La norma ISO/IEC 27001 è lo standard più noto al mondo per i sistemi di gestione della sicurezza delle informazioni.
Lo standard ISO/IEC 27001 fornisce alle aziende di qualsiasi dimensione e di ogni settore di attività, pubblico o privato, una guida per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni.
Per essere conforme, un'organizzazione deve mettere in atto un sistema per la gestione dei rischi correlati alla sicurezza dei dati posseduti o gestiti e tale sistema deve rispettare tutte le migliori pratiche e i principi sanciti da questa norma internazionale.
Con l'aumento della criminalità informatica e l'emergere di nuove minacce, può sembrare difficile o addirittura impossibile gestire i rischi informatici. La norma aiuta le organizzazioni a diventare consapevoli dei rischi e a identificare e affrontare in modo proattivo i propri punti deboli.
ISO/IEC 27001 promuove un approccio olistico alla sicurezza delle informazioni attraverso la verifica di persone, policy e tecnologia. Un sistema di gestione della sicurezza delle informazioni implementato secondo questo standard è uno strumento per la gestione del rischio, la cyber-resilienza e l'eccellenza operativa.
Scopo dello standard è quello di proteggere i dati e le informazioni da una vasta gamma di minacce (accesso non autorizzato, distruzione e furto dati, interruzione di servizio, virus informatici) al fine di assicurare la continuità dell’attività aziendale. Avere un corretto sistema di gestione della sicurezza delle informazioni significa dotarsi di tutte le misure di sicurezza, assicurando i dati in termini di riservatezza, integrità e disponibilità.
VANTAGGI
• Ottimizzare le procedure operative in ottica di una maggior sicurezza;
• Diminuire gli incidenti informatici;
• Accrescere la compliance aziendale, soprattutto lato Regolamento Europeo Privacy;
• Evitare sanzioni per incidenti che portano a perdite di dati;
• Offrire maggiori garanzie di sicurezza a clienti e fornitori;
• Accrescere la reputazione aziendale nella supply chain;
• Partecipare a gare/bandi che richiedo la certificazione ISO 27001
• Ottenere una valutazione annuale oggettiva della sicurezza da parte di una realtà esterna;
• Ridurre gli audit di controllo dei fornitori grazie al certificato ISO 27001.
AZIONI RICHIESTE
• Definizione/adattamento delle tecniche e delle modalità per effettuare l’asset inventory;
• Impostazione delle regole per la definizione dell’owner degli assets;
• Individuazione dei requisiti di sicurezza per garantire una adeguata copertura dei rischi;
• Identificazione delle minacce e delle vulnerabilità che possono occorrere agli assets aziendali;
• Verifica dell'attuale modalità di valutazione dei rischi ed allineamento ai requisiti ISO 27001;
• Verifica delle modalità di gestione del grado di rischio. Impostazione del piano di trattamento dei rischi con definizione delle attività, responsabilità, tempistiche ed indicatori di performance.
Come B SIDE ITALIA siamo in grado di fornire alle aziende la consulenza tecnico / normativa necessaria per le seguenti fasi:
- Raccolta degli elementi conoscitivi e diagnosi (Check Up ed analisi preventiva);
- Individuazione dei vari ambiti di applicazione aziendali;
- Individuazione delle attuali modalità operative;
- Verifica del rispetto alle prescrizioni legislative/regolamenti;
- Definizione di politiche, organigrammi, mansionari;
- Valutazione dei rischi per la sicurezza delle informazioni;
- Individuazione e applicazione di misure tecniche, logiche e organizzative per la mitigazione del rischio;
- Approntamento di istruzioni per la mitigazione dei rischi non gestibili con misure fisiche e/o tecniche;
- Sottoscrizione accordi di riservatezza con personale chiave, sia interno che esterno;
- Formazione al personale, in particolare sulle norme comportamentali;
- Eventuale integrazione con Sistemi di Gestione già presenti (Qualità, Sicurezza, Ambiente, etc.);
- Verifica dello stato di applicazione del sistema a processi/attività aziendali mediante audit e riesami;
- Presenza durante l’audit di certificazione;
- Assistenza post certificazione per la risoluzione di eventuali non conformità rilevate.
