L’informazione è un bene che aggiunge valore all’impresa,
ormai la maggior parte delle informazioni sono custodite su supporti
informatici, ogni organizzazione dunque deve essere in grado di garantire la sicurezza dei propri dati, in un
contesto dove i rischi informatici causati dalle violazioni dei sistemi di
sicurezza sono in continuo aumento.
ormai la maggior parte delle informazioni sono custodite su supporti
informatici, ogni organizzazione dunque deve essere in grado di garantire la sicurezza dei propri dati, in un
contesto dove i rischi informatici causati dalle violazioni dei sistemi di
sicurezza sono in continuo aumento.
L’obiettivo delle aziende pertanto deve tendere sempre più alla
protezione dei dati e le informazioni da minacce di ogni tipo, al fine di
assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i
requisiti per adottare un adeguato sistema di gestione della sicurezza delle
informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili
dell’azienda. È così che entrano in gioco le certificazioni quali ISO 27001.
protezione dei dati e le informazioni da minacce di ogni tipo, al fine di
assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i
requisiti per adottare un adeguato sistema di gestione della sicurezza delle
informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili
dell’azienda. È così che entrano in gioco le certificazioni quali ISO 27001.
Cos’è la
certificazione
certificazione
La Certificazione ISO/IEC 27001 definisce i requisiti per impostare e amministrare un Sistema di Gestione della Sicurezza delle Informazioni e include aspetti relativi alla sicurezza logica, fisica e organizzativa dei dati.
La certificazione ISO 27001, integrata con le linee guida ISO 27017 e ISO 27018, permette alle aziende che erogano servizi in SaaS, IaaS e PaaS o Cloud Service Provider di garantire ai propri clienti una maggiore protezione dei dati trattati.
Dunque la sicurezza del cliente o comunque del fruitore dei servizi deve essere il fulcro dell’attenzione dell’azienda.
Geropa Srl è stata ritenuta idonea a tutta la serie di
controlli atti a garantire lo Standard per il Sistema di Gestione della
Sicurezza delle Informazioni (ISMS). L’obiettivo principale è quello di stabilire
un sistema per la gestione del rischio e la protezione delle informazioni e
degli asset ICT. La norma è applicabile a tutte le imprese private o pubbliche,
in quanto prescinde da uno specifico settore di business o dall’organizzazione
dell’azienda. Però bisogna tener presente che l’adozione e gestione di un ISMS
richiede un impegno di risorse significativo e quindi deve essere seguito da un
ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e
Qualità.
controlli atti a garantire lo Standard per il Sistema di Gestione della
Sicurezza delle Informazioni (ISMS). L’obiettivo principale è quello di stabilire
un sistema per la gestione del rischio e la protezione delle informazioni e
degli asset ICT. La norma è applicabile a tutte le imprese private o pubbliche,
in quanto prescinde da uno specifico settore di business o dall’organizzazione
dell’azienda. Però bisogna tener presente che l’adozione e gestione di un ISMS
richiede un impegno di risorse significativo e quindi deve essere seguito da un
ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e
Qualità.
Lo standard ISO 27001 che presenta molti punti in comune con
la ISO 9001, anche questa già in possesso dalla Geropa Srl, definisce i requisiti
di un sistema di gestione della qualità (es. adozione modello PDCA, filosofia
del miglioramento continuo, ecc.), si differenzia in quanto segue un approccio
basato sulla gestione del rischio. Quindi lo standard prevede:
la ISO 9001, anche questa già in possesso dalla Geropa Srl, definisce i requisiti
di un sistema di gestione della qualità (es. adozione modello PDCA, filosofia
del miglioramento continuo, ecc.), si differenzia in quanto segue un approccio
basato sulla gestione del rischio. Quindi lo standard prevede:
- –
Pianificazione e Progettazione; - –
Implementazione; - –
Monitoraggio; - –
Mantenimento e Miglioramento
similmente a quanto previsto dai sistemi per la gestione
della qualità.
della qualità.
Nella fase di progettazione richiede però lo svolgimento di
un risk assessment, schematizzabile in:
un risk assessment, schematizzabile in:
- –
Identificazione dei rischi; - –
Analisi e valutazione; - –
Selezione degli obiettivi di controllo e
attività di controllo per la gestione dei rischi; - –
Assunzione del rischio residuo da parte del
management; - –
Definizione dello Statement of Applicability.
L’ultimo punto specifica gli obiettivi di controllo adottati
e i controlli implementati dall’organizzazione rispetto ad una lista di
obiettivi di controllo previsti dalla norma. Analogamente alla norma sui
sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è
richiesta ampia documentazione riguardo sia l’analisi del rischio sia le
procedure e i controlli a supporto dell’ISMS. Come per il sistema qualità,
l’organizzazione ISMS può essere certificata da enti di certificazione, che
operano tramite valutatori qualificati, esaminando periodicamente lo stato
delle condizioni di conformità. Tra le condizioni di conformità la norma
prevede la pianificazione e realizzazione di attività di autocontrollo gestite
dall’impresa, con personale proprio o esterno, purché in entrambi i casi dotato
delle necessarie competenze.
e i controlli implementati dall’organizzazione rispetto ad una lista di
obiettivi di controllo previsti dalla norma. Analogamente alla norma sui
sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è
richiesta ampia documentazione riguardo sia l’analisi del rischio sia le
procedure e i controlli a supporto dell’ISMS. Come per il sistema qualità,
l’organizzazione ISMS può essere certificata da enti di certificazione, che
operano tramite valutatori qualificati, esaminando periodicamente lo stato
delle condizioni di conformità. Tra le condizioni di conformità la norma
prevede la pianificazione e realizzazione di attività di autocontrollo gestite
dall’impresa, con personale proprio o esterno, purché in entrambi i casi dotato
delle necessarie competenze.
Pertanto aver ottenuto tale certificazione aggiunge
ulteriore valore alla Geropa Srl, perché ne riconosce la solidità organizzativa
e gliene riconosce garanzia certificabile.
ulteriore valore alla Geropa Srl, perché ne riconosce la solidità organizzativa
e gliene riconosce garanzia certificabile.
Aver ottenuto la Certificazione
ISO/IEC 27001 integrata con le linee guida ISO 27017 e ISO 27018 è un traguardo importante, perché conferma la serietà l’impegno
quotidiano nel garantire il rispetto delle norme più stringenti in tema di
sicurezza e legalità. Non solo, vogliamo ricordare che la tutela delle
informazioni e dei dati certificata dalla ISO/IEC 27001 è un requisito
fondamentale per la qualificazione Agid dei nostri servizi SaaS, requisito di
qualità in diverse gare e bandi pubblici.
ISO/IEC 27001 integrata con le linee guida ISO 27017 e ISO 27018 è un traguardo importante, perché conferma la serietà l’impegno
quotidiano nel garantire il rispetto delle norme più stringenti in tema di
sicurezza e legalità. Non solo, vogliamo ricordare che la tutela delle
informazioni e dei dati certificata dalla ISO/IEC 27001 è un requisito
fondamentale per la qualificazione Agid dei nostri servizi SaaS, requisito di
qualità in diverse gare e bandi pubblici.