Tre errori da evitare quando si definisce l’ambito della ISO 27001
La definizione dell’ambito della ISO 27001 è un passaggio cruciale nella pianificazione dell’implementazione del sistema di gestione della sicurezza dell’informazione (SGSI). Ecco tre errori comuni da evitare durante questo processo:
Ambito troppo ampio: definire un ambito troppo ampio può portare a una pianificazione e implementazione del SGSI troppo complessa e costosa. Inoltre, può essere difficile ottenere la conformità e mantenere l’efficacia del sistema.
Ambito troppo limitato: definire un ambito troppo limitato può compromettere l’efficacia del sistema, poiché potrebbero essere trascurati alcuni rischi significativi. Inoltre, potrebbe essere difficile estendere il SGSI in futuro per includere ulteriori attività o processi.
Ambito ambiguo: definire un ambito ambiguo può portare a un’interpretazione errata delle attività e dei processi da includere nel SGSI. Ciò potrebbe compromettere l’efficacia del sistema e portare a una non conformità con i requisiti della norma ISO 27001.
Per evitare questi errori, è importante coinvolgere le parti interessate nel processo di definizione dell’ambito e assicurarsi che ci sia una comprensione chiara e condivisa delle attività e dei processi da includere nel SGSI.
Documentare il sistema di gestione della sicurezza delle informazioni (ISMS) per la prova della conformità allo standard ISO 27001: 2022 può essere fonte di confusione in quanto non è chiaro quali documenti sono obbligatori e quali sono discrezionali. Di conseguenza, la maggior parte di noi compensa eccessivamente e produce molte più pratiche burocratiche del necessario, causando politiche ridondanti e conflittuali per confondere le parti interessate, il personale e, naturalmente, i revisori.
Ecco un promemoria sui documenti che sono specificamente richiesti dallo standard – dove un auditor si aspetterebbe di trovarli – e quali sono opzionali. Di seguito è riportato un elenco completo di controllo della conformità ISO 27001 necessario per iniziare oggi.
Elenco di controllo della conformità ISO 27001 – La documentazione ISO 27001 richiesta
ELENCO DI CONTROLLO PER LA CONFORMITÀ ISO 27001
L’AUDITOR SI ASPETTERÀ DI TROVARLO QUI
L’ambito del tuo ISMS
Documento manuale ISMS
Leadership, prova dell’impegno del management
Leadership, prova del documento di impegno della gestione
Le tue politiche di sicurezza delle informazioni
Documento sulla politica di sicurezza delle informazioni
I tuoi obiettivi di sicurezza delle informazioni
Documento sugli obiettivi della sicurezza delle informazioni
Il processo di valutazione dei rischi per la sicurezza delle informazioni
Documento del piano di trattamento dei rischi
Un piano di trattamento del rischio
Documento del piano di trattamento dei rischi
Una dichiarazione di applicabilità
Documento della Dichiarazione di applicabilità
Monitoraggio della sicurezza e misurazione dei risultati
Documento sugli obiettivi della sicurezza delle informazioni
Definizioni dei ruoli e delle responsabilità di sicurezza
Documento manuale ISMS
Registri di formazione, competenze e qualifiche
Record HR aziendali
Le tue procedure operative
Documento individuale di ogni procedura
Il tuo programma di audit interno
Documento di pianificazione dell’audit interno e documenti di relazione di audit interno
I vostri programmi di audit delle evidenze e i risultati dell’audit
Ordine del giorno e verbali delle riunioni di riesame della direzione
Le vostre prove e risultati dei riesami della direzione
Ordine del giorno e verbali delle riunioni di riesame della direzione
Non conformità e azioni correttive
Registro degli eventi imprevisti di sicurezza
Politiche ISO 27001 richieste per la conformità secondo ISO 27001 Annex A
Di seguito è riportato un elenco di alcune politiche ISO 27001 richieste per essere conformi. È un’aggiunta essenziale alla tua documentazione.
Criteri di controllo degli accessi
Politica sull’uso accettabile delle risorse
Criteri dei controlli crittografici
Politica di gestione delle chiavi
Politica Clear Desk & Clear Screen
Politica di backup
Politiche (e procedure) di trasferimento delle informazioni
Politica di sviluppo sicuro
Rischi dei prodotti o servizi del fornitore
Sebbene queste politiche siano imposte dai requisiti di controllo riportati nell’Allegato A dello standard, se decidi che non sono rilevanti per la tua organizzazione (ad esempio la crittografia), non sono necessarie, ma sii pronto a giustificarlo al tuo auditor.
A seconda dell’organizzazione, potrebbe essere necessario integrare l’elenco richiesto di politiche di cui sopra con altre politiche per fornire un ambiente completo di sicurezza delle informazioni. Esempi tipici sono le politiche che regolano i visitatori esterni o una politica sulla lunghezza e la composizione delle password. Queste politiche aggiuntive rientrerebbero nella categoria “buono da avere”. Vediamone altri.
Quali sono i documenti facoltativi ISO 27001 “buoni da avere” ?
Ci possono essere diversi documenti opzionali a seconda del tipo e delle dimensioni dell’organizzazione, ma i seguenti documenti che sono buoni da avere – sono rilevanti per quasi tutti:
Procedura scritta per il controllo dei documenti
Procedura documentata per l’Internal Audit
Politica di classificazione delle informazioni documentate
Piano di continuità aziendale documentato
Un’ultima osservazione. Mentre lo standard ISO 27001 richiede una documentazione specifica che descriva in dettaglio le politiche e le procedure, è anche una buona idea documentare azioni e attività specifiche che possono servire come prova di conformità. I verbali delle riunioni, ad esempio, forniscono al revisore dei conti la prova documentale che le attività si stanno svolgendo.
Altre attività tipiche che vale la pena documentare includono:
Il team di sicurezza delle informazioni valuta le non conformità o gli incidenti segnalati
Il Comitato Rischi Sviluppo del Piano di Trattamento dei Rischi
Pianificazione e report di audit interni
Riesame della direzione del sistema di gestione della sicurezza delle informazioni
I modelli di policy ISO 27001 ti forniranno tutte le politiche di sicurezza delle informazioni completamente compilate e pre-scritte di cui hai bisogno per iniziare realizzare nuove policy ISO 27001:2022 o aggiornare quelle relative alla vecchia versione della ISO 27001.
✓ Garanzia degli esperti – Sono infatti redatte da esperti ISO 27001:2022 ✓ Risparmia oltre 200 ore di lavoro ✓ Risparmia migliaia di spese di consulenza
Il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) è una componente fondamentale di qualsiasi organizzazione che si preoccupa della protezione dei dati sensibili. La norma ISO 27001:2022 fornisce un quadro dettagliato per l’implementazione di un SGSI efficace e conforme agli standard internazionali.
Per aiutare le organizzazioni a realizzare un SGSI conforme alla norma ISO 27001:2022, abbiamo creato un Kit documentale che include tutti gli strumenti necessari per la realizzazione del sistema. Il kit comprende un manuale SGSI, 25 procedure, modulistica e check list per garantire che tutti gli aspetti del sistema siano coperti e che la conformità sia mantenuta.
Il manuale SGSI fornisce una guida dettagliata per la realizzazione del sistema, mentre le procedure e la modulistica sono state elaborate per essere facilmente comprensibili e utilizzabili. La check list inclusa garantisce che tutti gli elementi del sistema siano stati coperti e che la conformità sia mantenuta.
Con questo Kit documentale ISO 27001:2022, le organizzazioni possono implementare un SGSI efficiente e conforme alla norma ISO 27001:2022 in modo semplice e veloce. Questo kit rappresenta un investimento a lungo termine nella sicurezza dei dati sensibili e nella protezione dell’immagine dell’organizzazione.
In definitiva, questo kit è uno strumento essenziale per qualsiasi organizzazione che desideri garantire la protezione dei dati sensibili e la conformità alla norma ISO 27001:2022. Se sei interessato a saperne di più o a ottenere il kit, non esitare a contattarci. Saremo lieti di fornirti maggiori informazioni e di aiutarti a proteggere i tuoi dati sensibili.
La Check List Gap Analysis ISO 27001:2022 è uno strumento utile per verificare la conformità del proprio sistema di gestione della sicurezza delle informazioni con gli standard ISO 27001:2022.
Questa check list è disponibile in formato MS Word e offre una rapida e semplice valutazione delle aree in cui potrebbero essere presenti lacune nel sistema di sicurezza.
Con questo strumento, è possibile identificare e correggere eventuali vulnerabilità, migliorare la sicurezza delle informazioni e prepararsi per una certificazione ISO 27001:2022.
Il manuale è in formato MS Word e ti permetterà di risparmiare molto tempo nella preparazione e stesura di un manuale ex novo. Inoltre, è perfetto anche per chi deve aggiornare il proprio manuale ISO 27001.
Sommario.
1. Applicabilità 2. Profilo aziendale 3. Controllo e distribuzione 4. Contesto dell’organizzazione 5. Leadership 6. Pianificazione 7. Supporto 8. Funzionamento 9. Valutazione delle prestazioni 10. Miglioramento Allegato I – Elenco delle procedure Allegato II – Termini, definizioni e abbreviazioni Allegato III – Flusso di processo
Il manuale ISO 27001 è un documento necessario nel sistema di gestione della sicurezza delle informazioni perchè descrive come l’organizzazione implementa il processo di sicurezza delle informazioni e definisce gli obiettivi.
Questo manuale ISO 27001 fornisce il quadro delle politiche e delle procedure adottate dall’azienda per implementare un completo sistema di gestione della sicurezza delle informazioni. Il manuale SGSI descrive l’approccio dell’organizzazione alla sicurezza delle informazioni e contiene le clausole dei requisiti del sistema di gestione della sicurezza delle informazioni ISO 27001:2022.
Software per l’aggiornamento guidato di procedure e controlli contenuti nella nuova versione della norma ISO 27001:2022
Con questo software ottieni i seguenti risultati: _ realizzare senza errori e autonomamente l’aggiornamento del Sistema di Gestione Sicurezza Informazioni secondo la nuova norma ISO 27001:2022 _ effettuare tale aggiornamento con un forte risparmio di tempo _ utilizzarlo, se sei un consulente per un numero illimitato di aziende
Come un vero e proprio esperto ISO 27001:2022 ti guida nell’aggiornamento di: _ controlli _ procedure _ processi _ documentazione fornendoti consigli e tool per realizzarli.
Dopo una falsa partenza, in cui l’aggiornamento è stato proposto come un emendamento piuttosto che una nuova versione, la nuova ISO27001 2022 è stata pubblicata dall’ISO ed è disponibile tramite il loro sito Web alla somma di 118 franchi svizzeri. Sono passati nove anni, un mese, da quando è uscita la versione precedente, quindi cosa c’è di nuovo in questa edizione, e dove andiamo da qui?
È giusto dire che questo aggiornamento è stato guidato quasi esclusivamente da due forze; il desiderio di far corrispondere i requisiti del sistema di gestione con l’ultima struttura e formulazione dell’allegato SL e la necessità di allineare l’allegato A della norma con la versione 2022 della guida ISO27002.
Prendiamo a turno questi due fattori ed esploriamo cosa è cambiato.
Il sistema di gestione
ISO27001 è stato uno dei primi standard ad adottare la struttura di alto livello dell’Annex SL nel 2013 e da allora la struttura è stata leggermente modificata da ISO con il rilascio di aggiornamenti a ISO9001 e altri dal 2015 in poi. Ma i cambiamenti sono piccoli ed è improbabile che la maggior parte delle organizzazioni certificate abbiano notti insonni.
La formulazione cambia
In primo luogo, ci sono alcune modifiche di formulazione nelle seguenti clausole:
4.2 Comprendere i bisogni e le aspettative delle parti interessate
Viene aggiunto un terzo punto per specificare “quale di questi requisiti sarà affrontato attraverso il sistema di gestione della sicurezza delle informazioni”.
4.4 Sistema di gestione della sicurezza delle informazioni
Viene aggiunta la frase “compresi i processi necessari e le loro interazioni”, che richiede una maggiore definizione dei processi dell’ISMS.
5.3 Ruoli, responsabilità e poteri organizzativi
La frase “all’interno dell’organizzazione” è aggiunta alla fine della prima frase.
6.1.3 Trattamento dei rischi per la sicurezza delle informazioni
Le note vengono sostituite.
6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli
All’elenco viene aggiunta la necessità di monitorare gli obiettivi.
7.4 Comunicazione
L’attuale formulazione sui processi di comunicazione è stata sostituita con un semplice “come comunicare”.
8.1 Pianificazione e controllo operativo
È stata aggiunta la necessità di stabilire criteri per i processi dell’ISMS.
Modifiche alle intestazioni
C’è una nuova sotto-clausola 6.3 Pianificazione delle modifiche che si occupa delle modifiche al sistema di gestione e richiede che tutte le modifiche siano considerate dal punto di vista del loro scopo e delle conseguenze, dell’integrità dell’ISMS, delle risorse disponibili e di eventuali modifiche alle responsabilità e alle autorità sono coinvolti. Ciò richiederà un semplice processo di pianificazione, con l’evidenza che queste aree sono state prese in considerazione.
All’interno della clausola 9 ( Valutazione della performance ) le sottoclausole 9.2 ( Audit interno ) e 9.3 ( Riesame della direzione ) sono state ulteriormente suddivise in 9.2.1 Generale , 9.2.2 Programma di audit interno , 9.3.1 Generale , 9.3.2 Input del riesame della direzione e 9.3.3 Risultati rispettivamente del riesame della direzione. I due sottotitoli nella clausola 10 sono stati scambiati. Ciò serve principalmente a facilitare la leggibilità ea corrispondere all’ultima definizione dell’allegato SL (noto anche come “Struttura armonizzata”).
Il nuovo insieme di controlli dell’allegato A
Si è già scritto molto sulle modifiche all’allegato A, poiché sappiamo esattamente cosa cambierà da tempo, da quando la revisione del documento guida ISO27002 è stata pubblicata all’inizio del 2022.
Come previsto, ora ci sono un totale di novantatre controlli, raggruppati in quattro temi:
A.5 Controlli organizzativi
A.6 Controlli sulle persone
A.7 Controlli fisici
A.8 Controlli tecnologici
Dato che la versione del 2013 aveva centoquattordici controlli, si potrebbe pensare che il numero di controlli si sia ridotto di ventuno. Ma no, l’affermazione chiara è che non solo tutti i controlli precedenti sono incorporati nel nuovo set, ce ne sono in effetti undici nuovi:
A.5.7 Intelligence sulle minacce
A.5.23 Sicurezza delle informazioni per l’utilizzo dei servizi cloud
A.5.30 Prontezza ICT per la continuità aziendale
A.7.4 Monitoraggio della sicurezza fisica
A.8.9 Gestione della configurazione
A.8.10 Cancellazione delle informazioni
A.8.11 Mascheramento dei dati
A.8.12 Prevenzione della fuga di dati
A.8.16 Attività di monitoraggio
A.8.23 Filtraggio Web
A.8.28 Codifica sicura
Alcuni di questi potrebbero essere giustamente visti come chiarimenti di controlli precedenti (come il monitoraggio della sicurezza fisica e la codifica sicura ), alcuni apportano contenuti che in precedenza rientravano in altri standard (ad esempio, Sicurezza delle informazioni per l’uso dei servizi cloud , da ISO27017) e alcuni sono davvero nuovi: non ricordo che ci fosse alcun riferimento all’intelligence sulle minacce nel vecchio set di controllo.
Oltre agli undici nuovi, ve ne sono ventiquattro che sono stati fusi e cinquantotto rivisti, per un totale di novantatré.
Sono stati aggiornati tutti i Kit documentazione sistemi di gestione, con 3 nuovi software professionali di grande utilità, per un valore superiore ai 1.000 euro: _ Audit Doc per realizzare e gestire qualsiasi tipologia di Audit _ Check list maker per la gestione delle check list _ Software NC – Gestione non conformità (vedi video demo) per gestire le non conformità dei sistemi di gestione.
La collana editoriale Kit documentazione sistemi di gestione è costituita dai seguenti prodotti:
Autore: Dr. Matteo Rapparini – Esperienza professionale Il Sole 24 Ore spa – Autore ed editore dal 2002 di decine di software, kit documentali e corsi on line inerenti i sistemi di gestione ISO scelti da oltre 6.500 professionisti e aziende. Editore, primo in Italia a realizzarli e a distribuirli online dal 2002. Editore dei siti www.edirama.org, www.certificazione.info e www.certificazioneiso.orgContatti: – info@edirama.org – Whatsapp Mio profilo Linkedin
In un’unica soluzione tutti i Kit documentali Sistemi di Gestione ISO con lo sconto del 50% rispetto ai singoli prezzi di listino.
Ogni kit è costituito da manuale, procedure e modulistica in formato MS WOrd, editabili.
In omaggio 4 software indispensabili per chi realizza e gestisce i sistemi di gestione, per un valore di 1.200 euro. _ Audit Doc – software per gestire gli audit dei sistemi di gestione _ Check list maker – software per realizzare e gestire le check list _ ARPA Analisi rischi processi aziendali (per realizzare l’analisi rischi richiesta dall’ISO 9001:2015) ( _ AR 14001 Analisi rischi impatti ambientali (ai sensi della norma ISO 14001:2015)
Elenco dei kit documentali inclusi nella Raccolta.
CERTIFICAZIONEISO.ORG 
Devi effettuare l'accesso per postare un commento.