L'Industria 4.0, la cosiddetta quarta rivoluzione industriale, è sinonimo di una rete intelligente di sviluppo, produzione, logistica e clienti. Rappresenta una moltitudine di informazioni e di dati che spesso hanno un valore esistenziale per le organizzazioni. Proteggere la loro disponibilità, integrità e riservatezza è un compito centrale. La sicurezza delle informazioni comprende tutte le misure che aiutano a prendere coscienza dei rischi esistenti, ad identificarli ed a prendere misure appropriate ed adeguate per proteggerli.

Sicurezza delle informazioni - Domande e risposte sulla ISO 27001

A causa dell'insufficiente sicurezza nell'elaborazione delle informazioni, la sola economia tedesca subisce ogni anno danni per miliardi di euro. Le ragioni sono complesse e vanno da disturbi esterni, errori tecnici, spionaggio industriale fino all'abuso di informazioni da parte di ex dipendenti. Ma solo chi riconosce le sfide può anche avviare misure adeguate. Un sistema di gestione della sicurezza delle informazioni ben strutturato secondo la norma ISO 27001, riconosciuta a livello internazionale, è una base ottimale per l'attuazione efficace di una strategia di sicurezza olistica. Cosa significa esattamente, e cosa deve essere considerato? Trova qui le risposte alle domande importanti sulla norma ISO 27001.

CONTENUTO

  • Cos'è la sicurezza delle informazioni?
  • Quali sono gli obiettivi di protezione della sicurezza delle informazioni?
  • Cos'è un sistema di gestione della sicurezza delle informazioni?
  • Per quali organizzazioni è utile la ISO 27001?
  • Quali sono i vantaggi di un sistema di gestione della sicurezza delle informazioni?
  • Qual è il ruolo delle persone?
  • ISO 27001 - Domande sull'introduzione
  • Perché la certificazione ISO 27001?
  • DQS - Cosa possiamo fare per voi

Cos'è la sicurezza delle informazioni?

La risposta a questa domanda è abbastanza semplice per quanto riguarda la famiglia internazionale di norme per la sicurezza delle informazioni ISO 27000:

"Le informazioni sono dati che hanno un valore per l'organizzazione".

ISO/IEC 27000:2020-06: Tecnologie informatiche - Tecniche di sicurezza - Sistemi di gestione per la sicurezza delle informazioni - Panoramica e vocabolario

L'informazione è un bene che non deve cadere nelle mani di persone non autorizzate, e che richiede una protezione adeguata.

La sicurezza delle informazioni è quindi tutto ciò che ha a che fare con la protezione del patrimonio informativo della vostra azienda. Il fattore decisivo qui è essere consapevoli dei rischi che esistono nel contesto dell'azienda, o scoprirli e contrastarli con misure adeguate in base alle necessità.

"La sicurezza delle informazioni non è la sicurezza IT".

La sicurezza informatica si riferisce solo alla sicurezza della tecnologia impiegata, e non agli asset aziendali da proteggere. Anche le preoccupazioni organizzative, per esempio le autorizzazioni di accesso, le responsabilità o le procedure di approvazione, così come gli aspetti psicologici, giocano un ruolo essenziale nella sicurezza delle informazioni. Tuttavia, un'informatica sicura protegge anche le informazioni nell'azienda.

Quali sono gli obiettivi di protezione della sicurezza delle informazioni?

Secondo la norma internazionale ISO/IEC 27001, gli obiettivi di protezione della sicurezza delle informazioni comprendono tre aspetti principali:

  • Riservatezza - protezione delle informazioni confidenziali da accessi non autorizzati, sia per ragioni di leggi sulla protezione dei dati che sulla base di segreti commerciali coperti per esempio da un Trade Secrets Act. E' il livello di riservatezza che è rilevante qui.
  • Integrità - minimizzando qualsiasi rischio, assicurando la completezza e l'affidabilità di tutti i dati e le informazioni.
  • Disponibilità - assicurare l'accesso e l'usabilità per l'accesso autorizzato alle informazioni, agli edifici ed ai sistemi. Questo è essenziale per mantenere i processi.

Sicurezza delle informazioni certificata secondo la ISO 27001

Proteggete le vostre informazioni con un sistema di gestione conforme alle norme internazionali ✓ DQS offre oltre 35 anni di esperienza nella certificazione ✓

Domande chiave sulla sicurezza delle informazioni

  • Quali sono i valori della mia azienda?
  • Quali valori aziendali devono essere protetti?
  • A quali attacchi sono esposte le risorse aziendali?
  • Chi ha interesse a proteggere queste informazioni?
  • Quali sono le misure appropriate?

Cos'è un sistema di gestione della sicurezza delle informazioni?

Un sistema di gestione della sicurezza delle informazioni (ISMS) secondo la norma ISO/IEC 27001 definisce linee guida, regole e metodi per garantire la sicurezza delle informazioni che vale la pena proteggere in un'organizzazione. Fornisce un modello per introdurre, implementare, monitorare e migliorare il livello di protezione - secondo la procedura sistematica del ciclo PDCA (Plan-Do-Check-Act) familiare dalla ISO 9001.

L'obiettivo è quello di identificare ed analizzare i rischi potenziali e renderli controllabili attraverso misure appropriate.

Perché è importante la gestione della sicurezza delle informazioni?

Le organizzazioni di successo utilizzano la struttura e la trasparenza dei moderni sistemi di gestione per individuare le minacce e indirizzare l'impiego di sistemi di sicurezza moderni. Il cuore di un sistema di gestione della sicurezza delle informazioni è la sicurezza del proprio patrimonio informativo, come la proprietà intellettuale, i dati finanziari e del personale, così come le informazioni affidate dai clienti o da terzi.

"La sicurezza delle informazioni significa sempre proteggere informazioni significative o dati di valore".

I rischi a cui sono esposti i dati che vale la pena proteggere sono molti. Possono derivare da minacce alla sicurezza materiali, umane e tecniche. Ma solo un approccio olistico e preventivo di un sistema di gestione ISMS può affrontare l'intero spettro di minacce e garantire la continuità del business di un'azienda.

Per quali organizzazioni è utile la ISO 27001?

La risposta a questa domanda è molto semplice: per tutte. ISO 27001 può essere applicata fondamentalmente in tutte le organizzazioni, indipendentemente dal loro tipo, dimensione e settore. E: tutte le organizzazioni beneficiano dei vantaggi di un sistema di gestione strutturato. L'implementazione di un ISMS è influenzata dai seguenti fattori:

  • I requisiti e gli obiettivi aziendali
  • Le esigenze di sicurezza
  • I processi aziendali applicati
  • Le dimensioni e la struttura dell'organizzazione

Quali sono i benefici di un sistema di gestione della sicurezza delle informazioni?

Una domanda importante. La ISO 27001 formula i requisiti per la progettazione e l'implementazione sistematica di un sistema di gestione della sicurezza delle informazioni orientato ai processi. Attraverso questo approccio olistico si possono ottenere vantaggi decisivi:

  • La sicurezza delle informazioni sensibili diventa parte integrante dei processi aziendali
  • Salvaguardia preventiva degli obiettivi di protezione riservatezza, disponibilità ed integrità delle informazioni
  • Mantenimento della continuità del business attraverso il miglioramento continuo del livello di sicurezza
  • Sensibilizzazione dei dipendenti e aumento significativo della consapevolezza della sicurezza a tutti i livelli dell'azienda
  • Stabilire un efficace processo di gestione del rischio
  • Costruire la fiducia con le parti interessate (ad esempio le gare d'appalto) attraverso una gestione dimostrabilmente sicura delle informazioni sensibili
  • Adesione ai requisiti di conformità rilevanti, maggiore sicurezza d'azione e certezza del diritto

Come si possono gestire i rischi potenziali?

I rischi per la sicurezza possono derivare da minacce materiali, umane e tecniche. Per raggiungere un livello tracciabile e appropriato di sicurezza nell'organizzazione, è necessario un processo di gestione del rischio definito o un metodo per la valutazione, il trattamento e il monitoraggio del rischio. La ISO/IEC 27005 fornisce una buona guida sulla gestione del rischio per la sicurezza delle informazioni.

Che ruolo giocano le persone?

Anche le persone sono un fattore di rischio, perché il trattamento delle informazioni sensibili riguarda tutti i dipendenti e i partner di un'azienda senza eccezione. Essi rappresentano un rischio maggiore per la sicurezza, sia per ignoranza che per errore umano. Ma solo pochissime organizzazioni regolano chi può avere accesso a quali informazioni e come queste devono essere gestite.

"La nuova fonte di potere non è più il denaro nelle mani di pochi, ma l'informazione nelle mani di molti". John Naisbitt, *1929, americano. Futurologo

Regolamenti vincolanti e una marcata consapevolezza di tutte le preoccupazioni di sicurezza dell'informazione sono quindi un prerequisito fondamentale. L'adattamento della politica aziendale o lo sviluppo di un'adeguata politica di sicurezza dell'informazione è considerato essenziale. La necessaria sensibilizzazione dei collaboratori a tutti i livelli (dirigenziali) è di competenza del capo e può avvenire, per esempio, attraverso corsi di formazione, workshop o colloqui personali.

ISO 27001 - Domande di implementazione

Alla domanda se un'azienda debba aver già introdotto un sistema di gestione, ad esempio secondo la ISO 9001, si può chiaramente rispondere con un "no". La ISO 27001 è una norma generica e, come tutte le norme dei sistemi di gestione, si regge da sola. Ciò significa che un'organizzazione può creare ed implementare un sistema di gestione della sicurezza delle informazioni in qualsiasi momento ed indipendentemente dalle strutture esistenti.

Tuttavia, le aziende che hanno un sistema di gestione della qualità secondo la ISO 9001 hanno già creato una buona base per l'introduzione graduale di una sicurezza delle informazioni completa.

Nella sua struttura e nel suo approccio, la ISO 27001 si basa sulla struttura di base obbligatoria per tutte le norme dei sistemi di gestione orientate ai processi, la Struttura di Alto Livello (High Level Structure). Di conseguenza, ciò offre la possibilità di integrare facilmente un sistema di gestione della sicurezza delle informazioni in un sistema di gestione già esistente. Allo stesso modo è possibile una certificazione congiunta secondo la ISO 27001 con la ISO 20000-1 (IT Service Management) o la ISO 22301 (Business Continuity Management) da parte di DQS.

Quali documenti possono supportare l'introduzione?

La base preferita per l'introduzione di un sistema di gestione olistico per la sicurezza dell'informazione è la famiglia di norme internazionali ISO/IEC 27000. Essa è destinata a sostenere le organizzazioni di ogni tipo e dimensione nell'implementazione e nell'esercizio di un ISMS. Il grado di implementazione all'interno dell'organizzazione può essere controllato per mezzo di un audit interno.

I componenti utili della serie di norme sono

  • ISO/IEC 27000:2018: Tecnologie informatiche - Tecniche di sicurezza - Sistemi di gestione per la sicurezza delle informazioni - Panoramica e vocabolario
  • ISO/IEC 27001:2013: Tecnologie informatiche - Tecniche di sicurezza - Sistemi di gestione per la sicurezza delle informazioni - Requisiti
  • ISO/IEC 27002:2013: Tecnologie informatiche - Tecniche di sicurezza - Codice di pratica per i controlli di sicurezza delle informazioni
  • ISO/IEC 27003:2017: Tecnologie informatiche - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Guida
  • ISO/IEC 27004-2016: Tecnologie informatiche - Tecniche di sicurezza - Gestione della sicurezza delle informazioni - Monitoraggio, misurazione, analisi e valutazione
  • ISO/IEC 27005:2018: Tecnologie informatiche - Tecniche di sicurezza - Gestione dei rischi per la sicurezza delle informazioni

Tutte le normative sono disponibili sul sito dell'ISO.

ISO 27001 - Domande sul responsabile della sicurezza informatica?

La ISO 27001 richiede un responsabile della sicurezza informatica? La risposta è "sì".

Uno dei compiti del sistema di gestione della sicurezza delle informazioni è la nomina di un responsabile della sicurezza IT da parte dell'Alta direzione. Il responsabile della sicurezza informatica è la persona di riferimento per tutte le questioni di sicurezza informatica. Dovrebbe essere integrato in tutti i processi dell'ISMS e strettamente interconnesso con i manager IT, per esempio, quando si selezionano nuovi componenti e applicazioni IT.

Perché la certificazione ISO 27001?

La certificazione basata su una procedura accreditata è la prova che sono stati implementati un sistema di gestione e misure per proteggere sistematicamente il patrimonio informativo. Con il certificato dimostrate "nero su bianco" che avete istituito con successo questo sistema e che vi impegnate a migliorarlo continuamente.

Il certificato DQS, apprezzato in tutto il mondo, è l'espressione visibile di una valutazione neutrale e rafforza la fiducia nella vostra azienda. Questo è un vantaggio di mercato e costituisce un buon presupposto nelle gare d'appalto e negli affari con i clienti critici per la sicurezza, come i fornitori di servizi finanziari.

ISO 27001 - Domande sul processo di certificazione

Tutti i sistemi di gestione che vengono valutati sulla base delle norme internazionali (ISO 17021) da un organismo di certificazione accreditato come DQS sono soggetti allo stesso processo di certificazione.

La certificazione iniziale consiste nell'analisi del sistema (Audit di Stage 1) e nell'audit del sistema (Audit di Stage 2), durante il quale gli auditor verificano in sede che il sistema complessivo funzioni correttamente e che tutti i requisiti siano stati implementati. Il certificato è poi valido per 3 anni.

Per poter garantire la validità durante tutto il periodo, il sistema di gestione deve essere verificato annualmente. Nel primo e nel secondo anno dopo il rilascio del certificato, gli auditor DQS conducono pertanto degli audit ISMS abbreviati (audit di sorveglianza), nei quali esaminano ad esempio l'efficacia dei componenti chiave del sistema o delle misure correttive e preventive. La ricertificazione avviene dopo tre anni.

Le aziende che hanno già un sistema di gestione esistente dovrebbero combinare i loro programmi di audit e cercare una certificazione congiunta del loro sistema di gestione integrato (IMS).

È possibile la certificazione a matrice?

La certificazione a matrice è possibile per le aziende con più siti. In linea di massima, per la ISO 27001 valgono gli stessi requisiti di altre norme ISO come la ISO 9001 o la ISO 14001. DQS è in grado di garantire l'integrazione della ISO 27001 nelle procedure a matrice esistenti, ovvero un audit esterno congiunto con le altre norme.

Quali sono i vantaggi della ISO 27001 rispetto a TISAX?

TISAX® (Trusted Information Security Assessment Exchange) è stato sviluppato come standard di settore appositamente per l'industria automobilistica ed adattato alle esigenze specifiche del settore. La base per una valutazione TISAX® è il catalogo di test VDA Information Security Assessment (VDA ISA), che si basa, tra l'altro, sui requisiti della ISO 27001 o della ISO 27002 e li estende a temi come la protezione dei prototipi o la protezione dei dati.

Potete trovare altre conoscenze preziose sulla nostra pagina del prodotto TISAX®.

L'obiettivo di TISAX® è garantire una sicurezza (delle informazioni) completa per tutte le fasi della supply chain. Inoltre, la registrazione in un database semplifica la procedura di riconoscimento reciproco. Tuttavia, TISAX® è riconosciuto solo nell'industria automobilistica. I clienti di altri settori possono riconoscere la ISO 27001 solo come prova di un ISMS.

DQS - Cosa possiamo fare per voi

DQS è il vostro specialista per audit e certificazioni - per sistemi di gestione e processi. Con oltre 35 anni di esperienza e il know-how di 2.500 auditor in tutto il mondo, siamo il vostro partner competente per la certificazione e forniamo risposte a tutte le domande sulla ISO 27001.

Effettuiamo audit in base a circa 200 standard e regolamenti riconosciuti e a standard specifici di aziende e associazioni. Siamo stati il primo ente di certificazione tedesco a ricevere l'accreditamento per BS 7799-2, il predecessore di ISO/IEC 27001, nel dicembre 2000. Questa competenza è ancora un'espressione della nostra storia di successo mondiale.

Siamo lieti di rispondere alle vostre domande

Quanto lavoro dovrete fare per ottenere la certificazione del vostro ISMS secondo la ISO 27001? Informatevi gratuitamente e senza impegno.

Non vediamo l'ora di parlare con voi.

Mostra di più
Mostra meno

Sicurezza delle informazioni vs. sicurezza informatica

Sicurezza delle informazioni vs. sicurezza informatica

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Allegato A: responsabilità e ruoli dei dipendenti

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Sicurezza informatica vs. sicurezza delle informazioni - qual è la differenza?

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Standard per la sicurezza delle informazioni - una panoramica

TISAX (Sicurezza delle informazioni nell'industria automobilistica)

TISAX (Sicurezza delle informazioni nell'industria automobilistica)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Risposte a domande importanti

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Sicurezza informatica nel settore automobilistico: nuovi regolamenti obbligatori

Standard di sicurezza delle informazioni

La famiglia ISO/IEC 27000 è una serie di standard riconosciuti a livello internazionale per l'introduzione di un sistema olistico di gestione della sicurezza delle informazioni. Il suo nucleo è l'ISO/IEC 27001, che contiene requisiti certificabili per identificare, valutare e gestire i rischi delle operazioni di trattamento delle informazioni.

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Standard per la sicurezza delle informazioni - una panoramica