Eseguire il Risk Assessment ed implementare un SGSI
conforme alla norma assicura un elevato livello di sicurezza delle informazioni
trattate dalla propria organizzazione
ottenere la certificazione ISO27001
significa il riconoscimento internazionale del proprio livello di gestione
SERVIZIO DI CONSULENZA PER LA
CERTIFICAZIONE ISO 27001:2013
La sicurezza delle informazioni è un argomento
complesso: per essere affrontato adeguatamente è necessario adottare regole
specifiche dettate da standard internazionali validi e riconosciuti.
La norma ISO/IEC 27001:2013 è un riferimento per identificare
ed applicare correttamente le contromisure da adottare
per evitare o minimizzare ogni rischio alla sicurezza delle informazioni
gestite.
Il
consulente supporta l'Azienda nella progettazione e nell’implementazione del SGSI
Sistema di Gestione per la Sicurezza delle Informazioni
(Information Security Management Systems, ISMS)
conforme alla norma
ISO/IEC
27001:2013
ed in accordo alle linee guida
ISO/IEC
27002:2013
La prima norma definisce i requisiti
che un Sistema di Gestione per la Sicurezza delle Informazioni deve soddisfare per esservi conforme e costituisce il riferimento
per l’audit e la certificazione di terza parte, la seconda descrive in modo più
dettagliato i controlli da applicare e definisce le “best practices”
da adottare per la conformità del sistema alla norma ISO27001.
Il professionista fornisce la
consulenza necessaria per progettare, verificare e mantenere un sistema
organizzato di gestione delle informazioni, comprendente l’adozione di un
complesso di idonee misure di sicurezza finalizzate
alla tutela e alla salvaguardia del patrimonio basato sui dati e sulle
informazioni che soddisfino i requisiti di legge e assicurino un elevato grado
di sicurezza e riservatezza.
Il consulente possiede
specifiche competenze professionali in materia di:
·
mappa logica delle infrastrutture, classificazione e gestione
degli assets informativi, analisi e valutazione dei
rischi nel trattamento dei dati e nella gestione delle banche dati;
·
Data
Security, ovvero sicurezza e tutela delle banche dati
informatiche, vulnerabilità dei sistemi operativi, sistemi di protezione delle
reti e delle postazioni di lavoro, backup e ripristino delle macchine e delle
banche dati, continuità delle operazioni in caso di incidenti, tutela dei log
di sistema.
La consulenza in outsourcing è
offerta alle aziende che non dispongono di adeguate
risorse interne per progettare, implementare e valutare il proprio SGSI.
·
ogni intervento di consulenza, impostato come un progetto,
segue l'approccio per processi e per la gestione del progetto saranno
utilizzate metodologie, tecniche e strumenti del Project Management;
·
la consulenza soddisfa obiettivi specifici, ad esempio
progettare e mettere in atto l'intero sistema oppure solo il Risk Assessment, oppure valutare
il sistema già in atto attraverso un audit per preparare il piano dei controlli
e delle misure di protezione;
·
il servizio di auditing può avere finalità diverse, ad
esempio, audit per organismi di accreditamento e di certificazione, audit
interno, audit pre-certificazione, audit di sorveglianza, audit di valutazione
dei fornitori;
L'audit interno è un requisito
della norma ISO27001 e viene intrapreso per valutare
la conformità del SGSI ai requisiti della norma ed altri requisiti stabiliti
per la sicurezza dell'informazione, allo scopo di valutarne l'efficace
attuazione ovvero quanto il sistema è mantenuto aggiornato e se le sue
prestazioni sono secondo le attese.
Il servizio di auditing interno
è per le aziende sprovviste di personale interno che soddisfa i requisiti
necessari per eseguire le verifiche ispettive interne, valutare la conformità del SGSI ai requisiti della norma, valutarne l'efficace
attuazione ed il costante aggiornamento e l'efficacia delle prestazioni.
eseguire il Risk
Assessment ed implementare un SGSI in conformità alla
norma assicura un elevato livello di sicurezza delle informazioni trattate
dalla propria organizzazione
ottenere la certificazione ISO27001:2013
è un riconoscimento internazionale del proprio livello di gestione