SCENARIO: LA SICUREZZA DELLE

Servizi Bureau Veritas
CERTIFICAZIONE ISO 27001
Information Security Management System
SCENARIO: LA SICUREZZA DELLE INFORMAZIONI
In passato l’importanza della sicurezza delle Informazioni era riconosciuta limitatamente alla protezione dei dati
contabili e finanziari. Oggi, la globalizzazione dei mercati e il libero commercio hanno aumentato la sensibilità
rispetto alla sicurezza delle Informazioni, anche da parte delle legislazioni nazionali.
Particolari stimoli alla gestione delle Informazioni come “beni da proteggere” sono derivati, inoltre, da fattori quali la
responsabilità legale (Privacy, Decreto 231), la pirateria industriale, la salvaguardia dell’immagine e, non ultimo, lo
sviluppo delle tecnologie informatiche. Il numero di virus, attacchi e intrusioni cui si deve far fronte quotidianamente testimonia l’importanza di salvaguardare anche le Informazioni gestite dai propri Sistemi Informativi.
Ma l’Informazione non è solo quanto risiede nei computer; l’Informazione può essere su carta, su disco e nelle menti
ed azioni di coloro che operano per l’Organizzazione. L’Informazione diviene parte del patrimonio aziendale e in
quanto tale va preservata lungo il suo intero ciclo di vita.
LA SOLUZIONE
Le Organizzazioni possono proteggersi da potenziali minacce alla sicurezza delle informazioni da esse gestite sviluppando un
Sistema di Gestione per la Sicurezza delle Informazioni (ISMS: Information Security Management System), conformemente a
quanto definito daIla ISO 27001 e richiedendo una verifica di certificazione indipendente.
Dalla perdita di dati agli accessi non autorizzati, dagli attacchi virus al commercio elettronico, dalla pirateria informatica al
disaster recovery, la ISO 27001 consente di valutare attentamente tutti i rischi per il business e le diverse tipologie di informazioni gestite, evidenziando le aree in cui è necessario un miglioramento.
La protezione delle Informazioni consiste nell’assicurare, attraverso la gestione controllata dei processi aziendali, i desiderati
livelli di:
■ Riservatezza – proteggere le informazioni da accessi non autorizzati
■ Integrità – salvaguardare l’accuratezza e la completezza delle Informazioni
■ Accessibilità – assicurarsi che i dati e le informazioni siano accessibili quando richiesto.
Lo Standard ISO 27001, per il quale Bureau Veritas Certification vanta particolari esperienze e competenze in qualità di
Organismo di Certificazione accreditato, prevede un completo riesame di tutti gli aspetti concernenti la sicurezza delle informazioni aziendali.
Quali sono i vantaggi per l’organizzazione?
■ rafforzare le interfunzionalità della sicurezza delle informazioni e la fiducia dei propri Partner commerciali;
■ integrare la sicurezza delle informazioni e dei sistemi nella strategia globale di gestione del rischio dell’Organizzazione;
■ soddisfare le richieste degli Stakeholders (Azionisti, Legislatore, Clienti, Personale, Amministrazione e Comunità) dimostrando
di affrontare e gestire il rischio, garantendo la sostenibilità del buiness;
■ ridurre gli incidenti che comportano responsabilità legali e contrattuali;
■ migliorare le relazioni con la Pubblica Amministrazione;
■ assicurare la protezione di segreti commerciali
e del know-how aziendale.
CASO STUDIO
PERCHE' BUREAU VERITAS
Bureau Veritas è fra i leader a livello mondiale nella valutazione
di conformità e certificazione della Qualità, l’Ambiente, la
Salute, la Sicurezza e la Responsabilità Sociale (QHSE-SA).
Nato nel 1828, il Gruppo opera in 140 paesi con 40.000
dipendenti ed un volume d'affari di oltre 2,5 miliardi di Euro
(dati 2008). Bureau Veritas Certification, divisione del Gruppo, è
ai vertici mondiali nel settore della certificazione. Il Gruppo,
riconosciuto e accreditato dai più importanti Enti ed Organismi
internazionali, è quotato dall'ottobre 2007 alla borsa di Parigi.
In Italia, Bureau Veritas conta più di 300 dipendenti e 20 uffici
dislocati su tutto il territorio nazionale e affianca oltre 15.000
Clienti nazionali e internazionali. Bureau Veritas Certification è
riconosciuto come organismo di certificazione ISO 9001 da oltre
40 organismi di accreditamento nazionali ed internazionali in
tutto il mondo.
■ IBM: Bureau Veritas Certification ha certificato il
Sistema di Gestione per la Sicurezza delle Informazioni.
Il punto di forza di Bureau Veritas Certification è
stato aver definito un team internazionale di
auditors, permettendo la condivisione delle conoscenze sviluppate a livello internazionale.
La certificazione è stata per IBM una scelta
strategica: il Business Continuity and Resiliency
Services di IBM utilizza l’esperienza e la tecnologia
di IBM per assicurare ai propri Clienti la continuità
operativa, qualsiasi cosa accada a danno dei
Sistemi IT. IBM ha bisogno di accrescere sempre
più i propri livelli di sicurezza e di adattare le proprie
procedure di sicurezza in modo da rispondere alle
molte richieste del Cliente in termini di accessibilità,
riservatezza e integrità delle informazioni
LA NOSTRA METODOLOGIA
Audit (FASE 2)
Main
Ve
rifi
c
Initial Audit
(FASE 1)
Verifica preliminare
su richiesta
Definizione del
contratto
AC*
ovo della ce
rinn
r il AMENTO CONTIN rtific
UO az
pe IOR
a MIGL
ne
io
Le fasi principali dell’iter di certificazione
comprendono:
■ definizione del contratto;
■ verifica preliminare (su richiesta): analisi di eventuali
lacune e valutazione dell’attuale conformità del ISMS
rispetto ai requisiti normativi;
■ initial audit (FASE 1): verifica volta a valutare
l’implementazione dei principi e della struttura del
Sistema di Gestione (legislazione e normativa
applicabile, policy della sicurezza, analisi dei rischi,
Statement of Applicability, definizione chiara e
coerente dello scopo, piano di trattamento dei rischi);
■ main audit (FASE 2): verifica volta a valutare
l’adeguata ed efficace implementazione del Sistema
di Gestione, attraverso tecniche che prevedono
l’analisi dei documenti, osservazioni, interviste
al personale. Tale verifica è finalizzata all’emissione del certificato;
■ visite di sorveglianza per controllare il miglioramento continuo;
■ rinnovo della certificazione dopo tre anni a seguito di una verifica
completa o di una valutazione continua nel tempo.
ISO 27001
■ Diritti di proprietà intellettuale
■ Salvaguardia delle registrazioni
■ Protezione dei dati etutela della
privacy
■ Politica documentata per la
sicurezza delle informazioni
■ Suddivisione delle responsabilità
■ Rendicontazione degli incidenti
■ Gestione della Business Continuity
• ••
AC*
Emissione
del
Certificato
di conformità
za
Verifi
ca di sor veglian
AC* : Azione correttiva (se necessaria)
DOMANDE FREQUENTI
PS_CER_ 27001_031109
© Bureau Veritas
La norma ISO 27001 è collegata alla ISO 17799?
Sì, la ISO 27001 descrive come applicare i
controlli definiti dalla ISO 17799 (ora ridenominata ISO 27002) e descrive come costruire e
mantenere un ISMS.
Quali sono i controlli più importanti tra quelli
previsti dalla ISO 27001?
Dipende dalle peculiarità dell’Organizzazione.
La ISO 27001, comunque, fornisce precise
indicazioni parlando di: diritti di proprietà
intellettuale, salvaguardia delle registrazioni del
sistema organizzativo, protezione dei dati e
tutela della privacy, politica documentata e
suddivisione delle responsabilità per la Sicurezza delle Informazioni, sensibilizzazione e formazione del personale, rendicontazione degli
incidenti e gestione della business continuity.
■ CONTATTI:
Per ulteriori informazioni di carattere tecnico:
Bureau Veritas Italia SpA
Divisione Certificazione
tel. 02 27091.1 - fax 02 27006815
[email protected]
www.bureauveritas.it
SERVIZI CORRELATI
Oltre a certificazione e formazione dedicate alla
Information Security Management System, Bureau
Veritas Certification propone altri servizi:
■ ISO 9001- sistema di gestione della qualità;
■ ISO 20000 per la gestione dei servizi IT;
■ BS 25999-2 Business Continuity Management;
■ SA8000 per la responsabilità sociale;
■ ISO 14001 per la gestione ambientale;
E’ possibile combinare le certificazioni attraverso
audit congiunti, rendendo più efficiente il processo
di certificazione.
Tutti i dettagli sui nostri servizi:
http://www.bureauveritas.it/certificazione
■ AREE COMMERCIALI:
AREA NORD - Tel. 02 27091279 - Fax 02 27006815 [email protected]
AREA OVEST - Tel. 010 586564 - Fax 010 543368 [email protected]
AREA EST - Tel. 051 715390 - Fax 051 322565 [email protected]
AREA CENTRO - Tel. 06 97604121 - Fax 06 39754451 [email protected]
AREA SUD – Tel. 080 5093245 – Fax 080 564518 [email protected]