Visita le nostre pagine

Certificazione ISO 27001 : 2017

IL CONTESTOLa Norma
ISO 27001 : 2017

Certificazione iso 27001: La diffusione di sistemi informativi automatizzati e di applicazioni in Cloud ha posto in primo piano per le Aziende il tema della Sicurezza delle Informazioni come chiave della fiducia dei clienti. L'evoluzione tecnologica comporta, insieme a numerosi ed innegabili vantaggi, anche il nascere e l'evolversi di altrettante problematiche legate sia al corretto utilizzo degli strumenti tecnologici sia alla loro intrinseca sicurezza.
CERTIFICA IL SISTEMA DI GESTIONE

I vantaggi della
Certificazione ISO/IEC 27001:2017

Le organizzazioni che vogliono certificarsi iso 27001 non possono accettare che le loro informazioni siano vulnerabili o soggette ad attacchi illegali da parte di soggetti esterni od interni, o che interruzioni dovute a processi IT possano paralizzare le loro attività, consentendo ai concorrenti di affermarsi sui mercati. Pertanto, applicare un sistema di gestione secondo lo standard ISO/IEC 27001 offre un approccio sistemico e ben strutturato, che consente di proteggere la riservatezza delle informazioni, garantendo l'integrità dei dati aziendali, oltre a migliorare la disponibilità dei sistemi IT aziendali.
Riduzione del rischio
Ridurre al minimo i rischi attraverso un sistema strutturato, globale e riconosciuto sulla Sicurezza delle informazioni, che aiuta a limitare le minacce
Protezione
Protezione delle Informazioni riservate dalla minaccia di hacking, perdita di dati e violazione della riservatezza, che permette di recuperare in tempi brevi nel caso di eventuali attacchi.
Continuita
Stabilire piani di Business Continuity per garantire che le attività proseguano anche nel caso di disastri naturali o causati dall'uomo.
bt_bb_section_bottom_section_coverage_image
I PASSAGGI

Iter
di certificazione

Le fasi principali del percorso per la certificazione iso 27001 comprendono:

  • Definizione dello scopo di certificazione;
  • Audit preliminare (su richiesta) per l’analisi delle lacune e valutazione dell’Organizzazione rispetto alla norma di riferimento;
  • Audit di certificazione: composta da due fasi (primo e secondo stage) per la verifica della conformità del sistema rispetto la norma di riferimento ed emissione del certificato;
  • Audit di sorveglianza: eseguita con cadenza annuale al fine di verificare il mantenimento della conformità ai requisiti dello standard ed il miglioramento continuo;
  • Audit di rinnovo della certificazione: che avviene dopo 3 anni dalla certificazione o dal rinnovo precedente e consiste in un audit completo su tutto il sistema e processi aziendali.

Al termine di ogni Audit all’azienda viene consegnato un rapporto chiaro e completo, che permette di migliorare costantemente controllo dei processi e l’orientamento al miglioramento continuo.

https://sicert.net/wp-content/uploads/2019/04/img-faq-1.png

Domande
Frequenti

Un elenco delle principali domande che ci pongono rispetto alla certificazione iso 27001
Che cosa è la certificazione ISO/IEC 27001?

L’ISO/IEC 27001 è il principale standard internazionale per la gestione della Sicurezza delle Informazioni, è di particolare interesse per aziende commerciali, enti governativi e no-profit. Specifica i requisiti per stabilire, attuare, monitorare e migliorare un Sistema di Gestione della Sicurezza delle Informazioni (ISMS).

Come prepararsi per la ISO/IEC 27001?

Come molti altri sistemi di gestione, l’ISO/IEC 27001 è basata sul miglioramento continuo, e per conoscere meglio lo standard si può iniziare con una formazione specifica.

Scopriamo:

ISO 27001 cos’è ?

LE BASI

Qual è il significato della ISO 27001?

Cos'è la ISO 27001? - 27001Accademia

In primo luogo, è importante notare che il nome completo della ISO 27001 è “ISO/IEC 27001 – Tecnologia dell’informazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti”.

È il principale standard internazionale incentrato sulla sicurezza delle informazioni, pubblicato dall’Organizzazione internazionale per la standardizzazione (ISO), in collaborazione con la Commissione elettrotecnica internazionale (IEC). Entrambi sono importanti organizzazioni che sviluppano standard internazionali.

ISO-27001 fa parte di una serie di standard sviluppati per gestire la sicurezza delle informazioni: la serie ISO/IEC 27000.

Quadro ISO e scopo della ISO 27001

La certificazione ISO è una combinazione di politiche e processi che le organizzazioni possono utilizzare. La ISO 27001 fornisce dei protocolli per aiutare le organizzazioni, di qualsiasi dimensione o settore, a proteggere le proprie informazioni in modo sistematico ed economico, attraverso l’adozione di un sistema di gestione della sicurezza delle informazioni (ISMS).

Perché la ISO 27001 è importante?

Lo standard non solo fornisce alle aziende il know-how necessario per proteggere le loro informazioni più importanti, ma un’azienda può anche ottenere la certificazione ISO 27001 e, in questo modo, dimostrare ai propri clienti e partner l’interesse a salvaguardare i propri dati.

Poiché è uno standard internazionale, ISO 27001 è facilmente riconoscibile in tutto il mondo, aumentando le opportunità di business per organizzazioni e professionisti.

Quali sono i 3 obiettivi di sicurezza ISMS?

L’obiettivo fondamentale della ISO 27001 è proteggere tre aspetti delle informazioni:

  • Riservatezza : solo le persone autorizzate hanno il diritto di accedere alle informazioni.
  • Integrità : solo le persone autorizzate possono modificare le informazioni.
  • Disponibilità : le informazioni devono essere accessibili alle persone autorizzate ogni volta che è necessario.

Che cos’è un ISMS?

Un sistema di gestione della sicurezza delle informazioni (ISMS) è un insieme di regole che un’azienda deve stabilire per:

  1. identificare gli stakeholder e le loro aspettative nei confronti dell’azienda in termini di sicurezza delle informazioni
  2. identificare quali rischi esistono per le informazioni
  3. definire i controlli (salvaguardie) e altri metodi di mitigazione per soddisfare le aspettative identificate e gestire i rischi
  4. fissare obiettivi chiari su ciò che deve essere raggiunto con la sicurezza delle informazioni
  5. attuare tutti i controlli e gli altri metodi di trattamento del rischio
  6. misurare continuamente se i controlli implementati funzionano come previsto
  7. apportare miglioramenti continui per far funzionare meglio l’intero ISMS

Tutto questo insieme di regole può essere scritto sotto forma di politiche, procedure e altri tipi di documenti, oppure può essere sotto forma di processi e tecnologie consolidati che non sono documentati. La ISO 27001 definisce quali documenti sono richiesti, cioè quali devono esistere come minimo.

Perché abbiamo bisogno dell’ISMS?

Ci sono quattro vantaggi aziendali essenziali che un’azienda può ottenere con l’implementazione di questo standard di sicurezza delle informazioni:

Rispettare i requisiti legali  – esiste un numero sempre crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni. Per fortuna la maggior parte di essi può essere risolta implementando ISO 27001 – questo standard offre la metodologia perfetta per rispettarli tutti.

Ottieni un vantaggio competitivo  – se la tua azienda ottiene la certificazione e i tuoi concorrenti no, potresti avere un vantaggio su di loro agli occhi di quei clienti che sono sensibili nel mantenere le loro informazioni al sicuro.

Costi inferiori  – la filosofia principale della ISO 27001 è prevenire il verificarsi di incidenti di sicurezza – e ogni incidente, grande o piccolo che sia, costa denaro. Pertanto, prevenendoli, la tua azienda risparmierà. E la cosa migliore di tutte: l’investimento in ISO 27001 è molto inferiore ai risparmi sui costi che otterrai.

Organizzazione migliore  – in genere, le aziende in rapida crescita non hanno il tempo di fermarsi e definire i propri processi e procedure – di conseguenza, molto spesso i dipendenti non sanno cosa deve essere fatto, quando e da chi. L’implementazione della ISO 27001 aiuta a risolvere tali situazioni, perché incoraggia le aziende ad annotare i loro processi principali (anche quelli non legati alla sicurezza), consentendo loro di ridurre il tempo perso dai propri dipendenti.

Come funziona la ISO 27001?

L’obiettivo della ISO 27001 è proteggere la riservatezza, l’integrità e la disponibilità delle informazioni in un’azienda. Questo viene fatto scoprendo quali potenziali problemi potrebbero verificarsi alle informazioni (ad esempio, valutazione del rischio), e quindi definendo ciò che è necessario fare per evitare che si verifichino tali problemi (ad esempio, mitigazione del rischio o trattamento del rischio).

Pertanto, la filosofia principale della ISO 27001 si basa su un processo per la gestione dei rischi: scoprire dove si trovano i rischi e quindi trattarli sistematicamente, attraverso l’implementazione di controlli di sicurezza (o tutele).

La ISO 27001 richiede a un’azienda di elencare tutti i controlli che devono essere implementati in un documento chiamato Dichiarazione di applicabilità.

Due parti della norma

La norma è divisa in due parti. La prima parte principale è composta da 11 clausole (da 0 a 10). La seconda parte, denominata Allegato A, fornisce una linea guida per 114 obiettivi e controlli di controllo. Le clausole da 0 a 3 (Introduzione, Campo di applicazione, Riferimenti normativi, Termini e definizioni) stabiliscono l’introduzione della norma ISO 27001. Le seguenti clausole da 4 a 10, che forniscono i requisiti ISO 27001 obbligatori se l’azienda vuole essere conforme allo standard, sono esaminate più dettagliatamente in questo articolo.

L’allegato A della norma supporta le clausole ei loro requisiti con un elenco di controlli non obbligatori, ma selezionati nell’ambito del processo di gestione del rischio.

REQUISITI E CONTROLLI DI SICUREZZA

Quali sono i requisiti per la ISO 27001?

I requisiti dalle sezioni da 4 a 10 possono essere riassunti come segue:

Clausola 4: Contesto dell’organizzazione  – Un prerequisito per implementare con successo un sistema di gestione della sicurezza delle informazioni è comprendere il contesto dell’organizzazione. È necessario identificare e considerare le questioni esterne e interne, nonché le parti interessate. I requisiti possono includere questioni normative, ma possono anche andare ben oltre.

Clausola 5: Leadership  – I requisiti della ISO 27001 per una leadership adeguata sono molteplici. L’impegno della società è fondamentale per un sistema di gestione. Gli obiettivi devono essere stabiliti in base alle strategie di un’organizzazione. Fornire le risorse necessarie per l’ISMS, nonché sostenere le persone a contribuire all’ISMS, sono altri esempi degli obblighi da rispettare.

Inoltre, la società deve stabilire una politica in base alla sicurezza delle informazioni. Questa politica deve essere documentata, nonché comunicata all’interno dell’organizzazione e alle parti interessate.
Anche ruoli e responsabilità devono essere assegnati per soddisfare i requisiti della norma ISO 27001 e per riferire sulle prestazioni dell’ISMS.

Clausola 6: Pianificazione  – La pianificazione in un ambiente ISMS dovrebbe sempre tenere conto dei rischi e delle opportunità. Una valutazione del rischio per la sicurezza delle informazioni fornisce una solida base su cui fare affidamento. Di conseguenza, gli obiettivi di sicurezza delle informazioni dovrebbero essere basati sulla valutazione del rischio. Questi obiettivi devono essere allineati agli obiettivi generali dell’azienda. Inoltre, gli obiettivi devono essere promossi all’interno dell’azienda. Forniscono gli obiettivi di sicurezza su cui lavorare per tutti all’interno e allineati con l’azienda. Dalla valutazione del rischio e dagli obiettivi di sicurezza si ricava un piano di trattamento del rischio, basato sui controlli elencati nell’allegato A.

Clausola 7: Supporto  – Risorse, competenza dei dipendenti, consapevolezza e comunicazione sono questioni chiave per sostenere la causa. Un altro requisito è la documentazione delle informazioni secondo ISO 27001. Le informazioni devono essere documentate, create e aggiornate, oltre ad essere controllate. È necessario mantenere un insieme adeguato di documentazione per supportare il successo dell’ISMS.

Clausola 8: Attività Operative– I processi sono obbligatori per implementare la sicurezza delle informazioni. Questi processi devono essere pianificati, implementati e controllati. La valutazione e il trattamento del rischio, che devono essere nella mente del top management, come abbiamo appreso in precedenza, devono essere messi in atto.

Clausola 9: Valutazione delle prestazioni  – I requisiti della norma ISO 27001 prevedono il monitoraggio, la misurazione, l’analisi e la valutazione del sistema di gestione della sicurezza delle informazioni. Non solo il dipartimento stesso dovrebbe controllare il proprio lavoro, ma devono anche essere condotti audit interni. A intervalli prestabiliti, il top management deve rivedere l’ISMS dell’organizzazione.

Clausola 10: Miglioramento  – Il miglioramento fa seguito alla valutazione. Le non conformità devono essere affrontate agendo ed eliminando le cause quando applicabili. Inoltre, dovrebbe essere attuato un processo di miglioramento continuo, anche se il ciclo PDCA (Plan-Do-Check-Act) non è più obbligatorio. Comunque , il ciclo PDCA è spesso consigliato, poiché offre una struttura solida e soddisfa i requisiti della ISO 27001.

Allegato A (normativo) Obiettivi e controlli
del controllo di riferimento L’allegato A è un utile elenco di obiettivi e controlli del controllo di riferimento. A partire da A.5 Politiche di sicurezza delle informazioni fino a A.18 Conformità, l’elenco offre controlli mediante i quali è possibile soddisfare i requisiti ISO 27001 e si può derivare la struttura di un ISMS. I controlli, individuati attraverso una valutazione del rischio come sopra descritto, devono essere presi in considerazione e attuati.

Quali sono i 14 domini di ISO 27001?

Ci sono 14 “domini” elencati nell’allegato A della ISO 27001, organizzati nelle sezioni da A.5 ad A.18. Le sezioni trattano quanto segue:

A.5. Politiche di sicurezza delle informazioni : i controlli in questa sezione descrivono come gestire le politiche di sicurezza delle informazioni.

A.6. Organizzazione della sicurezza delle informazioni : i controlli in questa sezione forniscono il quadro di base per l’implementazione e il funzionamento della sicurezza delle informazioni definendone l’organizzazione interna (ad es. ruoli, responsabilità, ecc.) e attraverso gli aspetti organizzativi della sicurezza delle informazioni, come la gestione dei progetti , uso di dispositivi mobili e telelavoro.

A.7. Sicurezza delle risorse umane : i controlli in questa sezione assicurano che le persone che sono sotto il controllo dell’organizzazione siano assunte, formate e gestite in modo sicuro; vengono altresì affrontati i principi dell’azione disciplinare e della risoluzione degli accordi.

A.8. Gestione delle risorse : i controlli in questa sezione garantiscono che le risorse di sicurezza delle informazioni (ad es. informazioni, dispositivi di elaborazione, dispositivi di archiviazione, ecc.) siano identificate, che le responsabilità per la loro sicurezza siano designate e che le persone sappiano come gestirle secondo una classificazione predefinita livelli.

A.9. Controllo degli accessi : i controlli in questa sezione limitano l’accesso alle informazioni e alle risorse informative in base alle reali esigenze aziendali. I controlli sono sia per l’accesso fisico che logico.

A.10. Crittografia : i controlli in questa sezione forniscono la base per un uso corretto delle soluzioni di crittografia per proteggere la riservatezza, l’autenticità e/o l’integrità delle informazioni.

A.11. Sicurezza fisica e ambientale : i controlli in questa sezione impediscono l’accesso non autorizzato alle aree fisiche e proteggono le apparecchiature e le strutture dall’essere compromesse dall’intervento umano o naturale.

A.12. Sicurezza delle operazioni : i controlli in questa sezione garantiscono che i sistemi IT, inclusi i sistemi operativi e il software, siano sicuri e protetti contro la perdita di dati. Inoltre, i controlli in questa sezione richiedono i mezzi per registrare gli eventi e generare prove, la verifica periodica delle vulnerabilità e adottare precauzioni per evitare che le attività di audit influiscano sulle operazioni.

A.13. Sicurezza delle comunicazioni : i controlli in questa sezione proteggono l’infrastruttura e i servizi di rete, nonché le informazioni che li attraversano.

A.14. Acquisizione, sviluppo e manutenzione del sistema : i controlli in questa sezione assicurano che la sicurezza delle informazioni sia presa in considerazione quando si acquistano nuovi sistemi informativi o si aggiornano quelli esistenti.

A.15. Rapporti con i fornitori : i controlli in questa sezione assicurano che anche le attività esternalizzate eseguite da fornitori e partner utilizzino adeguati controlli di sicurezza delle informazioni e descrivono come monitorare le prestazioni di sicurezza di terze parti.

A.16. Gestione degli incidenti di sicurezza delle informazioni : i controlli in questa sezione forniscono un quadro per garantire la corretta comunicazione e gestione degli eventi e degli incidenti di sicurezza, in modo che possano essere risolti in modo tempestivo; definiscono anche come preservare le prove, nonché come imparare dagli incidenti per prevenirne il ripetersi.

A.17. Aspetti relativi alla sicurezza delle informazioni della gestione della continuità operativa : i controlli in questa sezione garantiscono la continuità della gestione della sicurezza delle informazioni durante le interruzioni e la disponibilità dei sistemi informativi.

A.18. Conformità : i controlli in questa sezione forniscono un quadro per prevenire violazioni legali, statutarie, normative e contrattuali e verificare se la sicurezza delle informazioni è implementata ed è efficace secondo le politiche, le procedure e i requisiti definiti dallo standard ISO 27001.

Uno sguardo più da vicino a questi domini ci mostra che la gestione della sicurezza delle informazioni non riguarda solo la sicurezza informatica (es. firewall, antivirus, ecc.), ma anche la gestione dei processi, la protezione legale, la gestione delle risorse umane, la protezione fisica, ecc.

Quali sono i controlli ISO 27001?

I controlli ISO 27001 (noti anche come salvaguardie) sono le pratiche da attuare per ridurre i rischi a livelli accettabili. I controlli possono essere tecnici, organizzativi, legali, fisici, umani, ecc.

Quanti controlli ci sono nella ISO 27001?

ISO 27001 Allegato A elenca 114 controlli organizzati nelle 14 sezioni numerate da A.5 a A.18 sopra elencate.

Come si implementano i controlli ISO 27001?

I controlli tecnici  sono implementati principalmente nei sistemi informativi, utilizzando componenti software, hardware e firmware aggiunti al sistema. Ad esempio backup, software antivirus, ecc.

I controlli organizzativi  vengono implementati definendo le regole da seguire e il comportamento previsto da utenti, apparecchiature, software e sistemi. Ad esempio, politica di controllo degli accessi, politica BYOD, ecc.

I controlli legali  sono implementati assicurando che le regole e i comportamenti previsti seguano e applichino le leggi, i regolamenti, i contratti e altri strumenti legali simili che l’organizzazione deve rispettare. Ad esempio NDA (accordo di non divulgazione), SLA (accordo sul livello di servizio), ecc.

I controlli fisici  vengono implementati principalmente utilizzando apparecchiature o dispositivi che hanno un’interazione fisica con persone e oggetti. Ad esempio telecamere a circuito chiuso, sistemi di allarme, serrature, ecc.

I controlli sulle risorse umane  vengono attuati fornendo conoscenze, istruzione, abilità o esperienza alle persone per consentire loro di svolgere le proprie attività in modo sicuro. Ad esempio, formazione sulla consapevolezza della sicurezza, formazione per auditor interni ISO 27001, ecc.

IMPLEMENTAZIONE E CERTIFICAZIONE

Documenti obbligatori ISO 27001

La ISO 27001 specifica un insieme minimo di politiche, procedure, piani, registrazioni e altre informazioni documentate necessarie per diventare conformi.

La ISO 27001 richiede la redazione dei seguenti documenti:

  • Ambito dell’ISMS (clausola 4.3)
  • Politica e obiettivi per la sicurezza delle informazioni (clausole 5.2 e 6.2)
  • Metodologia di valutazione e trattamento del rischio (punto 6.1.2)
  • Dichiarazione di applicabilità (punto 6.1.3 d)
  • Piano di trattamento del rischio (clausole 6.1.3 e e 6.2)
  • Rapporto di valutazione del rischio (punto 8.2)
  • Definizione ruoli e responsabilità di sicurezza (controlli A.7.1.2 e A.13.2.4)*
  • Inventario dei beni (controllo A.8.1.1)*
  • Uso accettabile dei beni (controllo A.8.1.3)*
  • Politica di controllo accessi (controllo A.9.1.1)*
  • Procedure Operative per la Gestione Informatica (controllo A.12.1.1)*
  • Principi di ingegneria del sistema sicuro (controllo A.14.2.5)*
  • Politica di sicurezza dei fornitori (controllo A.15.1.1)*
  • Procedura di gestione degli incidenti (controllo A.16.1.5)*
  • Procedure di continuità operativa (controllo A.17.1.2)*
  • Requisiti statutari, regolamentari e contrattuali (controllo A.18.1.1)*

E questi sono le registrazioni obbligatorie:

  • Registri di formazione, abilità, esperienza e qualifiche (punto 7.2)
  • Risultati del monitoraggio e della misurazione (punto 9.1)
  • Programma di audit interno (clausola 9.2)
  • Risultati degli audit interni (punto 9.2)
  • Risultati del riesame della direzione (punto 9.3)
  • Risultati delle azioni correttive (punto 10.1)
  • Registri delle attività degli utenti, eccezioni ed eventi di sicurezza (controlli A.12.4.1 e A.12.4.3)*

* Dove i controlli sono stati esclusi ovviamente i relativi documenti e registrazioni non sono necessarie

Naturalmente, un’azienda può decidere di scrivere documenti di sicurezza aggiuntivi se lo ritiene necessario.

Che cos’è la “certificazione ISO 27001”?

Un’azienda può richiedere la certificazione ISO 27001 invitando un ente di certificazione accreditato a svolgere l’audit di certificazione e, se l’audit ha esito positivo, a rilasciare il certificato ISO 27001 all’azienda. Questo certificato significherà che l’azienda è pienamente conforme allo standard ISO 27001.

Un individuo può ottenere la certificazione ISO 27001 seguendo la formazione ISO 27001 e superando l’esame. Questo certificato significherà che questa persona ha acquisito le competenze appropriate durante il corso.

SERIE DI NORME ISO 27K

Quali sono gli standard ISO 27000?

Poiché definisce i requisiti per un ISMS, ISO 27001 è lo standard principale nella famiglia di standard ISO 27000. Tuttavia, poiché definisce principalmente ciò che è necessario, ma non specifica come farlo, sono stati sviluppati numerosi altri standard di sicurezza delle informazioni per fornire una guida aggiuntiva. Attualmente, ci sono più di 40 standard nella serie ISO27k e quelli più comunemente usati sono i seguenti:

ISO/IEC 27000  fornisce termini e definizioni utilizzati nella serie di standard ISO 27k.

ISO/IEC 27002  fornisce linee guida per l’implementazione dei controlli elencati nell’allegato A ISO 27001. Può essere molto utile, perché fornisce dettagli su come implementare questi controlli.

La ISO/IEC 27004  fornisce linee guida per la misurazione della sicurezza delle informazioni – si adatta bene alla ISO 27001, perché spiega come determinare se l’ISMS ha raggiunto i suoi obiettivi.

ISO/IEC 27005  fornisce linee guida per la gestione dei rischi per la sicurezza delle informazioni. È un ottimo supplemento alla ISO 27001, perché fornisce dettagli su come eseguire la valutazione del rischio e il trattamento del rischio, probabilmente la fase più difficile dell’implementazione.

ISO/IEC 27017  fornisce linee guida per la sicurezza delle informazioni negli ambienti cloud.

ISO/IEC 27018  fornisce linee guida per la protezione della privacy negli ambienti cloud.

ISO/IEC 27031  fornisce linee guida su cosa considerare quando si sviluppa la continuità aziendale per le tecnologie dell’informazione e della comunicazione (ICT). Questo standard è un ottimo collegamento tra la sicurezza delle informazioni e le pratiche di continuità aziendale.

ISO/IEC 27701  fornisce linee guida per stabilire, implementare, mantenere e migliorare continuamente un Privacy Information Management System (PIMS) sotto forma di estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione della privacy nel contesto dell’organizzazione, specifica i requisiti relativi al PIMS e fornisce una guida per i controllori e i chi elabora i PII (Informazioni personali identificabili) che hanno la responsabilità e l’obbligo di rendere conto del trattamento delle PII.

Qual è la versione attuale della ISO 27001?

Alla data di pubblicazione di questo articolo, la versione corrente della ISO 27001 è ISO/IEC 27001:2013.

La prima versione di ISO 27001 è stata rilasciata nel 2005 (ISO/IEC 27001:2005), la seconda versione nel 2013 e lo standard è stato rivisto l’ultima volta nel 2019, quando è stata confermata la versione 2013 (cioè non sono state necessarie modifiche).

È importante notare che diversi paesi membri dell’ISO possono tradurre lo standard nelle proprie lingue, apportando piccole aggiunte (ad es. prefazioni nazionali) che non influiscono sul contenuto della versione internazionale dello standard. Queste “versioni” hanno lettere aggiuntive per differenziarle dallo standard internazionale, ad esempio, NBR ISO/IEC 27001 designa la “versione brasiliana”, mentre BS ISO/IEC 27001 designa la “versione britannica”. Queste versioni locali dello standard contengono anche l’anno in cui sono state adottate dall’ente di standardizzazione locale, quindi l’ultima versione britannica è BS EN ISO/IEC 27001:2017, il che significa che ISO/IEC 27001:2013 è stato adottato dal British Standards Institution nel 2017.

Qual è la differenza tra ISO 27001 e 27002?

La ISO 27001 definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS), mentre la ISO 27002 fornisce una guida sull’attuazione dei controlli dalla ISO 27001 allegato A.

In altre parole, per ogni controllo, la ISO 27001 fornisce solo una breve descrizione, mentre la ISO 27002 fornisce una guida dettagliata.

Qual è la differenza tra NIST e ISO 27001?

Sebbene ISO 27001 sia uno standard internazionale, il NIST è un’agenzia governativa statunitense che promuove e mantiene standard di misurazione negli Stati Uniti, tra cui la serie SP 800, un insieme di documenti che specifica le migliori pratiche per la sicurezza delle informazioni.

Sebbene non siano la stessa cosa, la serie NIST SP 800 e la ISO 27001 possono essere utilizzate insieme per l’implementazione della sicurezza delle informazioni.

La ISO 27001 è obbligatoria?

Nella maggior parte dei paesi, l’implementazione della ISO 27001 non è obbligatoria. Tuttavia, alcuni paesi hanno pubblicato regolamenti che richiedono ad alcuni settori di implementare la ISO 27001.

Per determinare se la ISO 27001 è obbligatoria o meno per la tua azienda, dovresti cercare una consulenza legale esperta nel paese in cui operi.

La ISO 27001 è un requisito legale?

Le organizzazioni pubbliche e private possono definire la conformità alla ISO 27001 come requisito legale nei loro contratti e accordi di servizio con i loro fornitori. Inoltre, come accennato in precedenza, i paesi possono definire leggi o regolamenti trasformando l’adozione della ISO 27001 in un requisito legale che deve essere soddisfatto dalle organizzazioni che operano nel loro territorio.

Come ottenere la certificazione ISO 27001?

ISO 27001 è uno standard di gestione inizialmente concepito per la certificazione delle organizzazioni. Il sistema funziona in questo modo: un’azienda (o qualsiasi altro tipo di organizzazione) sviluppa il proprio sistema di gestione della sicurezza delle informazioni (ISMS), che consiste in politiche (ad esempio, politica di sicurezza delle informazioni), procedure (ad esempio, valutazione del rischio), persone (ad esempio, revisore interno), tecnologia (ad es. crittografia), ecc., quindi invita un organismo di certificazione a verificare se il proprio ISMS è conforme allo standard. Se l’audit di certificazione ha esito positivo, il loro ISMS è certificato secondo ISO 27001.

Tuttavia, l’intero settore legato agli standard ISO (enti di certificazione, consulenti, istituti di formazione, ecc.) si è presto reso conto che senza persone qualificate in grado di sviluppare e mantenere il sistema di gestione, l’intero concetto sarebbe fallito. Pertanto, sono stati sviluppati vari corsi di formazione per le persone che hanno bisogno di ottenere un’istruzione relativa alla ISO 27001. In questo modo, le persone che frequentano la formazione e superano l’esame di certificazione ISO 27001 ottengono un attestato personale che viene rilasciato a loro nome.

Certificazione delle organizzazioni

Cosa è richiesto per la certificazione ISO IEC 27001 2013? La documentazione e l’implementazione dei requisiti relativi alla sicurezza delle informazioni (ad es. requisiti di valutazione del rischio) sono solo una parte del lavoro se un’organizzazione desidera ottenere la certificazione. La ISO 27001 richiede inoltre alle organizzazioni di eseguire la revisione della gestione dell’audit interno e il trattamento delle non conformità e delle azioni correttive.

Quanto tempo ci vuole per ottenere la certificazione ISO IEC 27001?

La tempistica del processo di certificazione ISO 27001, tra l’inizio dell’implementazione e il completamento dell’audit di certificazione, varia in base a molte variabili (es. risorse disponibili, esperienza con i requisiti della norma, coinvolgimento del top management, ecc.), ma l’intero processo generalmente richiede tra 3 e 12 mesi. Alcune organizzazioni eseguono un’analisi delle lacune rispetto ai requisiti standard per avere un’idea di quanto tempo impiegheranno per implementarla.

Quante aziende sono certificate ISO?

ISO 27001 è diventato lo standard di sicurezza delle informazioni più popolare al mondo e molte aziende si sono certificate contro di esso: qui puoi vedere il numero di certificati negli ultimi due anni:

Quali aziende sono certificate ISO 27001? Non esiste un elenco centrale ufficiale delle organizzazioni certificate ISO 27001, quindi le informazioni su quali aziende sono certificate ISO 27001 devono essere raccolte direttamente dalle società di certificazione ISO 27001.

Certificazione delle persone

Una persona può essere certificata ISO? Sì, un individuo può ottenere la certificazione ISO 27001 frequentando uno o più dei seguenti corsi di formazione:

  • Corso per Lead Auditor ISO 27001 : questa formazione è destinata agli auditor degli organismi di certificazione e ai consulenti.
  • Corso per Auditor interni ISO 27001 : questa formazione è destinata a persone che eseguiranno audit interni nella propria azienda.
  • Corso sui fondamenti ISO 27001 : questa formazione è destinata a persone che desiderano apprendere le basi dello standard e le fasi principali dell’implementazione.

Come posso ottenere la certificazione ISO?

Per ottenere la certificazione ISO 27001, devi frequentare un corso e superarne l’esame finale. L’esame di certificazione ISO 27001 copre sia domande teoriche che domande situazionali, in cui il candidato deve dimostrare come applicare i concetti appresi.

Quanto costa ottenere la certificazione ISO 27001?

Il costo della certificazione ISO/IEC 27001 per le organizzazioni dipende da un numero significativo di variabili, quindi ogni azienda dovrà preparare un budget molto diverso. I costi dell’implementazione e della certificazione dell’ISMS dipenderanno dalle dimensioni e dalla complessità dell’ambito dell’ISMS, che varia da organizzazione a organizzazione. Il costo dipenderà anche dai prezzi locali dei vari servizi che utilizzerai per l’implementazione.

In linea di massima, i principali costi sono relativi a:

  • Formazione e addestramento
  • Assistenza esterna
  • Tecnologie da aggiornare/implementare
  • Sforzo e tempo del dipendente
  • L’audit di certificazione

Una buona pratica prima di iniziare tale investimento è eseguire un’analisi delle lacune, per identificare lo stato attuale della sicurezza delle informazioni e un’aspettativa iniziale dello investimento richiesto.

Per quanto riguarda la certificazione delle persone, il costo dei corsi di formazione è disponibile nel nostro sito alla pagina https://sicert.net/corsi-formazione/

Per quanto tempo è valida la ISO 27001 una volta certificata?

Una volta che un organismo di certificazione rilascia un certificato ISO 27001 a un’azienda, è valido per un periodo di tre anni, durante i quali l’organismo di certificazione eseguirà audit di sorveglianza per valutare se l’organizzazione sta mantenendo correttamente l’ISMS e se vengono implementati i miglioramenti richiesti a tempo debito.

Quali aziende sono certificate ISO 27001?

Il sito web ISO.org fornisce una panoramica generale delle organizzazioni certificate, suddivise per settore, paese, numero di siti, ecc. Puoi trovare l’indagine ISO a questo link:  https://www.iso.org/the-iso-survey .html

Per verificare se una determinata azienda è certificata ISO 27001, è necessario contattare l’ente di certificazione, poiché non esiste un database centralizzato ufficiale delle aziende certificate.

Chi rilascia la certificazione ISO?

Prima di tutto, gli standard ISO sono pubblicati dall’Organizzazione internazionale per la standardizzazione (ISO), un organismo internazionale fondato dai governi di tutto il mondo. Il suo scopo è pubblicare gli standard come un modo per fornire conoscenza e migliori pratiche, quindi la stessa ISO non rilascia certificazioni.

I certificati per le aziende sono emessi da organizzazioni chiamate organismi di certificazione, che sono entità autorizzate dagli organismi di accreditamento a svolgere audit di certificazione e valutare se il sistema di gestione della sicurezza delle informazioni di un’azienda è conforme alla norma ISO IEC 27001.

Le certificazioni per gli individui sono rilasciate da organizzazioni chiamate fornitori di formazione e i corsi più rilevanti sono accreditati, il che garantisce che i certificati saranno riconosciuti in tutto il mondo.

INTERESSATO ALLA CERTIFICAZIONE?Contattaci!

Compila il form per avere maggiori informazioni oppure...

    SI Cert GroupSI Cert S.A.G.L
    IDI CHE-101.575.373
    SI Cert GroupSI Cert Italy S.r.l.
    Partita IVA 05808840655
    SI Cert GroupSI Cert Training Center S.r.l.s.
    Partita IVA 05808880651

    Copyright by SI Cert All rights reserved.

    Copyright by SI Cert All rights reserved.