Consulenza ISO 27001: il nostro approccio e le fasi del progetto
Il nostro Studio di Consulenza aiuterà il cliente a prepararsi per la certificazione ISO/IEC 27001, supportandolo dall’allineamento all’implementazione della struttura dell’Information Security Management, scrivendo politiche e procedure per supportare l’ISMS o definendo l’implementazione dei controlli di security per ridurre il livello di rischio seguendo l’approccio descritto nei punti sottostanti.
Consulenza ISO/IEC 27001:
1° step – Impegno e sostegno del Management
Uno dei requisiti della norma ISO/IEC 27001 è la motivazione e la direzione da parte del Top Management, al quale è richiesto di impegnarsi attivamente nel garantire la direzione dell’ISMS che, a sua volta, deve essere compatibile con le strategie aziendali, oltre a prevedere alcuni aspetti chiave, quali politiche e obiettivi.
Un’implementazione di successo dipende proprio dal Management, che ne deve comprendere le ragioni e appoggiarne pienamente la progettazione e il funzionamento.
2° step – Messa a punto di un piano
Il successo del sistema è tanto più probabile se si mette a punto un piano significativo e realistico, se si misurano le prestazioni sulla base del piano e se si è pronti a modificarlo di fronte a situazioni impreviste.
3° step – Comprensione della norma e dei propri stakeholder
Avere le idee chiare sul perché dell’implementazione dello standard, così come su chi può influenzare il vostro ISMS, o esserne influenzato, vi aiuterà a capire come meglio progettare il vostro sistema di gestione.
4° step – Processi di gestione
I seguenti processi, così come la relativa comprensione da parte del Top Management, sono fondamentali per l’effettiva attuazione del vostro ISMS:
- Conoscere bene il proprio mercato, stakeholder, rischi, obiettivi e strategie vi aiuterà non solo a definire e capire meglio il contesto, ma anche a contribuire alla guida dell’ISMS e all’etica del miglioramento continuo;
- Assegnare risorse adeguate (in termini di risorse umane, tecnologiche, tempo e denaro) per lo sviluppo, attuazione e controllo del vostro ISMS;
- Gli Audit interni servono a verificare che il sistema di gestione funziona come previsto ed è in grado di identificare non solo le eventuali non-conformità del sistema, ma anche le opportunità di miglioramento;
- Il riesame della direzione offre l’opportunità al Top Management di valutare come il sistema di gestione stia funzionando e sia di supporto al business;
- Assicurarsi di avere, all’interno della propria organizzazione, personale correttamente formato e competente.
5° step – Definizione del campo di applicazione
È essenziale definire accuratamente il campo di applicazione del vostro ISMS, in modo da identificare i confini sia logici che fisici del vostro sistema di gestione della sicurezza delle informazioni e delle responsabilità per la sicurezza.
6° step – Politica ISMS
Definite la vostra politica ISMS in termini di caratteristiche del business, organizzazione, ubicazione, asset e tecnologia.
7° step – Valutazione e gestione dei rischi
La valutazione dei rischi è il fondamento su cui viene costruito l’SGSI.
Il processo dovrebbe prendere in considerazione le minacce e le vulnerabilità e le eventuali opportunità connesse alle attività e all’impatto del loro utilizzo. Infine, è necessario determinare il livello di rischio e identificare i controlli da attuare per gestire tali rischi.
8° step – Trattamento del rischio
I livelli di rischio, identificati per mezzo di una valutazione del rischio, vengono poi confrontati con il livello di rischio accettabile stabilito dalle politiche di sicurezza dell’organizzazione. Una volta determinati i livelli di rischio, vanno implementati i controlli per la relativa mitigazione.
9° step – Gap analysis
Con quest’attività condotta da un nostro valutatore è possibile non solo concentrarsi su aree critiche del sistema, ad alto rischio o con punti di debolezza, al fine di rendere il sistema certificabile, ma anche verificare come i sistemi di gestione o le procedure esistenti possano essere valorizzati all’interno della norma di riferimento.
10° step – Certificazione
La certificazione consiste in una valutazione esterna del sistema di gestione della sicurezza delle informazioni atta a verificarne la capacità di soddisfare i requisiti della norma ISO 27001. Si tratta solitamente di un processo in due fasi, costituito da:
- un’analisi del sistema;
- e da una valutazione iniziale, la cui durata dipende dalla dimensione e dalla natura dell’organizzazione.