Certificazione ISO/IEC 27001

ISO 27001 è la norma internazionale che definisce i requisiti di un sistema di gestione della sicurezza delle informazioni (ISMS). La norma fornisce un quadro di "best practice" per identificare, analizzare e quindi implementare i controlli necessari per gestire e mitigare i rischi, riducendo la probabilità di una violazione della sicurezza delle informazioni.
Qualsiasi organizzazione, indipendentemente dalle dimensioni e dal settore, può implementare i requisiti e i controlli previsti dalla norma ISO 27001 per creare un ISMS efficace che può essere certificato in modo indipendente.

La certificazione ISO 27001 accreditata, fornita da un ente affidabile e indipendente, dimostra l'impegno per la sicurezza delle informazioni, fornendo una visione imparziale in merito alla robustezza e all'efficacia del vostro ISMS. Ciò contribuisce a farvi rispettare gli obblighi contrattuali e in molti casi funge da licenza commerciale.

Proteggete i vostri dati e la vostra reputazione

La certificazione ISO 27001 dimostra che avete stabilito un approccio sistematico e basato sul rischio alla sicurezza delle informazioni che favorisce le migliori pratiche rispetto a: 

• Identificare i rischi per le informazioni e la cyber security
• Analizzare i rischi in base all'impatto e alla probabilità
• Valutare i rischi e stabilire le priorità per affrontarli in base a fattori legati alla vostra attività
• Selezionare le opzioni di gestione dei rischi

Dimostrate la conformità a leggi, regolamenti e obblighi contrattuali

Al fine di ottenere la certificazione ISO 27001 è necessario individuare preventivamente la legislazione vigente, ad esempio il GDPR dell'UE o regolamenti come HIPAA. Questo ha un impatto positivo sulla gestione del rischio e sulla governance aziendale, aiutandovi a dar prova di compliance e rispetto degli obblighi contrattuali.

Vantaggio competitivo

La certificazione di LRQA dà ai clienti e agli stakeholder la certezza che i rischi per la sicurezza - che potrebbero essere correlati a IT, persone, ambiente fisico e continuità aziendale - siano stati affrontati in modo adeguato al fine di proteggere le loro informazioni.

La certificazione ISO 27001 fornisce una chiara dichiarazione delle vostre capacità e dimostra che operate in linea con le migliori pratiche riconosciute a livello internazionale, aiutandovi ad acquisire nuove opportunità di business.

Gli audit ISO 27001 seguono lo stesso approccio degli altri sistemi di gestione basati sull'Annex SL. Potete iniziare con la formazione e la gap analysis, ma il processo formale implica un audit della progettazione dell'ISMS (Fase 1) e un audit del suo funzionamento (Fase 2). I risultati di questi audit sono esaminati tecnicamente da una persona qualificata e indipendente in LRQA per garantire coerenza e allineamento con il nostro impegno verso le migliori pratiche definite dagli enti di accreditamento.

Una volta approvato, viene rilasciato il certificato ISO 27001 e iniziate un ciclo triennale di audit di sorveglianza che porta a un audit di rinnovo per successivi prossimi tre anni. La sorveglianza consente a LRQA e alla vostra organizzazione di gestire i cambiamenti e di garantire che gli audit siano pertinenti alle attuali esigenze del settore.

Una volta approvata, la certificazione ha una durata di tre anni, a condizione che venga eseguita un'efficace manutenzione del sistema, comprovata dal programma di sorveglianza.

Una tipica dichiarazione sul campo di applicazione della certificazione ISMS include le attività relative alla fornitura di prodotti e servizi. Non è necessario includere attività interne o processi ISMS. L'obiettivo è garantire al lettore che le informazioni fornite al momento della ricezione del prodotto o del servizio sono protette.

La dichiarazione di applicabilità si riferisce all'elenco dei controlli selezionati. Non fornisce dettagli su tali controlli, ma un riferimento tracciabile a una dichiarazione di controllo utilizzata come base dell'ultimo audit ISO 27001. A volte le organizzazioni pubblicano una versione condivisibile in cui sono elencati semplicemente i controlli selezionati dall'Allegato A della norma ISO 27001, ma questo non è un requisito obbligatorio.

Il costo si basa sul numero di giorni di audit, che a sua volta si riferisce al numero di dipendenti inclusi nel campo di applicazione dell'ISMS. Il numero di giorni di audit è pubblicato in maniera molto trasparente nella norma di accreditamento, ISO 27006. Il coinvolgimento di un organismo di certificazione accreditato come LRQA garantisce una durata proposta dell'audit basata sulle migliori pratiche del settore, paragonabile a quella di tutti gli altri enti di certificazione accreditati.

Ad esempio, un'organizzazione con 100 dipendenti a tempo pieno dovrebbe prevedere una durata iniziale dell'audit (fase 1 + fase 2) compresa tra 8 e 12 giorni, a seconda del settore in cui opera, della complessità dell'ambiente di lavoro, del fatto che sia coinvolta nello sviluppo di software o che debba integrare la sicurezza nel prodotto. Il programma di sorveglianza successivo dovrebbe essere di 3-4 giorni/anno e il rinnovo di 6-8 giorni.

Sì, poiché sia ISO 9001 che ISO 27001 si basano sul modello generico di "best practice" per i sistemi di gestione, l'Annex SL, i principali processi possono essere ottimizzati per soddisfare i requisiti di entrambe le norme. In effetti, progettare un sistema in grado di rispondere a entrambe migliora l'efficacia della governance organizzativa. Ad esempio, gli obiettivi aziendali, come la crescita, spesso richiedono lo sviluppo di nuovi prodotti in cui la sicurezza è generalmente considerata uno standard di qualità in linea con le aspettative del mercato. L'integrazione, comportando una riduzione al minimo delle duplicazioni e una conseguente riduzione dei tempi di audit, rappresenta un'opzione anche conveniente.

Il percorso che la vostra organizzazione compie per ottenere la certificazione ISO 27001 dipende spesso, tra gli altri fattori, dal livello di maturità della vostra azienda in relazione alla sicurezza delle informazioni e alla più ampia gestione del rischio. Il processo tipico per ottenere la certificazione ISO 27001 include tuttavia tre fasi principali.

• Audit di Fase 1 - riesame della documentazione e pianificazione: l'auditor esaminerà la progettazione e la documentazione del vostro sistema di gestione. Nella maggior parte dei casi, questa operazione viene eseguita da remoto.
• Audit di Fase 2 - valutazione della vostra implementazione: l'auditor valuterà l'implementazione e l'efficacia del vostro ISMS in linea con i requisiti di ISO 27001. Se non vengono rilevati casi di non conformità, riceverete la certificazione. Questa fase può essere eseguita da remoto oppure in loco.
• Pubblicizzate la certificazione ISO27001: La certificazione dimostra il vostro impegno verso le migliori pratiche riconosciute a livello internazionale e il miglioramento continuo, aiutandovi ad acquisire nuove opportunità di business e a soddisfare le richieste dei clienti.

La pubblicazione della norma ISO 27002:2022 fornisce un aggiornamento dell'elenco di controlli contenuto nella norma ISO 27001, che risale al 2013. I controlli rivisti riflettono gli sviluppi relativi sia alle minacce che alle attuali best practice, e l'ampliamento dell'ambito della norma ISO 27002 contribuisce a garantire che le misure di gestione del rischio siano di ampia portata ed efficaci. Le organizzazioni possono utilizzare questo elenco di controlli completi per gestire i rischi identificati o per scoprire potenziali lacune. Ciò le aiuta ad anticipare il panorama complesso e continuamente in evoluzione delle minacce che si trovano ad affrontare al giorno d'oggi.

Entro la fine di ottobre 2022 è prevista la pubblicazione di una nuova versione della norma ISO 27001. Includerà i nuovi controlli delineati dalla norma ISO 27002:2022, che impongono alle organizzazioni di rivedere la propria valutazione del rischio e determinare se è necessario implementare nuovi trattamenti del rischio.