Abbiamo rilevato che il browser in uso è obsoleto. Ciò impedirà l'accesso ad alcune funzionalità. Aggiorna browser

Certificazione ISO/IEC 27001 (ISMS) per la gestione della sicurezza delle informazioni

Certificazione e formazione a cura degli esperti di LRQA

Scoprite di più su questo servizio

 

La norma ISO 27001 fornisce una solida base per una strategia completa di sicurezza delle informazioni e di cyber security per qualsiasi organizzazione, indipendentemente dalle dimensioni o dal settore. La norma definisce un quadro di best practice ISMS per mitigare i rischi e salvaguardare le informazioni aziendali critiche attraverso l'identificazione, l'analisi e i controlli attuabili. La certificazione ISO 27001 accreditata dimostra che disponete dei processi e dei controlli necessari per difendere le informazioni della vostra organizzazione - e quelle dei vostri clienti - dalle minacce informatiche, in un panorama che diventa sempre più complesso. Date un'occhiata alle Domande frequenti sulle norme e sulle nostre offerte.

La norma ISO/IEC 27001 sta cambiando: Una nuova era nelle "best practice" per la sicurezza delle informazioni

La norma ISO 27002 è stata aggiornata a febbraio 2022 in modo da fornire i controlli sulle migliori pratiche che le organizzazioni possono implementare per migliorare la sicurezza. Di conseguenza, la nuova versione della norma ISO 27001, che delinea i requisiti di un sistema di gestione della sicurezza delle informazioni (ISMS), dovrebbe essere pubblicata nell'ultimo trimestre del 2022.

La norma ISO 27001:2022 darà alle organizzazioni di tutte le dimensioni, di tutti i settori e in tutte le sedi un quadro di riferimento aggiornato per affrontare il panorama sempre più complesso delle minacce. I controlli saranno raggruppati in quattro "temi" chiari - organizzativi, personali, tecnologici e fisici - per aiutare le organizzazioni a ottenere maggiore chiarezza, attenzione e responsabilità per la sicurezza delle informazioni. Inoltre, sono previsti 93 controlli invece di 114; 11 sono nuovi, mentre altri sono stati raggruppati o rimossi.

Le organizzazioni avranno tre anni per passare al nuovo standard e il team di esperti di LRQA fornirà supporto in ogni fase con una gamma completa di servizi.

I nostri servizi ISO/IEC 27001

I nostri servizi di certificazione e formazione possono essere erogati in loco, da remoto o con un approccio misto, offrendovi la massima flessibilità e un modello di servizio adatto alle vostre esigenze.

icona schermo del computer

Formazione

Sviluppate le vostre conoscenze sulla norma ISO 27001 con una gamma di corsi progettati per diversi livelli di esperienza, proposti tramite diverse modalità di fruizione.

 

image94kd3.png
Gap analysis

Un servizio opzionale in cui uno dei nostri auditor esperti vi aiuterà a identificare eventuali aree critiche, ad alto rischio o deboli del vostro sistema prima dell'audit formale ai fini della certificazione ISO 27001.

imageao21.png
Certificazione accreditata

Un processo indipendente a due fasi che fornisce una chiara dichiarazione delle vostre capacità, aiutandovi ad acquisire nuove opportunità commerciali e a creare fiducia tra gli stakeholder.

icona servizi integrati.png
Audit integrati

Se avete implementato più sistemi di gestione, potreste beneficiare di un programma di audit e sorveglianza integrato più efficiente e conveniente.

Un approccio a 360° alle informazioni e alla cyber security

Le nostre profonde conoscenze tecniche e la nostra expertise, supportate da un ampio portafoglio di servizi per la cyber security, ci consentono di collaborare con la vostra azienda, aiutandovi a identificare le minacce specifiche che vi trovate innanzi in modo da offrirvi le soluzioni mirate per mitigarle. Possiamo certificare i sistemi, identificare le vulnerabilità e aiutarvi a evitare attacchi e incidenti che possono pregiudicare l'integrità, la situazione finanziaria e le operazioni del vostro brand.

servizi informatici e di cyber security da LRQA - vista a 360 gradi.png

 

Perché lavorare con noi?

locale e globale.png
Competenze locali e globali

Siamo ovunque voi siate. Con oltre 300 auditor altamente qualificati e 250 specialisti dedicati alla cyber security in tutto il mondo, siamo in grado di fornire un servizio locale con la dedizione verso l'eccellenza di livello globale. I nostri addetti sono tecnici esperti con una conoscenza approfondita dei rischi, delle sfide, degli standard, dei regolamenti e dei quadri di riferimento relativi alle informazioni e alla sicurezza informatica.

fruizione flessibile.png
Fruizione flessibile

Nella maggior parte dei casi, tutti i nostri servizi di formazione e certificazione ISO 27001 possono essere erogati in loco o da remoto utilizzando una tecnologia sicura. Con l'opzione di fruizione da remoto potete contare sullo stesso servizio di alta qualità, con diversi vantaggi aggiuntivi, tra cui flessibilità, rapidità e accesso a competenze globali.

una storia di primati.png
Una storia di primati

Siamo stati il primo organismo di certificazione a ottenere l'accreditamento dell'UKAS (United Kingdom Accreditation Service) per fornire servizi di certificazione su una gamma di norme in tutto il mondo. Continuiamo a essere determinanti nello sviluppo di moltissime norme e diversi quadri specifici in diversi settori.

oltre la compliance.png
Oltre la compliance

Insieme alla nostra pluripremiata azienda di cyber security Nettitude, possiamo aiutarvi ad anticipare anche le più sofisticate minacce informatiche, con servizi avanzati che vi offrono una prima linea di difesa e risposta a tutte le minacce e vulnerabilità.

 

Domande frequenti

  • Cos'è la norma ISO 27001?

    ISO 27001 è la norma internazionale che definisce i requisiti di un sistema di gestione della sicurezza delle informazioni (ISMS). La norma fornisce un quadro di "best practice" per identificare, analizzare e quindi implementare i controlli necessari per gestire e mitigare i rischi, riducendo la probabilità di una violazione della sicurezza delle informazioni.
    Qualsiasi organizzazione, indipendentemente dalle dimensioni e dal settore, può implementare i requisiti e i controlli previsti dalla norma ISO 27001 per creare un ISMS efficace che può essere certificato in modo indipendente.

    La certificazione ISO 27001 accreditata, fornita da un ente affidabile e indipendente, dimostra l'impegno per la sicurezza delle informazioni, fornendo una visione imparziale in merito alla robustezza e all'efficacia del vostro ISMS. Ciò contribuisce a farvi rispettare gli obblighi contrattuali e in molti casi funge da licenza commerciale.

  • Quali sono i vantaggi della norma ISO 27001 e perché è così importante?

    Proteggete i vostri dati e la vostra reputazione

    La certificazione ISO 27001 dimostra che avete stabilito un approccio sistematico e basato sul rischio alla sicurezza delle informazioni che favorisce le migliori pratiche rispetto a: 

    • Identificare i rischi per le informazioni e la cyber security
    • Analizzare i rischi in base all'impatto e alla probabilità
    • Valutare i rischi e stabilire le priorità per affrontarli in base a fattori legati alla vostra attività
    • Selezionare le opzioni di gestione dei rischi
    Dimostrate la conformità a leggi, regolamenti e obblighi contrattuali

    Al fine di ottenere la certificazione ISO 27001 è necessario individuare preventivamente la legislazione vigente, ad esempio il GDPR dell'UE o regolamenti come HIPAA. Questo ha un impatto positivo sulla gestione del rischio e sulla governance aziendale, aiutandovi a dar prova di compliance e rispetto degli obblighi contrattuali.

    Vantaggio competitivo

    La certificazione di LRQA dà ai clienti e agli stakeholder la certezza che i rischi per la sicurezza - che potrebbero essere correlati a IT, persone, ambiente fisico e continuità aziendale - siano stati affrontati in modo adeguato al fine di proteggere le loro informazioni.

    La certificazione ISO 27001 fornisce una chiara dichiarazione delle vostre capacità e dimostra che operate in linea con le migliori pratiche riconosciute a livello internazionale, aiutandovi ad acquisire nuove opportunità di business.

  • Come funzionano gli audit ISO 27001?

    Gli audit ISO 27001 seguono lo stesso approccio degli altri sistemi di gestione basati sull'Annex SL. Potete iniziare con la formazione e la gap analysis, ma il processo formale implica un audit della progettazione dell'ISMS (Fase 1) e un audit del suo funzionamento (Fase 2). I risultati di questi audit sono esaminati tecnicamente da una persona qualificata e indipendente in LRQA per garantire coerenza e allineamento con il nostro impegno verso le migliori pratiche definite dagli enti di accreditamento.

    Una volta approvato, viene rilasciato il certificato ISO 27001 e iniziate un ciclo triennale di audit di sorveglianza che porta a un audit di rinnovo per successivi prossimi tre anni. La sorveglianza consente a LRQA e alla vostra organizzazione di gestire i cambiamenti e di garantire che gli audit siano pertinenti alle attuali esigenze del settore.

  • Quanto dura la certificazione ISO 27001?

    Una volta approvata, la certificazione ha una durata di tre anni, a condizione che venga eseguita un'efficace manutenzione del sistema, comprovata dal programma di sorveglianza.

  • Cosa è incluso in un tipico campo di applicazione ISMS e in una tipica dichiarazione di applicabilità?

    Una tipica dichiarazione sul campo di applicazione della certificazione ISMS include le attività relative alla fornitura di prodotti e servizi. Non è necessario includere attività interne o processi ISMS. L'obiettivo è garantire al lettore che le informazioni fornite al momento della ricezione del prodotto o del servizio sono protette.

    La dichiarazione di applicabilità si riferisce all'elenco dei controlli selezionati. Non fornisce dettagli su tali controlli, ma un riferimento tracciabile a una dichiarazione di controllo utilizzata come base dell'ultimo audit ISO 27001. A volte le organizzazioni pubblicano una versione condivisibile in cui sono elencati semplicemente i controlli selezionati dall'Allegato A della norma ISO 27001, ma questo non è un requisito obbligatorio.

  • Quanto costa ottenere la certificazione ISO 27001?

    Il costo si basa sul numero di giorni di audit, che a sua volta si riferisce al numero di dipendenti inclusi nel campo di applicazione dell'ISMS. Il numero di giorni di audit è pubblicato in maniera molto trasparente nella norma di accreditamento, ISO 27006. Il coinvolgimento di un organismo di certificazione accreditato come LRQA garantisce una durata proposta dell'audit basata sulle migliori pratiche del settore, paragonabile a quella di tutti gli altri enti di certificazione accreditati.

    Ad esempio, un'organizzazione con 100 dipendenti a tempo pieno dovrebbe prevedere una durata iniziale dell'audit (fase 1 + fase 2) compresa tra 8 e 12 giorni, a seconda del settore in cui opera, della complessità dell'ambiente di lavoro, del fatto che sia coinvolta nello sviluppo di software o che debba integrare la sicurezza nel prodotto. Il programma di sorveglianza successivo dovrebbe essere di 3-4 giorni/anno e il rinnovo di 6-8 giorni.

  • Disponiamo già della certificazione ISO 9001. Possiamo integrarla con la norma ISO 27001?

    Sì, poiché sia ISO 9001 che ISO 27001 si basano sul modello generico di "best practice" per i sistemi di gestione, l'Annex SL, i principali processi possono essere ottimizzati per soddisfare i requisiti di entrambe le norme. In effetti, progettare un sistema in grado di rispondere a entrambe migliora l'efficacia della governance organizzativa. Ad esempio, gli obiettivi aziendali, come la crescita, spesso richiedono lo sviluppo di nuovi prodotti in cui la sicurezza è generalmente considerata uno standard di qualità in linea con le aspettative del mercato. L'integrazione, comportando una riduzione al minimo delle duplicazioni e una conseguente riduzione dei tempi di audit, rappresenta un'opzione anche conveniente.

  • Com'è strutturato un tipico processo di certificazione ISO 27001?

    Il percorso che la vostra organizzazione compie per ottenere la certificazione ISO 27001 dipende spesso, tra gli altri fattori, dal livello di maturità della vostra azienda in relazione alla sicurezza delle informazioni e alla più ampia gestione del rischio. Il processo tipico per ottenere la certificazione ISO 27001 include tuttavia tre fasi principali.

    • Audit di Fase 1 - riesame della documentazione e pianificazione: l'auditor esaminerà la progettazione e la documentazione del vostro sistema di gestione. Nella maggior parte dei casi, questa operazione viene eseguita da remoto.
    • Audit di Fase 2 - valutazione della vostra implementazione: l'auditor valuterà l'implementazione e l'efficacia del vostro ISMS in linea con i requisiti di ISO 27001. Se non vengono rilevati casi di non conformità, riceverete la certificazione. Questa fase può essere eseguita da remoto oppure in loco.
    • Pubblicizzate la certificazione ISO27001: La certificazione dimostra il vostro impegno verso le migliori pratiche riconosciute a livello internazionale e il miglioramento continuo, aiutandovi ad acquisire nuove opportunità di business e a soddisfare le richieste dei clienti.
  • Cos'è la norma ISO 27002:2022 e qual è il suo impatto?

    La pubblicazione della norma ISO 27002:2022 fornisce un aggiornamento dell'elenco di controlli contenuto nella norma ISO 27001, che risale al 2013. I controlli rivisti riflettono gli sviluppi relativi sia alle minacce che alle attuali best practice, e l'ampliamento dell'ambito della norma ISO 27002 contribuisce a garantire che le misure di gestione del rischio siano di ampia portata ed efficaci. Le organizzazioni possono utilizzare questo elenco di controlli completi per gestire i rischi identificati o per scoprire potenziali lacune. Ciò le aiuta ad anticipare il panorama complesso e continuamente in evoluzione delle minacce che si trovano ad affrontare al giorno d'oggi.

  • È in fase di sviluppo una nuova versione della norma ISO 27001?

    Entro la fine di ottobre 2022 è prevista la pubblicazione di una nuova versione della norma ISO 27001. Includerà i nuovi controlli delineati dalla norma ISO 27002:2022, che impongono alle organizzazioni di rivedere la propria valutazione del rischio e determinare se è necessario implementare nuovi trattamenti del rischio.

Siete già certificati ISO 27001 e desiderate trasferire la certificazione?

Scoprite di più su questo servizio

Premi Invio o la freccia per cercare Premi Invio per cercare

Icona di ricerca

Stai cercando?