.

HOME / COMPLIANCE

CERTIFICAZIONE ISO 27000 E AUDIT

Le informazioni e i dati sono un patrimonio per ogni azienda, e garantire una filiera di tutela e sicurezza è una necessità fondamentale. Attraverso l’ottenimento della certificazione ISO 27000 è possibile implementare un ISMS (Information Security Management System) efficiente e funzionale. In questo modo l’azienda sarà in condizione di proteggere la riservatezza e l’integrità dei dati aziendali.

Ogni azienda che curi la propria efficienza ormai gestisce tutti i rischi legati alla sicurezza tramite un Information Security Management System (ISMS). Un Sistema di Gestione della Sicurezza delle Informazioni è un insieme di policy e procedure che include tutti gli ambiti della gestione IT: fisici, logici, organizzativi e legali. Grazie a questa struttura la sicurezza delle informazioni coinvolge così tutte le funzioni aziendali.

Come funziona la certificazione ISO 27000

Lo standard più diffuso per la certificazione degli ISMS è rappresentato dalla “famiglia” degli standard ISO 27000 (27001 in generale, 27017 e 27018 per il mondo cloud), che permette anche la certificazione del sistema così creato. Si può applicare a qualsiasi tipo di organizzazione, per esempio aziende, enti pubblici, istituzioni accademiche e associazioni no-profit indipendentemente dalle informazioni e dalla tipologia di dati personali o aziendali che trattano.

Questa serie di standard è sviluppata da ISO e dalla Commissione Elettrotecnica Internazionale (IEC).

Si tratta di una famiglia che include ben più di 20 standard. In questo contesto, per un’azienda è indispensabile affidarsi a un team di esperti

per individuare e proporre gli adempimenti necessari, anche in funzione delle procedure interne, della tipologia di dati trattati e degli obiettivi richiesti dalle policy.

Come avviene la certificazione ISO 27000

Come avviene per tutte le certificazioni ISO, per ottenerle è necessario ottemperare a diversi adempimenti, sia dal punto di vista operativo, sia dal punto di vista legale e amministrativo. Il primo passaggio, affidato agli esperti di CryptoNet Labs, è quello di effettuare un pre-audit ISMS, per verificare lo stato attuale delle procedure aziendali in termini di sicurezza informatica e tutela dei dati, personali e strategici.
Al temine di questa revisione, i tecnici e gli specialisti di CryptoNet Labs provvederanno tramite una gap analysis a

definire gli interventi da intraprendere per avviare il percorso di certificazione e ottenerla, individuando con il cliente un’adeguata roadmap.
CryptoNet Labs offre anche il servizio di consulenza nelle fasi successive, per l’aggiornamento del personale e il mantenimento dei requisiti necessari nel corso del tempo.

In particolare, i servizi di CryptoNet Labs comprendono:

  • definizione dell’ambito di applicazione dell’ISMS in fase di prima implementazione o ampliamento;
  • gap analysis e definizione del piano di intervento;
  • consulenza in fase di implementazione o certificazione per la risoluzione di eventuali non conformità;
  • redazione dell’apparato documentale;
  • analisi dei rischi;
  • supporto per audit interni;
  • attività di riesame;
  • formazione;
  • affiancamento durante gli audit degli enti certificatori.

Inoltre assistiamo le aziende nelle revisioni della propria organizzazione o degli obiettivi aziendali, a seguito dell’emissione di nuove versioni della norma, oppure nell’adozione di nuovi standard dedicati a specifici settori. Non da ultimo diamo supporto per l’integrazione dell’ISMS con altri sistemi di gestione (ISO 9001, ISO 20000, COBIT, ecc.) o con la compliance aziendale (231, GDPR, PCI DSS).

Chi ne può beneficiare

Le certificazioni ISO 27000 sono adatte sia per aziende che desiderano impostare un ISMS da zero, sia per aziende già certificate che intendono estendere o rinnovare il loro pool di certificazioni. Fra gli aspetti più rilevanti dell’offerta di CryptoNet Labs ci sono soluzioni modulari, supporto continuativo e la possibilità di integrarsi con altri sistemi di gestione con il minore effort possibile, offrendo alle aziende un potenziamento della propria sicurezza e ottimizzando l’investimento richiesto.