Con le violazioni della sicurezza delle informazioni ora la nuova normalità, i team di sicurezza sono costretti a prendere misure dedicate per ridurre il rischio di subire una violazione dannosa. La norma ISO 27001 rappresenta un modo efficace per ridurre tali rischi.
In questo blog, spieghiamo come è possibile ottenere la certificazione ISO 27001 e dare un’occhiata al processo di certificazione.
Preparare
Ottenere una comprensione di ISO 27001
La lettura dello standard fornisce un eccellente background per ISO 27001 e le sue esigenze. Ci sono diversi modi per migliorare te stesso su ISO 27001:
- Leggere un white paper gratuito su Standard
- Leggi di IT Governance gratis informazioni su ISO 27001 e come iniziare
- Acquistare una copia di Standard (non liberamente disponibili)
- È possibile partecipare a un introduttivi online, ISO 27001 Fondazione corso di formazione
Nominare un ISO 27001 campione
per comprendere meglio ISO 27001 è un modo utile per familiarizzare con il processo di certificazione, ma avete bisogno di un vero esperto per aiutare a completare il processo.
Questo può essere qualcuno all’interno dell’organizzazione o una terza parte per gestire il processo. In entrambi i casi, dovrebbero avere esperienza nell’implementazione di un ISMS (Information Security Management system) e capire come implementare i suoi requisiti all’interno della tua organizzazione.
Se non si dispone di competenze interne, è possibile iscriversi al corso di formazione per Lead Implementer online ISO 27001.
Secure senior management support
Nessun progetto può avere successo senza il buy-in e il supporto della leadership dell’organizzazione.
Una gap analysis, che comprende una revisione completa di tutte le disposizioni di sicurezza delle informazioni esistenti rispetto ai requisiti della norma ISO/IEC 27001:2013, rappresenta un buon punto di partenza.
Un’analisi approfondita delle lacune dovrebbe idealmente includere un piano prioritario di azioni raccomandate e ulteriori indicazioni per l’ambito dei vostri ISM.
I risultati della gap analysis possono essere forniti per sviluppare un solido business case per l’implementazione di ISO 27001.
Stabilire il contesto, la portata e gli obiettivi
È essenziale definire fin dall’inizio gli obiettivi del progetto e dell’ISMS, compresi i costi e i tempi del progetto. Sarà necessario considerare se si prevede di utilizzare il supporto esterno da una consulenza o avere la necessaria esperienza in-house.
Potresti voler mantenere il controllo dell’intero progetto affidandoti all’assistenza di un mentore online dedicato nelle fasi critiche del progetto.
Utilizzando un mentore online contribuirà a garantire il vostro progetto rimane in pista, risparmiando la spesa associata di utilizzare consulenti a tempo pieno per la durata del progetto.
È inoltre necessario sviluppare l’ambito dell’ISMS, che può estendersi all’intera organizzazione o solo a un reparto specifico o a una posizione geografica.
Nel definire l’ambito, è necessario considerare il contesto organizzativo e le esigenze e le esigenze delle parti interessate (stakeholder, dipendenti, governo, regolatori, ecc.).
‘Contesto’ considera fattori interni ed esterni che potrebbero influenzare la sicurezza delle informazioni dell’organizzazione. Include aspetti come la cultura organizzativa, i criteri di accettazione del rischio, i sistemi esistenti, i processi, ecc.
(Si consideri un pacchetto fai da te all-inclusive che include cinque giorni di consulenza strutturata, oltre a strumenti, formazione e software).
Stabilire un framework di gestione
Il framework di gestione descrive i processi che un’organizzazione deve seguire per raggiungere i suoi obiettivi di implementazione ISO27001.
Questi processi includono l’affermazione della responsabilità degli ISM, un programma di attività e un controllo regolare per supportare un ciclo di miglioramento continuo.
Condurre una valutazione del rischio
Mentre ISO 27001 non prescrive una metodologia specifica di valutazione del rischio, richiede che la valutazione del rischio sia un processo formale.
Ciò implica che il processo deve essere pianificato e che i dati, l’analisi e i risultati devono essere registrati.
Prima di effettuare una valutazione del rischio, è necessario stabilire i criteri di sicurezza di base. Ciò si riferisce ai requisiti aziendali, legali e normativi dell’organizzazione, nonché ai suoi obblighi contrattuali relativi alla sicurezza delle informazioni.
vsRisk Cloud, il software di valutazione del rischio più semplice ed efficace, fornisce il framework e le risorse per condurre una valutazione del rischio conforme alla norma ISO 27001.
Implementare controlli per mitigare i rischi
Una volta identificati i rischi rilevanti, l’organizzazione deve decidere se trattare, tollerare, terminare o trasferire i rischi.
È fondamentale documentare tutte le decisioni riguardanti le risposte al rischio poiché il revisore vorrà esaminarle durante l’audit di registrazione (certificazione).
La SoA (Statement of Applicability) e la RTP (risk treatment plan) sono due relazioni obbligatorie che devono essere prodotte come prova della valutazione del rischio.
Conduci la formazione
Lo Standard richiede che vengano avviati programmi di sensibilizzazione del personale per aumentare la consapevolezza sulla sicurezza delle informazioni in tutta l’organizzazione.
Ti verrà anche richiesto di implementare politiche che indirizzino i dipendenti verso le buone abitudini. Ciò potrebbe includere un criterio clean desk e l’obbligo di bloccare i computer ogni volta che lasciano le loro workstation.
Un corso di e-learning di sensibilizzazione del personale a livello aziendale è il modo più semplice per portare attraverso la filosofia dietro lo standard e ciò che i dipendenti dovrebbero fare per garantire la conformità.
Rivedere e aggiornare la documentazione richiesta
La documentazione è necessaria per supportare i processi, le politiche e le procedure ISMS necessari.
La compilazione di politiche e procedure è spesso un compito piuttosto noioso e impegnativo, tuttavia. Fortunatamente, i modelli di documentazione-sviluppati da esperti ISO 27001-sono disponibili per fare la maggior parte del lavoro per voi.
Formattati e completamente personalizzabili, questi modelli contengono una guida esperta per aiutare qualsiasi organizzazione a soddisfare tutti i requisiti di documentazione di ISO 27001.
Come minimo, lo Standard richiede la seguente documentazione:
- Il campo di applicazione del SGSI
- politica di sicurezza delle Informazioni
- Informazioni la valutazione dei rischi di processo
- Informazioni di rischio per la sicurezza del processo di trattamento
- Dichiarazione di Applicabilità
- Informazioni obiettivi di sicurezza
- la Prova di competenza
- informazioni Documentate determinato dall’organizzazione necessaria per l’efficacia del SGSI
- La pianificazione operativa e di controllo
- Risultati della sicurezza delle informazioni, la valutazione del rischio
- Risultati della information security risk trattamento
- Prove di monitoraggio e di misurazione dei risultati
- Un documentato processo di audit interno
- Prova dei programmi di revisione e i risultati dell’audit
- Evidenza dei risultati dei riesami della direzione
- la Prova della natura della non conformità e le successive azioni intraprese
- Evidenza dei risultati delle azioni correttive adottate
Misura, monitorare e rivedere
ISO 27001 supporta un processo di miglioramento continuo. Ciò richiede che le prestazioni degli ISM siano costantemente analizzate e riviste per l’efficacia e la conformità, oltre a identificare miglioramenti ai processi e ai controlli esistenti.
Condurre un audit interno
ISO/IEC 27001:2013 richiede audit interni dell’ISMS a intervalli pianificati. Anche la conoscenza pratica del processo di audit dei lead è fondamentale per il manager responsabile dell’implementazione e del mantenimento della conformità ISO 27001.
Il corso online certificato ISO 27001 Lead Auditor ti insegna come pianificare ed eseguire un audit di sicurezza delle informazioni efficace secondo ISO 27001:2013.
Ti insegna anche a guidare un team di auditor e condurre audit esterni. Se non hai ancora selezionato un registrar, potrebbe essere necessario scegliere un’organizzazione appropriata per questo scopo.
Gli audit di registrazione (per ottenere la registrazione accreditata, riconosciuta a livello globale) possono essere condotti solo da un registrar indipendente accreditato dall’autorità di accreditamento competente nel tuo paese.
Audit di registrazione/certificazione
Durante l’audit di fase uno, l’auditor valuterà se la documentazione soddisfa i requisiti della norma ISO 27001. Essi indicheranno anche eventuali aree di non conformità e potenziale miglioramento del sistema di gestione.
Una volta apportate le modifiche necessarie, l’organizzazione sarà pronta per l’audit di registrazione Stage 2.
Audit di certificazione
Durante un audit di seconda fase, l’auditor effettuerà una valutazione approfondita per stabilire se è conforme allo standard ISO 27001.
Quanto tempo ci vorrà per ottenere la certificazione?
Il processo di implementazione ISO 27001 dipenderà dalle dimensioni e dalla complessità del sistema di gestione, ma nella maggior parte dei casi, le organizzazioni di piccole e medie dimensioni possono aspettarsi di completare il processo entro 6-12 mesi.
Supporto alla certificazione con IT Governance USA
Sei pronto per iniziare il tuo progetto ISO 27001? Se è così, la nostra gamma di pacchetti di implementazione è il punto di partenza perfetto.
Con una combinazione di strumenti, software, guide e formazione basata sulle qualifiche con fino a 40 ore di consulenza online, riceverai la guida esperta di cui hai bisogno per soddisfare i requisiti della tua organizzazione.
Ti aiuteranno a ridurre il tempo e gli sforzi necessari per implementare un ISMS, oltre ad eliminare i costi del lavoro di consulenza, del viaggio e di altre spese associate alla consulenza tradizionale.
Una versione di questo blog è stata originariamente pubblicata il 13 marzo 2019.