header-banner-image

Consulenza Sicurezza delle Informazioni ISO 27001

Sistemi di Gestione per la Sicurezza delle informazioni.

UNI CEI ISO/IEC 27001 Sicurezza delle Informazioni, Tecnologie informatiche – Tecniche per la Sicurezza – Sistemi di Gestione per la Sicurezza delle informazioni.

L'informazione, sotto qualsiasi forma o supporto, è l'oggetto della UNI CEI ISO/IEC 27001 e deve esserne garantita la riservatezza, la confidenzialità, la disponibilità e l'integrità.
Quanto realizzato dall'azienda in partecipazione a Consulenza Integrata è un vero e proprio Sistema di Gestione e comprende: la definizione esatta dell'oggetto di certificazione, la documentazione richiesta dalla norma, lo svolgimento di Audit Interni e le prove di intrusione nel sistema informatico.
Per la realizzazione, implementazione e mantenimento di un Sistema di Gestione per la Sicurezza delle informazioni in conformità alla norma UNI CEI ISO/IEC 27001:2014 è necessario individuare un responsabile per la sicurezza informatica ed un amministratore di Sistema Aziendale che abbia le adeguate competenze HW e SW.
Realizzazione del Sistema di Gestione per la Sicurezza delle Informazioni.

In questa fase la Consulenza verrà realizzata:

  • Definendo il contesto dell'organizzazione in accordo con Gestione del rischio UNI ISO 31000 Principi e linee guida
  • La definizione dello scopo e del campo di applicazione per la certificazione ISO/IEC 27001
  • La Valutazione e gestione dei rischi dei rischi
  • La Dichiarazione di Applicabilità (Statement of Applicability S.O.A.) come da appendice A della norma ISO/IEC 27001 che prevede 114 controlli
  • La Politica di Sicurezza Informatica
  • La Policy di Sicurezza Informatica
  • Le lettere di nomina
  • L'elenco apparecchiature HW e SW
  • Elenco Applicativi e relative licenze
  • Integrazione del Manuale Qualità con gli aspetti della ISO/IEC 27001
  • Integrazione delle procedure qualità con gli aspetti della 27001
  • Procedure di back up, ripristino dati, disaster recovery
  • Procedure di business continuity, gestione degli incidenti informatici con il supporto, per quanto di competenza, dell'Amministratore del Sistema.

I punti della Norma
1. Scopo e campo di applicazione/presentazione della Società
2. Riferimenti normativi
3. Termini e Definizioni
4. Contesto dell' Organizzazione
5. Leadership
6. Pianificazione 6.1.3 Trattamento del rischio relativo alla sicurezza delle informazioni
7. Supporto
8. Attività Operative
9. Valutazione delle Prestazioni
10. Miglioramento

APPENDICE A OBIETTIVI DI CONTROLLO E CONTROLLI DI RIFERIMENTO
Gli obiettivi di controllo e i controlli elencati nel prospetto A.l sono ripresi direttamente dai punti da 5 a 18 nella ISO/IEC 27002:2013 Information Technology - Security Techniques - Code of practice for information security controls e allineati ad essi e sono da utilizzare nel contesto del punto 6.1.3.

Corso di formazione volto al Responsabile della Sicurezza Informatica e a tutto il personale coinvolto.

  • Individuazione del responsabile per la sicurezza informatica e di un amministratore di sistema
  • Pianificazione delle attività di formazione con il responsabile per la Sicurezza informatica

L'obiettivo è quello di realizzare, adottare ed implementare con tutti i partecipanti, in conformità alla norma di riferimento UNI CEI ISO/IEC 27001:2014, un Sistema di Gestione per la Sicurezza delle Informazioni, che porti un vero valore aggiunto all'Organizzazione, cercando di condividere il concetto che tale sistema deve servire soprattutto agli utilizzatori.

Audit Interno e Penetration Test
In questa fase è necessario effettuare un "test di penetrazione" dei sistemi informatici e delle difese predisposte dalla Società, test che deve essere effettuato da "fornitore esterno competente".
A completamento del "test di penetrazione" è previsto un Audit interno sul sistema di sicurezza informatica per verificare la conformità alla norma UNI CEI ISO/IEC 27001:2014.
Riesame della Direzione
Acquisizione delle informazioni necessarie e redazione del documento di Riesame della Direzione.

Il riesame di direzione deve includere considerazioni su:
a) lo stato delle azioni derivanti dai precedenti riesami di direzione;
b) i cambiamenti dei fattori esterni e interni che hanno attinenza con il sistema di gestione per la sicurezza delle informazioni;
c) le informazioni di ritorno sulle prestazioni relative alla sicurezza delle informazioni, compresi gli andamenti:
1) delle non conformità e azioni correttive;
2) dei risultati del monitoraggio e della misurazione;
3) dei risultati di audit;
4) del raggiungimento degli obiettivi per la sicurezza delle informazioni;
d) le informazioni di ritorno dalle parti interessate;
e) i risultati della valutazione del rischio e lo stato del piano di trattamento del rischio;
f) le opportunità per il miglioramento continuo.
Gli elementi in uscita dal riesame di direzione devono comprendere decisioni relative alle opportunità per il miglioramento continuo e ogni necessità di modifiche al sistema di gestione per la sicurezza delle informazioni.
Audit di certificazione
Assistenza durante l'effettuazione della visita di Certificazione da parte dell'ente scelto durante stage 1 e stage 2.
Risultato previsto: certificazione secondo la norma UNI CEI ISO 27001:2014.


Mantenimento e Miglioramento di un Sistema di Gestione per la Sicurezza delle Informazioni

A seguito della Certificazione la consulenza si svilupperà secondo le seguenti fasi:

  • Audit Interno e Riesame
  • Adeguamento del Manuale, della Modulistica e delle relative Procedure, predisponendo il Riesame periodico e analisi delle informazioni raccolte sull'andamento del Sistema di Gestione per la Sicurezza delle Informazioni
  • Assistenza durante Audit di Sorveglianza da parte dell' ODC

Amiamo essere consulenti in prima linea, al fianco degli imprenditori per realizzare, nella loro azienda, le strategie e gli obbiettivi che ci siamo posti insieme.

Questo documento è di proprietà di Consulenza Integrata S.r.l., ogni divulgazione e riproduzione o cessione di contenuti a terzi deve essere autorizzata dalla Consulenza Integrata S.r.l. stessa.