Consulenza ISO 27001: il nostro approccio e le fasi del progetto

Insieme verso l’eccellenza
per un mondo più sicuro, sostenibile e responsabile

Consulenza ISO 27001: il nostro approccio e le fasi del progetto

Il nostro Studio di Consulenza aiuterà il cliente a prepararsi per la certificazione ISO/IEC 27001, supportandolo dall’allineamento all’implementazione della struttura dell’Information Security Management, scrivendo politiche e procedure per supportare l’ISMS o definendo l’implementazione dei controlli di security per ridurre il livello di rischio seguendo l’approccio descritto nei punti sottostanti.

Consulenza ISO/IEC 27001:

1° step – Impegno e sostegno del Management

Uno dei requisiti della norma ISO/IEC 27001 è la motivazione e la direzione da parte del Top Management, al quale è richiesto di impegnarsi attivamente nel garantire la direzione dell’ISMS che, a sua volta, deve essere compatibile con le strategie aziendali, oltre a prevedere alcuni aspetti chiave, quali politiche e obiettivi.
Un’implementazione di successo dipende proprio dal Management, che ne deve comprendere le ragioni e appoggiarne pienamente la progettazione e il funzionamento.

2° step – Messa a punto di un piano

Il successo del sistema è tanto più probabile se si mette a punto un piano significativo e realistico, se si misurano le prestazioni sulla base del piano e se si è pronti a modificarlo di fronte a situazioni impreviste.

3° step – Comprensione della norma e dei propri stakeholder

Avere le idee chiare sul perché dell’implementazione dello standard, così come su chi può influenzare il vostro ISMS, o esserne influenzato, vi aiuterà a capire come meglio progettare il vostro sistema di gestione.

4° step – Processi di gestione

I seguenti processi, così come la relativa comprensione da parte del Top Management, sono fondamentali per l’effettiva attuazione del vostro ISMS:

  • Conoscere bene il proprio mercato, stakeholder, rischi, obiettivi e strategie vi aiuterà non solo a definire e capire meglio il contesto, ma anche a contribuire alla guida dell’ISMS e all’etica del miglioramento continuo;
  • Assegnare risorse adeguate (in termini di risorse umane, tecnologiche, tempo e denaro) per lo sviluppo, attuazione e controllo del vostro ISMS;
  • Gli Audit interni servono a verificare che il sistema di gestione funziona come previsto ed è in grado di identificare non solo le eventuali non-conformità del sistema, ma anche le opportunità di miglioramento;
  • Il riesame della direzione offre l’opportunità al Top Management di valutare come il sistema di gestione stia funzionando e sia di supporto al business;
  • Assicurarsi di avere, all’interno della propria organizzazione, personale correttamente formato e competente.

5° step – Definizione del campo di applicazione

È essenziale definire accuratamente il campo di applicazione del vostro ISMS, in modo da identificare i confini sia logici che fisici del vostro sistema di gestione della sicurezza delle informazioni e delle responsabilità per la sicurezza.

6° step – Politica ISMS

Definite la vostra politica ISMS in termini di caratteristiche del business, organizzazione, ubicazione, asset e tecnologia.

7° step – Valutazione e gestione dei rischi

La valutazione dei rischi è il fondamento su cui viene costruito l’SGSI.
Il processo dovrebbe prendere in considerazione le minacce e le vulnerabilità e le eventuali opportunità connesse alle attività e all’impatto del loro utilizzo. Infine, è necessario determinare il livello di rischio e identificare i controlli da attuare per gestire tali rischi.

8° step – Trattamento del rischio

I livelli di rischio, identificati per mezzo di una valutazione del rischio, vengono poi confrontati con il livello di rischio accettabile stabilito dalle politiche di sicurezza dell’organizzazione. Una volta determinati i livelli di rischio, vanno implementati i controlli per la relativa mitigazione.

9° step – Gap analysis

Con quest’attività condotta da un nostro valutatore è possibile non solo concentrarsi su aree critiche del sistema, ad alto rischio o con punti di debolezza, al fine di rendere il sistema certificabile, ma anche verificare come i sistemi di gestione o le procedure esistenti possano essere valorizzati all’interno della norma di riferimento.

10° step – Certificazione

La certificazione consiste in una valutazione esterna del sistema di gestione della sicurezza delle informazioni atta a verificarne la capacità di soddisfare i requisiti della norma ISO 27001. Si tratta solitamente di un processo in due fasi, costituito da:

  • un’analisi del sistema;
  • e da una valutazione iniziale, la cui durata dipende dalla dimensione e dalla natura dell’organizzazione.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

  • Sistema di Gestione per la Qualità ISO 9001
  • Sistema di Gestione Ambientale ISO 14001
  • Sistema di Gestione per la Sicurezza delle Informazioni ISO 27001
  • Sistema di Gestione per la Salute e Sicurezza nei luoghi di Lavoro ISO 45001
  • Sistema di Gestione per la Continuità Operativa ISO 22301
  • Sistema di Gestione per la Sicurezza dei Dati Personali ISO 27701
  • Sistema di Gestione Anticorruzione ISO 37001
  • Sistema di Gestione dei Servizi IT ISO 20000
  • Sistema di Gestione per la Parità di Genere UNi PdR/125
  • Consulenza Modello Organizzativo 231
  • Consulenza per la Responsabilità Sociale SA8000
  • Consulenza per la Sicurezza Alimentare ISO 22000
 

Consulenza Sistemi di Gestione Aziendali – Studio Rabaioli