ISO 27001 | FAQ
Cos'è la norma ISO 27001?
ISO 27001 è la norma internazionale che definisce i requisiti di un sistema di gestione della sicurezza delle informazioni (ISMS). La norma fornisce un quadro di "best practice" per identificare, analizzare e quindi implementare i controlli necessari per gestire e mitigare i rischi, riducendo la probabilità di una violazione della sicurezza delle informazioni.
Qualsiasi organizzazione, indipendentemente dalle dimensioni e dal settore, può implementare i requisiti e i controlli previsti dalla norma ISO 27001 per creare un ISMS efficace che può essere certificato in modo indipendente.
La certificazione ISO 27001 accreditata, fornita da un ente affidabile e indipendente, dimostra l'impegno per la sicurezza delle informazioni, fornendo una visione imparziale in merito alla robustezza e all'efficacia del vostro ISMS. Ciò contribuisce a farvi rispettare gli obblighi contrattuali e in molti casi funge da licenza commerciale.
Come funzionano gli audit ISO 27001?
Gli audit ISO 27001 seguono lo stesso approccio degli altri sistemi di gestione basati sull'Annex SL. Potete iniziare con la formazione e la gap analysis, ma il processo formale implica un audit della progettazione dell'ISMS (Fase 1) e un audit del suo funzionamento (Fase 2). I risultati di questi audit sono esaminati tecnicamente da una persona qualificata e indipendente in LRQA per garantire coerenza e allineamento con il nostro impegno verso le migliori pratiche definite dagli enti di accreditamento.
Una volta approvato, viene rilasciato il certificato ISO 27001 e iniziate un ciclo triennale di audit di sorveglianza che porta a un audit di rinnovo per successivi prossimi tre anni. La sorveglianza consente a LRQA e alla vostra organizzazione di gestire i cambiamenti e di garantire che gli audit siano pertinenti alle attuali esigenze del settore.
Quanto dura la certificazione ISO 27001?
Una volta approvata, la certificazione ha una durata di tre anni, a condizione che venga eseguita un'efficace manutenzione del sistema, comprovata dal programma di sorveglianza.
Cosa è incluso in un tipico campo di applicazione ISMS e in una tipica dichiarazione di applicabilità?
Una tipica dichiarazione sul campo di applicazione della certificazione ISMS include le attività relative alla fornitura di prodotti e servizi. Non è necessario includere attività interne o processi ISMS. L'obiettivo è garantire al lettore che le informazioni fornite al momento della ricezione del prodotto o del servizio sono protette.
La dichiarazione di applicabilità si riferisce all'elenco dei controlli selezionati. Non fornisce dettagli su tali controlli, ma un riferimento tracciabile a una dichiarazione di controllo utilizzata come base dell'ultimo audit ISO 27001. A volte le organizzazioni pubblicano una versione condivisibile in cui sono elencati semplicemente i controlli selezionati dall'Allegato A della norma ISO 27001, ma questo non è un requisito obbligatorio.
Quanto costa ottenere la certificazione ISO 27001?
Il costo si basa sul numero di giorni di audit, che a sua volta si riferisce al numero di dipendenti inclusi nel campo di applicazione dell'ISMS. Il numero di giorni di audit è pubblicato in maniera molto trasparente nella norma di accreditamento, ISO 27006. Il coinvolgimento di un organismo di certificazione accreditato come LRQA garantisce una durata proposta dell'audit basata sulle migliori pratiche del settore, paragonabile a quella di tutti gli altri enti di certificazione accreditati.
Ad esempio, un'organizzazione con 100 dipendenti a tempo pieno dovrebbe prevedere una durata iniziale dell'audit (fase 1 + fase 2) compresa tra 8 e 12 giorni, a seconda del settore in cui opera, della complessità dell'ambiente di lavoro, del fatto che sia coinvolta nello sviluppo di software o che debba integrare la sicurezza nel prodotto. Il programma di sorveglianza successivo dovrebbe essere di 3-4 giorni/anno e il rinnovo di 6-8 giorni.
Disponiamo già della certificazione ISO 9001. Possiamo integrarla con la norma ISO 27001?
Sì, poiché sia ISO 9001 che ISO 27001 si basano sul modello generico di "best practice" per i sistemi di gestione, l'Annex SL, i principali processi possono essere ottimizzati per soddisfare i requisiti di entrambe le norme. In effetti, progettare un sistema in grado di rispondere a entrambe migliora l'efficacia della governance organizzativa. Ad esempio, gli obiettivi aziendali, come la crescita, spesso richiedono lo sviluppo di nuovi prodotti in cui la sicurezza è generalmente considerata uno standard di qualità in linea con le aspettative del mercato. L'integrazione, comportando una riduzione al minimo delle duplicazioni e una conseguente riduzione dei tempi di audit, rappresenta un'opzione anche conveniente.
Cos'è la norma ISO 27002:2022 e qual è il suo impatto?
La pubblicazione della norma ISO 27002:2022 fornisce un aggiornamento dell'elenco di controlli contenuto nella norma ISO 27001, che risale al 2013. I controlli rivisti riflettono gli sviluppi relativi sia alle minacce che alle attuali best practice, e l'ampliamento dell'ambito della norma ISO 27002 contribuisce a garantire che le misure di gestione del rischio siano di ampia portata ed efficaci. Le organizzazioni possono utilizzare questo elenco di controlli completi per gestire i rischi identificati o per scoprire potenziali lacune. Ciò le aiuta ad anticipare il panorama complesso e continuamente in evoluzione delle minacce che si trovano ad affrontare al giorno d'oggi.
Qual è la differenza tra la norma ISO 27001 e la norma ISO 27002?
- ISO 27001: Definisce i requisiti per implementare e gestire un ISMS, inclusi la pianificazione, l’esecuzione, il monitoraggio e il miglioramento continuo.
- ISO 27002: Fornisce linee guida e best practice sui controlli di sicurezza da adottare, senza essere uno standard certificabile.
Scopri di più su come LRQA può supportare i tuoi requisiti di formazione ISO 27001.
