Sistemi di Gestione per la Sicurezza delle informazioni
ISO/IEC 27001:2022
Information security, cybersecurity and privacy protection - Information security management systems - Requirements
This document specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This document also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this document are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document.
UNI CEI EN ISO/IEC 27001:2017
Tecnologie Informatiche - Tecniche di sicurezza - Sistemi di gestione della sicurezza dell'informazione - Requisiti
La norma specifica i requisiti per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell'organizzazione. Inoltre essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell'informazione adatti alle esigenze dell'organizzazione. I requisiti presenti nella norma sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura.
L'informazione, sotto qualsiasi forma o supporto, è l'oggetto della UNI CEI ISO/IEC 27001 e deve esserne garantita la riservatezza, la confidenzialità, la disponibilità e l'integrità.
Quanto realizzato dall'azienda in partecipazione a Consulenza Integrata è un vero e proprio Sistema di Gestione e comprende: la definizione esatta dell'oggetto di certificazione, la documentazione richiesta dalla norma, lo svolgimento di Audit Interni e le prove di intrusione nel sistema informatico.
Per la realizzazione, implementazione e mantenimento di un Sistema di Gestione per la Sicurezza delle informazioni in conformità alla norma UNI CEI ISO/IEC 27001 è necessario individuare un responsabile per la sicurezza informatica ed un amministratore di Sistema Aziendale che abbia le adeguate competenze HW e SW.
Accredia: Nuove Certificazioni e rinnovi a fronte della ISO/IEC 27001:2022. (circolare tecnica DC 15/23)
Dal 30 aprile 2024, tutte le nuove certificazioni ed i rinnovi dovranno essere emesse esclusivamente a fronte della ISO/IEC 27001:2022.
Azienda e ConsulenzaIntegrata si impegnano alla realizzazione, adozione, attuazione ed implementazione del Sistema di Gestione ISO 27001.
1) Progettazione e Realizzazione del Sistema di Gestione
per la Sicurezza delle Informazioni in conformità alla norma ISO/IEC 27001:2022.
- Verifica delle attività dell’Organizzazione, dei processi, dei ruoli e delle funzioni;
- Verifica del Contesto e della Gestione dei Rischi;
- Definizioni interfacce operative;
- Individuazione del responsabile per la sicurezza informatica e di un Amministratore di Sistema;
- Analisi del Sistema e pianificazione delle attività.
La Consulenza verrà realizzata redigendo le informazioni documentate, punto 7.5 della norma:
- La definizione dello scopo e del campo di applicazione per la certificazione ISO/IEC 27001;
- La Valutazione dei rischi;
- La Dichiarazione di Applicabilità Statement of Applicability (S.O.A.) come da appendice A della norma;
- La Politica di Sicurezza Informatica;
- Le lettere di nomina;
- L’elenco apparecchiature HW e SW;
- Elenco Applicativi e relative licenze;
- Integrazione delle Informazioni documentate ISO 9001 con gli aspetti della ISO/IEC 27001;
- Procedure di back up, ripristino dati, disaster recovery;
- Procedure di business continuity, gestione degli incidenti informatici con il supporto, per quanto di competenza, dell’Amministratore del Sistema.
2) Attuazione ed Implementazione
Supporto all’applicazione dei documenti del Sistema di Gestione per la Sicurezza delle Informazioni, formazione in campo del personale per il miglioramento della documentazione del Sistema e dei processi nell’ottica del raggiungimento dell’efficienza degli stessi in termini di Qualità.
3) Audit Interno
The organization shall plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme(s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
a) define the audit criteria and scope for each audit;
b) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
c) ensure that the results of the audits are reported to relevant management;
Documented information shall be available as evidence of the implementation of the audit programme(s) and the audit results.
Supporto al Riesame della Direzione
9.3.2 Management review inputs
The management review shall include consideration of:
a) the status of actions from previous management reviews;
b) changes in external and internal issues that are relevant to the information security management system;
c) changes in needs and expectations of interested parties that are relevant to the information security management system;
d) feedback on the information security performance, including trends in:
1) nonconformities and corrective actions;
2) monitoring and measurement results;
3) audit results;
4) fulfilment of information security objectives;
e) feedback from interested parties;
f) results of risk assessment and status of risk treatment plan;
g) opportunities for continual improvement.
Corso di Formazione base sulla norma ISO/IEC 27001:2022 per il responsabile qualità, per responsabile IT, amministratori di sistema, al fine che gli stessi acquisiscano competenze e consapevolezza inerenti lo standard ISO 27001.
5) Assistenza durante l’effettuazione dell’Audit di Certificazione da parte dell’Organismo Prescelto.
Assistenza, in qualità di osservatore, nel corso degli Audit da parte dell'Ente Certificatore e relativi chiarimenti sulla base di quanto emerso dall’Audit Interno e Riesame di Direzione.
Risultato previsto: Certificazione secondo la norma ISO/IEC 27001:2022.
MANTENIMENTO IMPLEMENTAZIONE ISO 27001
Ad avvenuta Certificazione si prevede lo svolgimento delle seguenti attività:
1. Eventuale Revisione Documentale;
2. Audit per verificare lo stato di conformità aziendale al Sistema di Gestione;
3. Riesame del Sistema;
4. Assistenza in qualità di osservatore durante l’effettuazione della visita di sorveglianza da parte dell’Organismo di Certificazione.
UNI CEI EN ISO/IEC 27701:2021
Tecniche di sicurezza - Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni in ambito privacy - Requisiti e linee guida.
La norma definisce i requisiti e fornisce linee guida per stabilire, attuare, mantenere e migliorare in modo continuo un Sistema di Gestione per le Informazioni in ambito Privacy (SGIP) nella forma di un'estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione della privacy all'interno del contesto di un'organizzazione. La norma specifica i requisiti relativi ad un SGIP e fornisce linee guida per i titolari e i responsabili per il trattamento di dati personali. La norma è applicabile ad organizzazioni di tutti i tipi e dimensioni, incluse aziende pubbliche e private, enti governativi e non-profit, che sono titolari e/o responsabili per il trattamento di dati personali all'interno di un Sistema di Gestione per la Sicurezza delle Informazioni.
Sicurezza delle informazioni, cybersecurity e protezione della privacy - Controlli di sicurezza delle informazioni.
La norma fornisce un insieme di controlli generici di riferimento per la sicurezza delle informazioni, comprensivi di linee guida per la loro implementazione. Questo documento è elaborato per essere utilizzato dalle organizzazioni:
a) nell'ambito di un sistema di gestione per la sicurezza delle informazioni (SGSI) basato su UNI CEI EN ISO/IEC 27001;
b) per l' implementazione di controlli per la sicurezza delle informazioni basati sulle best practice riconosciute a livello internazionale;
c) per lo sviluppo di linee guida per la gestione della sicurezza delle informazioni specifiche per l'organizzazione.
UNI/PdR 43.1:2018
Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) - Gestione e monitoraggio dei dati personali in ambito ICT.
La prassi di riferimento UNI/PdR 43 è strutturata in 2 sezioni. La sezione 1 fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT), secondo il Regolamento Europeo 679/2016 (GDPR) e la normativa vigente.
UNI/PdR 43.2:2018
Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) - Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT.
La prassi di riferimento UNI/PdR 43 è strutturata in 2 sezioni. La sezione 2 fornisce un adeguato insieme di requisiti che permetta alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione. Il presente documento fornice inoltre gli indirizzi per la valutazione di conformità ai requisiti definiti.
UNI CEI EN ISO/IEC 18045:2020
Tecnologie Informatiche - Tecniche di sicurezza - Metodologia per la valutazione della sicurezza IT
La norma è un documento complementare ai criteri di valutazione della sicurezza IT definiti nella ISO/IEC 15408. Definisce le azioni minime che un valutatore deve eseguire per condurre una valutazione ISO/IEC 15408, utilizzando i criteri e le evidenze di valutazione definite nella ISO/IEC 15408. La norma non definisce le azioni del valutatore per determinati componenti ISO/IEC 15408 ad alta garanzia, dove non esiste ancora una guida generalmente concordata.
UNI CEI EN ISO/IEC 15408-1:2020
Tecnologie Informatiche - Tecniche di sicurezza - Criteri di valutazione per la sicurezza IT - Parte 1: Introduzione e modello generale
Richiedi informazioni
Richiedi offerta
Amiamo essere consulenti in prima linea, al fianco degli imprenditori per realizzare, nella loro azienda, le strategie e gli obbiettivi che ci siamo posti insieme.
Questo documento è di proprietà di Consulenza Integrata S.r.l., ogni divulgazione e riproduzione o cessione di contenuti a terzi deve essere autorizzata dalla Consulenza Integrata S.r.l. stessa.