{"id":19296,"date":"2022-10-31T12:57:43","date_gmt":"2022-10-31T11:57:43","guid":{"rendered":"https:\/\/qualificagroup.it\/site\/?p=19296"},"modified":"2024-02-02T15:39:44","modified_gmt":"2024-02-02T14:39:44","slug":"certificazione-iso-27001","status":"publish","type":"post","link":"https:\/\/qualificagroup.it\/consulenza\/certificazione-iso-27001\/","title":{"rendered":"ISO 27001"},"content":{"rendered":"

\"Certificazione<\/div>
\"Sistemi<\/div><\/div><\/div><\/div><\/div>
ISO 27001<\/span><\/strong> - Tecnologie Informatiche \u2013 Tecniche di sicurezza \u2013 Sistemi di gestione della sicurezza dell\u2019informazione.<\/span><\/blockquote>\n

ISO 27001 - Sicurezza delle informazioni<\/h4>\nLo standard ISO\/IEC 27001 \u201cTecnologie Informatiche \u2013 Tecniche di sicurezza \u2013 Sistemi di gestione della sicurezza dell\u2019informazione\u201d \u00e8 una norma internazionale che ha come obiettivo quello di creare un sistema di gestione della sicurezza delle informazioni. Inoltre, essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni adatti alle esigenze dell\u2019organizzazione.<\/div>
<\/div>
CHIEDI UNA CONSULENZA<\/span><\/a><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/section>
<\/div>

ISO 27001 - A chi \u00e8 rivolta<\/span><\/span><\/h3><\/header>
<\/div>
<\/p>\n
La norma ISO\/IEC 27001<\/strong> \u00e8 rivolta a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura.<\/h5>\n

Questo tipo di certificazione pu\u00f2 essere richiesta sia alle imprese operanti nei settori commerciali e industriali sia alle pubbliche amministrazioni, a\u00a0dimostrazione che il sistema di gestione della sicurezza delle informazioni \u00e8 conforme allo standard internazionale di riferimento. Tale adempimento, inoltre, attesta alle autorit\u00e0 competenti che l\u2019impresa ha provveduto a ridurre al minimo i rischi a cui sono sottoposte le informazioni gestite.<\/p>\n

\n<\/div>

<\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/section>
SCARICA LA SCHEDA INFORMATIVA - ISO 27001<\/span><\/span><\/a><\/div>
<\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/div><\/section>

La Norma ISO 27001<\/span><\/span><\/h3><\/header>
<\/div>
<\/p>\n

Lo standard ISO\/IEC 27001\u00a0\u201cTecnologie Informatiche \u2013 Tecniche di sicurezza \u2013 Sistemi di gestione della sicurezza dell\u2019informazione<\/i>\u201d<\/strong> \u00e8 una norma internazionale che ha come obiettivo quello di creare un sistema di gestione della sicurezza delle informazioni.\u00a0Inoltre, essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni adatti alle esigenze dell\u2019organizzazione.<\/p>\n

Lo scopo dello standard \u00e8 quello di assicurare la protezione dei dati e delle informazioni da tutta una serie\u00a0di minacce (accesso non autorizzato, distruzione e furto\u00a0dati, interruzione di servizio, virus informatici) al fine di\u00a0garantire la continuit\u00e0 dell\u2019attivit\u00e0 aziendale. Per le Organizzazioni, essere in possesso di un\u00a0corretto sistema di gestione delle informazioni\u00a0significa dotarsi di tutte le misure di sicurezza,\u00a0tutelando i dati in termini di riservatezza, integrit\u00e0 e\u00a0disponibilit\u00e0.<\/p>\n

Lo standard ISO\/IEC 27001:2017<\/strong> \u00e8 suddiviso in dieci sezioni secondo la HIGH LEVEL STRUCTURE, la tipica struttura che caratterizza anche altri sistemi di gestione quali ISO 9001, 14001, 45001, 37001, e pu\u00f2 essere quindi facilmente integrata in un sistema di gestione esistente. Le prime tre sezioni sono di carattere introduttivo, le successive sette sezioni definiscono concretamente i requisiti relativi al Sistema di Gestione della sicurezza informatica e rappresentano il \u201ccuore\u201d della norma:<\/p>\n

Sezione 4 \u2013 Contesto dell\u2019organizzazione\u00a0<\/b><\/p>\n

La norma ha voluto inquadrare gli elementi interni ed esterni con un approccio \u201chigh level\u201d e considerare, per la prima volta, una serie di ulteriori fattori che possono influenzare il modo in cui l\u2019organizzazione gestisce le proprie responsabilit\u00e0 in materia di sicurezza informatica: questi fattori possono essere sia di tipo esterno (aspetti tecnologici, finanziari\/economici, competitivi dei propri prodotti\/servizi nei confronti della concorrenza dal punto di vista ambientale, e legali\/normativi) che di tipo interno (dimensioni, struttura, interfacce e interdipendenze tra le attivit\u00e0 svolte dall\u2019organizzazione).<\/p>\n

Da ci\u00f2 deriva che l\u2019analisi del contesto richiede una valutazione non solo di elementi interni ma anche di elementi esterni che in precedenza venivano di solito considerati marginalmente nell\u2019ambito del SGA.<\/p>\n

Tale estensione dell\u2019analisi rappresenta quindi un aspetto di maggiore complessit\u00e0 della norma e di vitale importanza, in quanto il tutto permette di stabilire ed impostare una serie di azioni atte a prevenire e mitigare tutti i possibili eventi di perdita e indisponibilit\u00e0 delle informazioni, ci\u00f2 risulta ancora pi\u00f9 evidente nella successiva analisi delle parti interessate e nell\u2019attivit\u00e0 generale di pianificazione che la normativa dettaglia e chiarisce.<\/p>\n

In quest\u2019ottica, \u00e8 evidente il significativo ampliamento di prospettiva che la ISO\/IEC 27001 chiede al Sistema di Gestione per la Sicurezza delle Informazioni, i cui obiettivi e le cui azioni devono infatti essere definiti ed attuati sulla base di una conoscenza del contesto in grado di fornire all\u2019organizzazione una visione complessiva e una migliore e pi\u00f9 strategica comprensione di tutti gli elementi del proprio contesto (inquadramento sociale, dimensioni e struttura dell\u2019organizzazione, cambiamenti normativi, finanziari e tecnologici, interazioni con gli stakeholder etc.) che possono influire sul modo in cui essa gestisce le proprie attivit\u00e0, consentendo allo stesso tempo di intercettare e cogliere le opportunit\u00e0 di prevenzione.<\/p>\n

Sezione 5 \u2013 Leadership<\/b><\/p>\n

Questo standard attribuisce un ruolo attivo e centrale al top management (Organo direttivo o Alta direzione) nel processo di radicamento degli impegni per la sicurezza delle informazioni nel business dell\u2019azienda. Un messaggio molto chiaro e preciso, che la ISO\/IEC 27001 esplicita sin dall\u2019Introduzione della norma, in cui si afferma chiaramente come il successo di un SGSI dipenda dall\u2019impegno di tutti i livelli e di tutte le funzioni dell\u2019organizzazione, guidate e indirizzate a tal fine dal suo Top Management, a cui spetta anzitutto il compito di cogliere e di valorizzare le opportunit\u00e0 connesse alla sicurezza delle informazioni, in particolare quelle che presentano implicazioni sotto il profilo strategico e competitivo.<\/p>\n

La ISO\/IEC 27001:2017 chiede inoltre all\u2019alta direzione di assicurarsi che la Politica per la sicurezza delle informazioni e gli obiettivi siano coerenti e compatibili con gli indirizzi strategici e con il contesto dell\u2019azienda: l\u2019analisi del contesto, come detto sopra, fornisce input fondamentali al Top Management per identificare sia gli indirizzi strategici dell\u2019organizzazione (Politica ed obiettivi per la sicurezza delle informazioni), sia le funzioni aziendali con ruoli e responsabilit\u00e0 rilevanti per la loro realizzazione.<\/p>\n

Sezione 6 \u2013 Pianificazione\u00a0<\/b><\/p>\n

Il Punto 6 della norma \u00e8 dedicato alla Pianificazione del Sistema e pu\u00f2 considerarsi il \u201ccuore\u201d della ISO\/IEC 27001:2017, in cui da un lato, trovano applicazione e si connettono i tre concetti di contesto, azioni per affrontare il rischio e opportunit\u00e0 e dall\u2019altro, la pianificazione degli obiettivi per la sicurezza delle informazioni ed il loro raggiungimento.<\/p>\n

Il processo di pianificazione va impostato secondo una logica risk-based, mirata ad identificare e a valutare rischi e opportunit\u00e0 connessi ai fenomeni di sicurezza delle informazioni, al fine di determinare le azioni da sviluppare per assicurare che il Sistema non solo raggiunga i suoi obiettivi, ma prevenga o riduca effetti e conseguenze indesiderati connessi alle attivit\u00e0, prodotti e servizi dell\u2019organizzazione e ne amplifichi benefici ed effetti positivi.<\/p>\n

Sezione 7 \u2013 Supporto\u00a0<\/b><\/p>\n

Il punto 7 della norma riguarda la gestione e il controllo di tutte le risorse e gli asset all\u2019interno dell\u2019organizzazione sia esse intese come risorse umane, come infrastrutture, come ambiente di lavoro ecc.<\/p>\n

La sezione include inoltre i requisiti relativi alla competenza, consapevolezza, comunicazione e controllo delle informazioni documentate (i documenti e le registrazioni richiesti per i processi).<\/p>\n

In questo punto, si trovano tutti i requisiti relativi alla competenza, consapevolezza, comunicazione, formazione, processo di assunzione ed informazione documentata.<\/p>\n

L\u2019informazione documentata \u00e8 un fortissimo elemento innovativo, sostituisce i termini \u201cprocedure\u201d e \u201cregistrazioni\u201d e pu\u00f2 essere redatta e conservata nella forma che l\u2019organizzazione ritiene pi\u00f9 adeguata in funzione delle proprie esigenze, rischi ed opportunit\u00e0. L\u2019estensione delle informazioni documentate di un sistema di gestione per la sicurezza delle informazioni pu\u00f2 variare in base alla:<\/p>\n