Che cosa è
La ISO 27001:2005 è una metodologia che consente, attraverso diverse fasi di implementazione,
di regolamentare il trattamento dei Dati e delle Informazioni Aziendali
Le due norme per fasi di certificazione sono :
ISO 17799:2005 : la linea guida che presenta in modo approfondito le principali misure per garantire la sicurezza delle informazioni
ISO 27001:2005 : lo standard di riferimento per la certificazione dei Sistemi di Gestione della Sicurezza delle Informazioni (SGSI)
Queste norme sono correlate, infatti la 27001 riporta nell'Allegato A i 134 controlli indicati nell' ISO 17799:2005; essi saranno utilizzati nello Statement of Applicability per descrivere le decisioni prese in merito al trattamento del rischio.
Perché certificarsi
Obiettivo della Certificazione ISO 27001:2005 è quello di proteggere i Dati e le Informazioni Aziendali preservandone Integrità, Riservatezza e Disponibilità.
L'adozione di questo standard internazionale genera un adeguato Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
Con la Certificazione ISO 27001:2005 si ottengono i seguenti vantaggi e/o benefici :
- garanzia della sicurezza dei dati e delle informazioni aziendali
- offerta ai propri clienti di applicazioni sicure in termini di riservatezza, integrità e disponibilità dei dati e delle informazioni trattate
- sviluppo del proprio business attraverso la riduzione dei rischi informatici e la conseguente riduzione degli impatti negativi in termini operativi ed industriali
- continuo aggiornamento delle proprie infrastrutture tecniche ed organizzative
- attenzione verso la Business Continuty
- migliore gestione delle relazioni con Terze Parti
- valore aggiunto di distinzione nel proprio mercato di riferimento
- fidelizzazione dei propri Clienti
- compatibilità legale
Cosa deve fare l'Azienda
Prima di procedere con la certificazione ISO 27001:2005, l'Azienda deve definire il suo Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
Definire un SGSI coerente con la norma ISO 17799:2005 significa normalizzare i flussi organizzativi interni, regolamentare i controlli e definire le procedure e le istruzioni operative da eseguire in relazione all'ambito che l'Azienda intende sottoporre a certificazione.
Le principali aree tematiche che verranno analizzate all'interno del progetto sono :
- Definizione delle politiche di sicurezza aziendali
- Creazione della struttura organizzativa
- Classificazione delle risorse
- Gestione e formazione del personale
- Analisi e organizzazione della sicurezza fisica
- Gestione operativa e delle telecomunicazioni
- Controllo degli accessi logici
- Gestione e sviluppo dei sistemi
- Business Continuity
- Compatibilità legale
Il SGSI, al termine degli interventi potrà essere sottoposto a certificazione in base alla norma ISO 27001:2005 da parte di un ente accreditato. La certificazione diviene un importante veicolo per trasferire in modo tangibile ai Clienti, Fornitori e Partner il livello di sicurezza raggiunto.
Noi cosa facciamo per Voi
E' consigliabile che le Aziende che intendono adottare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) e/o successivamente certificarsi si avvalgano di una consulenza esterna.
La nostra consulenza guida il Cliente nella fase di impostazione dell'SGSI e successivamente collabora al mantenimento della struttura nel rispetto delle continue evoluzioni del sistema di protezione e delle minacce informatiche.
Secure Group ha personale certificato ISO 27001:2005 per aiutare le aziende a compiere questo passo ed è a sua volta una Azienda certificata.
|
