Sistemi di Gestione di Sicurezza delle Informazioni : UNI EN ISO 27001:2013

Attraverso un Sistema di Gestione di Sicurezza delle Informazioni (SGSI), conforme allo standard ISO/IEC 27001:2013, un’organizzazione può dimostrare di essere capace di tutelare il proprio patrimonio informativo (o quello di terzi ad essa affidato).

La norma ISO/IEC 27001 è una norma certificabile, progettata per garantire dei controlli di sicurezza, adeguati e proporzionati, con la finalità ultima di proteggere i dati detenuti  e garantirsi la fiducia degli stakeholders, in particolare dei propri clienti.

La norma ISO/IEC ISO 27001 mira a garantire:

• la riservatezza: proprietà per cui l’informazione non è resa disponibile o rivelata a individui, entità o processi non autorizzati;
• l’integrità: proprietà relativa alla salvaguardia dell’accuratezza e della completezza delle informazioni e dei beni ad esse collegati;
• la disponibilità: proprietà di essere accessibile e utilizzabile su richiesta di un’entità autorizzata.

Il modello proposto da N&A Consulting

L’approccio all’implementazione del Sistema di Gestione della Sicurezza delle Informazioni è quello di analizzare gli aspetti legati al business, all’infrastruttura tecnologica e organizzativa dell’impresa per poi definire i metodi e le procedure più idonee rispetto alle esigenze dell’impresa e conformi alla normativa.

Le fasi sono le seguenti:

• impostazione del progetto;
• definizione del campo di applicazione e delle politiche di sicurezza;
• analisi dell’organizzazione e dei suoi processi;
• conduzione dell’analisi dei rischi con focus sulle problematiche per garantire la continuità operativa;
• implementazione del sistema di gestione delle sicurezza delle informazioni;
• gestione delle relazioni con gli enti certificatori;
• assistenza all’azienda durante l’audit svolto dall’Ente prescelto per il rilascio della certificazione.