CERTIFICAZIONE AZIENDALE ISO 27001
Assistenza alla Certificazione Aziendale per i Sistemi di Gestione per la Sicurezza delle Informazioni
CERTIFICAZIONE:
ISO 27001ACCREDITAMENTO:
ACCREDIA / EA - MEMBERLa sicurezza dei dati e delle informazioni, anche nell'ottica delle continue minacce ed attacchi che le aziende subiscono, è diventata una priorità strategica delle organizzazioni.
Tale consapevolezza e l’implementazione di un sistema di gestione, in particolare quello ispirato alla famiglia delle norme ISO 27000, permette un approccio olistico al problema affrontandolo sotto tutti gli aspetti e fornendo dei modelli di gestione applicabili a tutte le organizzazioni.
In particolare alcune norme della serie 27000, come ad esempio la 27001 (Sistemi di gestione per la sicurezza delle informazioni) e 27002 (guida per la sicurezza delle informazioni), non prenderemo in considerazione la ISO 27003 (guida all'implementazione di un sistema di sicurezza delle informazioni), permettono la certificazione, da parte di un organismo, del sistema implementato.
Come tutte le norme, esse forniscono i punti da sviluppare attraverso un sistema documentato e aggiornato. La norma ISO 27001 mira a garantire:
- la riservatezza: proprietà per cui l’informazione non è resa disponibile o rivelata a individui, entità o processi non autorizzati;
- l’integrità: proprietà relativa alla salvaguardia dell’accuratezza e della completezza delle informazioni e dei beni ad esse collegati;
- la disponibilità: proprietà di essere accessibile e utilizzabile su richiesta di un’entità autorizzata e coinvolge tutta l’organizzazione: processi, persone e tecnologie.
Come tutte le norme, esse forniscono i punti da sviluppare attraverso un sistema documentato e aggiornato. La norma ISO 27001 mira a garantire:
- la riservatezza: proprietà per cui l’informazione non è resa disponibile o rivelata a individui, entità o processi non autorizzati;
- l’integrità: proprietà relativa alla salvaguardia dell’accuratezza e della completezza delle informazioni e dei beni ad esse collegati;
- la disponibilità: proprietà di essere accessibile e utilizzabile su richiesta di un’entità autorizzata e coinvolge tutta l’organizzazione: processi, persone e tecnologie.
SCOPI:
L’implementazione di un sistema di sicurezza dei dati e delle informazioni permette all’organizzazione di avere una gestione consapevole e proattiva della sicurezza dei dati, mappando i loro flussi, i processi, i trattamenti cercando di ridurre la superficie di attacco e l’esposizione dei sistemi, aumentando la consapevolezza e la governance dei dati integrandoli nel business aziendale migliorando l’efficacia dei processi e la reddittività.
Inoltre la certificazione può essere una potenziale leva per partecipazione a gare o per la garanzia di sicurezza verso terzi
Inoltre la certificazione può essere una potenziale leva per partecipazione a gare o per la garanzia di sicurezza verso terzi
A CHI E' RIVOLTO:
Tutte le Aziende, che vogliono garantire la sicurezza dei dati e delle informazioni, sia che trattino dati propri o per conto terzi, per ridurre la superficie di attacco, aumentare la consapevolezza e per ridurre i costi di eventuali attacchi informatici, garantendo gli obiettivi attesi di sicurezza.
CONTENUTI:
L’attività prevede:
una prima analisi del contesto dell’organizzazione, dei documenti presenti e un’analisi dei rischi organizzativi; l’implementazione di un sistema di gestione attraverso l’analisi dei processi, dei dati, dei sistemi e delle attività; la verifica dei controlli richiesti con relativo piano di adeguamento;
la redazione della documentazione necessaria, comprese le registrazioni, ad esempio:
- Scopo del SGSI;
- Policy di sicurezza delle informazioni e obiettivi;
- Risk assessment, metodologia di trattamento del rischio e report di trattamento del rischio;
- Dichiarazione di applicabilità;
- Definizione di ruoli e responsabilità di security;
- Inventario ed uso degli asset;
- Policy di Controllo Accessi;
- Procedure operative per l’IT management;
- Policy di sicurezza fornitori;
- Procedura di gestione degli incidenti;
- Procedure di Business Continuity;
- Programma e risultati di audit interni;
- Riesame della Direzione;
- Implementazione e risultati delle azioni correttive;
- Procedura gestione dei Logs delle attività degli utenti, eccezioni ed eventi di sicurezza;
- Procedure per il controllo documentale;
- Procedure per le azioni correttive;
- Policy Bring-your-own-device (BYOD);
- Policy dispositive mobile e teleworking;
- Policy di classificazione delle informazioni;
- Password policy;
- Backup policy;
- Business impact analysis;
Audit interni per la verifica dell’implementazione del sistema; supporto in ambito certificazione.
una prima analisi del contesto dell’organizzazione, dei documenti presenti e un’analisi dei rischi organizzativi; l’implementazione di un sistema di gestione attraverso l’analisi dei processi, dei dati, dei sistemi e delle attività; la verifica dei controlli richiesti con relativo piano di adeguamento;
la redazione della documentazione necessaria, comprese le registrazioni, ad esempio:
- Scopo del SGSI;
- Policy di sicurezza delle informazioni e obiettivi;
- Risk assessment, metodologia di trattamento del rischio e report di trattamento del rischio;
- Dichiarazione di applicabilità;
- Definizione di ruoli e responsabilità di security;
- Inventario ed uso degli asset;
- Policy di Controllo Accessi;
- Procedure operative per l’IT management;
- Policy di sicurezza fornitori;
- Procedura di gestione degli incidenti;
- Procedure di Business Continuity;
- Programma e risultati di audit interni;
- Riesame della Direzione;
- Implementazione e risultati delle azioni correttive;
- Procedura gestione dei Logs delle attività degli utenti, eccezioni ed eventi di sicurezza;
- Procedure per il controllo documentale;
- Procedure per le azioni correttive;
- Policy Bring-your-own-device (BYOD);
- Policy dispositive mobile e teleworking;
- Policy di classificazione delle informazioni;
- Password policy;
- Backup policy;
- Business impact analysis;
Audit interni per la verifica dell’implementazione del sistema; supporto in ambito certificazione.
