E’ con grande orgoglio e soddisfazione che annunciamo di aver completato il percorso di certificazione accreditato da Accredia alla UNI CEI EN ISO/IEC 27001:2017 – “Sistema di Gestione per la Sicurezza delle Informazioni“, mediante l’applicazione delle linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2019, seguito dall’ente di certificazione Kiwa.
I processi certificati sono:
Progettazione e sviluppo di soluzioni informatiche in ambito di compliance normative
Installazione, assistenza, manutenzioni di tali soluzioni in modalità On Premises. Erogazione di tali soluzioni in modalità SaaS
Consulenza in ambito di compliance normative mediante ‘applicazione delle linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2019
Di cosa di tratta?
Lo standard ISO/IEC 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.
Dal momento che l’informazione è un bene che aggiunge valore all’impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L’obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell’azienda.
La norma Standard ISO 27001:2005 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio, la protezione delle informazioni e degli asset aziendali, ivi inclusi gli asset IT. La norma è applicabile a tutte le imprese private o pubbliche, in quanto prescinde da uno specifico settore di business o dall’organizzazione dell’azienda. Però bisogna tener presente che l’adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico, il quale in genere coincide con l’ufficio Organizzazione e Qualità.
- ISO/IEC 27017 è una linea guida che definisce controlli avanzati sia per fornitori, sia per i clienti di servizi cloud. Chiarisce ruoli e responsabilità dei diversi attori in ambito cloud con l’obiettivo di garantire che i dati conservati in cloud computing siano sicuri e protetti.
- ISO/IEC 27018 – Codice di condotta per la protezione delle PII (Personally Identifiable information) nei servizi di public cloud per i cloud provider- è una linea guida per i fornitori di servizi cloud pubblici che vogliono migliorare la gestione dei dati personali. L’obiettivo di questo standard è quello di fornire una modalità strutturata, basata sul privacy by design, per far fronte alle principali questioni giuridiche, sia di natura legale che contrattuale, legate alla gestione dei dati personali in infrastrutture informatiche distribuite seguendo il modello del cloud pubblico.
Chi è KiwaCermet?
Kiwa è uno dei leader globali nel settore del Testing, delle Ispezioni e delle Certificazioni (TIC). Le aree di specializzazione comprendono, tra gli altri, la certificazione dei sistemi di gestione, la Corporate Social Responsibility, il testing e la metrologia.
I vantaggi della certificazione
- aiuta l’organizzazione a formulare i propri obiettivi e requisiti di sicurezza, al contempo fornendo una struttura che l’aiuti a raggiungere tali obiettivi e a rispettare tali requisiti
- assicura una gestione dei rischi di sicurezza economicamente sostenibile dall’azienda
- sostiene il rispetto dei requisiti cogenti
- sostiene in modo concreto l’impegno dell’azienda verso gli obiettivi di sicurezza delle informazioni
- assicura la protezione delle informazioni aziendali, dando fiducia a tutte le parti interessate7
- strumento per preservare la disponibilità , la riservatezza e l’integrità delle informazioni
La certificazione come requisito
Il 20 maggio scorso, AgID ha pubblicato le indicazioni tecnico-amministrative per garantire, all’interno delle procedure per l’approvvigionamento di beni e servizi informatici delle pubbliche amministrazioni, la rispondenza di questi ad adeguati livelli di sicurezza.
Tale documento elenca le caratteristiche che devono avere i contratti ICT ed i relativi fornitori.
Per contratti ICT si intendono:
- contratti di sviluppo, realizzazione e manutenzione evolutiva di applicazioni informatiche;
- contratti di acquisizione di prodotti (hardware o software);
- contratti per attività di operation e conduzione;
- contratti per servizi diversi da a) e c) (es. supporto, consulenza, formazione, help desk, …);
- contratti per forniture miste, combinazioni delle precedenti tipologie.
Uno dei requisiti specificati per il fornitore è “R2. Il fornitore deve possedere la certificazione ISO /IEC 27001 e mantenerla per tutta la durata della fornitura“. Chiunque voglia lavorare con le Pubbliche Amministrazioni, quindi, dovrà necessariamente provvedere alla certificazione.
Questo punto rappresenta un ulteriore passo avanti rispetto al “marketplace AgID” in quanto questo requisito non si applica solo a servizi in cloud ma a tutti i servizi ICT compresi consulenza e formazione.
Gli strumenti a supporto
Per prepararci alla certificazione e per dimostrare le attività svolte ci siamo serviti del software da noi sviluppato, GRC CORA, in particolare il modulo CORA 27001.