Informazioni sulla certificazione e sulla conformità allo standard ISO/IEC 27001
Lo standard ISO 27001 specifica i requisiti delle policy, procedure e processi che costituiscono il sistema di gestione della sicurezza informatica di un’azienda (noto anche con l’acronimo inglese ISMS). Questo standard internazionale è stato sviluppato per disporre di un modello nella creazione, implementazione, funzionamento, monitoraggio, revisione, mantenimento e miglioramento dell’ISMS.
Lo standard ISO 27001 utilizza un approccio dall’alto al basso basato sul rischio. L’ottenimento della certificazione per questo standard non si basa sul rispetto di una serie predefinita di norme; al contrario, un’organizzazione riceve la certificazione in base a diversi controlli specifici per i rischi in cui incorre. Tali controlli includono la Dichiarazione di applicabilità dell’azienda, un documento utilizzato dai revisori ISO per effettuare la certificazione.
La certificazione ISO 27001 non equivale a un elenco di requisiti, ma si tratta di un processo costante di classificazione dei rischi, di valutazione della relativa gravità, di applicazione dei controlli, di pianificazione di misure correttive e di fornitura delle prove che un’organizzazione sta eseguendo le attività identificate come importanti per la relativa gestione del rischio. La certificazione prevede inoltre che le aziende migliorino continuamente le proprie attività operative da una prospettiva basata sul rischio.
Requisiti necessari
Gestione centralizzata
Archivia i mandati, le policy e i controlli sulla conformità in un’ubicazione centrale.
Gestione degli incidenti
Esegui la gestione degli incidenti, dall’analisi delle cause alla base alla conservazione delle registrazioni.
Approccio basato sul rischio
Collega i rischi informatici a quelli aziendali per una panoramica del rischio estesa a tutta l’azienda.
Difendibilità
Implementa integrazioni API con i fornitori tecnologici.
Creazione di report
Crea dashboard interattive e approfondisci l’analisi dei dettagli di supporto.
Elevata visibilità
Promuovi la collaborazione tra reparti e livelli diversi all’interno dell’organizzazione.
Azioni da adottare per la gestione ISO 27001
Fase 1
Identifica e documenta minacce, vulnerabilità e impatti
Fase 2
Progetta e implementa un programma completo di controlli della sicurezza informatica
Fase 3
Sviluppa una procedura di gestione per garantire che i controlli sulla sicurezza informatica ne rispettino sempre le esigenze