Migliori prestazioni,

rischio ridotto

10 Consigli per implementare ISO 27001

www.lrqa.it/standard-e-schemi/ISO-IEC-27001

1
Per aiutarvi nell’implementazione di un
sistema di gestione della sicurezza delle
informazioni (ISMS), LRQA ha predisposto
una lista di 10 consigli utili nella fase di
attuazione dell’ISO 27001.
Questo articolo è stato aggiornato da
Jonathan Alsop, Lead Auditor di LRQA per
la Norma ISO 27001.
1 Impegno e sostegno del
Management
Uno dei requisiti della norma è la
motivazione e la direzione da parte del
Top Management, al quale è richiesto
di impegnarsi attivamente nel garantire
la direzione dell’ISMS che, a sua volta,
deve essere compatibile con le strategie
aziendali, oltre a prevedere alcuni
aspetti chiave, quali politiche e obiettivi.
Un’implementazione di successo dipende
proprio dal Management, che ne deve
comprendere le ragioni e appoggiarne
pienamente la progettazione e il
funzionamento.
2 Messa a punto di un piano
Il successo del sistema è tanto più
probabile se si mette a punto un piano
significativo e realistico, se si misurano le
prestazioni sulla base del piano e se si è
pronti a modificarlo di fronte a situazioni
impreviste.
3 Comprensione della norma e
dei propri stakeholder
Avere le idee chiare sul perché
dell’implementazione dello standard, così
come su chi può influenzare il vostro ISMS,
o esserne influenzato, vi aiuterà a capire
come meglio progettare il vostro sistema
di gestione.
4 Processi di gestione
I seguenti processi, così come la
relativa comprensione da parte del Top
Management, sono fondamentali per
l’effettiva attuazione del vostro ISMS:
–– Conoscere bene il proprio mercato,
stakeholder, rischi, obiettivi e strategie
vi aiuterà non solo a definire e
capire meglio il contesto, ma anche
a contribuire alla guida dell’ISMS e
all’etica del miglioramento continuo;
–– Assegnare risorse adeguate (in termini
di risorse umane, tecnologiche, tempo
e denaro) per lo sviluppo, attuazione e
controllo del vostro ISMS;
–– Gli Audit interni servono a verificare
che il sistema di gestione funziona
come previsto ed è in grado di
identificare non solo le eventuali non-
conformità del sistema, ma anche le
opportunità di miglioramento;
–– Il riesame della direzione offre
l’opportunità al Top Management di
valutare come il sistema di gestione
stia funzionando e sia di supporto al
business;
–– Assicurarsi di avere, all’interno della
propria organizzazione, personale
correttamente formato e competente.
5 Definizione del campo di
azione
E’ essenziale definire accuratamente il
campo di azione logistico e geografico
del vostro ISMS, in modo da identificare
i confini del vostro sistema di gestione
della sicurezza delle informazioni e delle
responsabilità di sicurezza.
6 Politica ISMS
Definite la vostra politica ISMS in
termini di caratteristiche del business,
organizzazione, ubicazione, asset e
tecnologia.
7 Valutazione e gestione dei rischi
La valutazione dei rischi è il fondamento
su cui viene costruito l’ISMS.
Il processo dovrebbe prendere
in considerazione le minacce e le
vulnerabilità e le eventuali opportunità
connesse alle attività e all’impatto del loro
utilizzo. Infine, è necessario determinare il
livello di rischio e identificare i controlli da
attuare per gestire tali rischi.
8 Trattamento del rischio
I livelli di rischio, identificati per mezzo
di una valutazione del rischio, vengono
poi confrontati con il livello di rischio
accettabile stabilito dalle politiche di
sicurezza dell’organizzazione. Una volta
determinati i livelli di rischio, vanno
implementati i controlli per la relativa
mitigazione.
9 Gap analysis
Con quest’attività condotta da un
nostro valutatore è possibile non solo
concentrarsi su aree critiche del sistema,
ad alto rischio o con punti di debolezza,
al fine di rendere il sistema certificabile,
ma anche verificare come i sistemi di
gestione o le procedure esistenti possano
essere valorizzati all’interno della norma
di riferimento.
10 Certificazione
La certificazione consiste in una
valutazione esterna del sistema di
gestione della sicurezza delle informazioni
atta a verificarne la capacità di soddisfare
i requisiti della norma ISO 27001. Si tratta
solitamente di un processo in due fasi,
costituito da un’analisi del sistema e da
una valutazione iniziale, la cui durata
dipende dalla dimensione e dalla natura
dell’organizzazione.
Chi siamo
Le richieste sempre più pressanti da parte
degli stakeholder, i cambiamenti delle
condizioni operative e una maggiore
concorrenza implicano sempre più
la necessità di un migliore controllo
operativo, di migliori prestazioni e
gestione del rischio.
Per aiutarvi, continuiamo a migliorare
i nostri servizi, non limitandoci alla
semplice verifica di conformità a uno
standard, ma andando oltre.
I nostri Business Development Manager
che lavorano sul campo adattano i nostri
servizi di certificazione, validazione,
verifica e formazione per soddisfare
al meglio le vostre esigenze, offrendo
“valore aggiunto” ben al di là del
processo di valutazione tradizionale.
Le nostre competenze
Dal momento che la vostra scelta in
materia di ente di certificazione dice
molto ai vostri clienti sulla serietà
con cui prendete in considerazione
il sistema di gestione della sicurezza
delle informazioni (ISMS), è necessario
scegliere un ente di certificazione che
possa aiutarvi a sviluppare un sistema
di gestione che ne realizzi in pieno le
potenzialità.
Da alcuni anni LRQA, sempre in prima
linea nello sviluppo degli standard, offre
servizi di valutazione e certificazione
ISMS. I nostri clienti di alto profilo nel
settore della finanza, telecomunicazioni,
software, Internet, consulenze, giustizia
e pubblica amministrazione hanno la
massima fiducia nella nostra capacità
di offrire servizi di valutazione d’alta
qualità, coerenti e imparziali, grazie anche
a un pacchetto di supporto altamente
dedicato.
I nostri valutatori, esperti di sistemi di
gestione e con qualifiche specifiche
nella sicurezza delle informazioni e
informatica, potranno darvi il loro punto
di vista obiettivo che aumenterà la vostra
fiducia nelle vostre misure di sicurezza, le
quali verranno valutate sulla base delle
buone pratiche del settore.
Scegliere LRQA significa lavorare con uno
degli enti che gode di maggior fiducia
e rispetto per quanto riguarda i sistemi
di gestione e che può offrire la garanzia
del business ai vostri clienti, potenziali
clienti, partner commerciali e agli altri
stakeholder.
I nostri servizi
Formazione
Abbiamo il corso adatto alle vostre
esigenze, sia se siete in una fase iniziale
di sviluppo del vostro ISMS, sia durante
il processo di miglioramento di quello
esistente.
I nostri corsi pubblici si tengono in tutto
il Regno Unito, con il vantaggio di potere
condividere le vostre esperienze con gli
altri partecipanti. Ma possiamo anche
organizzare, presso la vostra azienda,
uno qualsiasi dei nostri corsi standard
pubblicati, oppure offrirvi un corso
personalizzato per soddisfare le vostre
esigenze specifiche.
Per ulteriori informazioni: www.lrqa.it
Gap analysis facoltativa
Con quest’attività condotta da un
nostro valutatore è possibile non solo
concentrarsi su aree critiche del sistema,
ad alto rischio o con punti di debolezza,
al fine di rendere il sistema certificabile,
ma anche verificare come i sistemi di
gestione o le procedure esistenti possano
essere utilizzati all’interno della norma di
riferimento.
Se siete nelle prime fasi
d’implementazione del sistema di
gestione o se volete fare una “prova
generale” prima della visita di
valutazione, l’ambito di applicazione
della “gap analysis” può essere deciso o
con il nostro Responsabile del Business
Development o con un valutatore, con
una maggiore flessibilità nella scelta della
portata e durata della visita ispettiva.
Certificazione
Si tratta solitamente di un processo in
due fasi costituito da una valutazione del
sistema e una valutazione iniziale, la cui
durata dipende dalla dimensione e dalla
natura dell’organizzazione.
Il nostro Responsabile del Business
Development progetterà una soluzione
per soddisfare le vostre specifiche
esigenze, mentre i nostri valutatori
saranno aperti, disponibili, seguendo
un approccio pratico. Riteniamo che
questo sia uno dei modi con cui possiamo
effettivamente aggiungere valore al
processo di valutazione.
Visite di sorveglianza
Una volta approvato il vostro ISMS,
effettueremo regolari visite di sorveglianza
per controllarne l’efficacia, dando a
voi e al vostro Top Management la
garanzia che i vostri sistemi di gestione
procedano correttamente e migliorino
continuamente.
Valutazione del sistema di gestione
integrato
Le aziende che desiderano abbinare il
proprio sistema di gestione a un sistema
di gestione esistente (ad esempio quello
per la Qualità) possono beneficiare
di un programma di valutazione e
di sorveglianza coordinato. Se siete
interessati a questo approccio combinato,
comunque in continuo sviluppo, fatecelo
sapere quando ci contattate.

Scegliere LRQA significa lavorare con un’azienda il cui nome

è sinonimo di business della sicurezza.

Per saperne di più su come LRQA può aiutarvi a soddisfare le vostre esigenze,
telefonate al numero +39 02 3657541 o contattateci con una mail a:
certificazione@lr.org

www.lrqa.it
Lloyd’s Register Quality Assurance Italy Srl (LRQA)
Care is taken to ensure that all information provided is accurate and up to date. However, LRQA accepts no
responsibility for inaccuracies in, or changes to, information. Lloyd’s Register and variants of it are trading names
of Lloyd’s Register Group Limited, its subsidiaries and affiliates.
© Lloyd’s Register Quality Assurance Limited 2016. A member of the Lloyd’s Register group. Pub March 2016