Il nostro supporto nella tua certificazione 27001


La certificazione ISO 27001 è una scelta che molte aziende fanno per tutelare i dati che gestiscono e conservano. È infatti un  sistema di gestione della sicurezza delle informazioni.

L’obiettivo della certificazione è dimostrare che una azienda ha pianificato tutta una serie di procedure che -attraverso la pianificazione, la progettazione, l’implementazione e la supervisione continua- garantisco il miglior sistema di protezione dei dati possibile.  L’esigenza è ovviamente molto sentita in quelle realtà che trattano dati sensibili (ospedali, RSA, cliniche, ecc.), dati di minori (asili, scuole,…) sopratutto se gestiti attraverso il sistema informatico in rete.

1 – Analisi dei rischi

Il nostro supporto in un processo di certificazione prevede, come per la ISO 9001, una prima fase di analisi e quantificazione dei rischi che ha come obiettivo quello di pianificare una serie di obiettivi e attività volti a migliorare il sistema di gestione dei dati.

Lo strumento ideale per una valutazione approfondita e completa, che coinvolga anche tutti gli aspetti di protezione dei dati, è il rating di cybersecurity.

2 – Procedure

Successivamente alla fase di analisi dei rischi si procede con l’implementazione di eventuali nuove procedure che siano di supporto al Sistema e che vadano a colmare eventuali lacune che siano state evidenziate nelle prime fasi di consulenza.

3 – Supervisione

Una volta che il Sistema 27001 è stato implementato è fondamentale procedere con la pianificazione delle attività di monitoraggio che dovranno essere periodiche, imparziali, adeguate e proporzionate. I controlli dovranno basarsi sull’allegato alla norma “Annex A” che riporta i 133 controlli che l’azienda deve fare per attenersi a quanto richiesto dalla 27001. Gli Audit periodici che vengono svolti devono essere registrati e serviranno per dare evidenza delle attività svolte dall’Azienda.

4 – Scelta dell’ente

La certificazione ha una durata di 3 anni e prevede in totale 3 Audit di verifica da parte di un ente di Certificazione:

  • 1 Audit iniziale per l’ottenimento della certificazione
  • 2 Audit di sorveglianza nel corso del triennio con cadenza annuale

L’azienda che vuole certificarsi deve quindi scegliere a quale ente di certificazione affidarsi e può affidarsi alla nostra consulenza per individuare quale possa essere la scelta migliore in termini di efficienza e costi.

5 – Certificazioni aggiuntive ISO 27017 e ISO 27018

Oltre alla certificazione ISO 27001 è possibile essere accompagnati nel percorso di certificazione:

  • ISO 27017 – Controlli di sicurezza per i servizi cloud
  • ISO 27018 – Protezione delle PII (Personally Identifiable Information) nei servizi di public cloud per i cloud provider

Le certificazioni possono essere fatte attraverso un sistema integrato che ne agevola l’implementazione e la gestione nel tempo.

I vantaggi di una certificazione 27001


Certificarsi 27001 garantisce all’azienda e ai suoi Clienti un miglior sistema di gestione dei dati. I vantaggi variano in base al settore e alla tipologia di dati trattati, ma sono sempre riconducibili ai seguenti aspetti:

  • Una gestione efficiente dei dati permette di ridurre i rischi e i costi legati alla loro perdita e al loro danneggiamento;
  • Le aziende certificate sono più tutelate dalle frodi informatiche poichè pianificano attività preventive di protezione e formazione del personale;
  • La certificazione è di grande supporto ad altre normative internazionali, in particolar modo al Nuovo Regolamento Europeo per la Privacy;
  • Alcune gare di appalto pubbliche e private, specie se legate al settore informatico, finanziario e sanitario, richiedono come requisito la certificazione 27001;
  • Le aziende che trattano dati sensibili, dati di minori e dati riservati richiedono ai loro fornitori la certificazione 27001 perché si sentono maggiormente tutelate.