CDQ Italia - Organismo di Certificazione - Norme UNI EN ISO 9001 - 14001 - 22000 - 22005 - Marcatura CE - Sicurezza - Prodotto

 

ISO 27001


Sistema di Gestione per la Sicurezza delle Informazioni
 
La norma ISO 27001 specifica i requisiti per stabilire, implementare, documentare e valutare un Sistema di gestione della Sicurezza dell’Informazione (di seguito SGSI).

L’impostazione dello standard ISO 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001 e il risk management:
  • - Approccio per processi,
  • - Politica per la sicurezza,
  • - Identificazione, analisi dei rischi,
  • - Valutazione e trattamento dei rischi,
  • - Riesame e rivalutazione dei rischi,
  • - Modello PDCA,
  • - Utilizzo di procedure e di strumenti come audit interni, esterni di stage 1 e stage 2, non conformità, azioni correttive e preventive, sorveglianza, miglioramento continuo.

Per tale motivo, il sistema di gestione per la sicurezza delle informazioni è facilmente integrabile con i sistemi qualità (ISO 9001), ambientali (ISO 14001), sicurezza e salute dei lavoratori (OHSAS 18001) ed etici (SA 8000) e consente una gestione globale dell’Organizzazione soddisfando anche i requisiti previsti dalle normative sulla privacy (D.lgs 196/2003 e successive integrazioni e modificazioni).

La norma  ISO 27001 è applicabile ad un ampio ventaglio di imprese operanti nella gran parte dei settori commerciali e industriali: finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi etc. e  rappresenta una garanzia per i clienti e i fornitori.

L'oggetto della norma è l'informazione, sotto qualsiasi forma e supporto, per la quale devono essere garantiti:
  • La riservatezza (deve essere accessibile solo al personale autorizzato);
  • L'integrità (deve essere mantenuta completa ed integra quando è necessario utilizzarla);
  • La disponibilità (deve essere fruibile al personale autorizzato quando necessario).
Occorrerà quindi identificare i requisiti relativi alle informazioni gestite e valutarne i rischi associati in termini di:
  • Conseguenze in caso di perdita delle informazioni o di inosservanza dei requisiti di riservatezza ad esse associati;
  • Probabilità che ciò accada;
  • Definire azioni da intraprendere commisurate ai rischi;
  • Revisione periodica della valutazione del rischio.
Tutto ciò riveste un'importanza fondamentale o secondaria in funzione delle informazioni trattate dall'Organizzazione e dai supporti ove tali informazioni sono conservate.

Si passa quindi dalle sole informazioni riservate relative al personale dipendente gestite dalle società, alla gestione di informazioni strettamente riservate nell'ambito delle attività aziendali, come avviene per banche, studi di commercialisti, avvocati, società che gestiscono sistemi informativi o documenti di carattere legale o fiscale per conto terzi, ecc...
Il Sistema di Gestione della Sicurezza delle Informazioni, rappresenta un ottimo punto di partenza per quelle Organizzazioni che necessitano di dotarsi di tale strumento per la criticità delle informazioni e dei dati gestiti.
Il processo di audit di CDQ Italia è realizzato da professionisti capaci, imparziali, indipendenti, esperti e continuamente aggiornati, che applicano la giusta elasticità, concretezza ed omogeneità di interpretazione della norma.

Per ulteriori informazioni contattare CDQ italia – info@cdqitalia.it