header-banner-image

Sicurezza Informatica

Sistemi di Gestione per la Sicurezza delle informazioni

Data: 16 Maggio 2017 Ore: 12:06

UNI CEI ISO/IEC 27001 Sicurezza delle Informazioni, Tecnologie informatiche – Tecniche per la Sicurezza – Sistemi di Gestione per la Sicurezza delle informazioni.
Il sistema di gestione per la sicurezza delle informazioni preserva la riservatezza, l'integrità e la disponibilità dalle informazioni mediante l'applicazione di un processo di gestione del rischio e dà fiducia alle parti interessate sull'adeguatezza della gestione dei rischi.
È importante che il sistema di gestione per la sicurezza delle informazioni sia parte integrante dei processi e della struttura gestionale complessiva dell'organizzazione e che la sicurezza delle informazioni sia considerata nella progettazione dei processi, dei sistemi informativi e dei controlli.
Per la realizzazione, implementazione e mantenimento di un Sistema di Gestione per la Sicurezza delle informazioni in conformità alla norma UNI CEI ISO/IEC 27001:2014 è necessario individuare un responsabile per la sicurezza informatica ed un amministratore di Sistema Aziendale che abbia le adeguate competenze HW e SW.


1) Progettazione e Realizzazione del Sistema di Gestione per la Sicurezza delle Informazioni in conformità alla norma UNI CEI ISO/IEC 27001:2014.
- Verifica delle attività dell' Organizzazione, dei processi, dei ruoli e delle funzioni;
- Verifica del Contesto e della Gestione dei Rischi;
- Definizioni interfacce operative;
- Individuazione del responsabile per la sicurezza informatica e di un Amministratore di Sistema;
- Analisi del Sistema e pianificazione delle attività.
La Consulenza verrà realizzata redigendo:
- La definizione dello scopo e del campo di applicazione per la certificazione ISO/IEC 27001
- La Valutazione dei rischi
- La Dichiarazione di Applicabilità (S.O.A.) come da appendice A della norma che prevede 114 controlli
- La Politica di Sicurezza Informatica
- Le lettere di nomina
- L'elenco apparecchiature HW e SW
- Elenco Applicativi e relative licenze
- Integrazione delle Informazioni documentate ISO 9001 con gli aspetti della ISO/IEC 27001
- Procedure di back up, ripristino dati, disaster recovery
- Procedure di business continuity, gestione degli incidenti informatici con il supporto, per quanto di competenza, dell'Amministratore del Sistema.

I punti della norma UNI CEI ISO/IEC 27001:2014:
Introduzione
1. Scopo e campo di applicazione/presentazione della Società
2. Riferimenti normativi
3. Termini e Definizioni
4. Contesto dell' Organizzazione
4.1 Comprendere l'organizzazione e il suo contesto con Risk Management in accordo con Gestione del rischio UNI ISO 31000 Principi e linee guida
4.2 Comprendere le esigenze e le aspettative delle parti interessate
4.3 Determinare il campo di applicazione del sistema di gestione
4.4 Sistema di gestione per la sicurezza delle informazioni
5. Leadership
5.1 Leadership e impegno
5.2 Politica
5.3 Ruoli, responsabilità e autorità nell'organizzazione
6. Pianificazione
6.1 Azioni per affrontare rischi e opportunità, Risk Management
6.1.1 Generalità
6.1.2 Valutazione del rischio relativo alla sicurezza delle informazioni
6.1.3 Trattamento del rischio relativo alla sicurezza delle informazioni
6.2 Obiettivi per la sicurezza delle informazioni e pianificazione per conseguirli
7. Supporto
7.1 Risorse
7.2 Competenza
7.3 Consapevolezza
7.4 Comunicazione
7.5 Informazioni documentate
7.5.1 Generalità
7.5.2 Creazione e aggiornamento
7.5.3 Controllo delle informazioni documentate
8. Attività Operative
8.1 Pianificazione e controllo operativi
8.2 Valutazione del rischio relativo alla sicurezza delle informazioni
8.3 Trattamento del rischio relativo alla sicurezza delle informazioni
9. Valutazione delle Prestazioni
9.1 Monitoraggio, misurazione, analisi e valutazione
9.2 Audit interno
9.3 Riesame di direzione
10. Miglioramento
10.1 Non conformità e azioni correttive
10.2 Miglioramento continuo
APPENDICE A OBIETTIVI DI CONTROLLO E CONTROLLI DI RIFERIMENTO
A.1 Obiettivi di controllo e controlli
A.5 Politiche per la sicurezza delle informazioni
A.5.1 Indirizzi della direzione per la sicurezza delle informazioni
A.6 Organizzazione della sicurezza delle informazioni
A.6.1 Organizzazione interna
A.6.2 Dispositivi portatili e telelavoro
A.7 Sicurezza delle risorse umane
A.7.1 Prima dell'impiego
A.7.2 Durante t'Impiego
A.7.3 Cessazione e variazione del rapporto di lavoro
A.8 Gestione degli asset
A.8.1 Responsabilità per gli asset
A.8.2 Classificazione delle informazioni
A.8.3 Trattamento dei supporti
A.9 Controllo degli accessi
A.9.1 Requisiti di business per il controllo degli accessi
A.9.2 Gestione degli accessi degli utenti
A.9.3 Responsabilità dell'utente
A.9.4 Controllo degli accessi ai sistemi e alle applicazioni
A.10 Crittografia
A.10.1 Controlli crittografici
A.11 Sicurezza fisica e ambientale
A.11.1 Aree sicure
A.11.2 Apparecchiature
A.12 Sicurezza delle attività operative
A.12.1 Procedure operative e responsabilità
A.12.2 Protezione dal malware
A.12.3 Backup
A.12.4 Raccolta di log e monitoraggio
A.12.5 Controllo del software di produzione
A.12.6 Gestione delle vulnerabilità tecniche
A.12.7 Considerazioni sull'audit del sistemi informativi
A.13 Sicurezza delle comunicazioni
A.13.1 Gestione della sicurezza della rete
A.13.2 Trasferimento delle Informazioni
A.14 Acquisizione, sviluppo e manutenzione dei sistemi
A.14.1 Requisiti di sicurezza dei sistemi informativi
A.14.2 Sicurezza nei processi di sviluppo e supporto
A.14.3 Dati di test
A.15 Relazioni con i fornitori
A.15.1 Sicurezza delle informazioni nelle relazioni con i fornitori
A.15.2 Gestione dell'erogazione dei servizi dei fornitori
A.16 Gestione degli incidenti relativi alla sicurezza delle informazioni
A.16.1 Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti
A.17 Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa
A.17.l Continuità della sicurezza delle Informazioni
A.17.2 Ridondanze
A.18 Conformità
A.18.l Conformità ai requisiti cogenti e contrattuali
A.18.2 Riesami della sicurezza delle informazioni

2) Corso di formazione base sulla norma UNI CEI ISO/IEC 27001:2014 per il responsabile del sistema di gestione e per i responsabili di processo. (max. 10 persone).
Fornitura di diapositive Microsoft PowerPoint del corso base sulla UNI CEI ISO/IEC 27001:2014 e relativo test di verifica di apprendimento, da distribuire in via informatica a tutto il personale.

3) Audit Interno e Penetration Test
In questa fase è necessario effettuare un "test di penetrazione" dei sistemi informatici e delle difese predisposte dalla Società, test che deve essere effettuato a cura del Cliente da fornitore esterno competente.
A completamento del "test di penetrazione" è previsto un Audit interno sul sistema di sicurezza informatica per verificare la conformità alla norma UNI CEI ISO/IEC 27001:2014.

4) Supporto al Riesame della Direzione
Il riesame di direzione deve includere considerazioni su:
a) lo stato delle azioni derivanti dai precedenti riesami di direzione;
b) i cambiamenti dei fattori esterni e interni che hanno attinenza con il sistema di gestione per la sicurezza delle informazioni;
c) le informazioni di ritorno sulle prestazioni relative alla sicurezza delle informazioni, compresi gli andamenti:
1) delle non conformità e azioni correttive;
2) dei risultati del monitoraggio e della misurazione;
3) dei risultati di audit;
4) del raggiungimento degli obiettivi per la sicurezza delle informazioni;
d) le informazioni di ritorno dalle parti interessate;
e) i risultati della valutazione del rischio e lo stato del piano di trattamento del rischio;
f) le opportunità per il miglioramento continuo.
Gli elementi in uscita dal riesame di direzione devono comprendere decisioni relative alle opportunità per il miglioramento continuo e ogni necessità di modifiche al sistema di gestione per la sicurezza delle informazioni.

5) Assistenza durante l'effettuazione della visita di certificazione da parte dell'Organismo Prescelto.
Assistenza durante l'effettuazione della visita di Certificazione da parte dell'ente scelto durante stage 1 e stage 2. Il tempo necessario per l'Audit sarà stabilito dall'Ente di Certificazione.

Risultato previsto;
Certificazione secondo la norma UNI CEI ISO 27001:2014.


MANTENIMENTO IMPLEMENTAZIONE DEL SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

Ad avvenuta Certificazione:

- Eventuale Revisione Documentale
- Audit per verificare lo stato di conformità aziendale al Sistema di Gestione
- Riesame del Sistema
- Assistenza in qualità di osservatore durante l'effettuazione della visita di sorveglianza da parte dell'Organismo di Certificazione

Le mezze giornate necessarie per il mantenimento verranno definite, concordandolo con il Cliente, a certificazione avvenuta con Rapporto di Consulenza di Direzione.