La certificazione a garanzia della protezione delle informazioni, della cybersecurity e della privacy
La certificazione ISO/IEC 27001 è volta a garantire la conformità e l’efficacia di un sistema di gestione per la sicurezza delle informazioni in termini di protezione della loro riservatezza, integrità e disponibilità.
Lo standard certificativo si rivolge alle organizzazioni di qualsiasi dimensione e tipologia. Infatti, l’information security non riguarda solo la privacy ed i dati personali, ma anche la proprietà intellettuale, i dati di processo e gli output dei servizi informatici e telematici. Ogni azienda che gestisce informazioni è potenzialmente interessata.
La norma ISO/IEC 27001 aiuta le organizzazioni a valutare i rischi che incombono sulla riservatezza, integrità e disponibilità delle informazioni che intendono proteggere, al fine di selezionare le contromisure organizzative e tecniche da adottare per ridurre tali rischi a livelli accettabili.
In seguito al rilascio del certificato, a cadenza annuale dalla data di prima certificazione dovranno essere effettuate le “Verifiche di Sorveglianza”. La durata della certificazione ISO/IEC 27001 è pari a 3 anni, rinnovabile al termine del triennio.
RINA è accreditata da Accredia per la certificazione ISO/IEC 27001, e con tale accreditamento può estendere la certificazione alle Linee Guida relative ai servizi cloud (ISO/IEC 27017, ISO/IEC 27018), all’Incident Management (ISO/IEC 27035) e alla gestione per la privacy (ISO/IEC 27701).
I nostri audit team sono formati da professionisti con elevate competenze nel settore dell’IT e della Sicurezza, dell’auditing ICT (Auditor CISA, certificati ITIL), esperti tecnici degli ambiti tecnologici ed esperti della normativa di settore.
La norma ISO/IEC 27001 è arrivata alla terza edizione: la prima, pubblicata nel 2005, “traghettò” nel mondo ISO i requisiti e l’esperienza della norma inglese BS 7799-2, a sua volta frutto di un continuo affinamento nelle edizioni 1998, 1999 e 2002, e ne conservava la struttura. La seconda edizione (nel 2013) segnò il passaggio alla High Level Structure (HLS), al fine di migliorarne l’integrabilità con le altre norme sui sistemi di gestione informate ai principi del risk management. Nel 2014 e nel 2015 furono pubblicati due Corrigendum (non sostanziali), che rimasero separati dalla norma, finché non sono stati inclusi nell’edizione corrente, a sua volta allineata alla Harmonised Structure (derivata dalla HLS) e con piccole modifiche ai requisiti.
Trattandosi di una norma con risvolti tecnologici, viene “firmata” anche dalla Commissione Elettrotecnica Internazionale (IEC).
La certificazione ISO/IEC 27001, fa riferimento alle normative internazionali e nazionali riguardanti: proprietà intellettuale, diritto d’autore, dati personali, servizi essenziali, infrastrutture critiche, servizi cloud, servizi fiduciari.
Il campo di applicazione si riferisce alle informazioni che si intendono proteggere, ai sistemi e ai processi che permettono la loro elaborazione e al perimetro fisico in cui avviene la loro elaborazione.
Sì, le due certificazioni possono essere abbinate in due casi:
- Quando il sistema di gestione per l’information security è integrato col sistema di gestione per la qualità e ne condividendo il campo d’applicazione, gli elementi gestionali e le informazioni documentate comuni, il programma di audit interno ed il riesame di direzione.
- Quando i sistemi di gestione non sono integrati e quindi non hanno in comune gli elementi sopracitati.
No, le Linee Guida ISO/IEC 27017 e 27018 costituiscono un’estensione tecnica, quindi il certificato deve sempre riferirsi alla ISO/IEC 27001.
