ISO/IEC 27001 - Information Security Management System

L’iperbolica diffusione della tecnologia, l’avvento del regolamento generale sulla protezione dei dati (GDPR) e l’incubo dei violazione dei sistemi ITC da parte di hacker, hanno acceso l’attenzione sullo schema ISO IEC 27001.

Le perdite annue dovute al crimine informatico potrebbero arrivare a 2 trilioni di dollari entro il prossimo anno. 

L'applicazione della ISO/IEC 27001 Information Security Management Systems (ISMS) ti consente di abbattere il rischio del 75% gestendo inoltre la sicurezza delle tue informazioni siano esse finanziarie, proprietà intellettuali, know how o dati personali.

La sicurezza del tuo patrimonio informativo purtroppo non è solo una mera questione di cybersecurity. Non sarà sufficiente ingaggiare il miglior ethical hacker su piazza per essere al sicuro o investire come dichiarato dall’AD di Microsoft S. Nadella 1 miliardo di dollari ogni anno in sicurezza informatica.

Il Fattore umano in tema di sicurezza è ancora oggi la più grande minaccia per la tua infrastruttura. L'applicazione dello standard abbatte il rischio di errori del tuo personale del 50%.

GDPR (art. 42) e sempre più sovente l’ufficio acquisti di aziende strutturate richiedono una certificazione di data protection. La ISO 27001 aiuterà la tua conformità (55%) e incrementerà la fiducia nel tuo brand (80%).

La fonte dei dati percentuali citati è il BSI Benefit Survey.

ISO/IEC 27000

Contenuti dello Standard ISO/IEC 27001

  • Politiche per la sicurezza delle informazioni (lineguida e regolamenti)
  • Organizzazione delle sicurezza delle informazioni
    • Ruoli e responsabilità (controllo e guida attuativa), Segregazione
    • Dispositivi portatili e telelavoro 
  • Sicurezza delle risorse umane (prima, durante e cessazione del rapporto di lavoro)
    • Screening e Termini e condizioni d’impiego
    • Consapevolezza, istruzione, addestramento sulla sicurezza delle informazioni
  • Gestione degli asset
    • Inventario, responsabilità e uso accettabile
  • Controllo degli accessi
    • Accesso alle reti e ai servizi di rete
    • Registrazione, Provisioning e diritti d’accesso degli utenti
  • Crittografia
  • Sicurezza fisica e ambientale
    • Perimetro di sicurezza fisica, minacce, protezione apparecchiature e cablaggi
  • Sicurezza delle attività operative
    • Procedure operative documentate, gestione cambiamenti e capacità
    • Protezione da malware, Backup, Log, Controllo software e gestione vulnerabilità
  • Sicurezza delle comunicazioni
    • Controlli e sicurezza delle reti
    • Gestione trasferimento delle informazione, Accordi di riservatezza
  • Acquisizione, sviluppo e manutenzione dei sistemi
  • Relazioni con i fornitori
    • Filiera di fornitura ICT
  • Gestione degli incidenti relativi alla sicurezza delle informazioni
  • SGI

    Il Sistema di Gestione per la sicurezza delle Informazioni è lo strumento per prevenire e difendere la tua organizzazione dai rischi informatici. 

    I clienti finali, che siano società o consumatori, vogliono garanzie sulla protezione dei loro dati ed delle loro informazioni. Lo standard incrementerà la tua competitività del 53% e ti proteggerà da:

    - Perdita e/o furto di dati Interruzione dell’operatività aziendale con connessi danni economici

    - Danno d’immagine

    - Perdita di fiducia da parte degli stakeholder

  • Vuoi mettere al sicuro il tuo patrimonio di dati?

    Scrivici a grc@imteam.it

La Soluzione GRC

Prima parte

  • Definizione dell’ambito e iniziale Risk Assessment;
  • Formazione e sensibiliszzazione del personale;
  • Pianificazione: A seguito della valutazione del rischio sarà concordato un piano di trattamento del rischio e di messa in opera del sistema di gestione ISO/IEC 27001 con reports di stato avanzamento lavori;
  • Realizzazione dei controlli di sicurezza: Messa in opera dei controlli (documentali e operativi) di sicurezza presenti nell’allegato A ISO/IEC;
  • Implementazioni Policy:
    • Gestione del personale
    • Gestione dell’asset inventory
    • Gestione della sicurezza fisica
    • Change management
    • Gestione della conduzione dei sistemi e delle applicazioni
    • Gestione dei fornitori (inclusi i fornitori di hosting e housing, connettività, sviluppo software, servizi di supporti quali pulizie e guardiania)
    • Gestione del controllo degli accessi informatici (del personale interno, dei fornitori e dei clienti a livello fisico, sistemistico e applicativo)
    • Incident Management e gestione delle richieste dei clienti
    • Business Continuity Management

Parte seconda

  • Realizzazione del sistema di gestione e predisposposizione della seguente documentazione:

    • Politica di Sicurezza delle Informazioni;
    • Definizione dei ruoli e responsabilità, inclusi quelli relativi alla Direzione (Top Management);
    • Procedura di gestione della documentazione e delle registrazioni;
    • Procedura di gestione degli audit interni;
    • Procedura di gestione del miglioramento (Azioni Correttive e Preventive);
    • Dichiarazione di applicabilità (Statement of Applicability, SOA);
    • Definizione degli indicatori di sicurezza;
    • Definizione di un modello di Riesame della Direzione.
  • Supporto alla gestione della documentazione;
  • Revisione del Risk Assessment;
  • Riesame della Direzione con definizione dei ruoli e responsabilità;
  • Definizione dela Politica di Sicurezza delle Informazioni e del Sistema di gestione documentale;
  • Definizione indicatori e messa in opera del sistema di raccolta;

Terza Parte

  • Preparazione dell’audit con esecuzione audit interni;
  • Supporto durante l'audit dell'Ente di certificazione
  • La famiglia ISO/IEC 27000

    La famiglia ISO / IEC 27000 raccoglie più di 40 standard internazionali e risponde all’esigenza di gestire la sicurezza delle informazione, individuarne le vulnerabilità e rendere il sistema resiliente. La ISO / IEC 27000 fornisce un vocabolario condiviso in materia, la ISO / IEC 27005 gestisce il rischio, Le ISO / IEC 27017 e ISO / IEC 27018 si preoccupano della sicurezza del cloud,  le ISO / IEC 27042 e ISO / IEC 27043 si occupano rispettivamente di tecniche forensi utilizzate per analizzare prove digitali e di indagare sugli incidenti.

ISO 27017

La 27017 e introduce controlli avanzati specifici per i servizi cloud, incrementando i 37 controlli previsti dalla ISO/IEC 27002 con 7 ulteriori elementi di verifica, pensati appositamente per il cloud service

ISO 27018

Se sei un cloud provider e necessiti di dare maggiori garanzie ai tuoi clienti in merito alla gestione dei PII - Personally Identifiable Information (Dati relativi a persone fisiche) la 27018 ti aiuta a rispettare gli obblighi del regolamento UE 679/2016

ISO 27701

Lo standard ISO/IEC 27701 (Tecniche di sicurezza – Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni sulla privacy – Requisiti e linee guida), di recente pubblicazione, rappresenta un importante passo in avanti nella definizione di schemi di certificazione dei trattamenti di dati personali e di raccordo al Regolamento europeo 679/2016 - GDPR.

La nostra Filosofia
IMteam Group
Cosa facciamo
Il metodo GRC