Certificazione ISO 27001: tutto ciò che devi sapere sullo standard internazionale della sicurezza delle informazioni.
La gestione della sicurezza delle informazioni è un tema quanto mai centrale, in relazione (soprattutto) alla nostra “nuova quotidianità” fatta sempre più di informazioni – spesso a mezzo telematico/informatico – da gestire in sicurezza.
ISO 27001 è uno standard internazionale con determinati requisiti per la creazione, la manutenzione e lo sviluppo dei sistemi di gestione della sicurezza delle informazioni.
In sostanza, si tratta di un insieme di best practices inerenti alle misure di gestione della sicurezza, con lo scopo di proteggere le informazioni e garantire la protezione dei dati dei clienti.
L’attuale standard sancito dalla Certificazione ISO 27001 non è, però, unicamente uno standard di sicurezza informatica ma bensì un sistema completo per garantire la gestione della sicurezza fisica, ambientale ed organizzativa.
La norma consente alle Organizzazioni un approccio complessivo alla sicurezza delle informazioni a 360°.
Parliamo, quindi, di tutti gli ambiti del segmento informazioni: dai documenti in formato digitale a quelli in formato cartaceo, alle strumentazioni hardware (computer e reti) alle competenze del personale.
Lo standard, conforme alle norme ISO, può essere certificato unicamente in collaborazione con un Ente di terza parte indipendente, come già approfondito in questa sezione.
I vantaggi della ISO 27001
- Vantaggio competitivo: soddisfare i requisiti contrattuali dei propri clienti con particolare attenzione alla sicurezza delle loro informazioni
- Eseguire in modo imparziale l’identificazione, la valutazione e la gestione dei rischi formalizzando i processi, le procedure e la documentazione relativi alla sicurezza delle informazioni
- Dimostrare l’impegno concreto dei titolari dell’Organizzazione per garantire la sicurezza delle informazioni
- Garantire il monitoraggio costantemente delle prestazioni aziendali e attivare le azioni di miglioramento necessarie.
Cos’è il miglioramento continuo con la ISO 27001?
Il così detto miglioramento continuo garantito dalla ISO 27001, garantisce ai clienti che le aziende con le quali lavorano o collaborano miglioreranno e migliorano continuamente i loro Sistemi di Sicurezza delle Informazioni.
Il miglioramento continuo è tra i massimi principi di questo standard.
Infatti, ogni anno, le aziende certificate devono partecipare a un processo di revisione esterno.
Ogni tre anni avviene una revisione della Certificazione, al fine di mantenerne la conformità.
Mantenere la Certificazione non è “automatico”, dunque.
Per mantenere la certificazione, devono dimostrare di migliorare continuamente il proprio ISMS. Lo stesso standard viene aggiornato e le organizzazioni devono passare all’ultima versione dello stesso per mantenere la loro certificazione.
Iter di certificazione
L’iter di certificazione secondo la Norma ISO 27001, prevede:
- la richiesta di offerta;
- l’accettazione dell’offerta;
- lo svolgimento di un audit di Certificazione (suddiviso in due stage)
- la gestione di eventuali carenze rilasciate;
- la delibera di certificazione da parte della Commissione Tecnica di QMS Italia
A seguito della certificazione, sono effettuate con frequenza annuale le verifiche di mantenimento.
Alla scadenza dei tre anni, si svolgerà poi la verifica di rinnovo del certificato.