Nuova pagina 1

Perche' scegliere CSI SOTELQI?

CSI SOTELQI grazie a un team di professionisti con competenze multidisciplinari in numerosi settori (implementazione sistemi di gestione, valutazione rischi, programmazione software, gestione sistemistica reti), e' in grado di supportare l’organizzazione su tematiche articolate e complesse quali la certificazione 27001.

CSI SOTELQI aiutera' la vostra azienda a proteggere le informazioni nei termini di:

riservatezza: le informazioni devono essere accessibili solo a chi e' autorizzato ad accedervi,
integrita': l'accuratezza e la completezza delle informazioni e dei processi correlati alla loro trasmissione devono essere salvaguardate,
disponibilita': l'accesso alle informazioni e alle risorse correlate deve essere garantito a chi ne ha l'autorizzazione ogni volta questi ne faccia richiesta.

L'approccio di CSI SOTELQI consiste in:

definizione dello scopo di applicabilita' del sistema
mappatura dei processi aziendali e delle relative responsabilita'
identificazione degli asset (risorse) necessarie/utilizzate per l’esecuzione dei processi
identificazione degli eventi (minacce / vulnerabilita') sui gruppi di asset
identificazione degli impatti sui processi (Business Impact Analysis)
calcolo dei livelli di rischio
assegnazione delle contromisure (Statement Of Applicability)
calcolo del rischio residuo

Ambito	Consulenza per la certificazione di sistemi di gestione
HLS	Lo Standard ISO 27001 (attualmente in edizione 2013 - 2014 in italiano - e strutturata secondo l'HLS) e' una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza delle Informazioni, in particolare per quanto concerne gli aspetti della sicurezza fisica, logica ed organizzativa (Information Security Management System - ISMS). Le informazioni sono di natura cartacea e/o informatica. Adottare lo Standard ISO 27001 vuole significare costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione; l’oggetto a cui e' rivolto lo standard e' l’informazione e il dato. L’applicazione dello standard e' rivolto principalmente ad imprese operanti nella gran parte dei settori commerciali e industriali, come ad esempio finanza, assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi in cui l’informazione risulta particolarmente critica. Cio' non toglie la necessita' di applicare lo standard ad imprese, piccole e grandi, di altro settore che gestiscono e vogliono garantire la protezione delle proprie informazioni e dati (ad esempio societa' di outsourcing dell'IT che gestiscono informazioni per conto terzi, per le quali lo schema puo' essere utilizzato come garanzia di protezione per le informazioni dei propri clienti). Poiche' la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L'obiettivo dello standard ISO 27001 e' di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrita', la riservatezza e la disponibilita', e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati e informazioni sensibili dell'azienda. Lo standard si basa sull'approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, secondo il modello caratteristico dei sistemi di gestione della Qualita' denominato PDCA (Plan, Do, Check, Act), utilizzo di procedure e di strumenti come audit interni, non conformita', azioni correttive e preventive, sorveglianza, nell'ottica del miglioramento continuo. Il sistema e' progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati. L'Annex A dello standard ("Control objectives and controls") contiene 114 "controlli" (o contromisure) a cui, l'organizzazione che intende applicare la norma, deve attenersi)a cui l'Organizzazione che intende applicare la norma deve attenersi. Essi vanno dalla politica e l'organizzazione per la sicurezza alla gestione dei beni (asset) e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell'operativo, dal controllo degli accessi fisici e logici alla crittografia, dalla sicurezza delle attivita' operative e sicurezza delle comunicazioni alla gestione di un monitoraggio e trattamento degli incidenti e alla relazione con i fornitori coinvolti nella gestione della sicurezza delle informazioni. La gestione della Business Continuity e il rispetto normativo completano l'elenco degli obiettivi di controllo. L'adozione della norma ISO 27001 aiuta l'organizazione relativamente a: fiducia dei clienti, protezione degli asset, strategia di sicurezza, IT governance, gestione degli incidenti, riduzione dei rischi, riduzione tempi di inattivita', minimizzazione delle perdite e prevenzione. N.B.: la conformita' alla ISO 27001 non solleva l'Organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy vigente (ad es. in Italia il D. Lgs. 196/2003 e s.m.i.). La differenza sostanziale tra la legge sulla Privacy e la norma ISO 27001 e' che la legge sulla privacy tutela i dati personali, sensibili e giudiziari, mentre la ISO 27001 pur richiedendo che cio' sia fatto, si interessa anche dei dati di business dell'organizzazione che devono essere salvaguardati per l'interesse stesso dell'organizzazione.
Qualita'
Ambiente
Salute e sicurezza
Responsabilita' Sociale
Sicurezza delle informazioni
Sicurezza alimentare
Gestione delle competenze
Regolamento europeo 303 e 304 del 2008
Energia