Sicurezza
delle informazioni
Le informazioni sono la chiave per la crescita e il successo di un’azienda.
Certificare il Sistema di Gestione della Sicurezza significa dimostrare ai
clienti che le informazioni in proprio possesso sono adeguatamente protette a
prescindere dal metodo di archiviazione, cartaceo o elettronico, o dal know-how
di ogni singolo individuo.
Il Sistema
di Gestione della Sicurezza delle Informazioni vi aiuterà a identificare le
aree di maggiore criticità e a implementare controlli adeguati alle vostre
necessità.
Scegli
ABICertcome partner per:
La certificazione ISO/IEC 27001. Questo nuovo standard
internazionale per la gestione della sicurezza informatica sostituisce il BS
7799 e, pur basandosi su quest’ultimo, è allineato con gli altri standard
internazionali. ISO/IEC 27001 è applicabile a qualsiasi organizzazione e
definisce i requisiti per stabilire, implementare, operare, monitorare,
revisionare, mantenere e migliorare il Sistema di Gestione della Sicurezza delle
Informazioni della vostra azienda.
BS 7799 è lo standard per
la Gestione
della Sicurezza delle Informazioni e costituisce il punto di partenza per lo
sviluppo dell’ISO/IEC 27001. I certificati rilasciati secondo questo standard
sono validi sino al 15 aprile 2007 o alla data di scadenza del certificato, se
antecedente.
Dal 15
ottobre 2005 il Sistema di Gestione della Sicurezza delle Informazioni è
certificabile secondo lo standard ISO/IEC 27001.
Nel periodo
di transizione dal 15 ottobre 2005 al 15 aprile 2006 è possibile eseguire
verifiche e rilasciare certificazioni secondo entrambi gli standard. In
qualunque caso, un certificato BS 7799-2:2002 rilasciato durante questa fase
transitoria dovrà essere convertito secondo l’ISO/IEC 27001:2005 entro il 15
aprile 2007.
Dal 15
aprile 2006 tutte le verifiche e le certificazioni saranno eseguite secondo il
nuovo standard.
Le società
certificate BS 7799 dovranno convertire la loro certificazione secondo l’ISO/IEC
27001:2005 entro il 15 aprile 2007.
Lo
Standard BS 7799
Lo standard
è composto da due parti:
BS 7799 - Prima Parte
elenca le
"best practice" necessarie per implementare un Sistema di Gestione per
la Sicurezza
delle Informazioni. Questa prima parte è stata recepita nella norma ISO
17799:2000, di successiva pubblicazione.
BS 7799 -
Seconda Parte
Specifica i
requisiti per stabilire, implementare, mantenere e migliorare un Sistema di
Gestione per
la Sicurezza
delle Informazioni (SGSI). È la parte certificabile della norma.
Lo standard
BS 7799 individua tre aspetti fondamentali per la gestione della sicurezza delle
informazioni:
Confidenzialità:
solo gli utenti autorizzati
possono accedere alle informazioni necessarie.
Integrità:
protezione contro alterazioni o danneggiamenti; tutela dell'accuratezza e
completezza dei dati.
Disponibilità:
le informazioni vengono rese disponibili quando occorre e nell'ambito di un
contesto pertinente.
Le
dieci aree da controllare
Nei dieci
capitoli della norma sono descritti gli elementi che contribuiscono alla
realizzazione di un efficace programma di sicurezza:
Politica di sicurezza
Organizzazione
per la sicurezza
Controllo
e classificazione delle risorse
Sicurezza
del personale
Sicurezza
materiale e ambientale
Gestione
operativa e comunicazione
Controllo
degli accessi
Sviluppo
e manutenzione dei sistemi
Gestione
della business continuity
Conformità
ISO/IEC
27001
La certificazione ISO/IEC 27001 dimostra che il vostro Sistema di Gestione della
Sicurezza delle
Informazioni rispetta i requisiti espressi dallo standard.
Rilasciato da un ente indipendente di terza parte, il certificato testimonia che
la vostra azienda ha adottato le necessarie precauzioni per proteggere i dati
sensibili da accessi e modifiche non autorizzati.
Lo standard utilizza l’approccio per processi per definire,
implementare, operare, monitorare, revisionare, mantenere e migliorare il
Sistema di Gestione della Sicurezza delle Informazioni di una organizzazione (SGSI).
ISO/IEC 27001 è lo standard internazionale per la certificazione dei sistemi di
sicurezza delle informazioni, definito dall’ISO (International Organisation
for Standardisation) e sostituisce il BS 7799. Nella ISO/IEC 27001 sono
stati inclusi nuovi controlli, come l’enfasi sulla gestione degli incidenti
che riguardano la sicurezza dei dati e sui principi dettati dall’OECD
(Organizzazione per
la Cooperazione Economica
e lo Sviluppo).
Lo standard attinge anche da altre norme quali ISO/IEC 17799:2005, ISO/IEC
13335-1:2004, ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000, ISO/IEC TR
18044:2004 e “OECD Guidelines for Security of Information Systems and Networks
– Towards a culture of security” che fornisce le linee guida per
implementare un sistema per la sicurezza delle informazioni.
La protezione degli asset aziendali
La nuova
norma prevede un approccio globale alla sicurezza delle informazioni. Proteggere
gli assets aziendali significa proteggere sia le informazioni su supporto
digitale, documenti cartacei e strumentazioni (computers e reti) che il
patrimonio di conoscenza delle risorse umane. Le tematiche che ogni azienda si
trova ad affrontare vanno dallo sviluppo delle competenze dello staff alla
protezione dalle frodi informatiche.
Lo standard
ISO/IEC 27001 individua tre aspetti fondamentali per la gestione della sicurezza
delle informazioni:
Confidenzialità:
solo gli utenti autorizzati possono accedere alle informazioni necessarie.
Integrità:
protezione contro alterazioni o danneggiamenti; tutela dell'accuratezza e
completezza dei dati.
Disponibilità:
le informazioni vengono rese disponibili quando occorre e nell'ambito di un
contesto pertinente.
La conformità agli altri standard di gestione di
sistema.
L’ ISO/IEC
27001 fornisce le specifiche per l’SGSI e ne permette l’integrazione con gli
altri sistemi di gestione eventualmente presenti nell’azienda.
È quindi
possibile:
L’armonizzazione
con gli altri standard di gestione di sistema come ISO 9001 e ISO 14001.
Il miglioramento continuo del sistema
di gestione della sicurezza delle informazioni.
Una maggiore chiarezza sui requisiti
per i documenti e i registri.
L’utilizzo del modello Plan Do Check
Act per integrare risk management e gestione di processi.
|