Archivi categoria: ISO 27000

La struttura documentale di un SGSI ISO 27001

 

Un sistema di gestione sicurezza informazioni basato sulla norma ISO 27001, deve basarsi su una struttura documentale a 4 livelli:
• Politiche di primo piano, che definiscono la posizione e le esigenze dell’organizzazione.
• Procedure di attuazione delle specifiche.
• Istruzioni operative dettagliate per il personale incaricato dell’attuazione di elementi delle procedure.
• Registrazioni di tracciamento delle procedure e istruzioni operative, che confermino che sono state seguite correttamente e coerentemente.

Collana_foto

Questa struttura è semplice quanto basta perché tutti la comprendano facilmente, fornendo al tempo stesso un modo efficace di assicurare l’attuazione delle procedure a tutti i livelli dell’organizzazione.
E’ sufficiente definire due principi:
1. controllare la documentazione per assicurarsi che le versioni più recenti siano approvate e identificabili;
2. fornire documentazione adeguata e non eccessiva, che consenta processi sistematicamente comunicati, compresi, eseguiti ed efficaci.

Annunci

Come documentare l’ambito del SGSI conforme alla norma ISO 27001

Cosa significa documentare l’ambito del Sistema di gestione sicurezza informazioni?
Significa definire quali informazioni devono essere protette dal sistema.
Per farlo si può procedere in tre step:

Collana_foto

1. Identificare ogni luogo o ambiente in cui le informazioni sono archiviate. Quindi sia luoghi fisici, che digitali e cloud.

2. Identificare le modalità di accesso ai dati e regostrare tutti gli accessi alle informazioni effettuati da qualsiasi punto, sia che si tratti di un archivio cartaceo sia di un computer, un tablet, un telefono cellulare.

3. Determinare ciò che non rientra nell’ambito, ossia tutti gli aspetti sui quali l’organizzazione non ha alcun controllo (come i prodotti di terzi) o che non danno accesso o non conservano informazioni riservate.

Un ambito ben definito e individuato garantisce che ogni area dell’organizzazione riceva un’adeguata attenzione per l’implementazione delle misure di sicurezza. La documentazione dell’ambito di progetto è un requisito ISO 27001.

iso27001