Agenzia Pubblicitaria e Web Pescara Chieti Teramo L'Aquila

 

 

Benvenuti in Exduco Comunicazione

Clicca qui per accedere al sito.




       
     
     
     

contatti
portfolio
network
risorse utili

Exduco Comunicazione
Exduco Comunicazione
Viale Inghilterra, sn
65016 Montesilvano Marina (PE)
Italy
P.IVA: 01906510688

mbl. +39 3466127172

Scriveteci

Company Profile

CSS Valido!


 

ISO 27001: Certificazione sicurezza informazioni

Che cos'è

La ISO 27001:2005 è uno standard internazionale che ha l'obiettivo di guidare le organizzazioni alla corretta costruzione di un Sistema di Gestione della Sicurezza delle Informazioni.

Le informazioni custodite con mezzi informatici rappresentano ormai oltre il 60% del capitale intellettuale aziendale. Sono pertanto un patrimonio aziendale  la cui gestione diventa strategica per la tutela e lo sviluppo aziendale. Si tratta di garantire:
  • Riservatezza
  • Disponibilità
  • Integrità
Tra i sistemi di gestione, è lo standard che più incide nel miglioramento delle prestazioni, in quanto consente di dare continuità, sicurezza e fluidità a tutti gli altri sistemi gestionali.
Si rivolge ad ogni  tipo di organizzazione, azienda pubblica o privata.
Inoltre, poiché lo standard richiede la conformità con le norme cogenti in materia di privacy e di information security, verrà sempre più richiesto per la partecipazione a bandi di gara.
In ottica di Basilea 2 conformarsi alla ISO 27001 può significare:
 
  • orientarsi in un ambiente in costante evoluzione, in cui si moltiplicano nuovi prodotti sempre più complessi, aumentano le transazioni di e-banking e sono necessari sistemi integrati a livello globale;
  • scegliere di dimostrare la propria capacità di misurare, monitorare, quantificare e ridurre autonomamente il rischio operativo piuttosto che decidere di mettere da parte una notevole riserva di capitale;
  • realizzare il maggior vantaggio competitivo.

Lo standard

La ISO 27001:05 è il documento normativo al quale un'organizzazione che intenda certificarsi deve far riferimento. 

La ISO/IEC 17799:1 invece fornisce delle indicazioni non prescrittive per proteggere il patrimonio informativo di un'azienda. L'integrazione della ISO/IEC 17799:2005 nella serie ISO 27000 sarà discussa e decisa entro la primavera 2007 e se sarà integrata nella serie 27000, diverrà la ISO/IEC 27002.

Con la serie 27000 (altre norme seguiranno alla 27001) si intende, nei prossimi anni, normare tutto il settore della sicurezza delle informazioni, della gestione dei rischi, delle problematiche di metrica e misurazione, soprattutto dell’efficacia dei sistemi di sicurezza implementati, delle metodologie di attuazione.

La serie ISO 27000 è così prevista: 

  • ISO/IEC 27000: Principles and vocabulary
  • ISO/IEC 27001: Information security management system - Requirements  
  • ISO/IEC 27003: ISMS Implementation guidance
  • ISO/IEC 27004: Information security management metrics and measurement  
  • ISO/IEC 27005: ISMS Risk management

Punti chiave

L’impostazione dello standard ISO 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 e il Risk Management:

  • approccio per processi;
  • politica per la sicurezza; 
  • identificazione e analisi dei rischi; 
  • valutazione e trattamento dei rischi; 
  • riesame e rivalutazione dei rischi; 
  • modello Plan–Do–Check-Act (PDCA); 
  • utilizzo di procedure e di strumenti come: audit interni, esterni di stage 1 e stage 2, non conformità, azioni correttive e preventive, sorveglianza e miglioramento continuo.
Infatti, la particolare struttura delle due norme (ISO 27001 e ISO 9001), permette di integrare in un unico sistema di gestione la qualità e la sicurezza, mettendo in condizione la Direzione aziendale di ottimizzare il monitoraggio e il governo di tutti i processi aziendali.

Iter di certificazione

L'iter di certificazione prevede:

  • valutazione della realtà aziendale per la formulazione di un'offerta specifica economica;
  • stipula di un contratto di certificazione;
  • invio da parte dell'Organizzazione della documentazione richiesta;
  • visita di valutazione in Azienda da parte di valutatori esperti di settore;
  • rilascio dei certificati CSQA e IQNet e l'iscrizione dell'organizzazione negli elenchi CSQA e del Sincert;
  • gestione della sorveglianza e del rinnovo.
 
L'iter del Servizio di ispezione e audit di II parte (il gruppo di audit risponde ad un’organizzazione committente, diversa dall’organizzazione auditata) prevede:
  • valutazione ambito normativo o disciplinare;
  • preparazione piano di audit e check list;
  • costituzione gruppo di audit;
  • effettuazione dell’audit;
  • preparazione, consegna ed illustrazione dei report dell’audit.
Contattaci

 
   
Mappa del sito - Privacy - Copyright - Agenzia web Pescara - Teramo - Chieti - L'Aquila