Organismo di certificazione  ispezione formazione

LA CERTIFICAZIONE....FACILE COME L'A B C 

PER FAR DECOLLARE LA VOSTRA ATTIVITA'

AVVISO DI SCADENZA

Centri trasformazione ferro per cemento armato

ULTIMISSIME

Sicurezza delle informazioni

Le informazioni sono la chiave per la crescita e il successo di un’azienda. Certificare il Sistema di Gestione della Sicurezza significa dimostrare ai clienti che le informazioni in proprio possesso sono adeguatamente protette a prescindere dal metodo di archiviazione, cartaceo o elettronico, o dal know-how di ogni singolo individuo.

Il Sistema di Gestione della Sicurezza delle Informazioni vi aiuterà a identificare le aree di maggiore criticità e a implementare controlli adeguati alle vostre necessità. 

Scegli ABICertcome partner per:

La certificazione ISO/IEC 27001. Questo nuovo standard internazionale per la gestione della sicurezza informatica sostituisce il BS 7799 e, pur basandosi su quest’ultimo, è allineato con gli altri standard internazionali. ISO/IEC 27001 è applicabile a qualsiasi organizzazione e definisce i requisiti per stabilire, implementare, operare, monitorare, revisionare, mantenere e migliorare il Sistema di Gestione della Sicurezza delle Informazioni della vostra azienda.

BS 7799 è lo standard per la Gestione della Sicurezza delle Informazioni e costituisce il punto di partenza per lo sviluppo dell’ISO/IEC 27001. I certificati rilasciati secondo questo standard sono validi sino al 15 aprile 2007 o alla data di scadenza del certificato, se antecedente.

Dal 15 ottobre 2005 il Sistema di Gestione della Sicurezza delle Informazioni è certificabile secondo lo standard ISO/IEC 27001.

Nel periodo di transizione dal 15 ottobre 2005 al 15 aprile 2006 è possibile eseguire verifiche e rilasciare certificazioni secondo entrambi gli standard. In qualunque caso, un certificato BS 7799-2:2002 rilasciato durante questa fase transitoria dovrà essere convertito secondo l’ISO/IEC 27001:2005 entro il 15 aprile 2007.

Dal 15 aprile 2006 tutte le verifiche e le certificazioni saranno eseguite secondo il nuovo standard.

Le società certificate BS 7799 dovranno convertire la loro certificazione secondo l’ISO/IEC 27001:2005 entro il 15 aprile 2007.

Lo Standard BS 7799

Lo standard è composto da due parti:

BS 7799 - Prima Parte

elenca le "best practice" necessarie per implementare un Sistema di Gestione per la Sicurezza delle Informazioni. Questa prima parte è stata recepita nella norma ISO 17799:2000, di successiva pubblicazione.

BS 7799 - Seconda Parte

Specifica i requisiti per stabilire, implementare, mantenere e migliorare un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI). È la parte certificabile della norma.

Lo standard BS 7799 individua tre aspetti fondamentali per la gestione della sicurezza delle informazioni:

Confidenzialità: solo gli utenti autorizzati possono accedere alle informazioni necessarie.

Integrità: protezione contro alterazioni o danneggiamenti; tutela dell'accuratezza e completezza dei dati.

Disponibilità: le informazioni vengono rese disponibili quando occorre e nell'ambito di un contesto pertinente.

Le dieci aree da controllare

Nei dieci capitoli della norma sono descritti gli elementi che contribuiscono alla realizzazione di un efficace programma di sicurezza:

Politica di sicurezza

Organizzazione per la sicurezza

Controllo e classificazione delle risorse

Sicurezza del personale

Sicurezza materiale e ambientale

Gestione operativa e comunicazione

Controllo degli accessi

Sviluppo e manutenzione dei sistemi

Gestione della business continuity

Conformità

ISO/IEC 27001

La certificazione ISO/IEC 27001 dimostra che il vostro Sistema di Gestione della Sicurezza delle Informazioni rispetta i requisiti espressi dallo standard. Rilasciato da un ente indipendente di terza parte, il certificato testimonia che la vostra azienda ha adottato le necessarie precauzioni per proteggere i dati sensibili da accessi e modifiche non autorizzati.

Lo standard utilizza l’approccio per processi per definire, implementare, operare, monitorare, revisionare, mantenere e migliorare il Sistema di Gestione della Sicurezza delle Informazioni di una organizzazione (SGSI).

ISO/IEC 27001 è lo standard internazionale per la certificazione dei sistemi di sicurezza delle informazioni, definito dall’ISO (International Organisation for Standardisation) e sostituisce il BS 7799.  Nella ISO/IEC 27001 sono stati inclusi nuovi controlli, come l’enfasi sulla gestione degli incidenti che riguardano la sicurezza dei dati e sui principi dettati dall’OECD (Organizzazione per la Cooperazione Economica e lo Sviluppo).

Lo standard attinge anche da altre norme quali ISO/IEC 17799:2005, ISO/IEC 13335-1:2004, ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000, ISO/IEC TR 18044:2004 e “OECD Guidelines for Security of Information Systems and Networks – Towards a culture of security” che fornisce le linee guida per implementare un sistema per la sicurezza delle informazioni.

La protezione degli asset aziendali

La nuova norma prevede un approccio globale alla sicurezza delle informazioni. Proteggere gli assets aziendali significa proteggere sia le informazioni su supporto digitale, documenti cartacei e strumentazioni (computers e reti) che il patrimonio di conoscenza delle risorse umane. Le tematiche che ogni azienda si trova ad affrontare vanno dallo sviluppo delle competenze dello staff alla protezione dalle frodi informatiche.

Lo standard ISO/IEC 27001 individua tre aspetti fondamentali per la gestione della sicurezza delle informazioni:

Confidenzialità: solo gli utenti autorizzati possono accedere alle informazioni necessarie.
Integrità: protezione contro alterazioni o danneggiamenti; tutela dell'accuratezza e completezza dei dati.
Disponibilità: le informazioni vengono rese disponibili quando occorre e nell'ambito di un contesto pertinente.

La conformità agli altri standard di gestione di sistema.

L’ ISO/IEC 27001 fornisce le specifiche per l’SGSI e ne permette l’integrazione con gli altri sistemi di gestione eventualmente presenti nell’azienda. 

È quindi possibile:

L’armonizzazione con gli altri standard di gestione di sistema come ISO 9001 e ISO 14001.
Il miglioramento continuo del sistema di gestione della sicurezza delle informazioni.
Una maggiore chiarezza sui requisiti per i documenti e i registri.
L’utilizzo del modello Plan Do Check Act per integrare risk management e gestione di processi.