Sicurezza delle informazioni

Il tema della "sicurezza delle informazioni" sta diventando sempre più rilevante per le aziende coinvolte nella trasformazione digitale. Senza sufficienti precauzioni di sicurezza, c'è il rischio di perdita e di furto di dati da parte di hacker, di interruzioni delle attività a causa di attacchi via web, o di uso improprio dei dati.

Una soluzione per un approccio organizzato è rappresentata da un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS - Information Security Management System) secondo la norma ISO 27001.

Sicurezza dei dati e delle informazioni dimostrabile

Sicurezza come parte della cultura aziendale

Implementazione efficace di un processo di gestione del rischio

Miglioramento continuo del livello di sicurezza

Business10.png
Loading...

Cos'è la ISO 27001?

La ISO/IEC 27001 è la norma internazionale leader per l'implementazione di un completo Sistema di Gestione per la Sicurezza delle Informazioni. Si concentra sull'identificazione, la valutazione e la gestione dei rischi per i processi di trattamento delle informazioni. La sicurezza delle informazioni sensibili è enfatizzata come importante elemento strategico.

Le informazioni ci circondano ovunque e fanno parte di ogni processo. A volte possono essere irrilevanti, ma molto spesso si rivelano critiche e sensibili. Per poter effettuare questa importante distinzione per la vostra azienda, occorre classificare le informazioni. Le misure di protezione di un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS) secondo la norma ISO/IEC 27001 si basano infatti su questa classificazione.

Un ISMS crea le condizioni per proteggere i dati aziendali e la loro riservatezza. Allo stesso tempo, la norma riconosciuta a livello mondiale garantisce la conformità dei sistemi IT coinvolti nei processi aziendali. In questo contesto, la certificazione ISO 27001 invia un segnale forte al mercato: ovvero, la valutazione esterna indipendente e la conferma dell'efficacia del vostro ISMS.

È stata pubblicata la EN ISO/IEC 27001:2017-06, una versione coordinata dal Comitato europeo di normalizzazione (CEN). Questa versione combina le due correzioni (corrigenda) Cor 1:2014 e Cor 2:2015. Le modifiche relative alla correzione includono solo una migliore descrizione dei requisiti associati, ma nessun nuovo requisito aggiuntivo. I certificati secondo la versione ISO/IEC 27001:2013 mantengono, quindi, la loro validità.

Mostra di più
Mostra meno
SEO19.png
Loading...

A chi è rivolta la certificazione ISO 27001?

Lo standard ISMS ISO 27001 viene utilizzato in tutto il mondo. Fornisce alle aziende di tutte le dimensioni e di tutti i settori una struttura per pianificare, implementare e monitorare la loro sicurezza delle informazioni. I requisiti sono applicabili e vengono attuati da aziende private e pubbliche, così come da organizzazioni senza scopo di lucro.

In Germania, ad esempio, le aziende che appartengono a un settore di infrastrutture critiche (KRITIS - Critical Infrastructure Sector) e che superano una determinata soglia devono fornire prove di come garantiscono la loro sicurezza delle informazioni. I settori KRITIS includono energia, acqua, salute, finanza e assicurazioni, cibo, trasporti e traffico, tecnologia dell'informazione e telecomunicazioni. La relativa prova di implementazione può essere garantita da audit di sicurezza, test o certificazioni. A questo scopo, possono essere utilizzate come base per l'auditing sia le norme riconosciute come la ISO 27001 o, in alternativa, le norme di sicurezza specifiche del settore riconosciute dall'Ufficio federale tedesco per la sicurezza delle informazioni (BSI - German Federal Office for Information Security).

Mostra di più
Mostra meno
Business11.png
Loading...

Perché la norma ISO 27001 è così importante per la vostra azienda?

L'introduzione di un ISMS secondo la norma ISO/IEC 27001 rappresenta una importante decisione strategica per la vostra azienda. L'adempimento dei requisiti generali della norma deve riflettere la situazione specifica dell'azienda. L'implementazione nell'azienda dipende dalle esigenze e dagli obiettivi, dai requisiti di sicurezza e dai processi organizzativi, così come dalle dimensioni e dalla struttura dell'azienda.

L'attuazione delle misure nell'allegato A della norma è particolarmente preziosa ai fini pratici. Oltre alla sezione dei requisiti orientati al sistema di gestione (capitoli da 4 a 10), la norma ISO contiene un ampio elenco di 35 obiettivi di misura (controlli), con 114 misure concrete per un'ampia varietà di aspetti di sicurezza in 14 capitoli dell'allegato A. Le misure devono essere attuate nell'ambito del sistema di gestione. Queste misure devono essere implementate come parte del sistema di gestione, nella misura in cui sono rilevanti per la vostra azienda.

È stato dimostrato che l'allineamento coerente dei processi aziendali con la norma ISO 27001 porta a una serie di vantaggi:

  • Miglioramento continuo del livello di sicurezza
  • Riduzione dei rischi esistenti
  • Adesione ai requisiti di conformità
  • Maggiore consapevolezza tra i dipendenti
  • Maggiore soddisfazione del cliente

Gli audit interni ed i riesami della direzione con la partecipazione dell'alta direzione sono le leve interne per raggiungere questo obiettivo.

Altri aspetti positivi sono rappresentati dal fatto che le parti interessate, come le autorità di vigilanza, le compagnie di assicurazione, le banche, le aziende partner, hanno un maggior livello di fiducia nella vostra azienda. Questo perché un sistema di gestione certificato segnala che la vostra organizzazione affronta i rischi in modo strutturato e sostiene il miglioramento continuo (CIP - continuous improvement), rendendola più resistente alle influenze indesiderate.

La norma internazionale ISO/IEC 27001 può anche essere implementata, gestita e certificata indipendentemente da altri sistemi di gestione come la ISO 900​​​1 (gestione della qualità) o la ISO 14001 (gestione ambientale).

 

Mostra di più
Mostra meno
Business36.png
Loading...

Chi è autorizzato ad effettuare la certificazione secondo la norma ISO 27001?

Per certificare un sistema di gestione della sicurezza delle informazioni, il rispettivo organismo di certificazione deve essere accreditato secondo le norme ISO/IEC 17021 e ISO/IEC 27006. La ISO/IEC 17021 disciplina gli argomenti relativi alla valutazione della conformità, e specificamente i requisiti per gli organismi di ispezione che controllano e certificano i sistemi di gestione.

Inoltre, la ISO/IEC 27006 definisce i requisiti rigidi che gli organismi di certificazione devono rispettare per certificare un ISMS secondo la ISO 27001.

Questi includono:

  • Evidenza dello specifico processo di audit
  • Requisiti per la qualificazione degli auditor.

DQS è accreditata dall'ente di accreditamento nazionale tedesco DakkS (Deutsche Akkreditierungsstelle GmbH) ed è quindi autorizzata ad eseguire audit e certificazioni secondo la norma ISO 27001.

Potete contare sulla competenza distintiva degli auditor DQS indipendentemente dal settore in cui opera la vostra azienda. Vantano molti anni di esperienza nella valutazione dei Sistemi di Gestione per la Sicurezza delle Informazioni in vari settori.

Mostra di più
Mostra meno
Business28.png
Loading...

Come funziona la certificazione ISO 27001?

Potrete far certificare il vostro sistema di gestione una volta che tutti i requisiti della ISO 27001 saranno stati implementati. DQS vi sottoporrà ad un processo di certificazione in più fasi. Se l'azienda possiede già un sistema di gestione certificato, il processo può essere abbreviato.

Nella prima fase, è necessario fornirci informazioni sulla vostra azienda e sugli obiettivi della certificazione ISO 27001. Dopodiché, riceverete un'offerta dettagliata su misura per le esigenze specifiche della vostra azienda.

Una pianificazione del progetto può essere utile per i progetti più grandi, ad esempio per coordinare meglio la pianificazione e lo svolgimento degli audit in più sedi o settori. Il pre-audit vi offre l'opportunità di identificare in anticipo i punti di forza ed il potenziale di miglioramento del vostro sistema di gestione. Entrambe i servizi sono facoltativi.

L'audit di certificazione inizia con l'analisi del sistema e con la valutazione del vostro ISMS (audit di Stage 1). In questa fase, il vostro auditor determina se il vostro sistema di gestione è sufficientemente sviluppato e pronto per la certificazione.

Nella fase successiva (audit di Stage 2), il vostro auditor valuta l'efficacia di tutti i processi di gestione sul sito, applicando lo standard ISO 27001. Il risultato dell'audit viene presentato in un meeting finale. Se necessario, vengono concordati dei piani di azione.

Dopo l'audit di certificazione, i risultati vengono valutati dal comitato di certificazione indipendente di DQS. Se tutti i requisiti standard sono soddisfatti, riceverete il certificato ISO 27001.

Dopo aver ottenuto la certificazione, allo scopo di garantire il miglioramento continuo, gli elementi chiave del vostro ISMS vengono sottoposti ad un nuovo audit sul posto almeno una volta all'anno.

Il certificato ISO 27001 è valido per un massimo di tre anni. La ricertificazione viene eseguita in tempo utile prima della scadenza per garantire la continua conformità ai requisiti della norma applicabile. In caso di conformità, viene rilasciato un nuovo certificato.

Banking13.png
Loading...

Quanto costa la certificazione ISO 27001?

I quattro criteri di valutazione

Anche se l'audit ISO 27001 deve essere eseguito secondo specifiche ben strutturate, il costo dipende da vari fattori, come la complessità della vostra organizzazione. Pertanto, non è possibile formulare un'offerta univoca.

I costi per la certificazione secondo la norma ISO 27001 vengono stabiliti, tra gli altri, secondo i seguenti quattro criteri:

1. La complessità del vostro sistema di gestione della sicurezza delle informazioni.

Vengono presi in considerazione i valori critici della vostra azienda (ad esempio i brevetti, i dati personali, le strutture, i processi). Il costo della certificazione si basa principalmente sui requisiti di sicurezza dell'informazione e sulla misura in cui sono interessate la riservatezza, l'integrità e la disponibilità delle informazioni.

2. Il core business della vostra azienda nell'ambito dell'ISMS

A questo punto, soprattutto i rischi associati ai vostri processi aziendali giocano un ruolo importante nel determinare le attività di audit necessarie. I requisiti legali vengono presi in considerazione così come le complesse esigenze individuali dei clienti.

3. Le principali tecnologie e i componenti utilizzati nel vostro ISMS

Durante l'audit vengono esaminati sia la tecnologia che i singoli componenti del vostro ISMS. Tra questi ci sono le piattaforme IT, i server, i database, le applicazioni e i segmenti di rete. La regola di base qui è: più alta è la percentuale di sistemi standard e più bassa è la complessità del vostro IT, minore è lo sforzo. I costi di una certificazione ISO 27001 dipendono anche da questo.

4 La proporzione di sviluppi interni al vostro ISMS

Se non c'è sviluppo interno e si usano principalmente piattaforme software standardizzate, il lavoro da svolgere per ottenere la certificazione è inferiore. Se il vostro ISMS è caratterizzato da un uso intensivo di software sviluppato in proprio e se questo software è usato per le aree centrali del business, anche il lavoro richiesto per la certificazione sarà maggiore.

Per potervi dare una panoramica dei costi per una certificazione ISMS abbiamo bisogno preventivamente di informazioni precise sul vostro modello di business e sull'area di applicazione. In questo modo possiamo fornirvi un'offerta su misura.

Mostra di più
Mostra meno
Business2.png
Loading...

Cosa potete aspettarvi da noi

  • Più di 35 anni di esperienza nella certificazione di sistemi e di processi aziendali
  • Auditor con esperienza nel settore ed esperti con conoscenze tecniche approfondite
  • Approfondimenti di valore per la vostra azienda
  • Certificati con riconoscimento internazionale
  • Competenze ed accreditamenti per tutte le norme rilevanti
  • Supporto personale e costante da parte dei nostri specialisti - a livello regionale, nazionale e internazionale
  • Offerte individuali con termini contrattuali flessibili e nessun costo nascosto
Contact-South-Asia-woman-shutterstock_1766529371.jpg
Loading...

Richiesta di offerta

Il vostro contatto locale

Saremo lieti di fornirvi un preventivo personalizzato per la certificazione ISO 27001 del vostro ISMS.