Il nostro supporto nella tua certificazione 27001
La certificazione ISO 27001 è una scelta che molte aziende fanno per tutelare i dati che gestiscono e conservano. È infatti un sistema di gestione della sicurezza delle informazioni.
L’obiettivo della certificazione è dimostrare che una azienda ha pianificato tutta una serie di procedure che -attraverso la pianificazione, la progettazione, l’implementazione e la supervisione continua- garantisco il miglior sistema di protezione dei dati possibile. L’esigenza è ovviamente molto sentita in quelle realtà che trattano dati sensibili (ospedali, RSA, cliniche, ecc.), dati di minori (asili, scuole,…) sopratutto se gestiti attraverso il sistema informatico in rete.
1 – Analisi dei rischi
Il nostro supporto in un processo di certificazione prevede, come per la ISO 9001, una prima fase di analisi e quantificazione dei rischi che ha come obiettivo quello di pianificare una serie di obiettivi e attività volti a migliorare il sistema di gestione dei dati.
Lo strumento ideale per una valutazione approfondita e completa, che coinvolga anche tutti gli aspetti di protezione dei dati, è il rating di cybersecurity.
2 – Procedure
Successivamente alla fase di analisi dei rischi si procede con l’implementazione di eventuali nuove procedure che siano di supporto al Sistema e che vadano a colmare eventuali lacune che siano state evidenziate nelle prime fasi di consulenza.
3 – Supervisione
Una volta che il Sistema 27001 è stato implementato è fondamentale procedere con la pianificazione delle attività di monitoraggio che dovranno essere periodiche, imparziali, adeguate e proporzionate. I controlli dovranno basarsi sull’allegato alla norma “Annex A” che riporta i 133 controlli che l’azienda deve fare per attenersi a quanto richiesto dalla 27001. Gli Audit periodici che vengono svolti devono essere registrati e serviranno per dare evidenza delle attività svolte dall’Azienda.
4 – Scelta dell’ente
La certificazione ha una durata di 3 anni e prevede in totale 3 Audit di verifica da parte di un ente di Certificazione:
- 1 Audit iniziale per l’ottenimento della certificazione
- 2 Audit di sorveglianza nel corso del triennio con cadenza annuale
L’azienda che vuole certificarsi deve quindi scegliere a quale ente di certificazione affidarsi e può affidarsi alla nostra consulenza per individuare quale possa essere la scelta migliore in termini di efficienza e costi.
5 – Certificazioni aggiuntive ISO 27017 e ISO 27018
Oltre alla certificazione ISO 27001 è possibile essere accompagnati nel percorso di certificazione:
- ISO 27017 – Controlli di sicurezza per i servizi cloud
- ISO 27018 – Protezione delle PII (Personally Identifiable Information) nei servizi di public cloud per i cloud provider
Le certificazioni possono essere fatte attraverso un sistema integrato che ne agevola l’implementazione e la gestione nel tempo.
I vantaggi di una certificazione 27001
Certificarsi 27001 garantisce all’azienda e ai suoi Clienti un miglior sistema di gestione dei dati. I vantaggi variano in base al settore e alla tipologia di dati trattati, ma sono sempre riconducibili ai seguenti aspetti:
- Una gestione efficiente dei dati permette di ridurre i rischi e i costi legati alla loro perdita e al loro danneggiamento;
- Le aziende certificate sono più tutelate dalle frodi informatiche poichè pianificano attività preventive di protezione e formazione del personale;
- La certificazione è di grande supporto ad altre normative internazionali, in particolar modo al Nuovo Regolamento Europeo per la Privacy;
- Alcune gare di appalto pubbliche e private, specie se legate al settore informatico, finanziario e sanitario, richiedono come requisito la certificazione 27001;
- Le aziende che trattano dati sensibili, dati di minori e dati riservati richiedono ai loro fornitori la certificazione 27001 perché si sentono maggiormente tutelate.