Consulenza implementazione sistema SGSI ISO 27001 - consulenza gdpr, protezione dati personali e servizi di adeguamento normativa privacy

sito web compliance gdpr
Vai ai contenuti

CONSULENZA ISO/IEC 27001:2024

CONSULENZA PER IMPLEMENTARE SGSI ISO/IEC 27001:2024


cosa è la ISO/IEC 27001:2024

La ISO/IEC 27001:2024 è la norma internazionale per l'implementazione di un completo Sistema di Gestione per la Sicurezza delle Informazioni. Si concentra sull'identificazione, la valutazione e la gestione dei rischi per i processi di trattamento delle informazioni. Realizzare un perimetro di sicurezza delle informazioni sensibili in ogni azienda è un importante elemento strategico.
Tutte le informazioni presenti o trattate in una azienda sono un vero e proprio patrimonio di inestimabile valore e fanno parte di ogni processo. Le informazioni hanno valori e importanza diversi e per capire come procedere alla implementazione dei migliori e più sistemi di sicurezza occorre classificare le informazioni, gestirle e proteggerle nel modo più adeguato. Le misure di protezione di un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS) secondo la norma ISO/IEC 27001 si basano infatti su questa classificazione. Lo stesso Reg. UE 2016/679 all'art. 32 prevede che ..."il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato ai rischio."

sicurezza delle informazioni e dei processi

Quando si parla di informazioni non ci si riferisce esclusivamente ai dati informatici e agli asset IT che le contengono, ma all'intero ambito in cui queste informazioni vengono prodotte o acquisite, conservate, consultate, usate e archiviate. I diversi protocolli e le misure tecniche e organizzative devono adottare una efficace strategia di cybersecurity (Reg. UE 2016/679 art. 32 par.1) per assicurare:
  • la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolamene l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
la Direttiva NIS2 introduce requisiti di governance espliciti, che richiedono al management dei soggetti obbligati di approvare e supervisionare le misure di gestione del rischio cyber e di presidiare la formazione sulla sicurezza delle informazioni. Per quanto riguarda la gestione del rischio cyber, la direttiva NIS2 richiede che le misure siano "appropriate" e "proporzionate" in relazione alla dimensione dei soggetti interessati specificando una serie di elementi minimi di sicurezza come specificato all'art. 21 par. 2  "Misure di gestione dei rischi di cybersicurezza" Tra gli elementi di novità, vi è il principio statuito al paragrafo 3 dell'art. 21 che prevede che i soggetti interessarti dall'applicazione della direttiva "...tengano conto delle vulnerabilità specifiche per ogni diretto fornitore e fornitore di servizi e della qualità complessiva dei prodotti e delle pratiche di cybersicurezza dei propri fornitori de fornitori di servizi, comprese le lorom procedure si sviluppo sicuro".
Inoltre, NIS2 prevede che i soggetti possano (e alcuni soggetti essenziali debbano) dimostrare la propria conformità ex ante e ex post.

Direttiva UE 2022/2555 (NIS2) e ISO 27001

IL NOSTRO INTERVENTO

Il nostro progetto di intervento per l'implementazione del SGSI ISO 27001/2024, prevede:
  • Kick-off e pianificazione delle attività: Identificare le parti da coinvolgere nel progetto e i requisiti legali, normativi e contrattuali da tenere in considerazione, presentazione del progetto, formalizzazione della squadra di lavoro esplicitando nel dettaglio ruoli e responsabilità
  • Conduzione della Gap Analysis rispetto alla norma ISO/IEC 27001:2024 e all’Annex A
  • Analisi rischi e opportunità: Per ogni famiglia di asset vengono correlate minacce e vulnerabilità per ciascuno dei requisiti di Riservatezza, Integrità e Disponibilità (RID) e le frequenze di accadimento al fine di identificare i rischi e le opportunità più rilevanti sulle quali stabilire le azioni di mitigazione o di miglioramento.
  • Analisi delle prassi operative esistenti
  • Integrazione delle Procedure e degli Strumenti del sistema di gestione di Gruppo
  • Rivedere ed implementare i controlli richiesti
  • Sviluppare la documentazione richiesta per il sistema di gestione
  • Condurre corsi di formazione del personale
  • Misurare, monitorare, rivedere ed eseguire audit sul sistema di gestione implementato

MAGGIORI INFORMAZIONI

Per ottenere maggiori informazioni sul servizio MARKETING AUDIT, compilate il form CONTATTI, indicando la tipologia del business aziendale e le dimensioni aziendali.
Torna ai contenuti