Assistenza al Sistema di Gestione per
la Sicurezza delle Informazioni

Destinatari/Campo di applicazione

Il servizio è destinato a tutte le Aziende, sia di prodotti che di servizi, operanti nel settore pubblico e nel settore privato, incluse cooperative sociali, scuole ed associazioni con o senza struttura di Information Technology che desiderano tutelare il proprio patrimonio informativo.
Salvaguardiare il proprio patrimonio informativo e conseguire un accettabile livello di copertura dei rischi a cui le informazioni aziendali sono soggette, è una attività complessa che richiede diversi profili professionali dotati di competenze trasversali per coprire tutti gli aspetti organizzativi, tecnologici, normativi e legali correlati con la sicurezza delle informazioni.

Descrizione del servizio e obbiettivi

Le informazioni, nel senso più ampio della parola, rappresentano un bene che attribuisce un significativo valore all’azienda e si identificano come un vero e proprio patrimonio la cui gestione diventa strategica per la tutela e lo sviluppo aziendale.  Definire ed attuare un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) significa salvaguardare la riservatezza, l’integrità e la disponibilità dei dati dell’organizzazione, siano esse in formato cartaceo, elettronico o intellettuale e quindi salvaguardare il proprio patrimonio.

Un SGSI, costruito sui modelli reali dell’organizzazione, è costituito da processi, comportamenti, procedure e gestione di risorse e strumenti finalizzati a garantire la sicurezza sia fisica che logica delle informazioni.
Lo schema ISO 17799:2005Codice di condotta per la gestione delle informazioni” rappresenta la linea guida applicativa per l’implementazione di un SGSI (questa norma non è certificabile).
A seguito della sua implementazione in azienda un SGSI può essere esteso ai concetti espressi dalla norma  ISO/IEC 27001 “Tecnologie informatiche – tecniche di sicurezza – Sistema di Gestione della Sicurezza delle Informazioni” che si identifica come lo standard di riferimento attraverso l’adozione del quale l’Organizzazione può richiedere di certificare il proprio SGSI.

Il Servizio Asint viene attivato dopo un check-up iniziale gratuito, che permette di valutare la condizione precisa nella quale si trova l’Organizzazione.  Viene erogato per:

  • progettazione e implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC 27001 ai fini del raggiungimento della Certificazione;
  • erogazioni di servizi di assistenza al mantenimento della Certificazione per aziende già certificate;
  • erogazione di servizi di supporto al management delle organizzazioni che, pur non avendo interesse verso la certificazione, intendono applicare tali normative per il miglioramento interno della gestione operativa.

Attività eseguite

Per implementare, in conformità agli standard ISO/IEC 27001 e/o ISO/IEC 17799, un Sistema di Gestione per la Sicurezza delle Informazioni o ISMS (Information Security Management System) è necessarie procedere eseguendo le seguenti attività:

* Check-up iniziale dell’organizzazione e delle informazioni trattate;
* Definizione delle politiche di sicurezza aziendali;
* Individuazione dei processi erogati e degli asset informativi (dati, hardware e software) utilizzati;
* Classificazione delle informazioni in funzione dell’importanza che assumono per l’azienda;
* Analisi del Rischio ed individuazione delle misure di sicurezza da adottare;
* Individuazione contromisure e selezione dei controlli per la riduzione dei rischi;
* Selezione degli strumenti per la Gestione del Rischio;
* Revisione dei processi per ottimizzare gli interventi di Information Security da realizzare;
* Sviluppo ed implementazione di strumenti e procedure di sicurezza organizzativa;
* Stesura della dichiarazione di applicabilità;
* Sessioni di formazione a tutto il personale;
* Gestione dei documenti che riguardanti la sicurezza informatica in conformità agli standard ISO/IEC 27001 e ISO/IEC 17799.

Nel caso di volontà alla certificazione del sistema implementato da parte dell’Organizzazione:
– assistenza per la scelta dell’Ente di Certificazione
– esecuzione di verifiche ispettive interne, come previsto dalla normativa di riferimento e in base a ISO 19011;
– supporto al riesame generale della direzione a chiusura della attività sul sistema;
assistenza durante l’iter di certificazione, nel corso dell’esame documentale e della visita in campo da parte dell’Ente di Certificazione prescelto.

Per aziende che sono già certificate, il Servizio viene attivato fornendo un’assistenza direttamente “sul campo” che attraverso la verifica puntuale dell’esecuzione di tutti gli adempimenti e di tutte quelle attività previste obbligatoriamente dalla normativa di riferimento, rassicura il Cliente in merito al mantenimento del certificato acquisito mediante le verifiche di sorveglianza dell’Ente di Certificazione prescelto.

Leggi e norme di riferimento

Norme ISO/IEC 27001ISO/IEC 17799  per la Gestione delle Informazioni

Consulenti impiegati

Organizzativa

Quotazione

Check-up iniziale gratuito (e spese di viaggio).
Quotazioni a corpoa giornata da definire con l’organizzazione in base agli esiti del check-up iniziale (e spese di viaggio).