Archivi categoria: ISO 27000

Pubblicata la Check List Gap Analysis ISO 27001:2022

La Check List Gap Analysis ISO 27001:2022 è uno strumento utile per verificare la conformità del proprio sistema di gestione della sicurezza delle informazioni con gli standard ISO 27001:2022.

Questa check list è disponibile in formato MS Word e offre una rapida e semplice valutazione delle aree in cui potrebbero essere presenti lacune nel sistema di sicurezza.

Con questo strumento, è possibile identificare e correggere eventuali vulnerabilità, migliorare la sicurezza delle informazioni e prepararsi per una certificazione ISO 27001:2022.

Scarica estratto Gap_analysis_27001_22_estratto

Vantaggi

  1. Verifica la conformità con gli standard ISO 27001:2022
  2. Identifica e corregge le lacune nel sistema di sicurezza delle informazioni
  3. Migliora la sicurezza delle informazioni
  4. Facilita la preparazione per la certificazione ISO 27001:2022
  5. Rapida e semplice valutazione delle aree di vulnerabilità
  6. Strumento flessibile e personalizzabile in formato MS Word
  7. Riduce i costi di revisione e certificazione
  8. Aumenta la credibilità e la reputazione aziendale

ISO 27001: 2022 – Disponibile il manuale SGSI in formato MS Word

Manuale SGSI – ISO 27001:2022 formato MS Word – 50 pagine – 
Scarica anteprima
estratto_manuale270012022

Il manuale è in formato MS Word e ti permetterà di risparmiare molto tempo nella preparazione e stesura di un manuale ex novo. Inoltre, è perfetto anche per chi deve aggiornare il proprio manuale ISO 27001.

Sommario.

1. Applicabilità
2. Profilo aziendale
3. Controllo e distribuzione
4. Contesto dell’organizzazione
5. Leadership
6. Pianificazione
7. Supporto
8. Funzionamento
9. Valutazione delle prestazioni
10. Miglioramento
Allegato I – Elenco delle procedure
Allegato II – Termini, definizioni e abbreviazioni
Allegato III – Flusso di processo

Il manuale ISO 27001 è un documento necessario nel sistema di gestione della sicurezza delle informazioni perchè descrive come l’organizzazione implementa il processo di sicurezza delle informazioni e definisce gli obiettivi.

Questo manuale ISO 27001 fornisce il quadro delle politiche e delle procedure adottate dall’azienda per implementare un completo sistema di gestione della sicurezza delle informazioni. Il manuale SGSI descrive l’approccio dell’organizzazione alla sicurezza delle informazioni e contiene le clausole dei requisiti del sistema di gestione della sicurezza delle informazioni ISO 27001:2022.

Pubblicato ISO UPDATE 27001 per realizzare in modo veloce e completo l’aggiornamento dei SGSI alla nuova versione 2022 della norma ISO 27001

ISO 27001 UPDATE

Software per l’aggiornamento guidato di procedure e controlli contenuti nella nuova versione della norma ISO 27001:2022

Con questo software ottieni i seguenti risultati:
_ realizzare senza errori e autonomamente l’aggiornamento del Sistema di Gestione Sicurezza Informazioni secondo la nuova norma ISO 27001:2022
_ effettuare tale aggiornamento con un forte risparmio di tempo
_ utilizzarlo, se sei un consulente per un numero illimitato di aziende

Come un vero  e proprio esperto ISO 27001:2022 ti guida nell’aggiornamento di:
_ controlli
_ procedure
_ processi
_ documentazione
fornendoti consigli e tool per realizzarli.

Guarda la video demo dal seguente link

Pubblicata la nuova norma ISO 27001:2022

Dopo una falsa partenza, in cui l’aggiornamento è stato proposto come un emendamento piuttosto che una nuova versione, la nuova ISO27001 2022 è stata pubblicata dall’ISO ed è disponibile tramite il loro sito Web alla somma di 118 franchi svizzeri. Sono passati nove anni, un mese, da quando è uscita la versione precedente, quindi cosa c’è di nuovo in questa edizione, e dove andiamo da qui?

È giusto dire che questo aggiornamento è stato guidato quasi esclusivamente da due forze; il desiderio di far corrispondere i requisiti del sistema di gestione con l’ultima struttura e formulazione dell’allegato SL e la necessità di allineare l’allegato A della norma con la versione 2022 della guida ISO27002.

Prendiamo a turno questi due fattori ed esploriamo cosa è cambiato.

Il sistema di gestione

ISO27001 è stato uno dei primi standard ad adottare la struttura di alto livello dell’Annex SL nel 2013 e da allora la struttura è stata leggermente modificata da ISO con il rilascio di aggiornamenti a ISO9001 e altri dal 2015 in poi. Ma i cambiamenti sono piccoli ed è improbabile che la maggior parte delle organizzazioni certificate abbiano notti insonni.

La formulazione cambia

In primo luogo, ci sono alcune modifiche di formulazione nelle seguenti clausole:

  • 4.2 Comprendere i bisogni e le aspettative delle parti interessate
    • Viene aggiunto un terzo punto per specificare “quale di questi requisiti sarà affrontato attraverso il sistema di gestione della sicurezza delle informazioni”.
  • 4.4 Sistema di gestione della sicurezza delle informazioni
    • Viene aggiunta la frase “compresi i processi necessari e le loro interazioni”, che richiede una maggiore definizione dei processi dell’ISMS.
  • 5.3 Ruoli, responsabilità e poteri organizzativi
    • La frase “all’interno dell’organizzazione” è aggiunta alla fine della prima frase.
  • 6.1.3 Trattamento dei rischi per la sicurezza delle informazioni
    • Le note vengono sostituite.
  • 6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli
    • All’elenco viene aggiunta la necessità di monitorare gli obiettivi.
  • 7.4 Comunicazione
    • L’attuale formulazione sui processi di comunicazione è stata sostituita con un semplice “come comunicare”.
  • 8.1 Pianificazione e controllo operativo
    • È stata aggiunta la necessità di stabilire criteri per i processi dell’ISMS.

Modifiche alle intestazioni

C’è una nuova sotto-clausola 6.3 Pianificazione delle modifiche che si occupa delle modifiche al sistema di gestione e richiede che tutte le modifiche siano considerate dal punto di vista del loro scopo e delle conseguenze, dell’integrità dell’ISMS, delle risorse disponibili e di eventuali modifiche alle responsabilità e alle autorità sono coinvolti. Ciò richiederà un semplice processo di pianificazione, con l’evidenza che queste aree sono state prese in considerazione.

All’interno della clausola 9 ( Valutazione della performance ) le sottoclausole 9.2 ( Audit interno ) e 9.3 ( Riesame della direzione ) sono state ulteriormente suddivise in 9.2.1 Generale , 9.2.2 Programma di audit interno , 9.3.1 Generale , 9.3.2 Input del riesame della direzione e 9.3.3 Risultati rispettivamente del riesame della direzione. I due sottotitoli nella clausola 10 sono stati scambiati. Ciò serve principalmente a facilitare la leggibilità ea corrispondere all’ultima definizione dell’allegato SL (noto anche come “Struttura armonizzata”).

Il nuovo insieme di controlli dell’allegato A

Si è già scritto molto sulle modifiche all’allegato A, poiché sappiamo esattamente cosa cambierà da tempo, da quando la revisione del documento guida ISO27002 è stata pubblicata all’inizio del 2022.

Come previsto, ora ci sono un totale di novantatre controlli, raggruppati in quattro temi:

  • A.5 Controlli organizzativi
  • A.6 Controlli sulle persone
  • A.7 Controlli fisici
  • A.8 Controlli tecnologici

Dato che la versione del 2013 aveva centoquattordici controlli, si potrebbe pensare che il numero di controlli si sia ridotto di ventuno. Ma no, l’affermazione chiara è che non solo tutti i controlli precedenti sono incorporati nel nuovo set, ce ne sono in effetti undici nuovi:

  • A.5.7 Intelligence sulle minacce
  • A.5.23 Sicurezza delle informazioni per l’utilizzo dei servizi cloud
  • A.5.30 Prontezza ICT per la continuità aziendale
  • A.7.4 Monitoraggio della sicurezza fisica
  • A.8.9 Gestione della configurazione
  • A.8.10 Cancellazione delle informazioni
  • A.8.11 Mascheramento dei dati
  • A.8.12 Prevenzione della fuga di dati
  • A.8.16 Attività di monitoraggio
  • A.8.23 Filtraggio Web
  • A.8.28 Codifica sicura

Alcuni di questi potrebbero essere giustamente visti come chiarimenti di controlli precedenti (come il monitoraggio della sicurezza fisica e la codifica sicura ), alcuni apportano contenuti che in precedenza rientravano in altri standard (ad esempio, Sicurezza delle informazioni per l’uso dei servizi cloud , da ISO27017) e alcuni sono davvero nuovi: non ricordo che ci fosse alcun riferimento all’intelligence sulle minacce nel vecchio set di controllo.

Oltre agli undici nuovi, ve ne sono ventiquattro che sono stati fusi e cinquantotto rivisti, per un totale di novantatré.

Aggiornati i Kit documentazione sistemi di gestione

Sono stati aggiornati tutti i Kit documentazione sistemi di gestione, con 3 nuovi software professionali di grande utilità, per un valore superiore ai 1.000 euro:
Audit Doc per realizzare e gestire qualsiasi tipologia di Audit
Check list maker per la gestione delle check list
Software NC – Gestione non conformità (vedi video demo) per gestire le non conformità dei sistemi di gestione.

La collana editoriale Kit documentazione sistemi di gestione è costituita dai seguenti prodotti:

1) Raccolta KIT DOCUMENTALI SISTEMI DI GESTIONE
2) KIT DOCUMENTAZIONE ISO 45001:18 

3) KIT DOCUMENTAZIONE SA 8000 
4) KIT DOCUMENTAZIONE ISO 9001 – IS0 14001 – ISO 45001 
5) KIT DOCUMENTAZIONE ISO 27001  
6) KIT DOCUMENTAZIONE ISO 9001 – ISO 14001
7) KIT DOCUMENTAZIONE ISO 9001:2015
8) KIT DOCUMENTAZIONE ISO 14001:2015 –
9) KIT DOCUMENTAZIONE ISO 50001
10) Kit Documentazione ISO 13485
11) KIT DOCUMENTAZIONE ISO 22000

Autore: Dr. Matteo Rapparini – Esperienza professionale Il Sole 24 Ore spa – Autore ed editore dal 2002 di decine di software, kit documentali e corsi on line inerenti i sistemi di gestione ISO scelti da oltre 6.500 professionisti e aziende.
Editore, primo in Italia a realizzarli e a distribuirli online dal 2002.
Editore
dei siti www.edirama.org, www.certificazione.info e www.certificazioneiso.orgContatti:  – info@edirama.org – Whatsapp
Mio profilo Linkedin

Pubblicata la Raccolta Kit documentazione sistemi di gestione

E’ disponibile la Raccolta Kit documentazione sistemi di gestione.

In un’unica soluzione tutti i Kit documentali Sistemi di Gestione ISO con lo sconto del 50% rispetto ai singoli prezzi di listino.

Ogni kit è costituito da manuale, procedure e modulistica in formato MS WOrd, editabili.

In omaggio 4 software indispensabili per chi realizza e gestisce i sistemi di gestione, per un valore di 1.200 euro.
_ Audit Doc – software per gestire gli audit dei sistemi di gestione
_ Check list maker – software per realizzare e gestire le check list
ARPA Analisi rischi processi aziendali (per realizzare l’analisi rischi richiesta dall’ISO 9001:2015) (
AR 14001 Analisi rischi impatti ambientali (ai sensi della norma ISO 14001:2015)

Elenco dei kit documentali inclusi nella Raccolta.

1)KIT DOCUMENTAZIONE ISO 22001
2) KIT DOCUMENTAZIONE ISO 45001:18  
3) KIT DOCUMENTAZIONE SA 8000  
4) KIT DOCUMENTAZIONE ISO 9001 – IS0 14001 – ISO 45001 – 
5) KIT DOCUMENTAZIONE ISO 27001  – 
6) KIT DOCUMENTAZIONE ISO 9001 – ISO 14001
7) KIT DOCUMENTAZIONE ISO 9001:2015
8) KIT DOCUMENTAZIONE ISO 14001:2015 –
9) KIT DOCUMENTAZIONE ISO 50001 
10) Kit Documentazione ISO 13485

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

È difficile consigliare metodi o strumenti particolari per effettuare l’analisi rischi informazioni, in ambito ISO 27001  senza prendere in considera la tipologia dell’ organizzazione in termini di capacità interna nell’analisi dei rischi e nella gestione della sicurezza delle informazioni, delle sue dimensioni e complessità, del settore, dello stato del SGSI e così via.

Mentre la norma ISO/IEC 27005 offre consigli generali sulla scelta e l’utilizzo di metodi di analisi o valutazione del rischio delle informazioni, gli standard ISO 27000 non specificano alcun metodo , offrendo la flessibilità di selezionare un metodo, o più probabilmente diversi metodi e/o strumenti, che si adattano alle esigenze dell’organizzazione.

Esistono molti metodi e strumenti diversi di analisi del rischio delle informazioni (li vedremo prossimamente dei dettagli).

Possiamo suddividerli  a grandi linee in due gruppo che condividono caratteristiche ampiamente simili: i metodi quantitativi (matematici) e qualitativi (esperienziali).

Nessuno di loro è esplicitamente richiesto o raccomandato dagli standard ISO 27000 (forniscono alcune indicazioni) che lasciano la scelta del metodo/i agli utenti, a seconda delle loro esigenze e a fattori come la loro familiarità con determinati metodi.

E’ perfettamente accettabile e sovente consigliato, che un’organizzazione utilizzi più metodi di analisi dei rischi. Alcuni sono più adatti a situazioni particolari rispetto ad altri – ad esempio, potrebbe avere senso utilizzare un semplice metodo di valutazione rischi per una visione più generale della situazione sicurezza informazioni, per poi passare ad altri metodi più dettagliati per esaminare questi aspetti particolari in modo più completo.

Inoltre, alcuni metodi di analisi dei rischi sono selezionabili in funzione della presenza nell’organizzazione di esperti in attività come audit, gestione dei rischi, salute e sicurezza, progettazione e test delle applicazioni e gestione della continuità aziendale: non vi è alcun reale vantaggio nel costringerli ad abbandonare i loro metodi e strumenti preferiti solo per conformarsi alla ISO 27001.

Anzi, le diverse prospettive, esperienze e intuizioni portate da questi metodi, strumenti ed esperti potrebbero rivelarsi molto preziose (ad esempio, i valutatori della salute e la sicurezza sul lavoro ponderano i “pericoli” utilizzando metodi notevolmente simili alla sicurezza delle informazioni)

Un aspetto a cui fare attenzione, tuttavia, è come risolvere le inevitabili discrepanze nei risultati dei diversi metodi adottati

Le analisi sono semplicemente strumenti di supporto alle decisioni per guidare la direzione aziendale, che deve  prendere le decisioni vitali su quanto investimento in sicurezza è appropriato, quanto rischio può essere tollerato, e quando apportare i necessari miglioramenti alla sicurezza delle informazioni. La risoluzione di tali quesiti richiede visione ed esperienza gestionale e il supporto di esperti ISO 27001.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Diventare consulente ISO 27001

Diventare consulente ISO 27001

Nell’attuale panorama delle certificazioni ISO, quella 27001 che consente di realizzare un sistema di gestione sicurezza informazioni, è in forte crescita, in virtù delle problematiche aziendali legate alla sicurezza dei dati e del rispetto della normativa privacy.

La certificazione dei sistemi di gestione sicurezza informazioni costituisce un’ottima opportunità per i consulenti che già si occupano di sistemi di gestione e per quelli che hanno maturato esperienza in ambito privacy, sia come consulente che come DPO, ma anche per chi per la prima volta si affaccia a tale mondo

Perchè le aziende ricercano un consulente sistemi di gestione sicurezza informazioni?

L’implementazione di un sistema di gestione ISO 27001 è complesso e un’azienda che decide di implementarlo, non dispone generalmente delle competenze necessarie per ottenere la certificazione ISO 27001 senza assistenza esterna.

Il ricorso al consulente SGSI da parte delle aziende è quindi una tappa obbligatoria anche in funzione dei seguenti vantaggi:

_ rapidità  nello sviluppare il sistema di  gestione sicurezza informazioni
_ riduzione degli errori nella compilazione della documentazione
_ rapidità e maggiore efficienza nel rapporto con l’ente di certificazione.

Quindi da un lato vi è un mercato vivo che richiede l’intervento del consulente ISO 27001, dall’altro vi sono tariffe e compensi molto interessanti per i consulenti SGSI, in quanto le competenze in tale ambito non sono così diffuse tra i professionisti, così come lo sono per esempio nel caso della norma ISO 9001.

Quali competenze deve possedere un buon consulente ISO SGSI?
Innanzitutto la conoscenza della norma ISO 27001 e delle procedure che richiede (a tale scopo puoi consultare Kit documentazione ISO 27001 la raccolta delle procedure ISO 27001).

E’ richiesta altresì la capacità di svolgere l’analisi dei rischi degli asset, da cui poi si sviluppa tutta l’architettura della documentazione del SGSI
Questa fase della consulenza ISO 27001, è molto delicata e richiede un’esperienza pregressa in analisi dei rischi. Con il software Analisi rischi Asset ISO 27001 questa procedura è notevolmente facilitata grazie alla possibilità di automatizzare tutti i passaggi richiesti.

Un’altra skill che deve possedere il consulente ISO 27001 è rappresentata dalla capacità di svolgere correttamente l’audit sia iniziale che quello finale prima di avviare l’iter  per la certificazione.
Questa attività richiedere l’utilizzo di un’adeguata e completa check list, la capacità di redigere per l’alta direzione un report di audit comprensibile, un atteggiamento che coinvolga positivamente tutto il personale dell’azienda interessato all’attività di audit del sistema di gestione sicurezza delle informazioni.

Quanto può essere il compenso per una consulenza richiesta per sviluppare un sistema di gestione sicurezza informazioni?
Il compenso è variabile, in funzione della complessità dell’azienda e della tipologia di attività.
Di norma una consulenza ISO 27001 non scende come importo sotto i 6000/8000 euro.

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI