CHE COS'È
Lo standard ISO/IEC 27001 è l'unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un SGSI (Sistema di Gestione della Sicurezza delle Informazioni) ed è progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati.In questo modo è possibile proteggere le informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti.
PUNTI CHIAVE
- La valutazione dei rischi coerentemente al contesto di riferimento;
- il concetto di informazione (o risorsa informativa) con relativa valorizzazione;
- gli aspetti economico-finanziari inerenti la Sicurezza delle Informazioni;
- l’aspetto organizzativo (e non solo tecnologico) della Sicurezza delle Informazioni;
- l’efficacia del SGSI e delle contromisure adottate per trattare i rischi.
VANTAGGI
- Ottenere un vantaggio competitivo soddisfacendo i requisiti contrattuali dei propri clienti con particolare attenzione alla sicurezza delle loro informazioni
- Eseguire in modo imparziale l'identificazione, la valutazione e la gestione dei rischi dell'organizzazione, formalizzando al tempo stesso i processi, le procedure e la documentazione relativi alla sicurezza delle informazioni
- Dimostrare con imparzialità l'osservanza delle leggi e normative applicabili
- Dimostrare l'impegno dei responsabili aziendali per garantire la sicurezza delle informazioni
- Garantire il monitoraggio costantemente delle prestazioni aziendali e attivare le azioni di miglioramento necessarie.
SCOPO FLESSIBILE
CSQA ha ottenuto da Accredia, con delibera del comitato settoriale di accreditamento certificazione e ispezione (CSA CI) del 16/12/2019, l’estensione dell’accreditamento per lo schema SSI allo scopo flessibile per il seguente ambito: Schema di certificazione ISO/IEC 27001:2013 con integrazione delle linee guida della serie ISO/IEC 270XX:20YY “Information Technology, Security techniques, Code of practice”.
Alla data odierna CSQA ha implementato, in tale ambito, le attività di certificazione accreditata secondo le seguenti Linee Guida:
- ISO/IEC 27017 “Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services”;
- ISO/IEC 27018 “Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”;
- ISO/IEC 27037 Guidelines for identification, collection, acquisition and preservation of digital evidence
- ISO/IEC 27701 Privacy Information Management
- ISO/IEC 27035-1 Principles of Incident Management
Peculiarità dell’accreditamento con "scopo flessibile" è quella di permettere al CAB di ampliare tale elenco in autonomia e quindi con tempi brevi a fronte di eventuali richieste.
NUOVA ISO/IEC 27001:2022
Il 25 ottobre 2022 è stata pubblicata la norma ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection - Information security management systems – Requirements.
Tutte le certificazioni emesse sotto accreditamento a fronte della ISO/IEC 27001:2013 (UNI CEI EN ISO/IEC 27001:2017) dovranno transitare al nuovo standard entro il 31 ottobre 2025. Tutte le certificazioni basate su ISO/IEC 27001:2013 scadranno o saranno ritirate alla fine del periodo di transizione.
Dal 30 aprile 2024, tutte le nuove certificazioni ed i rinnovi dovranno essere emesse esclusivamente a fronte della ISO/IEC 27001:2022.
La norma riporta un aggiornamento delle contromisure con particolare focus alla cyber security e data protection.
Tutte le certificazioni emesse sotto accreditamento a fronte della ISO/IEC 27001:2013 (UNI CEI EN ISO/IEC 27001:2017) dovranno transitare al nuovo standard entro il 31 ottobre 2025. Tutte le certificazioni basate su ISO/IEC 27001:2013 scadranno o saranno ritirate alla fine del periodo di transizione.
Dal 30 aprile 2024, tutte le nuove certificazioni ed i rinnovi dovranno essere emesse esclusivamente a fronte della ISO/IEC 27001:2022.
La norma riporta un aggiornamento delle contromisure con particolare focus alla cyber security e data protection.
COME AFFRONTARE IN MODO EFFICACE LA TRANSIZIONE ALLA NUOVA NORMA?
CSQA vi propone alcuni strumenti per gestire una transizione efficace:
1 - Seguire i nostri corsi di aggiornamento
CSQA ha previsto corsi per l’aggiornamento delle Qualifiche dei Lead Auditor ISO 27001.
Consulta il nostro Catalogo Corsi 2023
2 - Richiedere una Gap Analysis prima di passare al nuovo standard
Un’attività preliminare vi consente di identificare gli adeguamenti o migliorìe da attuare in vista del prossimo audit di certificazione, per cui è consigliata in questa fase.
1 - Seguire i nostri corsi di aggiornamento
CSQA ha previsto corsi per l’aggiornamento delle Qualifiche dei Lead Auditor ISO 27001.
Consulta il nostro Catalogo Corsi 2023
2 - Richiedere una Gap Analysis prima di passare al nuovo standard
Un’attività preliminare vi consente di identificare gli adeguamenti o migliorìe da attuare in vista del prossimo audit di certificazione, per cui è consigliata in questa fase.