L’iperbolica diffusione della tecnologia, l’avvento del regolamento generale sulla protezione dei dati (GDPR) e l’incubo dei violazione dei sistemi ITC da parte di hacker, hanno acceso l’attenzione sullo schema ISO IEC 27001.
Le perdite annue dovute al crimine informatico potrebbero arrivare a 2 trilioni di dollari entro il prossimo anno.
L'applicazione della ISO/IEC 27001 Information Security Management Systems (ISMS) ti consente di abbattere il rischio del 75% gestendo inoltre la sicurezza delle tue informazioni siano esse finanziarie, proprietà intellettuali, know how o dati personali.
La sicurezza del tuo patrimonio informativo purtroppo non è solo una mera questione di cybersecurity. Non sarà sufficiente ingaggiare il miglior ethical hacker su piazza per essere al sicuro o investire come dichiarato dall’AD di Microsoft S. Nadella 1 miliardo di dollari ogni anno in sicurezza informatica.
Il Fattore umano in tema di sicurezza è ancora oggi la più grande minaccia per la tua infrastruttura. L'applicazione dello standard abbatte il rischio di errori del tuo personale del 50%.
GDPR (art. 42) e sempre più sovente l’ufficio acquisti di aziende strutturate richiedono una certificazione di data protection. La ISO 27001 aiuterà la tua conformità (55%) e incrementerà la fiducia nel tuo brand (80%).
La fonte dei dati percentuali citati è il BSI Benefit Survey.
ISO/IEC 27000
Contenuti dello Standard ISO/IEC 27001
- Politiche per la sicurezza delle informazioni (lineguida e regolamenti)
- Organizzazione delle sicurezza delle informazioni
- Ruoli e responsabilità (controllo e guida attuativa), Segregazione
- Dispositivi portatili e telelavoro
- Sicurezza delle risorse umane (prima, durante e cessazione del rapporto di lavoro)
- Screening e Termini e condizioni d’impiego
- Consapevolezza, istruzione, addestramento sulla sicurezza delle informazioni
- Gestione degli asset
- Inventario, responsabilità e uso accettabile
- Controllo degli accessi
- Accesso alle reti e ai servizi di rete
- Registrazione, Provisioning e diritti d’accesso degli utenti
- Crittografia
- Sicurezza fisica e ambientale
- Perimetro di sicurezza fisica, minacce, protezione apparecchiature e cablaggi
- Sicurezza delle attività operative
- Procedure operative documentate, gestione cambiamenti e capacità
- Protezione da malware, Backup, Log, Controllo software e gestione vulnerabilità
- Sicurezza delle comunicazioni
- Controlli e sicurezza delle reti
- Gestione trasferimento delle informazione, Accordi di riservatezza
- Acquisizione, sviluppo e manutenzione dei sistemi
- Relazioni con i fornitori
- Filiera di fornitura ICT
- Gestione degli incidenti relativi alla sicurezza delle informazioni
-
SGI
Il Sistema di Gestione per la sicurezza delle Informazioni è lo strumento per prevenire e difendere la tua organizzazione dai rischi informatici.
I clienti finali, che siano società o consumatori, vogliono garanzie sulla protezione dei loro dati ed delle loro informazioni. Lo standard incrementerà la tua competitività del 53% e ti proteggerà da:
- Perdita e/o furto di dati Interruzione dell’operatività aziendale con connessi danni economici
- Danno d’immagine
- Perdita di fiducia da parte degli stakeholder
-
Vuoi mettere al sicuro il tuo patrimonio di dati?
Scrivici a grc@imteam.it
La Soluzione GRC
Prima parte
- Definizione dell’ambito e iniziale Risk Assessment;
- Formazione e sensibiliszzazione del personale;
- Pianificazione: A seguito della valutazione del rischio sarà concordato un piano di trattamento del rischio e di messa in opera del sistema di gestione ISO/IEC 27001 con reports di stato avanzamento lavori;
- Realizzazione dei controlli di sicurezza: Messa in opera dei controlli (documentali e operativi) di sicurezza presenti nell’allegato A ISO/IEC;
- Implementazioni Policy:
- Gestione del personale
- Gestione dell’asset inventory
- Gestione della sicurezza fisica
- Change management
- Gestione della conduzione dei sistemi e delle applicazioni
- Gestione dei fornitori (inclusi i fornitori di hosting e housing, connettività, sviluppo software, servizi di supporti quali pulizie e guardiania)
- Gestione del controllo degli accessi informatici (del personale interno, dei fornitori e dei clienti a livello fisico, sistemistico e applicativo)
- Incident Management e gestione delle richieste dei clienti
- Business Continuity Management
Parte seconda
-
Realizzazione del sistema di gestione e predisposposizione della seguente documentazione:
- Politica di Sicurezza delle Informazioni;
- Definizione dei ruoli e responsabilità, inclusi quelli relativi alla Direzione (Top Management);
- Procedura di gestione della documentazione e delle registrazioni;
- Procedura di gestione degli audit interni;
- Procedura di gestione del miglioramento (Azioni Correttive e Preventive);
- Dichiarazione di applicabilità (Statement of Applicability, SOA);
- Definizione degli indicatori di sicurezza;
- Definizione di un modello di Riesame della Direzione.
- Supporto alla gestione della documentazione;
- Revisione del Risk Assessment;
- Riesame della Direzione con definizione dei ruoli e responsabilità;
- Definizione dela Politica di Sicurezza delle Informazioni e del Sistema di gestione documentale;
- Definizione indicatori e messa in opera del sistema di raccolta;
Terza Parte
- Preparazione dell’audit con esecuzione audit interni;
- Supporto durante l'audit dell'Ente di certificazione
-
La famiglia ISO/IEC 27000
La famiglia ISO / IEC 27000 raccoglie più di 40 standard internazionali e risponde all’esigenza di gestire la sicurezza delle informazione, individuarne le vulnerabilità e rendere il sistema resiliente. La ISO / IEC 27000 fornisce un vocabolario condiviso in materia, la ISO / IEC 27005 gestisce il rischio, Le ISO / IEC 27017 e ISO / IEC 27018 si preoccupano della sicurezza del cloud, le ISO / IEC 27042 e ISO / IEC 27043 si occupano rispettivamente di tecniche forensi utilizzate per analizzare prove digitali e di indagare sugli incidenti.
ISO 27701
Lo standard ISO/IEC 27701 (Tecniche di sicurezza – Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni sulla privacy – Requisiti e linee guida), di recente pubblicazione, rappresenta un importante passo in avanti nella definizione di schemi di certificazione dei trattamenti di dati personali e di raccordo al Regolamento europeo 679/2016 - GDPR.