Sistemi di Gestione e Certificazioni
sistemi di gestione dei dati e flusso informazioni ISO/IEC 27001


1. Contesto:
Qualunque organizzazione, privata o pubblica, detiene ormai enormi quantità di informazioni, inerenti i propri processi lavorativi, quelli dei propri clienti/utenti e queste informazioni, sono cruciali per la sopravvivenza stessa dell’organizzazione. La sempre maggior diffusione della cosiddetta Società dell’Informazione spinge le strutture ad utilizzare sempre più gli strumenti informatici per ogni attività, e le leggi e direttive cogenti applicabili comportano una serie di ripercussioni in caso di mancata applicazione di misure adeguate per la protezione delle informazioni e per il loro uso scorretto. E’ imprescindibile, a questo scopo, l’identificazione dei beni dell’organizzazione (gli asset) ed un’attenta valutazione dei rischi ad essi collegati, che consenta di contemplare in modo consapevole i potenziali impatti che la perdita di riservatezza, integrità e disponibilità delle informazioni potrebbero avere sull’organizzazione e sui suoi clienti/utenti. Il conseguimento della certificazione ISO/IEC 27001 di un Sistema di Gestione per la Sicurezza delle Informazioni diventa quindi uno strumento di ottimizzazione e corretta gestione che evidenzia a tutti i soggetti interessati dell’organizzazione (interni ed esterni) l’impegno profuso nella salvaguardia delle informazioni e nel rispetto delle leggi.

2. Vantaggi di un Sistema di Gestione per la Sicurezza delle Informazioni
Ivantaggi che Sistema di Gestione per la Sicurezza delle Informazioni porta sono numerosi:

- garantire la riservatezza delle informazioni, cioè assicurare che le informazioni siano accessibili solo a chi è autorizzato ad averne accesso;
- garantire l’integrità delle informazioni, cioè salvaguardare l'accuratezza e la completezza delle informazioni e dei metodi di elaborazione;
- garantire la disponibilità delle informazioni, cioè assicurare che solo gli utenti autorizzati abbiano accesso alle informazioni e ai beni collegati quando richiesto e/o necessario.
- garantire la continuità del business, inteso come assicurazione della continuità dei servizi erogati da un’organizzazione alla propria clientela/utenza, anche in caso di incidente alla sicurezza sia esso accidentale (colposo) o doloso;
- garantire di minimizzare i danni, data l’impossibilità di eliminare il rischio di incidenti, ogni organizzazione può analizzare i rischi e decidere come minimizzare i danni derivanti da eventuali incidenti;
- garantire di massimizzare le opportunità di miglioramento; assicurare la continuità dei servizi e minimizzare i danni in caso di incidente, comporta degli investimenti che possono essere massimizzati se adeguatamente quantificati, monitorati e gestiti.

L’integrazione con i Sistemi di Gestione per la Qualità (UNI EN ISO 9001) e/o per la Gestione dei Servizi IT (ISO/IEC 20000-1) rende questo standard in una straordinaria opportunità di razionalizzazione e miglioramento dei processi interni.

3. Procedure di certificazioneLe principali fasi dell’ iter certificativo comprendono
- Pre-audit (su richiesta): verifica preliminare per analizzare le eventuali lacune e per valutare la conformità del cliente ai requisiti della norma.
- Verifica di I° stadio: verifica di adempimento ai requisiti legislativi applicabili e della documentazione del Sistema di Gestione per la Sicurezza delle Informazioni ai requisiti normativi.
- Verifica di II° stadio: verifica per il raggiungimento della certificazione attraverso il controllo dell’implementazione del sistema di gestione, l’analisi dei documenti, osservazioni su campo, interviste al personale, il cui esito positivo conduce all’emissione del certificato.
- Sorveglianza: visite periodiche per controllare la stabilità e i progressi del sistema nel corso dei 3 anni di validità del certificato.

SERVIZIO QXC
Nell’ambito dei temi inerenti la certificazione ISO/IEC 27001 per la Sicurezza delle Informazioni, QUALITA’ X COMPETERE ha sviluppato un servizio specifico, in grado di soddisfare in maniera integrata la direzione aziendale nel cogliere gli aspetti da ottimizzare nella gestione e valorizzazione della diversità e dei risvolti positivi sull'efficacia e d efficienza dei processi e quindi delle prestazioni prodotte. La diversità crea Valore e diventa quindi un fattore competitivo. Serve però una conoscenza delle dimaniche per governare le informazioni e la tecnologia di supporto, quali sono i flussi e gli attacchi possibili sia interni sia esterni al sistema, una conoscenza dei processi aziendali ed una abilità nella rappresentazione della mappatura dei processi. I gruppi di lavoro sono composti sempre da due figure: il “gestionale” (che conosce i processi e le attività e sa ridisegnare il sistema di gestione ottimizzando obiettivi/risultati e le connessioni tra i vari ambiti da gestire e le attività svolte) e gli specialisti ITC e sicurezza informatica dei dati con competenze di legacy informatica. Le professionalità citate partecipano alle varie fasi di analisi, individuazione dei punti di forza e di debolezza e reimpostazione dei processi orientati alla sicurezza delle informazioni. Successivamente le figure oinvolte devono creare l'ambiente favorevole all'applicazione del sistema di gestione per facilitare sia la formazione che la messa in pratica.

Ma ecco riepilogati i principali punti di forza del nostro Servizio:

L’unione fa la differenza” La combinazione ideale delle competenze gestionali/organizzative e la profonda conoscenza delle norme di riferimento, con le elevatissime competenze tecniche, permettono una gestione a 360° di ogni progetto, in cui l’approfondimento sia tecnico sia organizzativo e le relative sinergie, rappresentano per le Aziende-Clienti un servizio ad elevato valore aggiunto.
“Il Sistema di Gestione integrato nel più ampio Sistema di Gestione Aziendale” Le competenze dei professionisti Qualità X Competere le permettono di seguire le Aziende-Clienti in tutte le problematiche gestionali, organizzative e strategiche.In particolare, lo sviluppo di Sistemi di Gestione Integrati Qualità e Sicurezza informazioni rappresenta per Qualità X Competere uno dei suoi punti di forza

“Far le cose bene” e “Far le cose giuste” I professionisti Qualità X Competere operano da lunghissimo tempo sia come consulenti che come valutatori di sistemi di gestione della sicurezza delle informazioni; i loro percorsi formativi e professionali sono ovunque considerati di primo livello.

"Il supporto Continuo” E’ nello stile di Qualità X Competere supportare il Cliente in tutte le fasi del processo di certificazione, fornendo anche l’assistenza nella scelta dell'Ente certificatore. Ciò assicura al Cliente una presenza costante, senza la sgradevole sensazione di “essere lasciati soli”.




copyright 2011© Qualità x Competere s.n.c. - communication design: www.thotperugia.com - web developer: www.ictstudio.it