Un Sistema di Gestione di Sicurezza delle Informazioni (SGSI) conforme allo standard ISO/IEC 27001:2013 è lo strumento, internazionalmente riconosciuto, attraverso il quale un’organizzazione può dimostrare di essere in grado di tutelare il proprio patrimonio informativo (o quello di terzi a lei affidato).

Ma che si deve intendere per “informazione”? E’ un asset dell’organizzazione che, come altri importanti asset o risorse aziendali, risulta essenziale per il business dell’organizzazione e di conseguenza deve essere adeguatamente “protetto”.

Le informazioni da proteggere sono indipendenti dal loro formato, perchè la ISO/IEC 27001:2013 non è una norma esclusiva per il mondo IT o dell’informatica in generale, perchè governa documenti cartacei, comunicazioni verbali, conversazioni in luoghi pubblici, lettere e mail scambiate con clienti e fornitori, brevetti, segreti industriali che se dovessero venire di dominio pubblico o disponibili alla concorrenza creerebbero danni importanti all’azienda, economici o d’immagine.

Lo standard consente l’identificazione e l’aggiornamento costante dei processi riguardanti il controllo della sicurezza fisica, logica ed organizzativa; l’analisi dei rischi per l’identificazione delle misure idonee di sicurezza; la gestione di opportune procedure e istruzioni operative frequentemente aggiornate; il monitoraggio dei processi aziendali.

La norma ISO/IEC 27001 è l’unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un SGSI ed è progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati. In questo modo è possibile proteggere le informazioni dai rischi interni ed esterni, dare fiducia agli stakeholders.

La norma ISO/IEC ISO 27001 mira a garantire il mantenimento della riservatezza, integrità e disponibilità dell’informazione, in aggiunta ad altre caratteristiche che possono essere considerate quali autenticità, non ripudio ed affidabilità:

  • la riservatezza è la proprietà per cui l’informazione non è resa disponibile o rivelata a individui, entità o processi non autorizzati;
  • l’integrità: è la proprietà relativa alla salvaguardia dell’accuratezza e della completezza delle informazioni e dei beni ad esse collegati;
  • la disponibilità  è la proprietà di essere accessibile e utilizzabile su richiesta di un’entità autorizzata.

Come avviene la certificazione?

Audit di certificazione

  • Stage 1: lo Stage 1 dell’iter di certificazione del Sistema di Gestione di Sicurezza delle Informazioni (SGSI), è eseguito presso l’Organizzazione certificanda e consiste nell’analisi documentale del sistema di gestione: da un’opera di pianificazione, si passa ad un’opera di esecuzione. Se il risultato è positivo, si approda allo stage 2;
  • Stage 2: lo Stage 2 dell’iter di certificazione del SGSI, eseguito in campo permette di valutare la conformità del sistema di gestione alle attività e oggetto del campo di applicazione del sistema. Se l’esito è positivo, si delibera la Certificazione.

Audit di movimento

Gli audit di mantenimento hanno lo scopo di valutare il permanere della conformità del SGSI e l’efficace ed efficiente trattamento di eventuali rilievi (che APAVE CERTIFICATION ITALIA classifica in Non-Conformità, Osservazioni e Commenti) riscontrati negli audit precedenti.

Audit di rinnovo

Ogni tre anni, APAVE CERTIFICATION ITALIA esegue un audit avente lo scopo di valutare la complessiva e continua efficacia del SGSI. Tale attività tiene conto delle prestazioni del SGSI nell’intero periodo di certificazione trascorso comprendendo un riesame della documentazione eseguendo un audit che valuta l’intero SGSI.

Quali vantaggi porta la certificazione di sistemi di gestione per la sicurezza delle informazioni?

La certificazione costituisce una garanzia per l’organizzazione e per il mercato cui si rivolge in termini di protezione dei propri dati di Business. Ciò consente all’azienda di:

  • attuare sistematicamente la politica di sicurezza informazioni;
  • applicare una gestione globale dei rischi legati alla sicurezza delle informazioni e sistemi corrispondenti;
  • attuare un monitoraggio efficace dei settori a rischio;
  • definire ed attuare idonei obiettivi ed interventi di sicurezza;
  • rispettare i principi legislativi e contrattuali;
  • attuare metodiche generali (tecniche, come ad esempio Vulnerability assessment, test penetration ed organizzative);
  • eseguire un’analisi sistematica dei rischi;
  • dare garanzie a se stessa e ai terzi.
Normativa di riferimento
ISO/IEC 27001

La normativa Sistemi di gestione di sicurezza delle Informazioni fissa i requisiti di un sistema di gestione in grado di proteggere le informazioni di business di un’organizzazione.

Leggi di più su Accredia