Sei un candidato?Sei un'azienda?
About
Sei qui:
HomeConsulenza aziendalePrivacyDirettiva NIS 2
Aziende

Certificazione ISO 27001 - Consulenza

La ISO 27001 è uno standard per la sicurezza delle informazioni, garantendo riservatezza, integrità e disponibilità dei dati, essenziale per la protezione e la conformità legale.

Conformità legale e reputazionale
Sicurezza delle Informazioni
Richiedi Informazioni
videosorveglianza

La ISO 27001 è uno standard internazionale per la gestione della sicurezza delle informazioni (ISMS), che garantisce riservatezza, integrità e disponibilità dei dati, oltre alla conformità legale. Ottenere la certificazione ISO 27001 dimostra l’impegno della tua azienda nel seguire le migliori pratiche per la sicurezza delle informazioni. Inoltre, garantisce una valutazione professionale sull’adeguata protezione dei dati aziendali. Se possiedi la certificazione ISO 27001:2013, hai tempo fino al 31 ottobre 2025 per aggiornare il tuo SGSI alla versione ISO 27001:2022.

Indice
01
Cos'è la ISO 27001?
02
5 Vantaggi Competitivi
03
Principi Fondamentali
04
Consulenza ISO 27001
05
Il Nostro Approccio
06
Famiglia di Norme ISO/IEC

Contattaci per avere maggiori informazioni sulla Direttiva

ContattiChi siamo
1

Cos'è la ISO 27001?

La ISO 27001 è uno standard riconosciuto a livello internazionale che stabilisce un quadro di riferimento per i sistemi di gestione della sicurezza delle informazioni (ISMS), assicurando la riservatezza, l’integrità e la disponibilità continua dei dati, oltre alla conformità legale. Ottenere questa certificazione è fondamentale per salvaguardare le risorse più importanti, come le informazioni relative ai dipendenti e ai clienti, la reputazione del marchio e altre informazioni riservate. Lo standard ISO promuove un approccio strutturato e basato sui processi per avviare, implementare, gestire e mantenere un ISMS efficace.

Implementare la ISO 27001 rappresenta una soluzione ottimale per soddisfare i requisiti legali, come quelli previsti dal GDPR, e le aspettative dei clienti, consentendo di valutare e gestire i rischi legati a potenziali minacce alla sicurezza, tra cui il cybercrime, le violazioni dei dati, il terrorismo informatico, i danni causati da incendi o altri eventi, l’uso improprio delle informazioni e i furti.

La ISO 27001 è progettata per integrarsi con altri standard di gestione, come la ISO 9001, rendendola indipendente da qualsiasi piattaforma IT specifica. Per questo motivo, è fondamentale che tutto il personale aziendale sia adeguatamente formato per comprendere i requisiti dello standard e applicarli efficacemente all'interno dell'organizzazione.

Se sei in possesso della certificazione ISO 27001:2013, hai tempo fino al 31 ottobre 2025 per aggiornare il tuo Sistema di Gestione della Sicurezza delle Informazioni (SGSI) e la tua certificazione alla nuova versione ISO 27001:2022. Dopo tale data, tutti i certificati ISO 27001:2013 diventeranno invalidi. L'ente di certificazione dovrà condurre una valutazione di transizione entro questa scadenza e rilasciare un nuovo certificato aggiornato. Questa valutazione di transizione verificherà se il tuo SGSI rispetta i nuovi requisiti della ISO 27001:2022, inclusi gli aggiornamenti ai controlli dell’Allegato A. La transizione al nuovo standard può essere completata durante un audit di sorveglianza, di ricertificazione o come audit autonomo, generalmente richiedendo un tempo di audit aggiuntivo.

Benefici della certificazione

Soddisfazione del cliente

Fornire ai clienti la sicurezza che i loro dati personali siano sempre protetti e trattati con riservatezza.

Continuità operativa

Evitare interruzioni grazie alla gestione del rischio, alla conformità legale e alla prevenzione di future minacce alla sicurezza.

Conformità legale

Comprendere come le normative influenzano l'organizzazione e i clienti, minimizzando il rischio di procedimenti legali e sanzioni.

Gestione avanzata dei rischi

Proteggere i dati dei clienti, le informazioni finanziarie e la proprietà intellettuale da perdite, furti e danni.

Credibilità aziendale comprovata

La verifica indipendente secondo uno standard riconosciuto a livello internazionale aumenta la credibilità dell’azienda.

Possibilità di incremento del business

Molte specifiche di fornitura richiedono la certificazione come requisito per collaborazioni commerciali.

Riconoscimento internazionale come partner affidabile

La certificazione, accettata globalmente nelle catene di approvvigionamento, stabilisce parametri di qualità nel settore.

Inoltre, grazie alla certificazione, potrai:

  • Proteggere gli asset
  • Incrementare la fiducia dei clienti
  • Attuare o implementare strategie di sicurezza
  • IT Governance
  • Gestire eventuali incidenti
  • Ridurre i rischi
  • Ridurre i tempi di inattività
  • Minimizzare le perdite e prevenire
  • Mitigare le minacce
  • Ridurre i tempi di fermo
  • Proteggere da violazioni dei dati
  • Fare checklist delle conformità

Come ottenere la certificazione e qual è la sua validità?

Ottenere la certificazione ISO 27001, o qualsiasi altra certificazione ISO, richiede un impegno significativo in termini di tempo e risorse. Di seguito sono riportati i passaggi principali per conseguire una certificazione ISO:

  1. Comprendere la norma: Il primo passo è acquisire familiarità con i requisiti della norma ISO di interesse, leggendo e comprendendo il contenuto della norma e, se necessario, ricorrendo a formazione o consulenza.
  2. Valutazione iniziale: Conduci un’autovalutazione per identificare la posizione attuale dell’organizzazione rispetto ai requisiti ISO. Questa fase può prevedere la revisione dei processi, delle politiche e delle procedure esistenti.
  3. Pianificazione: Basandosi sui risultati della valutazione, elabora un piano per allineare l’organizzazione ai requisiti della norma. Questo può includere l’introduzione di nuovi processi, l’aggiornamento di quelli esistenti e la formazione del personale.
  4. Implementazione: Realizza il piano di conformità, documentando ogni cambiamento e assicurando una formazione adeguata al team. Questa è spesso la fase più lunga, che può comportare modifiche significative all’interno dell’organizzazione.
  5. Audit interno: Dopo l’implementazione, si effettua un audit interno per verificare che l’organizzazione sia conforme alla norma ISO. Questo audit dovrebbe essere condotto da una parte imparziale interna o da un consulente esterno.
  6. Azioni correttive: Se l’audit interno evidenzia delle non conformità, è necessario adottare misure correttive, che potrebbero includere ulteriori modifiche o una formazione aggiuntiva.
  7. Audit di certificazione: Una volta certi di essere conformi alla norma, un ente di certificazione esterno eseguirà un audit ufficiale. Se l’audit ha esito positivo, verrà rilasciata la certificazione ISO.
  8. Mantenimento e rinnovo: La certificazione ha una validità di tre anni, durante i quali è necessario mantenere la conformità con audit di sorveglianza periodici condotti dall’ente certificatore. Al termine dei tre anni, per mantenere la certificazione, l’organizzazione dovrà sottoporsi a un audit di rinnovo simile a quello iniziale.

La certificazione ha una validità di tre anni. L’ente certificatore condurrà regolari audit di sorveglianza per verificare che la tua organizzazione continui a rispettare i requisiti della ISO 27001.

Al termine dei tre anni, se l’organizzazione intende mantenere la certificazione, dovrà sottoporsi a un audit di rinnovo o ricertificazione, simile a quello iniziale. In caso di esito positivo, la certificazione verrà rinnovata per un ulteriore triennio.

2

5 Vantaggi Competitivi del SGSI ISO/IEC 27001

Incrementare il volume d'affari e fidelizzare i clienti

Implementare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme alla ISO/IEC 27001 non solo dimostra l’adozione delle migliori pratiche di sicurezza, rafforzando i rapporti lavorativi e la fidelizzazione dei clienti esistenti, ma offre anche un importante vantaggio competitivo sul mercato.

Migliorare e proteggere la reputazione aziendale

Con il crescente aumento degli attacchi informatici, le conseguenze economiche e d'immagine di una scarsa sicurezza delle informazioni possono essere disastrose. Adottare un SGSI aiuta a proteggere l’azienda da queste minacce, dimostrando l’impegno a salvaguardare l’organizzazione.

Rendere più efficiente la struttura organizzativa

La crescita rapida di un’azienda può aumentare il rischio di confusione su ruoli e responsabilità nella protezione dei dati. Un SGSI permette di chiarire responsabilità e rischi legati alla sicurezza delle informazioni, migliorando la produttività. Inoltre, la conformità alla ISO/IEC 27001 riduce la necessità di audit frequenti da parte dei clienti, ottimizzando il tempo dedicato a queste attività.

Integrazione con le normative vigenti

Un SGSI è progettato per assicurare l’implementazione di controlli di sicurezza appropriati e proporzionati, favorendo la conformità al GDPR, alla Direttiva NIS e ad altre normative sulla sicurezza delle informazioni.

Riduzione del rischio di sanzioni e perdite da Data Breach

Una violazione dei dati può comportare costi elevati, mediamente intorno ai 4 milioni di dollari. L’implementazione di un SGSI consente alle organizzazioni di ridurre significativamente le perdite potenzialmente devastanti causate da Data Breach e altre violazioni di sicurezza.

3

Principi Fondamentali della ISO 27001

Gestione del Rischio  

La gestione del rischio è un aspetto fondamentale della norma ISO 27001. Il suo obiettivo è identificare, valutare e gestire i rischi per la sicurezza delle informazioni all’interno dell’organizzazione.

Ecco come si articola la gestione del rischio secondo ISO 27001:

  1. Identificazione del Rischio: Il primo passo consiste nell’individuare i potenziali rischi per la sicurezza delle informazioni, che possono includere minacce come virus, malware, accessi non autorizzati ai sistemi o perdite di dati causate da guasti hardware.
  2. Valutazione del Rischio: Dopo aver identificato i rischi, è necessario valutarli analizzando la probabilità di occorrenza e l’impatto sull’organizzazione. Il livello di rischio è determinato dalla combinazione di questi due fattori.
  3. Trattamento del Rischio: Una volta valutati i rischi, l’organizzazione decide come affrontarli. Le opzioni comprendono l’accettazione del rischio, se considerato basso, la mitigazione tramite controlli di sicurezza, il trasferimento (ad esempio con assicurazioni) o l’evitamento attraverso la rinuncia ad attività rischiose.
  4. Implementazione dei Controlli: I controlli di sicurezza scelti per mitigare i rischi devono essere attuati. Questi possono includere l’installazione di software antivirus, la formazione dei dipendenti sulla sicurezza delle informazioni o l’aggiornamento delle politiche di accesso ai sistemi.
  5. Monitoraggio e Revisione: È essenziale monitorare e rivedere periodicamente sia i rischi sia l’efficacia dei controlli implementati. Se i rischi cambiano o i controlli risultano insufficienti, il processo di gestione del rischio deve essere aggiornato.

La gestione del rischio è un processo continuo, parte integrante del Sistema di Gestione della Sicurezza delle Informazioni (ISMS) previsto dalla ISO 27001, e permette alle organizzazioni di proteggere proattivamente le proprie informazioni contro possibili minacce.

Il Ruolo del Management nella Sicurezza delle Informazioni

Il management svolge un ruolo cruciale nella gestione efficace della sicurezza delle informazioni. Secondo la norma ISO 27001, è responsabile di garantire che l’organizzazione implementi e mantenga un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) funzionale e conforme. Di seguito i principali aspetti del ruolo del management:

  • Politica sulla Sicurezza delle Informazioni
    Il management è responsabile della definizione, approvazione e diffusione della politica sulla sicurezza delle informazioni all'interno dell'organizzazione, assicurandone la comprensione a tutti i livelli.
  • Definizione dell’ISMS
    È compito del management definire chiaramente l’ISMS, includendo l’ambito di applicazione, gli obiettivi, la valutazione e gestione dei rischi, nonché i ruoli e le responsabilità necessari per il suo funzionamento.
  • Allocazione delle Risorse
    Il management deve garantire l’assegnazione di risorse adeguate, comprese risorse finanziarie, tecnologiche, umane e di tempo, per sostenere l’implementazione e il miglioramento continuo dell’ISMS.
  • Formazione e Sensibilizzazione
    La promozione di programmi di formazione e sensibilizzazione sulla sicurezza delle informazioni per il personale è una delle responsabilità fondamentali del management.
  • Monitoraggio e Revisione
    Il management ha il compito di monitorare e valutare regolarmente l’efficacia dell’ISMS attraverso audit interni, analisi dei dati e revisioni periodiche, garantendo che gli obiettivi prefissati siano raggiunti.
  • Miglioramento Continuo
    È responsabilità del management favorire il miglioramento continuo dell’ISMS, adattandolo ai cambiamenti nelle minacce, nei rischi e nelle opportunità di miglioramento identificate.

In sintesi, il supporto attivo e l’impegno del management sono fondamentali per il successo della gestione della sicurezza delle informazioni. La loro leadership è indispensabile per garantire che la sicurezza delle informazioni rimanga una priorità strategica per l’intera organizzazione.

4

Consulenza ISO 27001

Introduzione alla Consulenza sulla Sicurezza delle Informazioni

Nell’attuale era digitale, la sicurezza delle informazioni rappresenta una priorità critica per tutte le organizzazioni, indipendentemente dalla loro dimensione o settore di appartenenza. Implementare e gestire efficacemente un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) conforme alla norma ISO 27001 è una sfida complessa e impegnativa. È in questo contesto che si inserisce il ruolo del consulente per la sicurezza delle informazioni.

Perché affidarsi a un consulente per la sicurezza delle informazioni?

Un consulente per la sicurezza delle informazioni è un professionista esperto che supporta le organizzazioni nel proteggere i propri dati e sistemi. Ecco i principali vantaggi di collaborare con un consulente:

  • Competenza tecnica
    Il consulente dispone delle conoscenze tecniche avanzate e dell’esperienza necessaria per affrontare le sfide legate alla sicurezza delle informazioni, identificando le vulnerabilità e proponendo soluzioni mirate.
  • Conoscenza normativa
    È sempre aggiornato sulle ultime normative, standard e best practice in materia di sicurezza delle informazioni, tra cui la norma ISO 27001, garantendo la conformità dell’organizzazione ai requisiti legali e regolamentari.
  • Risorse esterne
    Molte aziende non hanno risorse interne sufficienti o dedicate per gestire la sicurezza delle informazioni. Il consulente fornisce supporto specialistico senza la necessità di incrementare l’organico aziendale.
  • Visione imparziale
    Essendo esterno all’organizzazione, il consulente offre una prospettiva obiettiva, identificando i punti di forza e le aree di miglioramento senza influenze interne.

Come un consulente può aiutare?

Un consulente per la sicurezza delle informazioni può offrire un supporto essenziale per aiutare un’organizzazione a proteggere i propri dati e sistemi. Ecco i principali servizi che un consulente può fornire:

  • Valutazione della sicurezza delle informazioni
    Il consulente può condurre un’analisi dettagliata dei rischi legati alla sicurezza delle informazioni, identificando vulnerabilità, minacce e aree critiche che richiedono interventi.
  • Implementazione dell’ISMS
    Il consulente supporta l’organizzazione nella progettazione e implementazione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) conforme alla norma ISO 27001, garantendo un approccio strutturato ed efficace.
  • Formazione del personale
    Attraverso sessioni di formazione dedicate, il consulente sensibilizza e forma il personale sulle tematiche della sicurezza delle informazioni, riducendo i rischi derivanti da errori umani e aumentando la consapevolezza complessiva.
  • Preparazione per l’audit
    Il consulente aiuta l’organizzazione a prepararsi per l’audit di certificazione ISO 27001, verificando che tutti i requisiti siano soddisfatti e ottimizzando i processi per migliorare le possibilità di successo.
  • Supporto continuo
    Dopo l’implementazione dell’ISMS, il consulente può offrire un servizio di supporto continuo per monitorare, riesaminare e migliorare il sistema, assicurandone la costante efficacia e conformità.

In sintesi, un consulente per la sicurezza delle informazioni rappresenta un alleato strategico per le organizzazioni che desiderano affrontare le sfide di un mondo digitale e interconnesso, proteggendo al meglio i propri dati e garantendo la conformità alle normative.

Passaggi per l’Implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS)

L’implementazione di un ISMS conforme alla norma ISO 27001 richiede un approccio strutturato e metodico. Di seguito i principali passaggi:

1. Definizione della Politica sulla Sicurezza delle Informazioni

La politica deve riflettere gli obiettivi strategici dell’organizzazione in materia di sicurezza delle informazioni, fornendo un quadro chiaro per la definizione e il raggiungimento degli obiettivi di sicurezza.

2. Definizione dell’Ambito dell’ISMS

È necessario stabilire quali aree dell’organizzazione, funzioni, informazioni, processi e sedi saranno coperte dall’ISMS, assicurando che l’ambito sia ben definito e documentato.

3. Valutazione del Rischio

Questa fase comprende l’identificazione, l’analisi e la valutazione dei rischi associati alla sicurezza delle informazioni, al fine di comprendere le minacce e le vulnerabilità che potrebbero compromettere i dati.

4. Trattamento del Rischio

L’organizzazione deve decidere come gestire i rischi identificati, scegliendo tra diverse opzioni: evitare, trasferire, accettare o mitigare i rischi, e definendo le misure di trattamento adeguate.

5. Implementazione dei Controlli di Sicurezza

I controlli di sicurezza selezionati per mitigare i rischi devono essere implementati in modo efficace, in linea con i requisiti della norma ISO 27001 e con le esigenze specifiche dell’organizzazione.

6. Formazione e Sensibilizzazione

È fondamentale formare il personale e aumentare la consapevolezza sui requisiti di sicurezza delle informazioni per ridurre il rischio di errori umani e garantire il rispetto delle politiche di sicurezza.

7. Monitoraggio e Revisione

L’ISMS deve essere monitorato e valutato regolarmente attraverso indicatori chiave, audit interni e analisi dei dati, per garantirne l’efficacia e identificare opportunità di miglioramento.

8. Audit Interno e Revisione della Direzione

Gli audit interni devono essere condotti con regolarità, seguiti da revisioni formali da parte della direzione, per verificare l’efficacia dell’ISMS e il suo allineamento con gli obiettivi aziendali.

9. Certificazione ISO 27001

Infine, l’organizzazione può decidere di ottenere la certificazione ISO 27001 da un ente accreditato, dimostrando il proprio impegno verso la sicurezza delle informazioni.

Ruolo del Management

Il management è una componente fondamentale nell’implementazione dell’ISMS. Deve dimostrare un chiaro impegno verso la sicurezza delle informazioni, allocare risorse adeguate, definire la politica di sicurezza, promuovere la formazione e sensibilizzazione del personale, eseguire revisioni periodiche dell’ISMS e sostenere il miglioramento continuo.

Ruolo del Consulente

Un consulente può rappresentare un elemento chiave per il successo del progetto. Fornisce competenze specialistiche, supporta nell’identificazione e gestione dei rischi, accompagna nell’implementazione dei controlli, organizza sessioni di formazione, prepara l’organizzazione per l’audit di certificazione e contribuisce al monitoraggio e al miglioramento continuo dell’ISMS.

Lavorare con un consulente può accelerare il processo di implementazione e garantire che l’ISMS sia efficace e allineato alle migliori pratiche.

5

Il Nostro Approccio

1° Step – Elaborazione di un Piano

Il successo di un ISMS è assicurato da un piano ben strutturato e realistico, che preveda obiettivi chiari, misuri le prestazioni e consenta rapidi adattamenti a eventuali situazioni impreviste.

2° Step – Definizione del Campo di Applicazione

Stabilire i confini logici e fisici dell’ISMS, indicando con precisione le responsabilità e le aree coperte dal sistema di gestione della sicurezza delle informazioni.

3° Step – Gestione dei Processi

Per un’attuazione efficace dell’ISMS, è essenziale:

  • Definire il contesto: Conoscere mercato, stakeholder, rischi, obiettivi e strategie per orientare l’ISMS verso il miglioramento continuo.
  • Assegnare risorse adeguate: Garantire risorse umane, tecnologiche, temporali e finanziarie per lo sviluppo, implementazione e controllo del sistema.
  • Eseguire audit interni: Verificare il funzionamento del sistema, identificando non conformità e opportunità di miglioramento.
  • Riesaminare il sistema: Il riesame della direzione consente di valutare l’efficacia dell’ISMS e il suo impatto sul business.
  • Formare il personale: Assicurarsi che l’organizzazione disponga di personale qualificato e competente.

4° Step – Comprensione della Norma e degli Stakeholder

È fondamentale comprendere le motivazioni che spingono all’implementazione dello standard ISO 27001 e identificare gli stakeholder che influenzano o sono influenzati dal vostro ISMS. Questo consente di progettare un sistema di gestione efficace e mirato.

5° Step – Politica ISMS

Elaborare una politica ISMS che rifletta le caratteristiche dell’organizzazione, inclusi business, asset, tecnologia, ubicazione e struttura organizzativa.

6° Step – Valutazione e Gestione dei Rischi

La valutazione dei rischi è il fondamento dell’ISMS. Comprende:

  • Identificazione di minacce, vulnerabilità e opportunità.
  • Determinazione dei livelli di rischio
  • Definizione di controlli specifici per la gestione dei rischi.

7° Step – Trattamento del Rischio

I rischi identificati vengono confrontati con i livelli di rischio accettabile definiti dalle politiche di sicurezza. Sulla base di questa analisi, si implementano i controlli per mitigare i rischi residui.

8° Step – Gap Analysis

Un valutatore condurrà una gap analysis per individuare le aree critiche, identificare eventuali debolezze e ottimizzare il sistema di gestione o le procedure esistenti, garantendo che il sistema sia pronto per la certificazione.

9° Step – Certificazione

La certificazione consiste in una valutazione esterna del sistema di gestione per verificarne la conformità alla norma ISO 27001. Il processo è articolato in due fasi:

  • Analisi del sistema: Valutazione della documentazione e del contesto operativo.
  • Valutazione iniziale: Verifica approfondita, la cui durata varia in base alla dimensione e alla complessità dell’organizzazione.
6

Famiglia di Norme ISO/IEC 27000 – SGSI

ISO 27017: Controlli di Sicurezza per i Servizi Cloud

ISO/IEC 27017:2015 rappresenta uno standard di sicurezza specifico per i servizi cloud ed è un'estensione delle normative ISO/IEC 27001 e ISO/IEC 27002. Questo standard è importante sia per i clienti che per i fornitori di servizi cloud, poiché fornisce linee guida per la selezione e l’implementazione di controlli di sicurezza mirati, nell'ambito di un sistema di gestione della sicurezza delle informazioni nel cloud computing.

In qualità di estensione di ISO/IEC 27002, ISO 27017 offre una guida sui 37 controlli ISO 27002 introducendo anche 7 nuovi controlli:

  • Rimozione e restituzione degli asset dei clienti del servizio cloud una volto risolto un contratto
  • Allineamento della gestione della sicurezza per reti virtuali e fisiche
  • Protezione e separazione degli ambienti virtuali dei clienti
  • Definizione dei ruoli e delle responsabilità condivisi tra i fornitori di servizi cloud e i clienti
  • Procedure operative amministrative di un ambiente di cloud computing
  • Monitoraggio delle attività rilevanti nel cloud
  • Configurazione delle macchine virtuali per soddisfare le esigenze aziendali

ISO 27018: Protezione delle Informazioni di Identificazione Personale

ISO/IEC 27018:2019 è un codice di condotta per la protezione delle informazioni personali identificabili (PII) destinato ai fornitori di servizi cloud che trattano tali dati per conto dei propri clienti. È un'estensione delle normative ISO/IEC 27001 e ISO/IEC 27002 e introduce controlli di sicurezza aggiuntivi specifici per la tutela della privacy. Fornisce linee guida dettagliate sui requisiti di protezione dei dati personali e sui miglioramenti necessari ai controlli di sicurezza per garantire la privacy.

Si integra perfettamente con ISO 27017 (Controlli di Sicurezza per i Servizi Cloud) e ISO 27701 (Gestione delle Informazioni sulla Privacy) e in qualità di estensione della ISO 27001 fornisce una guida su 16 controlli ISO 27002, e introduce 25 nuovi controlli di privacy e sicurezza.

Tra i principali:

  • Obbligo di collaborare con i responsabili del trattamento delle PII
  • Mantenimento dei diritti dei titolari PII
  • Conformità ai requisiti fondamentali della privacy, come la minimizzazione e l'accuratezza dei dati
  • Adozione dei principi di trasparenza e responsabilità
  • Ulteriori controlli di sicurezza
  • Gestione dei requisiti per l'elaborazione in subappalto

Norme che descrivono una panoramica e la terminologia

ISO/IEC 27000 Sistemi di gestione della sicurezza delle informazioni – Panoramica e vocabolario.

Norme che specificano i requisiti

ISO/IEC 27001, Sistemi di gestione per la sicurezza delle informazioni – Requisiti;
ISO/IEC 27006, Requisiti per gli organismi che forniscono audit e certificazione dei Sistemi di Gestione della Sicurezza delle Informazioni;
ISO/IEC 27009, Applicazione specifica per settore di ISO / IEC 27001 – Requisiti.

Norme che descrivono le linee guida generali

ISO/IEC 27002, Codice di condotta per i controlli di sicurezza delle informazioni;
ISO/IEC 27003, Guida all’implementazione dei SGSI;
ISO/IEC 27004, Gestione della sicurezza delle informazioni – Misurazione;
ISO/IEC 27005, Gestione dei rischi per la sicurezza delle informazioni;
ISO/IEC 27007, Linee guida per la verifica dei SGSI;
ISO/IEC TR 27008, Linee guida per i revisori dei controlli di sicurezza delle informazioni;
ISO/IEC 27013, Guida per l’implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1;
ISO/IEC 27014, Governance della sicurezza delle informazioni;
ISO/IEC TR 27016, Gestione della sicurezza delle informazioni – Economia organizzativa.

Norme che descrivono le linee guida negli specifici ambiti/settori

ISO/IEC 27010, Gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e inter-organizzative;
ISO/IEC 27011, Linee guida sulla gestione della sicurezza delle informazioni per le organizzazioni di telecomunicazioni basate su ISO/IEC 27002;
ISO/IEC TR 27015, Linee guida per la gestione della sicurezza delle informazioni per i servizi finanziari;
ISO/IEC 27017, Codice di condotta per i controlli di sicurezza delle informazioni basati su ISO/IEC 27002 per i servizi in cloud;
ISO/IEC 27018, Codice di condotta per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII;
ISO/IEC 27019, Linee guida per la gestione della sicurezza delle informazioni basate su ISO/IEC 27002 per i sistemi di controllo del processo, specifici per il settore dei servizi energetici.

Altre Norme della famiglia ISO/IEC 27000

ISO/IEC 27031 – Linee guida per la disponibilità delle tecnologie dell’informazione e della comunicazione per la continuità aziendale
ISO/IEC 27032 – Linea guida per la sicurezza informatica
ISO/IEC 27033-1 – Sicurezza della rete – Parte 1: Panoramica e concetti
ISO/IEC 27033-2 – Sicurezza di rete – Parte 2: Linee guida per la progettazione e l’implementazione della sicurezza di rete
ISO/IEC 27033-3 – Sicurezza di rete – Parte 3: Scenari di rete di riferimento – Minacce, tecniche di progettazione e problemi di controllo
ISO/IEC 27033-4 – Sicurezza di rete – Parte 4: Protezione delle comunicazioni tra reti tramite gateway di sicurezza
ISO/IEC 27033-5 – Sicurezza di rete – Parte 5: Protezione delle comunicazioni su reti che utilizzano reti private virtuali (VPN)
ISO/IEC 27033-6 – Sicurezza di rete – Parte 6: Protezione dell’accesso alla rete IP wireless
ISO/IEC 27034-1 – Sicurezza delle applicazioni – Parte 1: Linee guida per la sicurezza delle applicazioni
ISO/IEC 27034-2 – Sicurezza delle applicazioni – Parte 2: Quadro normativo dell’organizzazione
ISO/IEC 27034-3 – Sicurezza delle applicazioni – Parte 3: Processo di gestione della sicurezza delle applicazioni
ISO/IEC 27034-4 – Sicurezza delle applicazioni – Parte 4: Convalida e verifica
ISO/IEC 27034-5 – Sicurezza delle applicazioni – Parte 5: Protocolli e controlli di sicurezza delle applicazioni Struttura dei dati
ISO/IEC 27034-6 – Sicurezza delle applicazioni – Parte 6: Casi di studio
ISO/IEC 27035-1 – Gestione degli incidenti di sicurezza delle informazioni – Parte 1: Principi della gestione degli incidenti
ISO/IEC 27035-2 – Gestione degli incidenti per la sicurezza delle informazioni – Parte 2: Linee guida per pianificare e preparare la risposta agli incidenti
ISO/IEC 27035-3 – Gestione degli incidenti per la sicurezza delle informazioni – Parte 3: Linee guida per le operazioni di risposta agli incidenti ICT
ISO/IEC 27035-4 – Gestione degli incidenti per la sicurezza delle informazioni – Parte 4: Coordinamento
ISO/IEC 27036-1 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 1: Panoramica e concetti
ISO/IEC 27036-2 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 2: Requisiti
ISO/IEC 27036-3 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 3: Linee guida per la sicurezza della catena di approvvigionamento delle tecnologie dell’informazione e della comunicazione
ISO/IEC 27036-4 – Sicurezza delle informazioni per le relazioni con i fornitori – Parte 4: Linee guida per la sicurezza dei servizi cloud
ISO/IEC 27037 – Linee guida per l’identificazione, la raccolta, l’acquisizione e la conservazione delle prove digitali
ISO/IEC 27038 – Specifiche per la redazione del documento digitale
ISO/IEC 27039 – Selezione, diffusione e funzionamento dei sistemi di rilevamento e prevenzione delle intrusioni (IDPS)
ISO/IEC 27040 – Sicurezza dello storage
ISO/IEC 27041 – Orientamenti per garantire l’idoneità e l’adeguatezza del metodo investigativo sugli incidenti
ISO/IEC 27042 – Linee guida per l’analisi e l’interpretazione delle evidenze digitali
ISO/IEC 27043 – Principi e processi di indagine sugli incidenti
ISO/IEC 27050-1 – Scoperta elettronica – Parte 1: Panoramica e concetti
ISO/IEC 27050-2 – Scoperta elettronica – Parte 2: Orientamenti per la governance e la gestione della scoperta elettronica
ISO/IEC 27050-3 – Scoperta elettronica – Parte 3: Codice di condotta per la scoperta elettronica
ISO/IEC 27050-4 – Scoperta elettronica – Parte 4: Preparazione tecnica
ISO/IEC 27701 – Tecniche di sicurezza – Extension to ISO/IEC 27001 and ISO/IEC 27002 per la gestione delle informazioni sulla privacy – Requisiti e Linee guida
ISO 27799 – Gestione della sicurezza delle informazioni in materia di salute utilizzando ISO/IEC 27002 – guida le organizzazioni del settore sanitario su come proteggere le informazioni sulla salute personale utilizzando ISO/IEC 27002

Scarica la Brochure

Vorresti ricevere maggiori informazioni sulla ISO 27001?

Noi possiamo aiutarti!

Compila il modulo e ti risponderemo al più presto!

Chiamaci
0425 485621

Ai sensi e per gli effetti degli art. 12, 13 del Reg. UE 2016/679 – GDPR, cliccando su “Invia”, dichiaro di aver preso visione dell'informativa sulla privacy per il trattamento dei dati personali.

icon e-cons

Fantastico!
Grazie per aver completato il nostro modulo!

La tua richiesta è stata inviata con successo, il nostro team ti ricontatterà a breve.
In tanto puoi scoprire altre opportunità per te o per la tua azienda.
AgevolazioniFinanziamenti
Corsi per disoccupati
Ops! Qualcosa è andato storto durante l'invio del modulo.

Società di consulenza aziendale ed ente di formazione accreditato dalla Regione del Veneto.

Via del lavoro 4, 35040 Boara Pisani (PD)
0425485621
info@e-cons.it
Lavoro
Assegno lavoro
Sportello lavoro
Reinserimento lavorativo
Agenzia per il lavoro
Disponibilità tirocinanti
Formazione
Corsi per disoccupati
Formazione
e-learning
Company
Chi siamo
Certificazioni
FSE progetti approvati
Contatti
Il nostro staff
logo accreditamento Regione Veneto
Formazione continua
Formazione superiore
Servizi al lavoro
Agenzia del lavoro
logo consorzio EPIC
e-cons aderisce
Consulenza privacy
Servizio DPO
Audit
GPS
Videosorveglianza
Amministratore di sistema

Copyright ©2022 e-cons.it

Facebook e-consLinkedIn e-consInstagram e-cons

E-CONS S.R.L.– Via del Lavoro 4 – 35040 Boara Pisani (PD) Tel: 0425-485621 – P.IVA – C.F. – Registro Imprese di Padova N. 01171060294 -PEC: e-cons@legalmail.it – Codice SDI: SUBM70N — Capitale Sociale 25.500 i.v.

Contattaci
Invia e-mail