Sicurezza Informatica
ISO 27001:2013 e 2017
Differenze tra ISO 27001:2013 e ISO 27001:2017
La norma ISO 27001:2013 diventa ISO 270001:2017, ma in realtà non ci sono grandi cambiamenti. Si tratta soltanto del “cambiamento del nome”, perché essendo diventata uno standard anche dell’Unione Europea nel 2017, adesso diventa: “BS EN ISO/IEC 27001:2017“.
A voler essere più precisi, c’è qualche aggiustamento minore alla formulazione dei controlli nell’Allegato A.
- Edizione 2013 – le entità sono un inventario di beni relativi alle informazioni.
- Edizione 2017 – l’informazione viene definita direttamente come una risorsa.
Un altro cambiamento è soltanto estetico:
- Edizione 2013 – le voci della Dichiarazione di Applicabilità sono un elenco.
- Edizione 2017 – Le voci della Dichiarazione di Applicabilità corrispondono a quattro puntatori:
- Controlli necessari
- Loro giustificazione
- Controlli attuati o meno
- Motivo di esclusione di un controllo
Cambia l’enfasi, ma non sono richiesti altri requisiti.
Informazioni nell’inventario delle risorse
La ISO 27001 tratta le informazioni come risorse, sottolineando l’importanza di salvaguardarle. Occorre trattare le informazioni come risorse e salvaguardarle adeguatamente.
La perdita di dati sensibili può essere più devastante rispetto alla perdita di risorse fisiche. La perdita di dati può portare a enormi perdite finanziarie, responsabilità e persino danni irreparabili alla reputazione.
Se non valuti accuratamente le vulnerabilità delle risorse informative, corri il rischio di non proteggerle adeguatamente. L’inventario delle risorse, come parte della certificazione, aiuta a garantire di aver coperto ogni aspetto.
Dichiarazioni di applicabilità giuste
Molti considerano la Dichiarazione di Applicabilità la parte più onerosa della certificazione. In effetti, questo documento è la parte più importante delle garanzie per revisori e stakeholder e dà un’idea delle dimensioni del sistema di gestione della sicurezza delle informazioni.
Spesso, viene utilizzato anche per identificare i controlli necessari per altri motivi che includono contratti e legislazione che si applicano all’impresa.
Sebbene il processo di catalogazione di tutto possa essere difficile, disporre di tutto in modo ordinato significa disporre di un sistema di sicurezza delle informazioni più facile da implementare e con maggiori probabilità di essere conforme.
Certificazione delle Competenze delle Persone
Prima di pensare a certificare la tua azienda per garantire la sicurezza delle informazioni dell’azienda, è indispensabile creare le competenze ‘interne all’azienda per gestire effettivamente la sicurezza informatica, senza restare in balia dei così detti attacchi di cyber security.
PMTSI può aiutarti a creare tali competenze di base, motivando le persone ad essere pienamente consapevoli e sensibili alla sicurezza informatica.
Il nostro contributo può essere a tutti i livelli, in termini di formazione e relative certificazioni delle competenze acquisite.
Ecco una serie di corsi online, molto economici, comprensivi di esame di certificazione:
- Certificazione ISO 27001 Foundation (I27001F®)
- Certificazione ISO/IEC 27001 Auditor (I27001A)
- Certificazione ISO 27001 Lead Auditor (I27001LA)
Sicurezza delle Informazioni e ISO 27001
In un contesto tutto proteso all’economia delle informazioni, è fondamentale avere cura di Riservatezza, Integrità e Disponibilità dei propri dati aziendali. Le nuove norme ISO consentono di realizzare, con costi contenuti, la protezione dei dati in conformità alla norma e essere competitivi.
PMTSI ti aiuta a qualificare il personale interno che dovrà implementar il sistema (ISMS) per impostare e gestire la sicurezza delle informazioni aziendali. (Lo Standard ISO 27001 è propedeutico all’estensione della ISO/IEC 27701 – Standard per la gestione delle informazioni sulla privacy – conosciuto come GDPR.
I tre corsi proposti sono i primi di una serie di corsi innovativi proposti CertiProf – Organismo di Certificazione Internazionale.
Qui trovi tutti i Corsi CertiProf, molti già tradotti anche in Italiano.
Tutti i corsi CertiProf comprendono materiali strutturati da seguire in auto apprendimento, oppure, se ci sono almeno 5 candidati in azienda possiamo organizzare apposite sessioni in aula o a distanza (causa pandemia).
Modulo di Iscrizione
oppure