ISO 27001:2017

ISO 27001 stabilisce i requisiti per un sistema di gestione della sicurezza delle informazioni. L’obiettivo principale è quello di stabilire un sistema per la gestione dei rischi, la protezione delle informazioni e dei beni aziendali, compresi quelli informatici. La norma è applicabile a tutte le imprese o aziende pubbliche, in quanto è indipendente da uno specifico settore di attività o organizzazione dell’azienda o dell’ente pubblico.

COS’È?

La norma ISO 27001:2017 delinea i requisiti per la certificazione del sistema di gestione della sicurezza delle informazioni all’interno delle aziende.

I requisiti fondamentali per iniziare il percorso di certificazione ISO 27001 sono:

  • aver implementato una politica di gestione della sicurezza delle informazioni all’interno dell’ambiente lavorativo, condivisa con le più importanti figure aziendali e comunicata sia all’interno che all’esterno attraverso i canali di comunicazione utilizzati normalmente;
  • svolgere le proprie attività attenendosi ai concetti di crittografia, business continuity, rispetto della norma vigente in materia di protezione delle informazioni (es. GDPR Privacy e s.m.i.).

PERCHÉ FARLA?

La certificazione di sicurezza delle informazioni permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato sul fatto che la sicurezza delle informazioni è gestita in linea con le best practice internazionali e gli obiettivi aziendali.

La ISO 27001 è una norma volontaria non obbligatoria, ma il suo possesso sta diventando un attributo indispensabile per far fronte alle sfide del mercato; viene richiesta, ad esempio, come requisito di ingresso in molte gare d’appalto.

QUALI SONO I VANTAGGI?

Attraverso la creazione di un sistema di gestione della sicurezza delle informazioni, il team operativo assume un ruolo attivo nel processo produttivo: deve gestire, monitorare, controllare e migliorare la sicurezza delle informazioni della tua azienda attraverso una gestione del rischio efficiente.

In questo modo è possibile proteggere le informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti e fornitori, ma al contempo vengono create garanzie anche per il personale interno.

QUANTO DURA?

La certificazione ISO 27001 ha durata triennale e può essere sempre rinnovata: a fine del triennio, infatti, le aziende possono attivare le procedure per rinnovare il loro certificato che verrà riemesso con la data aggiornata e le modifiche che verranno ritenute necessarie.

A conseguimento della prima certificazione, IWZ effettuerà delle verifiche di mantenimento alla scadenza del 1° e 2° anno dalla data di emissione del certificato. Allo scadere del terzo anno, il cliente avrà la possibilità di decidere se rinnovare o meno il certificato.

QUALI SONO LE VARIE FASI?

  • Richiesta di certificazione: in questa fase vengono stabiliti gli aspetti economici e le attività che saranno eseguite dagli auditor durante l’iter di certificazione. IWZ sottoporrà al cliente la propria offerta di certificazione e verrà firmato un accordo tra le parti (domanda di certificazione).
  • Audit di prevalutazione (facoltativo): in questa fase opzionale, il cliente può interfacciarsi con il personale di IWZ che esaminerà il livello di preparazione del sistema di gestione oggetto di certificazione con l’obbiettivo di migliorarne i processi e ridurre al minimo le non conformità gravi.
  • Formazione (facoltativa): in questa fase vengono spiegati i vari punti della norma e vengono descritte le migliori metodologie di gestione del sistema aziendale riferito alla norma da certificare.
  • Audit di Certificazione: in questa fase inizia il vero e proprio audit di certificazione che si svolge, principalmente, presso la sede aziendale. L’auditor, a seguito di un sopralluogo delle varie sedi oggetto del certificato e dopo aver avuto la possibilità di interloquire con le figure apicali aziendali, raccoglie informazioni e verifica la documentazione inerente al sistema di gestione da certificare. Determina quali sono norme obbligatorie e volontarie di riferimento per il sistema da certificare. In assenza di non conformità gravi, l’auditor presenterà richiesta alla commissione di delibera di emettere la certificazione ISO.

IWZ è in grado di garantire il completamento del percorso di certificazione in tempi brevi a seconda delle necessità dei clienti e dello stato di maturità aziendale del sistema da certificare.

ISO 27001 IWZCERT