ISO 27001

Il Risk Management

• Analisi, miglioramento e realizzazione dei processi di Information Security
• Stesura e aggiornamento della documentazione
• Formazione del personale interno
• Audit interni a verifica dell’efficacia del SGSI
• Supporto al riesame della Direzione
• Supporto durante l’audit di certificazione

Il campo di applicazione del SGSI O ISMS Sono i servizi di Sviluppo Software

Nell’ambito del perimetro del SGSI saranno tenuti in considerazione:

• la gestione dei sistemi informativi
• i processi interni
• le informazioni trattate ed il personale operativo

Nella definizione del campo di applicazione particolare attenzione verrà posta ai dati personali, al fine di facilitare il raggiungimento della compliance al GDPR.

Documentazione di processo e del SGSI O ISMS

Oltre agli aspetti organizzativo-gestionali, la documentazione prevista impatterà anche su temi di privacy.
Di seguito una lista parziale dei temi/processi che saranno tenuti in considerazione:

Ognuna di queste attività dovrebbe, essere vista attraverso l’identificazione di quali dei 93 controlli della nuova versione della ISO 27001:2022 debbano essere implementati

• Incident management
• Change management
• Organizzazione (ruoli e responsabilità)
• Gestione degli audit (prima e seconda parte)
• Obiettivi e flussi di comunicazione
• Risk management

• Supplier management
• Network security
• Access Management removable Media
• Acceptable Use Policy
• Gestione delle vulnerabilità tecniche

Valutazione e trattamento dei rischi

Tale attività è fondante per l’adeguata realizzazione e conduzione del SGSI; in essa si definiscono i modelli di analisi per i rischi di sicurezza delle informazioni

La relazione di Risk Assessement conterrà indicazione di dettaglio circa le attività effettuate, le informazioni inserite nel modello, le modalità di valutazione, di calcolo e la metodologia utilizzata

Le strategie legate alla definizione delle contromisure sono tipicamente:

• riduzione del rischio (attraverso nuove contromisure o miglioramento di quelle in essere)
• eliminazione del rischio (attraverso una modifica del processo o dell’asset)
• trasferimento del rischio (ad una terza parte)
• accettazione del rischio (ove non è possibile intervenire)

Contromisure

Le contromisure possono essere di natura tecnica oppure organizzativa
la scelta delle contromisure e dei controlli da applicare seguirà l’allegato A della norma di riferimento,

Politica per la sicurezza delle informazioni

Il documento cardine del SGSI sarà la politica per la sicurezza delle informazioni che conterrà l’indirizzo strategico della Direzione e gli obiettivi di alto livello allineati agli obiettivi strategici del Cliente. Conformemente a quanto previsto dalla norma UNI CEI EN ISO/IEC 27001:2022

Formazione e consapevolezza

Tutto il personale interno nell’ambito del SGSI deve conoscere una serie di tematiche fondamentali per la sicurezza delle informazioni, quali:

• politiche e procedure di sicurezza
• requisiti legali e normativi
• corretto uso dei dispositivi in dotazione
• minacce alla sicurezza delle informazioni