Certificazione di Sistema di Gestione delle Informazioni secondo la norma ISO/IEC 27001
Un’organizzazione, sia privata che pubblica, detiene una grande quantità di informazioni, inerenti i propri processi e/o i processi della propria clientela/utenza. Queste informazioni sono talvolta cruciali per la stessa sopravvivenza dell’organizzazione.Inoltre, alcune leggi e direttive cogenti comportano serie ripercussioni in caso di mancata applicazione di contromisure adeguate per la protezione delle informazioni.
Un’adeguata identificazione dei beni dell’organizzazione (assets) ed una attenta valutazione dei rischi ad essi collegati permette di comprendere in modo consapevole i potenziali impatti che la perdita di riservatezza, integrità e disponibilità delle informazioni potrebbero avere sull’organizzazione e sui suoi clienti/utenti.
Il conseguimento della certificazione diventa in tal senso strumento divulgativo e competitivo che evidenzia alla parti interessate l’impegno profuso nella salvaguardia delle informazioni e nel rispetto delle leggi.
- Obiettivi e Vantaggi
Gli obiettivi di un Sistema di Gestione per la Sicurezza delle Informazioni sono:- la riservatezza delle informazioni, cioè assicurare che le informazioni siano accessibili solo a chi è autorizzato ad averne accesso;
- l’integrità delle informazioni, cioè salvaguardare l'accuratezza e la completezza delle informazioni e dei metodi di elaborazione;
- la disponibilità delle informazioni, cioè assicurare che gli utenti autorizzati abbiano accesso alle informazioni e ai beni collegati quando richiesto e/o necessario.
-
L’adozione di un Sistema di Gestione per la Sicurezza delle Informazioni permette di:
- assicurare la continuità del business, inteso come assicurazione della continuità dei servizi erogati da un’organizzazione alla propria clientela/utenza, anche in caso di incidente alla sicurezza sia esso incidentale o doloso;
- minimizzare i danni, data l’impossibilità di eliminare il rischio di incidenti, ogni organizzazione può analizzare i rischi e decidere per una minimizzazione dei danni derivanti da eventuali incidenti;
- massimizzare il rendimento del capitale investito e le opportunità di miglioramento, assicurare la continuità dei servizi e minimizzare i danni in caso di incidente comporta degli investimenti che possono essere massimizzati se adeguatamente quantificati, monitorati e gestiti. In tal senso l’adozione di un SGSI assicura l’individuazione delle opportunità di miglioramento sia in termini di sicurezza sia in termini di rendimento degli investimenti.
- Come opera TÜV Italia
Come ente terzo accreditato da Accredia, l’ente di accreditamento italiano, per questo schema - Procedure di certificazione
Le principali fasi dell'iter comprendono- Pre-audit (su richiesta): verifica preliminare per analizzare le eventuali lacune e per valutare la conformità del cliente ai requisiti della norma.
- Verifica di I° stadio: verifica di adempimento ai requisiti legislativi applicabili e della documentazione del Sistema di Gestione per la Sicurezza delle Informazioni ai requisiti normativi.
- Verifica di II° stadio: verifica per il raggiungimento della certificazione attraverso il controllo dell’implementazione del sistema di gestione, l’analisi dei documenti, osservazioni su campo, interviste al personale, il cui esito positivo conduce all’emissione del certificato.
- Sorveglianza: visite periodiche per controllare la stabilità e i progressi del sistema nel corso dei 3 anni di validità del certificato.
- Validità della Certificazione
Tre anni, subordinata ad una verifica annuale che ha l’obiettivo di riconfermare la validità del certificato.
Al termine dei tre anni è possibile rinnovare la certificazione secondo l’iter precedentemente descritto
