Consulenza ISO 27001: obiettivi dell'intervento
Il Servizio di consulenza ISO 27001 proposto dalla Reconsult S.r.l. ha lo scopo di implementare un Sistema di Gestione per la Sicurezza delle Informazioni, SGSI, in grado di garantire un “adeguato” controllo dei vari fattori legati alla tutela delle Informazioni, agli aspetti tecnologici, operativi, procedurali, umani, ambientali nonché gli investimenti intrapresi.
Il Sistema di Gestione per la Sicurezza delle Informazioni basato sulla norma ISO 27001 impone un vero e proprio modello di “Governance della Sicurezza” dei dati e delle informazioni, che si traduce operativamente nella necessità di impostare un Sistema idoneo ed efficace.
La successiva certificazione secondo la Norma UNI CEI ISO 27001 consente di:
- Tutelare il proprio capitale intellettuale;
- Valorizzare gli investimenti e rafforzare l’immagine aziendale vantando una certificazione di validità mondiale su un tema all’avanguardia dando un segnale forte verso un mercato sempre più sensibile alla problematica sicurezza;
- Dotarsi di un sistema di gestione delle informazioni sicuro;
- Minimizzare i possibili danni legati ad una errata gestione delle informazioni o il loro furto;
- Assicurare la continuità operativa tramite la salvaguardia delle informazioni;
- Dotarsi di uno strumento che faciliti il rispetto delle leggi in vigore in termini di tutela dei dati personali, in particolare se sensibili;
- Garantire la reperibilità del dato raccolto, ossia sempre disponibile e consultabile dagli operatori autorizzati;
- Garantire la riservatezza del dato raccolto, ossia essere protetto da utenti non autorizzati ala suo trattamento e quindi, garantito nella sua segretezza.
Consulenza ISO 27001: Articolazione e Fasi dell’intervento operativo
L’approccio per implementare il Sistema di Gestione della Sicurezza delle Informazioni secondo la norma ISO 27001 prevede una modalità operativa che consente di analizzare i molteplici aspetti (di business, tecnologici e strutturali) dell’organizzazione.
Tale modello ripercorre gli aspetti richiesti dalla Norma UNI CEI ISO 27001 in modo esaustivo e coerente con le esigenze dell’organizzazione.
Consulenza ISO 27001: la Fase 1 della attività
Incontro di apertura: definire l’impostazione generale del progetto di implementazione del Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
Definire il Team di lavoro congiunto: è importante in questa prima fase individuare le persone interne che parteciperanno attivamente alla realizzazione del progetto (IT, Sistemi Qualità, Gestione Privacy e Gdpr). Creare il Gruppo di lavoro composto dalle risorse interne con i consulenti Reconsult. Assegnare i relativi compiti e responsabilità per gli obiettivi da raggiungere.
Definire e Pianificare lo sviluppo temporale del Progetto e delle varie Fasi.
La pianificazione permette all’organizzazione di comprendere l’entità e le criticità del Sistema di Gestione in oggetto e di definire le priorità, i tempi, i ruoli e le responsabilità.
Consulenza ISO 27001: la Fase 2 della attività
Definizione del campo di applicazione e delle politiche di sicurezza: La definizione della politica del SGSI e la definizione dettagliata del campo di applicazione con il relativo perimetro fisico e logico, sono i principali fattori per ottenere una efficace implementazione del sistema di gestione. In particolare nella definizione del campo di applicazione vengono considerate le informazioni critiche gestite dall’organizzazione.
Consulenza ISO 27001: la Fase 3 della attività
Realizzazione della S.O.A., Statement Of Applicability, secondo l’Appendice A della Norma 27001.
Analisi dell’Organizzazione e dei suoi processi. Lo schema della Gap Analysis conduce all’analisi dello stato attuale dell’organizzazione e consente di approfondire le tematiche più significative in materia di Protezione dei Dati e delle Informazioni:
- Stabilire un quadro di riferimento gestionale per intraprendere e controllare l’attuazione e l’esercizio della sicurezza delle informazioni (ruoli e responsabilità, separazione dei compiti, contatti con le autorità, politica dei dispositivi portatili …);
- Assicurare che il personale ed i collaboratori comprendano le proprie responsabilità che il loro ruolo impone per la sicurezza delle informazioni;
- Identificare gli asset dell’organizzazione per delineare un adeguato livello di protezione;
- Delineare le modalità per la gestione del controllo degli accessi;
- Razionalizzare sia la sicurezza fisica ed ambientale, sia quella delle attività operative (aree sicure, apparecchiature ed infrastrutture, protezione dal malware, back up, monitoraggio dei log, vulnerabilità tecniche);
- Delineare i requisiti di sicurezza per l’acquisizione, sviluppo e manutenzione dei sistemi informativi;
- Assicurare la sicurezza dei dati e delle informazioni durante le relazioni con i fornitori;
- Definire un approccio coerente ed efficace per la gestione degli incidenti relativi alla sicurezza delle informazioni;
- Delineare i requisiti per la sicurezza delle informazioni al fine di determinare un piano di Continuità operativa(*) (business continuity) esclusivamente per gli aspetti IT in linea con il perimetro del progetto e l’identificazione degli eventi più critici che possono produrre un Disaster.
Nota(*) intesa come la continuità della gestione della Sicurezza delle Informazioni in situazioni avverse, per esempio durante crisi e disastri. Si verificano con l’ente IT le corrette modalità per la definizione di un piano di Disaster Recovery che potrà essere realizzato in condivisione con il fornitore dei servizi ICT (Sistemi Spa). Il fornitore Sistemi Spa opera già in un ambiente impostato e per questo con la necessaria architettura IT. In alternativa il Disaster Recovery può essere oggetto, all’atto del Riesame della Direzione, degli obiettivi del Piano di Miglioramento del SGSI.
Consulenza ISO 27001: la Fase 4 della attività
Risk Assessment: sulla base delle informazioni acquisite durante lo svolgimento della SOA, fase 3, si procede in questa fase all’identificazione, l’analisi, la valutazione e la pianificazione del trattamento dei rischi e la selezione delle contromisure rilevanti.
Consulenza ISO 27001: la Fase 5 della attività
Implementazione del SGSI: questa fase prevede l’implementazione del Sistema di Gestione della Sicurezza delle Informazioni attraverso le attività di formazione continua, monitoraggio, misurazione audit interni, formazione e consapevolezza dei propri ruoli.
Consulenza ISO 27001: la Fase 6 della attività
Riesami della direzione e miglioramento del Sistema. E’ trasversale, nelle fasi di implementazione del Sistema SGSI.
Consulenza ISO 27001: la Fase 7 della attività
Supporto alle verifiche di certificazione: il supporto operativo durante lo svolgimento degli audit di Certificazione svolti da parte di ente terzo accreditato.