Archivi categoria: Senza categoria

Realizzare un SGSI secondo la ISO 27001 – La struttura di gestione

iso27001

La ISO 27001 nelle clausole 4 e 5, prevede che un’organizzazione definisca il contesto dell’SGSI (Sistema di gestione sicurezza informazioni)  ed i ruoli della leadership dell’organizzazione.

Il contesto dell’organizzazione relativamente alla sicurezza delle informazioni deve, di fatto, identificare l’insieme di interessi che è necessario considerare. L’organizzazione ha interesse nella sicurezza delle informazioni, come pure i clienti, i partner, le autorità legali e normative ecc. Punto di partenza è l’esame di tali interessi con il registro dei rischi.

Una parte di questa attività comporterà identificare l’ambito dell’SGSI, che dipende dal contesto. L’ambito dovrà anche considerare i dispositivi mobili e dei tele-lavoratori (il perimetro dell’organizzazione potrebbe essere mobile e potrebbe includere anche dispositivi di proprietà dei dipendenti).
La struttura di gestione deve anche impostare le attività preliminari all’implementazione; conseguentemente sarà necessario formalizzare alcune misure significative:
• la politica per la sicurezza delle informazioni;
• l’esistenza di risorse adeguate al raggiungimento degli obiettivi;
• la definizione di strategie e/o politiche di comunicazione (sia interna che esterna);
• l’identificazione dei requisiti di competenza.
La struttura di gestione, essenzialmente, comprende tutti i fattori che definiscono i parametri del progetto.

Annunci

La struttura documentale di un SGSI ISO 27001

 

Un sistema di gestione sicurezza informazioni basato sulla norma ISO 27001, deve basarsi su una struttura documentale a 4 livelli:
• Politiche di primo piano, che definiscono la posizione e le esigenze dell’organizzazione.
• Procedure di attuazione delle specifiche.
• Istruzioni operative dettagliate per il personale incaricato dell’attuazione di elementi delle procedure.
• Registrazioni di tracciamento delle procedure e istruzioni operative, che confermino che sono state seguite correttamente e coerentemente.

Collana_foto

Questa struttura è semplice quanto basta perché tutti la comprendano facilmente, fornendo al tempo stesso un modo efficace di assicurare l’attuazione delle procedure a tutti i livelli dell’organizzazione.
E’ sufficiente definire due principi:
1. controllare la documentazione per assicurarsi che le versioni più recenti siano approvate e identificabili;
2. fornire documentazione adeguata e non eccessiva, che consenta processi sistematicamente comunicati, compresi, eseguiti ed efficaci.

Come documentare l’ambito del SGSI conforme alla norma ISO 27001

Cosa significa documentare l’ambito del Sistema di gestione sicurezza informazioni?
Significa definire quali informazioni devono essere protette dal sistema.
Per farlo si può procedere in tre step:

Collana_foto

1. Identificare ogni luogo o ambiente in cui le informazioni sono archiviate. Quindi sia luoghi fisici, che digitali e cloud.

2. Identificare le modalità di accesso ai dati e regostrare tutti gli accessi alle informazioni effettuati da qualsiasi punto, sia che si tratti di un archivio cartaceo sia di un computer, un tablet, un telefono cellulare.

3. Determinare ciò che non rientra nell’ambito, ossia tutti gli aspetti sui quali l’organizzazione non ha alcun controllo (come i prodotti di terzi) o che non danno accesso o non conservano informazioni riservate.

Un ambito ben definito e individuato garantisce che ogni area dell’organizzazione riceva un’adeguata attenzione per l’implementazione delle misure di sicurezza. La documentazione dell’ambito di progetto è un requisito ISO 27001.

iso27001

I sistemi di gestione e il periodo di migrazione alla UNI ISO 45001

Quali sono gli aspetti più importanti della norma UNI ISO 45001 sui sistemi di gestione? Cosa devono fare le aziende entro l’11 marzo 2021? Si dovrà modificare il Testo Unico? Ne parliamo con Lucina Mercadante della Contarp Inail. Guarda la video intervista
Fonte: Puntosicuro.it

********************* NOVITA’ **********

KIT DOCUMENTAZIONE ISO 45001:2018
Manuale, procedure e modulistica in formato *.doc, editabili
****************************************

Norma ISO 45001: i primi 5 step per applicarla in azienda

Se si intende applicare la UNI ISO 45001 (sistema di gestione sicurezza e salute nei luoghi di lavoro), ecco alcuni suggerimenti per iniziare:

********************* NOVITA’ **********

KIT DOCUMENTAZIONE ISO 45001:2018
Manuale, procedure e modulistica in formato *.doc, editabili
****************************************

1. eseguire un’analisi del contesto dell’organizzazione riguardante la salute e sicurezza
sul lavoro (per esempio, le parti interessate) così come dei fattori interni ed esterni
che possono avere un impatto sulle attività;
2. stabilire il perimetro di applicazione del sistema di gestione, tenendo ben presenti gli
obiettivi che si vorrebbero raggiungere;
3. definire la politica e gli obiettivi di salute e sicurezza;
4. definire i tempi di attuazione del sistema di gestione e pianificare come raggiungere
l’obiettivo;
5. definire le carenze in termini di competenze e/o risorse che è necessario colmare
prima dell’applicazione della norma.

ISO 45001: la struttura del Final Draft (FDIS)

La norma ISO 45001 ha raggiunto la fase di FDIS (Final Draft International Standard).
Il 30 novembre scorso, il Final Draft è stato rilasciato per l’avvio del ballot, che si concluderà il 25 gennaio 2018.

La ISO 45001, il nuovo standard internazionale sui sistemi di gestione per la salute e sicurezza sul lavoro, dovrebbe essere pubblicata a febbraio/marzo 2018, in caso di esito positivo del ballot sul FDIS.

In gennaio 2018 sarà disponibile il corso on line Esperto ISo 45001