Man and a woman with a laptop in a server room

Certificazione ISO 27001

La vostra richiesta


Sicurezza delle informazioni

Il tema della "sicurezza delle informazioni" sta diventando sempre più rilevante per le aziende coinvolte nella trasformazione digitale. Senza sufficienti precauzioni di sicurezza, c'è il rischio di perdita e di furto di dati da parte di hacker, di interruzioni delle attività a causa di attacchi via web, o di uso improprio dei dati.

Una soluzione per un approccio organizzato è rappresentata da un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS - Information Security Management System) secondo la norma ISO 27001.

Sicurezza dei dati e delle informazioni dimostrabile

Sicurezza delle informazioni come parte della cultura aziendale

Implementazione efficace di un processo di gestione del rischio

Miglioramento continuo del livello di sicurezza

Business10.png

Cos'è la ISO 27001?

La ISO/IEC 27001 è la norma internazionale leader per l'implementazione di un completo Sistema di Gestione per la Sicurezza delle Informazioni. Si concentra sull'identificazione, la valutazione e la gestione dei rischi per i processi di trattamento delle informazioni. La sicurezza delle informazioni sensibili è enfatizzata come importante elemento strategico.

Le informazioni ci circondano ovunque e fanno parte di ogni processo. A volte possono essere irrilevanti, ma molto spesso si rivelano critiche e sensibili. Per poter effettuare questa importante distinzione per la vostra azienda, occorre classificare le informazioni. Le misure di protezione di un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS) secondo la norma ISO/IEC 27001 si basano infatti su questa classificazione.

Un ISMS crea le condizioni per proteggere i dati aziendali e la loro riservatezza. Allo stesso tempo, la norma riconosciuta a livello mondiale garantisce la conformità dei sistemi IT coinvolti nei processi aziendali. In questo contesto, la certificazione ISO 27001 invia un segnale forte al mercato: ovvero, la valutazione esterna indipendente e la conferma dell'efficacia del vostro ISMS.

La seconda edizione della norma ISO/IEC 27001 risale al 2013. Ora, lo standard riconosciuto a livello internazionale per gli ISMS è stato aggiornato e ripubblicato nella sua terza edizione come ISO/IEC 27001:2022 il 25 ottobre 2022. La revisione è una conseguenza inevitabile dopo che la ISO/IEC 27002, la guida di implementazione che regola l'Allegato A della ISO 27001, è stata completamente rivista e pubblicata nel febbraio 2022. 

Il periodo di transizione per i certificati ISO 27001 esistenti è di tre anni a partire dall'ultimo giorno del mese di pubblicazione della nuova ISO/IEC 27001:2022, il che significa che tutti i certificati conformi alla ISO/IEC 27001:2013 devono essere stati convertiti alla versione 2022 della ISO 27001 entro il 31 ottobre 2025. Potete leggere le novità dell'aggiornamento della ISO 27001 nel nostro articolo "La nuova ISO/IEC 27001:2022 - cambiamenti chiave". 

Mostra di più
Mostra meno
SEO19.png

A chi è rivolta la certificazione ISO 27001?

Lo standard ISMS ISO 27001 viene utilizzato in tutto il mondo. Fornisce alle aziende di tutte le dimensioni e di tutti i settori una struttura per pianificare, implementare e monitorare la loro sicurezza delle informazioni. I requisiti sono applicabili e vengono attuati da aziende private e pubbliche, così come da organizzazioni senza scopo di lucro.

In Germania, ad esempio, le aziende che appartengono a un settore di infrastrutture critiche (KRITIS - Critical Infrastructure Sector) e che superano una determinata soglia devono fornire prove di come garantiscono la loro sicurezza delle informazioni. I settori KRITIS includono energia, acqua, salute, finanza e assicurazioni, cibo, trasporti e traffico, tecnologia dell'informazione e telecomunicazioni. La relativa prova di implementazione può essere garantita da audit di sicurezza, test o certificazioni. A questo scopo, possono essere utilizzate come base per l'auditing sia le norme riconosciute come la ISO 27001 o, in alternativa, le norme di sicurezza specifiche del settore riconosciute dall'Ufficio federale tedesco per la sicurezza delle informazioni (BSI - German Federal Office for Information Security).

Mostra di più
Mostra meno
Business11.png

Perché la norma ISO 27001 è così importante per la vostra azienda?

L'introduzione di un Sistema ISMS secondo la norma ISO/IEC 27001 rappresenta un' importante decisione strategica per la vostra azienda. L'adempimento dei requisiti generali della norma deve riflettere la situazione specifica dell'azienda. L'attuazione, nella vostra azienda, dipende dalle esigenze e dagli obiettivi, dai requisiti di sicurezza e dai processi organizzativi, così come dalle dimensioni e dalla struttura dell'azienda stessa.

L'Allegato A della ISO 27001, che deve essere utilizzato in connessione con la sezione 6.1.3 sulla base di analisi dei rischi specifiche dell'azienda, è particolarmente utile nella pratica. I controlli di sicurezza delle informazioni delle informazioni elencate nell'Allegato A sono direttamente derivate dalle misure elencate nell'attuale ISO 27002, sezioni da 5 a 8.
In precedenza, l'Allegato A della norma ISO/IEC 27001:2013 comprendeva un totale di 114 controlli per affrontare i rischi per la sicurezza delle informazioni, suddivisi in 14 sezioni e 35 obiettivi di controllo. Nella nuova ISO/IEC 27001:2022-10, l'Allegato A contiene ora 93 controlli su aspetti rilevanti della sicurezza, che sono attribuiti a 4 aree tematiche.

È stato dimostrato che l'allineamento coerente dei processi aziendali con la norma ISO 27001 porta a una serie di vantaggi:

  • Miglioramento continuo del livello di sicurezza
  • Riduzione dei rischi esistenti
  • Adesione ai requisiti di conformità
  • Maggiore consapevolezza tra i dipendenti
  • Maggiore soddisfazione del cliente

Gli audit interni ed i riesami della direzione con la partecipazione dell'alta direzione sono le leve interne per raggiungere questo obiettivo.

Altri aspetti positivi sono rappresentati dal fatto che le parti interessate, come le autorità di vigilanza, le compagnie di assicurazione, le banche, le aziende partner, hanno un maggior livello di fiducia nella vostra azienda. Questo perché un sistema di gestione certificato segnala che la vostra organizzazione affronta i rischi in modo strutturato e sostiene il miglioramento continuo (CIP - continuous improvement), rendendola più resistente alle influenze indesiderate.

La norma internazionale ISO/IEC 27001 può anche essere implementata, gestita e certificata indipendentemente da altri sistemi di gestione come la ISO 900​​​1 (gestione della qualità) o la ISO 14001 (gestione ambientale).

 

Mostra di più
Mostra meno
Business36.png

Chi è autorizzato ad effettuare la certificazione secondo la norma ISO 27001?

Per certificare un sistema di gestione della sicurezza delle informazioni, il rispettivo organismo di certificazione deve essere accreditato secondo le norme ISO/IEC 17021 e ISO/IEC 27006. La ISO/IEC 17021 disciplina gli argomenti relativi alla valutazione della conformità, e specificamente i requisiti per gli organismi di ispezione che controllano e certificano i sistemi di gestione.

Inoltre, la ISO/IEC 27006 definisce i requisiti rigidi che gli organismi di certificazione devono rispettare per certificare un ISMS secondo la ISO 27001.

Questi includono:

  • Evidenza dello specifico processo di audit
  • Requisiti per la qualificazione degli auditor.

DQS è accreditata dall'ente di accreditamento nazionale tedesco DakkS (Deutsche Akkreditierungsstelle GmbH) ed è quindi autorizzata ad eseguire audit e certificazioni secondo la norma ISO 27001.

Potete contare sulla competenza distintiva degli auditor DQS indipendentemente dal settore in cui opera la vostra azienda. Vantano molti anni di esperienza nella valutazione dei Sistemi di Gestione per la Sicurezza delle Informazioni in vari settori.

Mostra di più
Mostra meno
Business28.png

Come funziona la certificazione ISO 27001?

Potrete far certificare il vostro sistema di gestione una volta che tutti i requisiti della ISO 27001 saranno stati implementati. DQS vi sottoporrà ad un processo di certificazione in più fasi. Se l'azienda possiede già un sistema di gestione certificato, il processo può essere abbreviato.

Nella prima fase, è necessario fornirci informazioni sulla vostra azienda e sugli obiettivi della certificazione ISO 27001. Dopodiché, riceverete un'offerta dettagliata su misura per le esigenze specifiche della vostra azienda.

Una pianificazione del progetto può essere utile per i progetti più grandi, ad esempio per coordinare meglio la pianificazione e lo svolgimento degli audit in più sedi o settori. Il pre-audit vi offre l'opportunità di identificare in anticipo i punti di forza ed il potenziale di miglioramento del vostro sistema di gestione. Entrambe i servizi sono facoltativi.

L'audit di certificazione inizia con l'analisi del sistema e con la valutazione del vostro ISMS (audit di Stage 1). In questa fase, il vostro auditor determina se il vostro sistema di gestione è sufficientemente sviluppato e pronto per la certificazione.

Nella fase successiva (audit di Stage 2), il vostro auditor valuta l'efficacia di tutti i processi di gestione sul sito, applicando lo standard ISO 27001. Il risultato dell'audit viene presentato in un meeting finale. Se necessario, vengono concordati dei piani di azione.

Dopo l'audit di certificazione, i risultati vengono valutati dal comitato di certificazione indipendente di DQS. Se tutti i requisiti standard sono soddisfatti, riceverete il certificato ISO 27001.

Dopo aver ottenuto la certificazione, allo scopo di garantire il miglioramento continuo, gli elementi chiave del vostro ISMS vengono sottoposti ad un nuovo audit sul posto almeno una volta all'anno.

Il certificato ISO 27001 è valido per un massimo di tre anni. La ricertificazione viene eseguita in tempo utile prima della scadenza per garantire la continua conformità ai requisiti della norma applicabile. In caso di conformità, viene rilasciato un nuovo certificato.

Banking13.png

Quanto costa la certificazione ISO 27001?

I quattro criteri di valutazione

Anche se l'audit ISO 27001 deve essere eseguito secondo specifiche ben strutturate, il costo dipende da vari fattori, come la complessità della vostra organizzazione. Pertanto, non è possibile formulare un'offerta univoca.

I costi per la certificazione secondo la norma ISO 27001 vengono stabiliti, tra gli altri, secondo i seguenti quattro criteri:

1. La complessità del vostro sistema di gestione della sicurezza delle informazioni.

Vengono presi in considerazione i valori critici della vostra azienda (ad esempio i brevetti, i dati personali, le strutture, i processi). Il costo della certificazione si basa principalmente sui requisiti di sicurezza dell'informazione e sulla misura in cui sono interessate la riservatezza, l'integrità e la disponibilità delle informazioni.

2. Il core business della vostra azienda nell'ambito dell'ISMS

A questo punto, soprattutto i rischi associati ai vostri processi aziendali giocano un ruolo importante nel determinare le attività di audit necessarie. I requisiti legali vengono presi in considerazione così come le complesse esigenze individuali dei clienti.

3. Le principali tecnologie e i componenti utilizzati nel vostro ISMS

Durante l'audit vengono esaminati sia la tecnologia che i singoli componenti del vostro ISMS. Tra questi ci sono le piattaforme IT, i server, i database, le applicazioni e i segmenti di rete. La regola di base qui è: più alta è la percentuale di sistemi standard e più bassa è la complessità del vostro IT, minore è lo sforzo. I costi di una certificazione ISO 27001 dipendono anche da questo.

4 La proporzione di sviluppi interni al vostro ISMS

Se non c'è sviluppo interno e si usano principalmente piattaforme software standardizzate, il lavoro da svolgere per ottenere la certificazione è inferiore. Se il vostro ISMS è caratterizzato da un uso intensivo di software sviluppato in proprio e se questo software è usato per le aree centrali del business, anche il lavoro richiesto per la certificazione sarà maggiore.

Per potervi dare una panoramica dei costi per una certificazione ISMS abbiamo bisogno preventivamente di informazioni precise sul vostro modello di business e sull'area di applicazione. In questo modo possiamo fornirvi un'offerta su misura.

Mostra di più
Mostra meno
Business2.png

Cosa potete aspettarvi da noi

  • Più di 35 anni di esperienza nella certificazione di sistemi e di processi aziendali
  • Auditor con esperienza nel settore ed esperti con conoscenze tecniche approfondite
  • Approfondimenti di valore per la vostra azienda
  • Certificati con riconoscimento internazionale
  • Competenze ed accreditamenti per tutte le norme rilevanti
  • Supporto personale e costante da parte dei nostri specialisti - a livello regionale, nazionale e internazionale
  • Offerte individuali con termini contrattuali flessibili e nessun costo nascosto
Contact-South-Asia-woman-shutterstock_1766529371.jpg

Richiesta di offerta

Il vostro contatto locale

Saremo lieti di fornirvi un preventivo personalizzato per la certificazione ISO 27001 del vostro ISMS.

La tua richiesta

Hai delle domande?

Siamo qui per te.
Contattaci