Archivio dell'autore: sicurezzapratica

Elenco di controllo per la conformità ISO 27001:2022: la documentazione richiesta

Documentare il sistema di gestione della sicurezza delle informazioni (ISMS) per la prova della conformità allo standard ISO 27001: 2022 può essere fonte di confusione in quanto non è chiaro quali documenti sono obbligatori e quali sono discrezionali. Di conseguenza, la maggior parte di noi compensa eccessivamente e produce molte più pratiche burocratiche del necessario, causando politiche ridondanti e conflittuali per confondere le parti interessate, il personale e, naturalmente, i revisori.

Ecco un promemoria sui documenti che sono specificamente richiesti dallo standard – dove un auditor si aspetterebbe di trovarli – e quali sono opzionali. Di seguito è riportato un elenco completo di controllo della conformità ISO 27001 necessario per iniziare oggi.

Elenco di controllo della conformità ISO 27001 – La documentazione ISO 27001 richiesta

ELENCO DI CONTROLLO PER LA CONFORMITÀ ISO 27001L’AUDITOR SI ASPETTERÀ DI TROVARLO QUI
L’ambito del tuo ISMSDocumento manuale ISMS
Leadership, prova dell’impegno del managementLeadership, prova del documento di impegno della gestione
Le tue politiche di sicurezza delle informazioniDocumento sulla politica di sicurezza delle informazioni
I tuoi obiettivi di sicurezza delle informazioniDocumento sugli obiettivi della sicurezza delle informazioni
Il processo di valutazione dei rischi per la sicurezza delle informazioniDocumento del piano di trattamento dei rischi
Un piano di trattamento del rischioDocumento del piano di trattamento dei rischi
Una dichiarazione di applicabilitàDocumento della Dichiarazione di applicabilità
Monitoraggio della sicurezza e misurazione dei risultatiDocumento sugli obiettivi della sicurezza delle informazioni
Definizioni dei ruoli e delle responsabilità di sicurezzaDocumento manuale ISMS
Registri di formazione, competenze e qualificheRecord HR aziendali
Le tue procedure operativeDocumento individuale di ogni procedura
Il tuo programma di audit internoDocumento di pianificazione dell’audit interno e documenti di relazione di audit interno
I vostri programmi di audit delle evidenze e i risultati dell’auditOrdine del giorno e verbali delle riunioni di riesame della direzione
Le vostre prove e risultati dei riesami della direzioneOrdine del giorno e verbali delle riunioni di riesame della direzione
Non conformità e azioni correttiveRegistro degli eventi imprevisti di sicurezza

Politiche ISO 27001 richieste per la conformità secondo ISO 27001 Annex A

Di seguito è riportato un elenco di alcune politiche ISO 27001 richieste per essere conformi. È un’aggiunta essenziale alla tua documentazione.

  • Criteri di controllo degli accessi
  • Politica sull’uso accettabile delle risorse
  • Criteri dei controlli crittografici
  • Politica di gestione delle chiavi
  • Politica Clear Desk & Clear Screen
  • Politica di backup
  • Politiche (e procedure) di trasferimento delle informazioni
  • Politica di sviluppo sicuro
  • Rischi dei prodotti o servizi del fornitore

Sebbene queste politiche siano imposte dai requisiti di controllo riportati nell’Allegato A dello standard, se decidi che non sono rilevanti per la tua organizzazione (ad esempio la crittografia), non sono necessarie, ma sii pronto a giustificarlo al tuo auditor.

A seconda dell’organizzazione, potrebbe essere necessario integrare l’elenco richiesto di politiche di cui sopra con altre politiche per fornire un ambiente completo di sicurezza delle informazioni. Esempi tipici sono le politiche che regolano i visitatori esterni o una politica sulla lunghezza e la composizione delle password. Queste politiche aggiuntive rientrerebbero nella categoria “buono da avere”. Vediamone altri.

Quali sono i documenti facoltativi ISO 27001 “buoni da avere” ?

Ci possono essere diversi documenti opzionali a seconda del tipo e delle dimensioni dell’organizzazione, ma i seguenti documenti che sono buoni da avere – sono rilevanti per quasi tutti:

  • Procedura scritta per il controllo dei documenti
  • Procedura documentata per l’Internal Audit
  • Politica di classificazione delle informazioni documentate
  • Piano di continuità aziendale documentato

Un’ultima osservazione. Mentre lo standard ISO 27001 richiede una documentazione specifica che descriva in dettaglio le politiche e le procedure, è anche una buona idea documentare azioni e attività specifiche che possono servire come prova di conformità. I verbali delle riunioni, ad esempio, forniscono al revisore dei conti la prova documentale che le attività si stanno svolgendo.

Altre attività tipiche che vale la pena documentare includono:

  • Il team di sicurezza delle informazioni valuta le non conformità o gli incidenti segnalati
  • Il Comitato Rischi Sviluppo del Piano di Trattamento dei Rischi
  • Pianificazione e report di audit interni
  • Riesame della direzione del sistema di gestione della sicurezza delle informazioni

ISO 27001:2022 – Pubblicata la nuova Raccolta Policy – ISO 27001:2022

Pubblicata la nuova Raccolta Policy – ISO 27001:2022
29 policy aggiornate alla ISO 27001:2022 già pronte e modificabili (formato MS Word) ciascuna con i relativi controlli Annex A ISO 27001:2022

I modelli di policy ISO 27001 ti forniranno tutte le politiche di sicurezza delle informazioni completamente compilate e pre-scritte di cui hai bisogno per iniziare realizzare nuove policy ISO 27001:2022 o aggiornare quelle relative alla vecchia versione della ISO 27001.

✓ Garanzia degli esperti – Sono infatti redatte da esperti ISO 27001:2022
✓ Risparmia oltre 200 ore di lavoro
✓ Risparmia migliaia di spese di consulenza

Scarica estratto dei contenuti

UNI PdR 125/2022 – Pubblicato il Kit documentazione manuale, procedure e modulistica

Edirama, in collaborazione con Winple, ha pubblicato sui propri siti http://www.edirama.org e http://www.certificazione.info il Kit documentale UNI PdR 125/2022  per l’implementazione di un Sistema di Gestione conforme alla prassi UNI/PdR 125:2022 comprendente ManualeProcedure di SistemaProcedure per la Parità di GenerePolitica per la Parità di GenerePiano StrategicoApplicazione per il calcolo dell’indice di Score 125Modulistica automatizzata e Check List per la verifica della conformità ai requisiti della prassi.

Tutta la documentazione contenuta all’interno del Kit documentale Procedure UNI/PdR 125:2022  è completamente modificabile e personalizzabile, è di supporto alle organizzazioni che intendono adottare la Prassi per la parità di genere e permette ai consulenti di disporre subito di una solida base di contenuti già sviluppati per l’implementazione di un sistema documentale

Accedi agli estratti del Kit documentazione UNI / PdR 125/2022 dal seguente link

Pubblicato Kit documentazione ISO 27001:2022

Il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) è una componente fondamentale di qualsiasi organizzazione che si preoccupa della protezione dei dati sensibili. La norma ISO 27001:2022 fornisce un quadro dettagliato per l’implementazione di un SGSI efficace e conforme agli standard internazionali.

Per aiutare le organizzazioni a realizzare un SGSI conforme alla norma ISO 27001:2022, abbiamo creato un Kit documentale che include tutti gli strumenti necessari per la realizzazione del sistema. Il kit comprende un manuale SGSI, 25 procedure, modulistica e check list per garantire che tutti gli aspetti del sistema siano coperti e che la conformità sia mantenuta.

Il manuale SGSI fornisce una guida dettagliata per la realizzazione del sistema, mentre le procedure e la modulistica sono state elaborate per essere facilmente comprensibili e utilizzabili. La check list inclusa garantisce che tutti gli elementi del sistema siano stati coperti e che la conformità sia mantenuta.

Con questo Kit documentale ISO 27001:2022, le organizzazioni possono implementare un SGSI efficiente e conforme alla norma ISO 27001:2022 in modo semplice e veloce. Questo kit rappresenta un investimento a lungo termine nella sicurezza dei dati sensibili e nella protezione dell’immagine dell’organizzazione.

In definitiva, questo kit è uno strumento essenziale per qualsiasi organizzazione che desideri garantire la protezione dei dati sensibili e la conformità alla norma ISO 27001:2022. Se sei interessato a saperne di più o a ottenere il kit, non esitare a contattarci. Saremo lieti di fornirti maggiori informazioni e di aiutarti a proteggere i tuoi dati sensibili.

Pubblicata la Check List Gap Analysis ISO 27001:2022

La Check List Gap Analysis ISO 27001:2022 è uno strumento utile per verificare la conformità del proprio sistema di gestione della sicurezza delle informazioni con gli standard ISO 27001:2022.

Questa check list è disponibile in formato MS Word e offre una rapida e semplice valutazione delle aree in cui potrebbero essere presenti lacune nel sistema di sicurezza.

Con questo strumento, è possibile identificare e correggere eventuali vulnerabilità, migliorare la sicurezza delle informazioni e prepararsi per una certificazione ISO 27001:2022.

Scarica estratto Gap_analysis_27001_22_estratto

Vantaggi

  1. Verifica la conformità con gli standard ISO 27001:2022
  2. Identifica e corregge le lacune nel sistema di sicurezza delle informazioni
  3. Migliora la sicurezza delle informazioni
  4. Facilita la preparazione per la certificazione ISO 27001:2022
  5. Rapida e semplice valutazione delle aree di vulnerabilità
  6. Strumento flessibile e personalizzabile in formato MS Word
  7. Riduce i costi di revisione e certificazione
  8. Aumenta la credibilità e la reputazione aziendale

ISO 27001: 2022 – Disponibile il manuale SGSI in formato MS Word

Manuale SGSI – ISO 27001:2022 formato MS Word – 50 pagine – 
Scarica anteprima
estratto_manuale270012022

Il manuale è in formato MS Word e ti permetterà di risparmiare molto tempo nella preparazione e stesura di un manuale ex novo. Inoltre, è perfetto anche per chi deve aggiornare il proprio manuale ISO 27001.

Sommario.

1. Applicabilità
2. Profilo aziendale
3. Controllo e distribuzione
4. Contesto dell’organizzazione
5. Leadership
6. Pianificazione
7. Supporto
8. Funzionamento
9. Valutazione delle prestazioni
10. Miglioramento
Allegato I – Elenco delle procedure
Allegato II – Termini, definizioni e abbreviazioni
Allegato III – Flusso di processo

Il manuale ISO 27001 è un documento necessario nel sistema di gestione della sicurezza delle informazioni perchè descrive come l’organizzazione implementa il processo di sicurezza delle informazioni e definisce gli obiettivi.

Questo manuale ISO 27001 fornisce il quadro delle politiche e delle procedure adottate dall’azienda per implementare un completo sistema di gestione della sicurezza delle informazioni. Il manuale SGSI descrive l’approccio dell’organizzazione alla sicurezza delle informazioni e contiene le clausole dei requisiti del sistema di gestione della sicurezza delle informazioni ISO 27001:2022.

Pubblicato ISO UPDATE 27001 per realizzare in modo veloce e completo l’aggiornamento dei SGSI alla nuova versione 2022 della norma ISO 27001

ISO 27001 UPDATE

Software per l’aggiornamento guidato di procedure e controlli contenuti nella nuova versione della norma ISO 27001:2022

Con questo software ottieni i seguenti risultati:
_ realizzare senza errori e autonomamente l’aggiornamento del Sistema di Gestione Sicurezza Informazioni secondo la nuova norma ISO 27001:2022
_ effettuare tale aggiornamento con un forte risparmio di tempo
_ utilizzarlo, se sei un consulente per un numero illimitato di aziende

Come un vero  e proprio esperto ISO 27001:2022 ti guida nell’aggiornamento di:
_ controlli
_ procedure
_ processi
_ documentazione
fornendoti consigli e tool per realizzarli.

Guarda la video demo dal seguente link

Pubblicata la nuova norma ISO 27001:2022

Dopo una falsa partenza, in cui l’aggiornamento è stato proposto come un emendamento piuttosto che una nuova versione, la nuova ISO27001 2022 è stata pubblicata dall’ISO ed è disponibile tramite il loro sito Web alla somma di 118 franchi svizzeri. Sono passati nove anni, un mese, da quando è uscita la versione precedente, quindi cosa c’è di nuovo in questa edizione, e dove andiamo da qui?

È giusto dire che questo aggiornamento è stato guidato quasi esclusivamente da due forze; il desiderio di far corrispondere i requisiti del sistema di gestione con l’ultima struttura e formulazione dell’allegato SL e la necessità di allineare l’allegato A della norma con la versione 2022 della guida ISO27002.

Prendiamo a turno questi due fattori ed esploriamo cosa è cambiato.

Il sistema di gestione

ISO27001 è stato uno dei primi standard ad adottare la struttura di alto livello dell’Annex SL nel 2013 e da allora la struttura è stata leggermente modificata da ISO con il rilascio di aggiornamenti a ISO9001 e altri dal 2015 in poi. Ma i cambiamenti sono piccoli ed è improbabile che la maggior parte delle organizzazioni certificate abbiano notti insonni.

La formulazione cambia

In primo luogo, ci sono alcune modifiche di formulazione nelle seguenti clausole:

  • 4.2 Comprendere i bisogni e le aspettative delle parti interessate
    • Viene aggiunto un terzo punto per specificare “quale di questi requisiti sarà affrontato attraverso il sistema di gestione della sicurezza delle informazioni”.
  • 4.4 Sistema di gestione della sicurezza delle informazioni
    • Viene aggiunta la frase “compresi i processi necessari e le loro interazioni”, che richiede una maggiore definizione dei processi dell’ISMS.
  • 5.3 Ruoli, responsabilità e poteri organizzativi
    • La frase “all’interno dell’organizzazione” è aggiunta alla fine della prima frase.
  • 6.1.3 Trattamento dei rischi per la sicurezza delle informazioni
    • Le note vengono sostituite.
  • 6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli
    • All’elenco viene aggiunta la necessità di monitorare gli obiettivi.
  • 7.4 Comunicazione
    • L’attuale formulazione sui processi di comunicazione è stata sostituita con un semplice “come comunicare”.
  • 8.1 Pianificazione e controllo operativo
    • È stata aggiunta la necessità di stabilire criteri per i processi dell’ISMS.

Modifiche alle intestazioni

C’è una nuova sotto-clausola 6.3 Pianificazione delle modifiche che si occupa delle modifiche al sistema di gestione e richiede che tutte le modifiche siano considerate dal punto di vista del loro scopo e delle conseguenze, dell’integrità dell’ISMS, delle risorse disponibili e di eventuali modifiche alle responsabilità e alle autorità sono coinvolti. Ciò richiederà un semplice processo di pianificazione, con l’evidenza che queste aree sono state prese in considerazione.

All’interno della clausola 9 ( Valutazione della performance ) le sottoclausole 9.2 ( Audit interno ) e 9.3 ( Riesame della direzione ) sono state ulteriormente suddivise in 9.2.1 Generale , 9.2.2 Programma di audit interno , 9.3.1 Generale , 9.3.2 Input del riesame della direzione e 9.3.3 Risultati rispettivamente del riesame della direzione. I due sottotitoli nella clausola 10 sono stati scambiati. Ciò serve principalmente a facilitare la leggibilità ea corrispondere all’ultima definizione dell’allegato SL (noto anche come “Struttura armonizzata”).

Il nuovo insieme di controlli dell’allegato A

Si è già scritto molto sulle modifiche all’allegato A, poiché sappiamo esattamente cosa cambierà da tempo, da quando la revisione del documento guida ISO27002 è stata pubblicata all’inizio del 2022.

Come previsto, ora ci sono un totale di novantatre controlli, raggruppati in quattro temi:

  • A.5 Controlli organizzativi
  • A.6 Controlli sulle persone
  • A.7 Controlli fisici
  • A.8 Controlli tecnologici

Dato che la versione del 2013 aveva centoquattordici controlli, si potrebbe pensare che il numero di controlli si sia ridotto di ventuno. Ma no, l’affermazione chiara è che non solo tutti i controlli precedenti sono incorporati nel nuovo set, ce ne sono in effetti undici nuovi:

  • A.5.7 Intelligence sulle minacce
  • A.5.23 Sicurezza delle informazioni per l’utilizzo dei servizi cloud
  • A.5.30 Prontezza ICT per la continuità aziendale
  • A.7.4 Monitoraggio della sicurezza fisica
  • A.8.9 Gestione della configurazione
  • A.8.10 Cancellazione delle informazioni
  • A.8.11 Mascheramento dei dati
  • A.8.12 Prevenzione della fuga di dati
  • A.8.16 Attività di monitoraggio
  • A.8.23 Filtraggio Web
  • A.8.28 Codifica sicura

Alcuni di questi potrebbero essere giustamente visti come chiarimenti di controlli precedenti (come il monitoraggio della sicurezza fisica e la codifica sicura ), alcuni apportano contenuti che in precedenza rientravano in altri standard (ad esempio, Sicurezza delle informazioni per l’uso dei servizi cloud , da ISO27017) e alcuni sono davvero nuovi: non ricordo che ci fosse alcun riferimento all’intelligence sulle minacce nel vecchio set di controllo.

Oltre agli undici nuovi, ve ne sono ventiquattro che sono stati fusi e cinquantotto rivisti, per un totale di novantatré.

Pubblicata la check list audit UNI / PdR 125

Check list audit UNI/PdR 125 Parità di genere – formato Excel

Struttura check list audit

5 – INDICATORI DI PERFORMANCE (KPI) PER LE ORGANIZZAZIONI
5.2 AREA CULTURA E STRATEGIA
5.3 AREA GOVERNANCE
5.4 AREA PROCESSI HR
5.5 AREA OPPORTUNITÀ DI CRESCITA ED INCLUSIONE DELLE DONNE IN AZIENDA
5.6 AREA EQUITÀ REMUNERATIVA PER GENERE
5.7 AREA TUTELA DELLA GENITORIALITÀ E CONCILIAZIONE VITA-LAVORO
6 POLITICHE DI PARITÀ DI GENERE, PIANIFICAZIONE, ATTUAZIONE E MONITORAGGIO, E SISTEMA DI GESTIONE”
6.1 POLITICHE DI PARITÀ DI GENERE
6.2 PIANIFICAZIONE
6.3 ATTUAZIONE DELLE AZIONI DEL PIANO STRATEGICO E MONITORAGGIO
6.3.2 TEMI OGGETTO DEL PIANO STRATEGICO
6.3.2.1 SELEZIONE ED ASSUNZIONE (RECRUITMENT)
6.3.2.2 GESTIONE DELLA CARRIERA
6.3.2.3 EQUITÀ SALARIALE
6.3.2.4 GENITORIALITÀ, CURA
6.3.2.5 CONCILIAZIONE DEI TEMPI VITA-LAVORO (WORK-LIFE BALANCE)
6.3.2.6 ATTIVITÀ DI PREVENZIONE DI OGNI FORMA DI ABUSO FISICO, VERBALE, DIGITALE (MOLESTIA) SUI LUOGHI DI LAVORO
6.4 SISTEMA DI GESTIONE
6.4.2 DOCUMENTAZIONE DEL SISTEMA
6.4.3 MONITORAGGIO DEGLI INDICATORI
6.4.4 COMUNICAZIONE INTERNA ED ESTERNA
6.4.5.1 VERIFICA DI CONFORMITÀ ALLA PRESENTE UNI/PdR: TIPOLOGIE DI EVIDENZE QUANTITATIVE E QUALITATIVE
6.4.6 GESTIONE DELLE SITUAZIONI NON CONFORMI
6.4.7 REVISIONE PERIODICA
6.4.8 MIGLIORAMENTO

SCOPRI L’OFFERTA IN CORSO

SPECIALE – CERTIFICAZIONE UNI /PdR 125 – PARITA’ DI GENERE – Risorse utili

RISORSE UTILI PER LA CERTIFICAZIONE UNI /PdR 125 – PARITA’ DI GENERE