Certificazione di Sistema di Gestione delle Informazioni secondo la norma ISO/IEC 27001

Un’organizzazione, sia essa privata o pubblica, detiene una grande quantità di informazioni inerenti i processi propri e/o della propria clientela/utenza, informazioni talvolta cruciali per la sopravvivenza stessa dell’organizzazione.
Inoltre, alcune leggi e direttive cogenti comportano una serie di ripercussioni in caso di mancata applicazione di misure adeguate per la protezione delle informazioni e per il loro uso scorretto.
Una corretta identificazione dei beni dell’organizzazione (assets) ed un’attenta valutazione dei rischi ad essi collegati permettono di comprendere i potenziali impatti che la perdita di riservatezza, integrità e disponibilità delle informazioni potrebbero avere sull’organizzazione e sui suoi clienti/utenti.
Il conseguimento della certificazione diventa quindi uno strumento divulgativo e competitivo di razionalizzazione e di corretta gestione, che evidenzia alla parti interessate l’impegno profuso nella salvaguardia delle informazioni e nel rispetto delle leggi.

Obiettivi e Vantaggi
Gli obiettivi di un Sistema di Gestione per la Sicurezza delle Informazioni sono:
- la riservatezza delle informazioni, cioè assicurare che le informazioni siano accessibili solo a chi è autorizzato ad averne accesso;
- l’integrità delle informazioni, cioè salvaguardare l'accuratezza e la completezza delle informazioni e dei metodi di elaborazione;
- la disponibilità delle informazioni, cioè assicurare che solo gli utenti autorizzati abbiano accesso alle informazioni e ai beni collegati quando richiesto e/o necessario.
L’adozione di un Sistema di Gestione per la Sicurezza delle Informazioni permette di:
- assicurare la continuità del business, inteso come assicurazione della continuità dei servizi erogati da un’organizzazione alla propria clientela/utenza, anche in caso di incidente alla sicurezza, sia esso accidentale (colposo) o doloso;
- minimizzare i danni, data l’impossibilità di eliminare il rischio di incidenti;
- massimizzare il rendimento del capitale investito e le opportunità di miglioramento;
- assicurare la continuità dei servizi e minimizzare i danni in caso di incidente, con investimenti che possono essere massimizzati se adeguatamente quantificati, monitorati e gestiti. In tal senso l’adozione di un SGSI assicura l’individuazione delle opportunità di miglioramento sia in termini di sicurezza sia in termini di rendimento degli investimenti.
L’integrazione con i Sistemi di Gestione per la Qualità (UNI EN ISO 9001) e/o per la Gestione dei Servizi IT (ISO/IEC 20000-1) rende questo standard in una straordinaria opportunità di razionalizzazione e miglioramento dei processi interni.

Come opera TÜV Italia
Come ente terzo accreditato per questo schema da Accredia, l’ente di accreditamento italiano.

Procedure di certificazione
Le principali fasi dell’iter certificativo comprendono:
- pre-audit (su richiesta): verifica preliminare per analizzare le eventuali lacune e per valutare la conformità del cliente ai requisiti della norma;
- verifica di I° stadio: verifica di adempimento ai requisiti legislativi applicabili e della documentazione del Sistema di Gestione per la Sicurezza delle Informazioni ai requisiti normativi;
- verifica di II° stadio: verifica per il raggiungimento della certificazione attraverso il controllo dell’implementazione del sistema di gestione, l’analisi dei documenti, osservazioni su campo, interviste al personale, il cui esito positivo conduce all’emissione del certificato;
- sorveglianza: visite periodiche per controllare la stabilità e i progressi del sistema nel corso dei 3 anni di validità del certificato.
Validità della certificazione
Triennale, subordinata ad una verifica annuale che ha l’obiettivo di riconfermare la validità del certificato.
Al termine dei 3 anni è possibile rinnovare la certificazione secondo l’iter precedentemente descritto.