SCENARIO: LA SICUREZZA DELLE
Transcript
SCENARIO: LA SICUREZZA DELLE
Servizi Bureau Veritas CERTIFICAZIONE ISO 27001 Information Security Management System SCENARIO: LA SICUREZZA DELLE INFORMAZIONI In passato l’importanza della sicurezza delle Informazioni era riconosciuta limitatamente alla protezione dei dati contabili e finanziari. Oggi, la globalizzazione dei mercati e il libero commercio hanno aumentato la sensibilità rispetto alla sicurezza delle Informazioni, anche da parte delle legislazioni nazionali. Particolari stimoli alla gestione delle Informazioni come “beni da proteggere” sono derivati, inoltre, da fattori quali la responsabilità legale (Privacy, Decreto 231), la pirateria industriale, la salvaguardia dell’immagine e, non ultimo, lo sviluppo delle tecnologie informatiche. Il numero di virus, attacchi e intrusioni cui si deve far fronte quotidianamente testimonia l’importanza di salvaguardare anche le Informazioni gestite dai propri Sistemi Informativi. Ma l’Informazione non è solo quanto risiede nei computer; l’Informazione può essere su carta, su disco e nelle menti ed azioni di coloro che operano per l’Organizzazione. L’Informazione diviene parte del patrimonio aziendale e in quanto tale va preservata lungo il suo intero ciclo di vita. LA SOLUZIONE Le Organizzazioni possono proteggersi da potenziali minacce alla sicurezza delle informazioni da esse gestite sviluppando un Sistema di Gestione per la Sicurezza delle Informazioni (ISMS: Information Security Management System), conformemente a quanto definito daIla ISO 27001 e richiedendo una verifica di certificazione indipendente. Dalla perdita di dati agli accessi non autorizzati, dagli attacchi virus al commercio elettronico, dalla pirateria informatica al disaster recovery, la ISO 27001 consente di valutare attentamente tutti i rischi per il business e le diverse tipologie di informazioni gestite, evidenziando le aree in cui è necessario un miglioramento. La protezione delle Informazioni consiste nell’assicurare, attraverso la gestione controllata dei processi aziendali, i desiderati livelli di: ■ Riservatezza – proteggere le informazioni da accessi non autorizzati ■ Integrità – salvaguardare l’accuratezza e la completezza delle Informazioni ■ Accessibilità – assicurarsi che i dati e le informazioni siano accessibili quando richiesto. Lo Standard ISO 27001, per il quale Bureau Veritas Certification vanta particolari esperienze e competenze in qualità di Organismo di Certificazione accreditato, prevede un completo riesame di tutti gli aspetti concernenti la sicurezza delle informazioni aziendali. Quali sono i vantaggi per l’organizzazione? ■ rafforzare le interfunzionalità della sicurezza delle informazioni e la fiducia dei propri Partner commerciali; ■ integrare la sicurezza delle informazioni e dei sistemi nella strategia globale di gestione del rischio dell’Organizzazione; ■ soddisfare le richieste degli Stakeholders (Azionisti, Legislatore, Clienti, Personale, Amministrazione e Comunità) dimostrando di affrontare e gestire il rischio, garantendo la sostenibilità del buiness; ■ ridurre gli incidenti che comportano responsabilità legali e contrattuali; ■ migliorare le relazioni con la Pubblica Amministrazione; ■ assicurare la protezione di segreti commerciali e del know-how aziendale. CASO STUDIO PERCHE' BUREAU VERITAS Bureau Veritas è fra i leader a livello mondiale nella valutazione di conformità e certificazione della Qualità, l’Ambiente, la Salute, la Sicurezza e la Responsabilità Sociale (QHSE-SA). Nato nel 1828, il Gruppo opera in 140 paesi con 40.000 dipendenti ed un volume d'affari di oltre 2,5 miliardi di Euro (dati 2008). Bureau Veritas Certification, divisione del Gruppo, è ai vertici mondiali nel settore della certificazione. Il Gruppo, riconosciuto e accreditato dai più importanti Enti ed Organismi internazionali, è quotato dall'ottobre 2007 alla borsa di Parigi. In Italia, Bureau Veritas conta più di 300 dipendenti e 20 uffici dislocati su tutto il territorio nazionale e affianca oltre 15.000 Clienti nazionali e internazionali. Bureau Veritas Certification è riconosciuto come organismo di certificazione ISO 9001 da oltre 40 organismi di accreditamento nazionali ed internazionali in tutto il mondo. ■ IBM: Bureau Veritas Certification ha certificato il Sistema di Gestione per la Sicurezza delle Informazioni. Il punto di forza di Bureau Veritas Certification è stato aver definito un team internazionale di auditors, permettendo la condivisione delle conoscenze sviluppate a livello internazionale. La certificazione è stata per IBM una scelta strategica: il Business Continuity and Resiliency Services di IBM utilizza l’esperienza e la tecnologia di IBM per assicurare ai propri Clienti la continuità operativa, qualsiasi cosa accada a danno dei Sistemi IT. IBM ha bisogno di accrescere sempre più i propri livelli di sicurezza e di adattare le proprie procedure di sicurezza in modo da rispondere alle molte richieste del Cliente in termini di accessibilità, riservatezza e integrità delle informazioni LA NOSTRA METODOLOGIA Audit (FASE 2) Main Ve rifi c Initial Audit (FASE 1) Verifica preliminare su richiesta Definizione del contratto AC* ovo della ce rinn r il AMENTO CONTIN rtific UO az pe IOR a MIGL ne io Le fasi principali dell’iter di certificazione comprendono: ■ definizione del contratto; ■ verifica preliminare (su richiesta): analisi di eventuali lacune e valutazione dell’attuale conformità del ISMS rispetto ai requisiti normativi; ■ initial audit (FASE 1): verifica volta a valutare l’implementazione dei principi e della struttura del Sistema di Gestione (legislazione e normativa applicabile, policy della sicurezza, analisi dei rischi, Statement of Applicability, definizione chiara e coerente dello scopo, piano di trattamento dei rischi); ■ main audit (FASE 2): verifica volta a valutare l’adeguata ed efficace implementazione del Sistema di Gestione, attraverso tecniche che prevedono l’analisi dei documenti, osservazioni, interviste al personale. Tale verifica è finalizzata all’emissione del certificato; ■ visite di sorveglianza per controllare il miglioramento continuo; ■ rinnovo della certificazione dopo tre anni a seguito di una verifica completa o di una valutazione continua nel tempo. ISO 27001 ■ Diritti di proprietà intellettuale ■ Salvaguardia delle registrazioni ■ Protezione dei dati etutela della privacy ■ Politica documentata per la sicurezza delle informazioni ■ Suddivisione delle responsabilità ■ Rendicontazione degli incidenti ■ Gestione della Business Continuity • •• AC* Emissione del Certificato di conformità za Verifi ca di sor veglian AC* : Azione correttiva (se necessaria) DOMANDE FREQUENTI PS_CER_ 27001_031109 © Bureau Veritas La norma ISO 27001 è collegata alla ISO 17799? Sì, la ISO 27001 descrive come applicare i controlli definiti dalla ISO 17799 (ora ridenominata ISO 27002) e descrive come costruire e mantenere un ISMS. Quali sono i controlli più importanti tra quelli previsti dalla ISO 27001? Dipende dalle peculiarità dell’Organizzazione. La ISO 27001, comunque, fornisce precise indicazioni parlando di: diritti di proprietà intellettuale, salvaguardia delle registrazioni del sistema organizzativo, protezione dei dati e tutela della privacy, politica documentata e suddivisione delle responsabilità per la Sicurezza delle Informazioni, sensibilizzazione e formazione del personale, rendicontazione degli incidenti e gestione della business continuity. ■ CONTATTI: Per ulteriori informazioni di carattere tecnico: Bureau Veritas Italia SpA Divisione Certificazione tel. 02 27091.1 - fax 02 27006815 [email protected] www.bureauveritas.it SERVIZI CORRELATI Oltre a certificazione e formazione dedicate alla Information Security Management System, Bureau Veritas Certification propone altri servizi: ■ ISO 9001- sistema di gestione della qualità; ■ ISO 20000 per la gestione dei servizi IT; ■ BS 25999-2 Business Continuity Management; ■ SA8000 per la responsabilità sociale; ■ ISO 14001 per la gestione ambientale; E’ possibile combinare le certificazioni attraverso audit congiunti, rendendo più efficiente il processo di certificazione. Tutti i dettagli sui nostri servizi: http://www.bureauveritas.it/certificazione ■ AREE COMMERCIALI: AREA NORD - Tel. 02 27091279 - Fax 02 27006815 [email protected] AREA OVEST - Tel. 010 586564 - Fax 010 543368 [email protected] AREA EST - Tel. 051 715390 - Fax 051 322565 [email protected] AREA CENTRO - Tel. 06 97604121 - Fax 06 39754451 [email protected] AREA SUD – Tel. 080 5093245 – Fax 080 564518 [email protected]