Home Prodotti e Soluzioni Servizi Tecnologie Referenze Dove siamo Contatta Progetti e Soluzioni Mappa del sito Articoli
Clicca qui per le informazioni su Carta E-Penna La soluzione con CRS per i Servizi SocialiScopra i vantaggi di School E-Suite
Home Tecnologie ISO27001

ISO27001

Lo standard ISO27001

Cos’è la protezione delle informazioni e perché Progetti e Soluzioni ha scelto di certificarsi ISO27001?

La corretta gestione e protezione dei dati gestiti sul sistema informativo assicura per Progetti e Soluzioni e per i suoi Clienti l'integrità, la riservatezza e la disponibilità delle informazioni. Progetti e Soluzioni si certifica secondo lo standard ISO27001:2005 tramite un ente di certificazione accreditato per avere la conferma oggettiva di operare secondo i più elevati standard disponibili.

Cos’è lo standard ISO 27001:2005?

Lo Standard ISO 27001:2005 è la norma internazionale che fornisce i requisiti che devono essere soddisfatti da un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (SGSI).

Lo Standard ISO 27001:2005 fa parte della famiglia 27000 che comprende svariati altri documenti a quali l’azienda deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle informazioni che possa essere certificato da un ente accreditato indipendente.

In sintesi L’azienda che soddisfa i requisiti dello standard ISO27001 tiene conto delle potenziali vulnerabilità esistenti e definisce le corrispondenti contromisure preventive volte a limitare l’impatto sul Cliente.

Lo standard ISO27001:2005 ha sostituito il precedente standard BS7799.

Quali sono le differenze dei requisiti dello standard ISO27001 e i requisiti della legge 196/03 (Privacy)?

La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 è che la legge sulla privacy tutela i dati personali, sensibili, mentre la ISO 27001 pur richiedendo che i requisiti di legge siano soddisfatti, s'interessa anche dei dati di business dell’azienda che devono essere salvaguardati per l'interesse stesso dell’azienda e del Cliente.

In pratica lo standard ISO27001 impone dei controlli molto più restrittivi dei requisiti di legge ma non solleva l’azienda dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy. In particolare il controllo A.15.1.4 dello standard ISO27001 richiede che "La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali".

Quale relazione c’è tra lo standard ISO9001 e lo standard ISO27001?

Lo standard ISO9001 serve a certificare tutti i processi aziendali in maniera trasversale sugli aspetti del Sistema di Gestione della Qualità (SGQ). Lo standard ISO27001 si spinge più in profondità sugli aspetti tecnici e organizzativi aggiungendo il Risk Management sul Sistema di Gestione della Sicurezza delle Informazioni (SGSI).

Di fondamentale importanza è l'Annex A "Control objectives and controls" che contiene i 133 "controlli" a cui, l’azienda che intende applicare la norma, deve attenersi. Essi vanno dalla politica per la sicurezza alla gestione dei beni, alle risorse umane, alla sicurezza fisica e ambientale alla gestione delle comunicazioni, al controllo degli accessi fisici e logici, al monitoraggio e trattamento degli incidenti relativi alla sicurezza delle informazioni. La gestione della Business Continuity e il rispetto normativo, completano l'elenco degli obiettivi di controllo.

Cos’è il Risk Management?

La gestione del rischio (risk management) è il processo mediante il quale si misura o si stima il rischio e successivamente si sviluppano delle strategie per governarlo.

Di regola, le strategie impiegate sono di 4 tipi:

  1. Evitare il rischio
  2. Ridurre l'effetto negativo
  3. Trasferire il rischio a terze parti, ,
  4. Accettare in parte o totalmente le conseguenze di un particolare rischio.

Quali sono i passi del processo di Risk Management?

La gestione del rischio è un processo analitico che permette discoprire i rischi potenziali, da quelli più macroscopici a quelli più nascosti. Il processo di Risk Management segue generalmente i seguenti passi:

Stabilire il contesto e i processi

Esso contiene la descrizione del contesto in cui l’azienda si trova ad operare, delle attività di business, dei processi coinvolti, delle relative interfacce e dipendenze, delle funzioni aziendali interessate dai processi, del tipo di approccio alla gestione del rischio

Identificare gli asset

Significa elencare al massimo dettaglio possibile tutti i possibili asset su cui si basa il patrimonio informativo (documenti, applicativi software, database, server, PC, firewall, cablaggi di rete, edifici, condizioni ambientali, ecc). Ne risulta un elenco complesso e strutturato con interdipendenze reciproche.

Identificare le minacce potenziali

Dopo aver stabilito gli asset, il passo successivo nel processo è quello di identificare le minacce potenziali. Le minacce potenziali sono connesse all’analisi di tutti i possibili eventi che quando si verificano possono causare problemi.

Identificazione delle vulnerabilità

Ogni minaccia potenziale origina una potenziale vulnerabilità che potrebbe trasformare una minaccia in un danno per l’azienda

Identificazione degli impatti

Per ogni minaccia potenziale occorre quantificare il danno potenziale che dipende da tutte le correlazioni esistenti tra gli asset e processi sui quali tale minaccia può agire.

Identificazione delle probabilità

Per ogni minaccia deve essere identificata la probabilità di accadimento

Valutazione del rischio

Dalla combinazione di tutti gli elementi di cui sopra per tutte le minacce potenziali deriva il rischio complessivo potenziale a cui l’azienda è sottoposta.

Controllare i rischi Contromisure

In base all’elenco delle minacce potenziali e dei controlli della norma Iso27001, è possibile identificare le azioni (fisiche e organizzative) da metter in atto per ridurre al minimo i rischi. Il passo "Controllare i rischi" viene diviso in una fase di preparazione ed approvazione del Piano di azione dei rischio (Risk Action Plan) ed in una fase di esecuzione, controllo e modifica del piano.

Possiamo in particolare distinguere tra varie tipologie di contromisure

·Preventive finalizzate a minimizzare la probabilità che un evento indesiderato accada

·Correttive tese a riparare i danni causati dagli eventi indesiderati che, a dispetto delle contromisure preventive, sono ugualmente accaduti

·Informatiche basate sulla tecnologia informatica

·Organizzative relative alle norme e regole di comportamento stabilite per il personale

·A livello fisico che proteggono dispositivi (calcolatori, cavi ed apparecchiature di rete, locali, impianti di alimentazione e condizionamento, etc.) da attacchi di tipo fisico quali furto o danneggiamento

·A livello logico come ad esempio i profili di configurazione, profili di accesso, profili di gestione del traffico di rete,i software antivirus, registri degli eventi, regole di backup, ecc.

In parallelo col processo centrale, vi sono processi di monitoraggio e revisione in modo da assicurare che identificazione, l'analisi, la valutazione ed il controllo siano sempre aggiornati.

La gestione del rischio è quindi un processo ricorsivo, cioè continuamente soggetto ad aggiornamenti, controlli ed adeguamenti e non si esaurisce nell'identificazione iniziale del rischio.

Richiedi qui la documentazione aggiornata
Privacy Policy  | Condizioni di utilizzo   
© 2006, Progetti e Soluzioni SpA. Tutti i diritti riservati.
TUV Sertification
Creato da Webfactory Bulgaria.