SERVIZI OFFERTI

Qualità

Ambiente

Rintracciabilità di Filiera Agroalimentare

Prodotto

Codice di Pratica Autotrasporto

Etica

Haccp

Marcatura CE

UNI 11200 centri di contatto

Formazione

D. Lgs 231/2001

Basilea 2

Marchio Pizzeria di Qualità

Sistema di Gestione per la Sicurezza delle Informazioni

Sistema di Gestione della Sicurezza e Salute dei Lavoratori

Verifica di impianti di messa a terra

DOP-IGP-STG

ISO 22000

GLOBALGAP

BRC

ISO 27001:2005
Sistema di Gestione per la Sicurezza delle Informazioni

La norma ISO 27001:2005  specifica i requisiti per stabilire, implementare, documentare e valutare un Sistema di gestione della Sicurezza dell’Informazione (di seguito SGSI) in accordo con la norma ISO/IEC 17799 nel contesto dei rischi identificati per l’organizzazione.
La ISO/IEC 17799 "Information Technology - Security techniques - Code of practice for information security management" (che sostituisce la BS 7799:1), a supporto della ISO 27001:2005, funge da linea guida per la gestione dei controlli e delle procedure per i sistemi di monitoraggio, prevenzione e ripristino dati. La norma ISO/IEC 17799 è destinata a divenire uno strumento essenziale per organizzazioni, aziende, imprese di qualsiasi tipo e dimensione, sia pubbliche che private.
L’impostazione dello standard ISO/IEC 27001:2005, così come della ISO/IEC 17799:2005 (destinata a diventare ISO/IEC 27002), è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 e il risk management:

  • approccio per processi,
  • politica per la sicurezza,
  • identificazione, analisi dei rischi,
  • valutazione e trattamento dei rischi,
  • riesame e rivalutazione dei rischi,
  • modello PDCA,
  • utilizzo di procedure e di strumenti come audit interni, esterni di stage 1 e stage 2, non conformità, azioni correttive e preventive, sorveglianza, miglioramento continuo.

Per tale motivo,  il sistema di gestione per la sicurezza delle informazioni è facilmente integrabile con i sistemi qualità (ISO 9001:2000), ambientali (ISO 14001:2004) ed etici (SA 8000) e consente una gestione globale dell’Organizzazione.
La norma  ISO/IEC 27001:2005 (e la sua linea guida ISO/IEC 17799) è applicabile ad un ampio ventaglio di imprese operanti nella gran parte dei settori commerciali e industriali: finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi etc. L'applicazione della norma da parte di un'impresa rappresenterà una garanzia per i clienti e i fornitori, i quali sapranno con certezza che il problema della sicurezza delle informazioni viene affrontato e gestito seriamente nell'ambito dell'impresa stessa.
L’Organizzazione dovrebbe valutare e gestire una serie di aspetti in funzione dei rischi e dei costi associati. L'oggetto della norma è l'informazione, sotto qualsiasi forma e supporto, per la quale devono essere garantiti:

  • La riservatezza (deve essere accessibile solo al personale autorizzato);
  • L'integrità (deve essere mantenuta completa ed integra quando è necessario utilizzarla);
  • La disponibilità (deve essere fruibile al personale autorizzato quando necessario).

Occorrerà quindi identificare i requisiti relativi alle informazioni gestite e valutarne i rischi associati in termini di:

  • Conseguenze in caso di perdita delle informazioni o di inosservanza dei requisiti di riservatezza ad esse associati;
  • Probabilità che ciò accada;
  • Definire azioni da intraprendere commisurate ai rischi;
  • Revisione periodica della valutazione del rischio.

Tutto ciò riveste un'importanza fondamentale o secondaria in funzione delle informazioni trattate dall'Organizzazione e dai supporti ove tali informazioni sono conservate.
Si passa quindi dalle sole informazioni riservate relative al personale dipendente (i cosiddetti dati sensibili delle normative sulla privacy D.lgs 196/2003) gestite dalle società, alla gestione di informazioni strettamente riservate nell'ambito delle attività aziendali, come avviene per banche, studi di commercialisti, avvocati, società che gestiscono sistemi informativi o documenti di carattere legale o fiscale per conto terzi, ecc..
A partire da questi presupposti l'Organizzazione deve stabilire una politica per la sicurezza delle informazioni che guiderà tutte le attività di gestione delle informazioni.
Questo Sistema di Gestione della Sicurezza delle Informazioni, rappresenta un ottimo punto di partenza per quelle Organizzazioni che necessitano di dotarsi di tale strumento per la criticità delle informazioni e dei dati gestiti, senza per questo indicare nel dettaglio le soluzioni da adottare di caso in caso.
Il valore aggiunto di questa normativa è proprio nell'invito a considerare tutti gli aspetti legati alla sicurezza delle informazioni, anche quelli che la maggior parte delle Organizzazioni non hanno mai valutato, ma che se si verificassero (ed a volte si verificano) potrebbero creare notevoli danni all'Organizzazione stessa, economici, legali e di immagine sul mercato.

ITER DI CERTIFICAZIONE

L'iter di certificazione si articola nelle seguenti fasi:

  • Commerciale: acquisizione del contratto;
  • Tecnica documentale: valutazione del manuale e delle procedure di gestione
  • Audit Stage I: esecuzione di visita iniziale al fine di verificare la conformità normativa dell’Organizzazione (autorizzazioni, tenuta di registri obbligatori, ecc.). Non si potrà dar corso allo Stage II senza aver verificato prima il rispetto normativo e l'efficacia delle eventuali azioni correttive emesse.
  • Audit Stage II: visita conclusiva per la verifica di conformità del sistema per la sicurezza delle informazioni e rilascio del certificato
  • Audit periodici e di sorveglianza: visite periodiche c/o l’Organizzazione.

Il processo di verifica della C.D.Q. ITALIA s.r.l. realizzato da professionisti capaci, imparziali, indipendenti, esperti e continuamente aggiornati, che applicano la giusta elasticità, concretezza ed omogeneità di interpretazione della norma.