 – Gestione degli incidenti per la sicurezza delle informazioni – Parte 4: Coordinamento
ISO/IEC 27036-1 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 1: Panoramica e concetti
ISO/IEC 27036-2 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 2: Requisiti
ISO/IEC 27036-3 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 3: Linee guida per la sicurezza della catena di approvvigionamento delle tecnologie dell’informazione e della comunicazione
ISO/IEC 27036-4 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 4: Linee guida per la sicurezza dei servizi cloud
ISO/IEC 27037 – Linee guida per l’identificazione, la raccolta, l’acquisizione e la conservazione delle prove digitali
ISO/IEC 27038 – Specifiche per la redazione del documento digitale
ISO/IEC 27039 – Selezione, diffusione e funzionamento dei sistemi di rilevamento e prevenzione delle intrusioni (IDPS)
ISO/IEC 27040 – Sicurezza dello storage
ISO/IEC 27041 – Orientamenti per garantire l’idoneità e l’adeguatezza del metodo investigativo sugli incidenti
ISO/IEC 27042 – Linee guida per l’analisi e l’interpretazione delle evidenze digitali
ISO/IEC 27043 – Principi e processi di indagine sugli incidenti
ISO/IEC 27050-1 – Scoperta elettronica – Parte 1: Panoramica e concetti
ISO/IEC 27050-2 – Scoperta elettronica – Parte 2: Orientamenti per la governance e la gestione della scoperta elettronica
ISO/IEC 27050-3 – Scoperta elettronica – Parte 3: Codice di condotta per la scoperta elettronica
ISO/IEC 27050-4 – Scoperta elettronica – Parte 4: Preparazione tecnica
ISO/IEC 27701 – Tecniche di sicurezza – Extension to ISO/IEC 27001 and ISO/IEC 27002 per la gestione delle informazioni sulla privacy – Requisiti e Linee guida
ISO 27799 – Gestione della sicurezza delle informazioni in materia di salute utilizzando ISO/IEC 27002 – guida le organizzazioni del settore sanitario su come proteggere le informazioni sulla salute personale utilizzando ISO/IEC 27002

FAQ

La ISO 27001 è uno standard internazionale che fornisce un framework per l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L’ISMS è un insieme di politiche, procedure e controlli progettati per gestire i rischi per la sicurezza delle informazioni in un’organizzazione, consentendo un approccio sicuro alla gestione delle informazioni.

La ISO 27001 copre tutti gli aspetti legati alla sicurezza delle informazioni in un’organizzazione. Questo include le politiche di sicurezza delle informazioni, la gestione degli asset, il controllo dell’accesso, la sicurezza fisica e ambientale, la gestione delle comunicazioni e delle operazioni, l’acquisizione, lo sviluppo e la manutenzione dei sistemi di informazione, la gestione degli incidenti di sicurezza delle informazioni, la gestione della continuità del business e la conformità.

Qualsiasi organizzazione, indipendentemente dalle dimensioni o dal settore, può utilizzare la ISO 27001. Lo standard è progettato per essere flessibile e può essere adattato a qualsiasi tipo di organizzazione che desideri migliorare la sua gestione della sicurezza delle informazioni.

Il processo di certificazione ISO 27001 include la preparazione (sviluppo o miglioramento dell’ISMS), l’audit di certificazione (realizzato da un ente di certificazione indipendente), la correzione di eventuali non conformità identificate durante l’audit, e la certificazione (se l’audit è stato superato con successo). La certificazione è seguita da audit di sorveglianza periodici.

Il tempo necessario per ottenere la certificazione ISO 27001 può variare a seconda della dimensione e della complessità dell’organizzazione, ma in generale, può richiedere da sei mesi a un anno o più.

La durata della certificazione ISO 27001 è di tre anni. Durante questo periodo, però, la certificazione non è semplicemente statica. L’ente di certificazione effettuerà controlli regolari, noti come audit di sorveglianza, p Al termine del triennio, se la tua organizzazione desidera mantenere la certificazione ISO 27001, dovrai sottoporsi a un altro audit di rinnovo, o audit di ricertificazione, che è simile all’audit di certificazione iniziale. Se l’audit di ricertificazione va a buon fine, la certificazione ISO 27001 viene rinnovata per un altro triennio.er assicurarsi che la tua organizzazione rispetti continuamente gli standard della ISO 27001.

No, la certificazione ISO 27001 non è obbligatoria. Tuttavia, può essere fortemente raccomandata o richiesta per alcune organizzazioni, in particolare quelle che gestiscono informazioni sensibili o che lavorano con determinati clienti o settori.

Il costo per ottenere la certificazione ISO 27001 può variare notevolmente a seconda di vari fattori, tra cui:

  • Dimensione e complessità dell’organizzazione
  • Stato attuale della sicurezza delle informazioni
  • Assistenza esterna
  • Formazione

Se desideri avere maggiori informazioni, compila

il form con i tuoi dati e la tua richiesta, ti ricontatteremo al più presto!