header-banner-image

Consulenza Sicurezza delle Informazioni ISO 27001

Sistemi di Gestione per la Sicurezza delle informazioni

CONSULENZA

UNI CEI EN ISO/IEC 27001:2024
Sicurezza delle informazioni, cybersecurity e protezione della privacy - Sistemi di gestione per la sicurezza delle informazioni - Requisiti

La norma specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell'organizzazione. Il documento include anche i requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni, adattati alle esigenze dell'organizzazione. I requisiti stabiliti in questo documento sono generici e si intendono applicabili a tutte le organizzazioni, indipendentemente dal tipo, dalle dimensioni o dalla natura.

Azienda e ConsulenzaIntegrata si impegnano alla realizzazione, adozione, attuazione ed implementazione del Sistema di Gestione ISO 27001.

Progettazione e Realizzazione del Sistema di Gestione

Secondo I punti della norma:

1 SCOPO E CAMPO DI APPLICAZIONE

2 RIFERIMENTI NORMATIVI

3 TERMINI E DEFINIZIONI

4 CONTESTO DELL’ORGANIZZAZIONE

 5 LEADERSHIP

6 PIANIFICAZIONE

6.1.3 Trattamento del rischio relativo alla sicurezza delle informazioni

7 SUPPORTO

7.5 Informazioni documentate

9 VALUTAZIONE DELLE PRESTAZIONI

10 MIGLIORAMENTO

APPENDICE A CONTROLLI DI RIFERIMENTO PER LA SICUREZZA DELLE INFORMAZIONI

prospetto A.1 Controlli per la sicurezza delle informazioni.

I controlli per la sicurezza delle informazioni elencati nel prospetto A.1 sono ripresi direttamente dai punti da 5 a 8 nella UNI CEI EN ISO/IEC 27002:2023 e allineati a essi e devono essere utilizzati nel contesto del punto 6.1.3.

UNI CEI EN ISO/IEC 27002:2023
Sicurezza delle informazioni, cybersecurity e protezione della privacy - Controlli di sicurezza delle informazioni.

La norma fornisce un insieme di controlli generici di riferimento per la sicurezza delle informazioni, comprensivi di linee guida per la loro implementazione. Questo documento è elaborato per essere utilizzato dalle organizzazioni:

a) nell'ambito di un sistema di gestione per la sicurezza delle informazioni (SGSI) basato su UNI CEI EN ISO/IEC 27001;

b) per l' implementazione di controlli per la sicurezza delle informazioni basati sulle best practice riconosciute a livello internazionale;

c) per lo sviluppo di linee guida per la gestione della sicurezza delle informazioni specifiche per l'organizzazione.

Attività previste:

La Consulenza verrà realizzata redigendo le informazioni documentate, punto 7.5 della norma

  • Verifica delle attività dell’Organizzazione, dei processi, dei ruoli e delle funzioni;
  • Verifica del Contesto e della Gestione dei Rischi;
  • Definizioni interfacce operative;
  • Individuazione del responsabile per la sicurezza informatica e di un Amministratore di Sistema;
  • Analisi del Sistema e pianificazione delle attività;
  • La definizione dello scopo e del campo di applicazione per la certificazione UNI CEI EN ISO/IEC 27001:2024;
  • La Valutazione dei rischi;
  • La Politica di Sicurezza Informatica;
  • Le lettere di nomina;
  • L’elenco apparecchiature HW e SW;
  • Elenco Applicativi e relative licenze;
  • Integrazione delle Informazioni documentate ISO 9001 con gli aspetti della UNI CEI EN ISO/IEC 27001:2024;
  • Procedure di back up, ripristino dati, disaster recovery;
  • Procedure di business continuity, gestione degli incidenti informatici con il supporto, per quanto di competenza, dell’Amministratore del Sistema;
  • Integrazione con eventuali norme ISO 27002/ISO 20000-1/ISO 22301.

Attuazione ed Implementazione

Supporto all’applicazione dei documenti del Sistema di Gestione per la Sicurezza delle Informazioni, formazione in campo del personale per il miglioramento della documentazione del Sistema e dei processi nell’ottica del raggiungimento dell’efficienza degli stessi in termini di Qualità.

Formazione

Corso di formazione volto al Responsabile della Sicurezza Informatica e a tutto il personale coinvolto.

Il corso è comprensivo di materiale di supporto, test di verifica dell'apprendimento, questionario valutazione azioni formative, certificazione di avvenuta formazione con relativo registro presenze.

Audit Interno

L’organizzazione deve condurre, a intervalli pianificati, audit interni allo scopo di fornire informazioni per accertare se il sistema di gestione per la sicurezza delle informazioni:

a) è conforme ai:

  1) requisiti propri dell’organizzazione relativi al suo sistema di gestione per la sicurezza delle informazioni;

  2) requisiti del presente documento;

b) è efficacemente attuato e mantenuto.

Programma degli audit interni

L’organizzazione deve pianificare, stabilire, attuare e mantenere uno o più programmi di audit comprensivi di frequenza, metodi, responsabilità, requisiti di pianificazione e reporting.

Nello stabilire uno o più programmi per gli audit interni, l’organizzazione deve tenere in considerazione l’importanza dei processi coinvolti e i risultati degli audit precedenti.

L’organizzazione deve:

a) definire gli obiettivi, i criteri di audit e il campo di applicazione per ciascun audit;

b) selezionare gli auditor e condurre gli audit in modo tale da assicurare l'obiettività e l'imparzialità del processo di audit;

c) assicurare che i risultati degli audit siano riportati ai responsabili pertinenti.

Devono essere disponibili informazioni documentate quale evidenza dell’attuazione dei programmi di audit e dei risultati degli audit.

Riesame di direzione

L'alta direzione deve, a intervalli pianificati, riesaminare il sistema di gestione per la sicurezza delle informazioni dell'organizzazione, per assicurarne la continua idoneità, adeguatezza ed efficacia.

Elementi in ingresso al riesame di direzione

Il riesame di direzione deve includere considerazioni su:

a)  lo stato delle azioni derivanti da precedenti riesami di direzione;

b)  i cambiamenti nei fattori esterni e interni che sono rilevanti per il sistema di gestione per la sicurezza delle informazioni;

c)  cambiamenti nelle esigenze e aspettative delle parti interessate che sono pertinenti al sistema di gestione per la sicurezza delle informazioni;

d)  le informazioni sulle prestazioni relative alla sicurezza delle informazioni, compresi gli andamenti (trend) relativi:

     1)  alle non conformità e alle azioni correttive;

     2)  ai risultati dei monitoraggi e delle misurazioni;

     3)  ai risultati di audit;

     4)  al raggiungimento degli obiettivi per la sicurezza delle informazioni;

e)  le informazioni di ritorno dalle parti interessate;

f)   i risultati della valutazione del rischio e lo stato del piano di trattamento del rischio;

g)  le opportunità per il miglioramento continuo.

Risultati del riesame di direzione

I risultati del riesame di direzione devono comprendere decisioni relative alle opportunità per il miglioramento continuo e ogni esigenza di cambiamento al sistema di gestione per la sicurezza delle informazioni.

Devono essere disponibili informazioni documentate quale evidenza dei risultati dei riesami di direzione.

Corso di Formazione base sulla norma ISO/IEC 27001:2022 e UNI CEI EN ISO/IEC 27001:2024 per il responsabile qualità, per responsabile IT, amministratori di sistema, al fine che gli stessi acquisiscano competenze e consapevolezza inerenti lo standard ISO 27001.

5)     Assistenza durante l’effettuazione dell’Audit di Certificazione da parte dell’Organismo Prescelto.

Assistenza, in qualità di osservatore, nel corso degli Audit da parte dell'Ente Certificatore e relativi chiarimenti sulla base di quanto emerso dall’Audit Interno e Riesame di Direzione.

Risultato previsto: Certificazione secondo la norma UNI CEI EN ISO/IEC 27001:2024 

 MANTENIMENTO IMPLEMENTAZIONE ISO 27001

Ad avvenuta Certificazione si prevede lo svolgimento delle seguenti attività:

1.   Eventuale Revisione Documentale;

2.   Audit per verificare lo stato di conformità aziendale al Sistema di Gestione;

3.   Riesame del Sistema;

4.   Assistenza in qualità di osservatore durante l’effettuazione della visita di sorveglianza da parte dell’Organismo di Certificazione.


UNI CEI EN ISO/IEC 27701:2021
Tecniche di sicurezza - Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni in ambito privacy - Requisiti e linee guida.

La norma definisce i requisiti e fornisce linee guida per stabilire, attuare, mantenere e migliorare in modo continuo un Sistema di Gestione per le Informazioni in ambito Privacy (SGIP) nella forma di un'estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione della privacy all'interno del contesto di un'organizzazione. La norma specifica i requisiti relativi ad un SGIP e fornisce linee guida per i titolari e i responsabili per il trattamento di dati personali. La norma è applicabile ad organizzazioni di tutti i tipi e dimensioni, incluse aziende pubbliche e private, enti governativi e non-profit, che sono titolari e/o responsabili per il trattamento di dati personali all'interno di un Sistema di Gestione per la Sicurezza delle Informazioni.

UNI CEI EN ISO/IEC 27002:2023

Sicurezza delle informazioni, cybersecurity e protezione della privacy - Controlli di sicurezza delle informazioni.

La norma fornisce un insieme di controlli generici di riferimento per la sicurezza delle informazioni, comprensivi di linee guida per la loro implementazione. Questo documento è elaborato per essere utilizzato dalle organizzazioni:

a) nell'ambito di un sistema di gestione per la sicurezza delle informazioni (SGSI) basato su UNI CEI EN ISO/IEC 27001;

b) per l' implementazione di controlli per la sicurezza delle informazioni basati sulle best practice riconosciute a livello internazionale;

c) per lo sviluppo di linee guida per la gestione della sicurezza delle informazioni specifiche per l'organizzazione.


UNI/PdR 43.1:2018
Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) - Gestione e monitoraggio dei dati personali in ambito ICT.

La prassi di riferimento UNI/PdR 43 è strutturata in 2 sezioni. La sezione 1 fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT), secondo il Regolamento Europeo 679/2016 (GDPR) e la normativa vigente.

UNI/PdR 43.2:2018
Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) - Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT.

La prassi di riferimento UNI/PdR 43 è strutturata in 2 sezioni. La sezione 2 fornisce un adeguato insieme di requisiti che permetta alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione. Il presente documento fornice inoltre gli indirizzi per la valutazione di conformità ai requisiti definiti.


UNI CEI EN ISO/IEC 18045:2024
Sicurezza delle informazioni, cybersecurity e protezione della privacy - Criteri di valutazione per la sicurezza IT - Metodologia per la valutazione della sicurezza IT

La norma definisce le azioni minime da effettuare da parte di un valutatore per condurre una valutazione basata sulla serie UNI CEI EN ISO/IEC 15408, usando i criteri e le prove di valutazione definite nella serie UNI CEI EN ISO/IEC 15408.

UNI CEI EN ISO/IEC 15408-1:2024
Sicurezza delle informazioni, cybersecurity e protezione della privacy - Criteri di valutazione per la sicurezza informatica - Parte 1: Introduzione e modello generale.

La norma stabilisce i concetti e i principi generali della valutazione della sicurezza informatica e specifica il modello generale di valutazione fornito dalle diverse parti dello standard, il quale nel suo complesso è destinato a essere utilizzato come base per la valutazione delle proprietà di sicurezza dei prodotti informatici. Questo documento fornisce una panoramica di tutte le parti della serie ISO/IEC 15408. Descrive le varie parti della serie ISO/IEC 15408, definisce i termini e le abbreviazioni da utilizzare in tutte le parti dello standard, stabilisce il concetto centrale di Oggetto della Valutazione (OdV), descrive il contesto della valutazione e indica il pubblico a cui sono indirizzati i criteri di valutazione. Viene fornita un'introduzione ai concetti di sicurezza di base necessari per la valutazione dei prodotti informatici.

Questo documento introduce:

- i concetti chiave dei Profili di Protezione (PP), dei Moduli di PP (PP-Modules), delle Configurazioni di PP (PP-Configurations), pacchetti, Obiettivi di Sicurezza (ST) e tipi di conformità;

- una descrizione dell'organizzazione dei componenti di sicurezza nell'ambito del modello;

- le varie operazioni mediante le quali i componenti funzionali e di garanzia forniti nella ISO/IEC 15408 2 e nella ISO/IEC 15408 3 possono essere adattati attraverso l'uso di operazioni consentite;

- informazioni generali sui metodi di valutazione forniti nella ISO/IEC 18045;

- indicazioni per l'applicazione della ISO/IEC 15408 4 al fine di sviluppare metodi di valutazione (evaluation methods, EM) e attività di valutazione (evaluation activities, EA) derivate dalla ISO/IEC 18045;

- informazioni generali sui Livelli di Garanzia di Valutazione predefiniti (Evaluation Assurance Levels, EAL) definiti nella ISO/IEC 15408 5;

- informazioni riguardanti l'ambito degli schemi di valutazione.

ACCREDIA: Sistema europeo di certificazione della cybersicurezza


Regolamento di esecuzione (UE) 2024/482 della Commissione, del 31 gennaio 2024, recante modalità di applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio per quanto riguarda l'adozione del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC)


Richiedi informazioni
Richiedi offerta

Amiamo essere consulenti in prima linea, al fianco degli imprenditori per realizzare, nella loro azienda, le strategie e gli obbiettivi che ci siamo posti insieme.

Questo documento è di proprietà di Consulenza Integrata S.r.l., ogni divulgazione e riproduzione o cessione di contenuti a terzi deve essere autorizzata dalla Consulenza Integrata S.r.l. stessa.

ALLEGATI