PERCHE' OTTENERE UNA CERTIFICAZIONE ISO 27001:2022
La ISO/IEC 27001:2022 è lo standard internazionale che stabilisce le linee guida per un efficace sistema di gestione della sicurezza delle informazioni (ISMS), denominato detto SGSI, in italiano. Ottenere una certificazione ISO 27001:2022 accredita che la tua azienda segue le migliori pratiche in materia di sicurezza delle informazioni.
Questa certificazione fornisce una prova tangibile che la tua azienda adotta le migliori pratiche nel campo della sicurezza delle informazioni. Dimostra che la tua organizzazione gestisce la sicurezza delle informazioni in conformità con gli standard internazionali e gli obiettivi aziendali, offrendo un controllo indipendente e qualificato sulla gestione della sicurezza delle informazioni
- Valutazione dei rischi in base al contesto di riferimento.
- Valorizzazione dell’importanza dell’informazione come risorsa.
- Considerazione degli aspetti economico-finanziari legati alla Sicurezza delle Informazioni.
- Approccio organizzativo, non limitato al solo ambito tecnologico, alla Sicurezza delle Informazioni.
- Garanzia dell’efficacia del Sistema di Gestione della Sicurezza delle Informazioni (SGSI) e delle contromisure adottate per mitigare i rischi.
L'Annex A costituisce un elemento chiave, poiché contiene i 114 controlli o contromisure che l'organizzazione deve rispettare per conformarsi alla norma. Questi controlli riguardano diversi aspetti, tra cui:
- Politica e organizzazione per la sicurezza delle informazioni.
- Gestione delle risorse umane in relazione alla sicurezza.
- Controllo degli asset informativi.
- Gestione degli accessi logici.
- Utilizzo della crittografia.
- Sicurezza fisica e ambientale.
- Sicurezza delle attività operative.
- Sicurezza delle comunicazioni.
- Gestione della sicurezza delle applicazioni.
- Collaborazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni.
- Gestione degli incidenti relativi alla sicurezza delle informazioni.
- Continuità operativa del business.
- Conformità normativa.
Cosa succede se ottieni la certificazione ISO 27001:2022?
Sai che il soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente e può essere chiamato a rispondere civilmente per il risarcimento del danno?
Se ottieni la ISO 27001:2022 (per la sicurezza delle informazioni e dei dati in ufficio) e/o il modello Dlgs 231/01 (contro la responsabilità amministrativa degli enti) riduci i rischi aziendali.
Quanto ti costa il fermo azienda?
Evita perdite di denaro e metti al sicuro tutte le tue risorse informatiche, evitando anche sanzioni pecuniarie salate.
Dimostri ai clienti, ai fornitori e agli stakeholders che la sicurezza per te è una priorità assoluta.
La tua azienda potrà difendersi dagli attacchi informatici e dall’eventuale perdita di dati mantenendo al sicuro tutte le tue risorse informatiche.
Aggiornamento ISO/IEC 27001:2022
La ISO/IEC 27001:2022, in linea con le richieste del GDPR, si configura come un solido strumento di accountability. Gli specifici controlli della norma, alcuni dei quali direttamente mirati alla protezione dei dati personali, riflettono questa impostazione.
L’ultimo aggiornamento ha introdotto 93 controlli distinti, raggruppati in 4 categorie principali:
A.5 – Controlli organizzativi; A.6 – Controlli fisici; A.7 – Personale; A.8 – Controlli tecnologici.
Questi controlli, associati a 5 attributi differenti, sono etichettati in base al tipo di controllo, alle proprietà della sicurezza delle informazioni, ai concetti di sicurezza informatica, alle capacità operative e ai domini di sicurezza. La struttura (ISO/IEC 27002:2022) prende in considerazione tipologie di controllo (prevenzione, rilevamento, correzione), proprietà (riservatezza, integrità, disponibilità) e linee guida per lo sviluppo di un framework per la cybersecurity (ISO IEC 27110), basato sul NIS2 (Identificazione, Protezione, Rilevamento, Risposta, Recupero).