trarzh-TWenfrdeelitfarues

ISO 27001

Certificato del sistema di gestione della sicurezza delle informazioni ISO 27001

Sistema di gestione della sicurezza delle informazioni ISO 27001

Che cosa sono i dati e le informazioni?

Per prima cosa, diamo un'occhiata ai concetti base di informazione. In termini più semplici, i dati grezzi grezzi sono chiamati dati. La forma elaborata dei dati è informazione. L'espressione di dati o dati è un valore numerico e logico.

Le principali caratteristiche delle informazioni che devono essere protette sono:

  • Riservatezza delle informazioni: la riservatezza delle informazioni è definita inaccessibile e non spiegata da persone, organizzazioni, entità e processi che non sono autorizzati.
  • Integrità della conoscenza: si riferisce alla conservazione dell'accuratezza, dell'integrità e delle qualità uniche della conoscenza.
  • Accessibilità delle informazioni: è la caratteristica che le informazioni possono essere consultate e utilizzate in qualsiasi momento solo da persone autorizzate.

Le informazioni possono essere classificate in vari modi. Tuttavia, è fondamentalmente possibile classificare come segue:

  • Le informazioni riservate sono fondamentali per il business. Solo i membri del team di gestione possono accedere a queste informazioni. L'accesso, l'uso e la condivisione di tali informazioni da parte di persone non autorizzate è inopportuno per l'azienda. In breve, è essenziale mantenere queste informazioni riservate.
  • Le informazioni disponibili all'interno dell'azienda sono informazioni private accessibili solo ai dipendenti interessati. Informazioni a cui altri dipendenti e terze parti diversi dai dipendenti dell'unità non dovrebbero accedere e vedere. È essenziale mantenere tali informazioni riservate.
  • Le informazioni personali sono le informazioni personali dei dipendenti. Sono coperti solo gli studi personali relativi alle attività commerciali. Mantenere e archiviare informazioni personali che non sono rilevanti per il lavoro non è corretto. È essenziale che le informazioni personali siano accessibili.
  • Le informazioni disponibili per l'azienda sono ad uso esclusivo dei dipendenti. Integrità e accessibilità sono essenziali per tali informazioni. Le informazioni condivise tra le unità rientrano in questa classe.

Cos'è il sistema di gestione della sicurezza delle informazioni ISO / IEC 27001?

Al fine di garantire la sicurezza di tutti i tipi di informazioni, lo standard ISO / IEC 2005 Information Security Management System è stato pubblicato dall'International Standards Organization (ISO) e dalla International Electrotechnical Commission (IEC).

In effetti, la storia di questo standard costituisce la prima parte dello standard BS 1995 pubblicato dal British Standards Institute in 7799 e la seconda parte pubblicata in 1998. Questi standard sono stati rivisti insieme in 1999. Entro l'anno 2000 è stato pubblicato lo standard ISO / IEC 17799. In 2002, lo standard BS 7799-2 è stato aggiornato e da 2005 i seguenti standard sono stati emessi dalla International Standards Organization:

  • ISO 7799: 2 standard invece di BS 27001-2005
  • ISO 17799: 2000 standard invece di ISO 27002: 2005 standard

Questi due standard sono stati recentemente revisionati in 2013.

Questa famiglia standard è stata pubblicata dal Turkish Standards Institute nel nostro paese come segue:

  • Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Panoramica e glossario
  • TS EN ISO / IEC 27001 Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti
  • TS EN ISO / IEC 27002 Tecnologia dell'informazione - Tecniche di sicurezza - Principi applicativi per i controlli di sicurezza delle informazioni
  • Tecnologia d'informazione TS ISO / IEC 27003 - Tecniche di sicurezza - Guida all'applicazione del sistema di gestione della sicurezza delle informazioni
  • Tecnologia di informazioni ISO / IEC 27004 - Tecniche di sicurezza - Gestione della sicurezza delle informazioni - Misurazione
  • TS ISO / IEC 27005 Tecnologia dell'informazione - Tecniche di sicurezza - Gestione dei rischi per la sicurezza delle informazioni
  • TS ISO / IEC 27006 Tecnologia dell'informazione - Tecniche di sicurezza - Requisiti per le organizzazioni che conducono audit e certificazione dei sistemi di gestione della sicurezza delle informazioni
  • TS ISO / IEC 27007 Tecnologia dell'informazione - Tecniche di sicurezza - Guida per la revisione dei sistemi di gestione della sicurezza delle informazioni
  • TSE ISO / IEC EN 27008 Tecnologia dell'informazione - Tecniche di sicurezza - Guida ai controlli di sicurezza delle informazioni per i revisori

Che cos'è il rischio, la gestione del rischio e la minaccia?

La frase di rischio inserita nella nostra lingua dal francese è definita come il pericolo di danno. Il rischio è il verificarsi di un evento imprevisto e ne viene influenzato. Pertanto, il rischio è considerato una situazione negativa, un pericolo. In questo modo, al fine di proteggere contro gli effetti negativi dei rischi ed evitare qualsiasi danno, le misure sono prese prendendo in considerazione varie possibilità. Il metodo che include questi studi e attività di pianificazione è chiamato gestione del rischio.

La gestione del rischio è il processo di identificazione, misurazione, analisi e valutazione di un numero di fattori di rischio e di minimizzazione delle possibili perdite al fine di prevenire l'interruzione dell'operabilità di un'impresa e garantire che le attività non siano influenzate negativamente. Tuttavia, non è possibile eliminare completamente il rischio nelle attività di gestione del rischio.

Gli elementi principali di uno studio di gestione del rischio sono:

  • Determinazione delle attività dell'impresa con valore informativo
  • Identificazione di pericoli interni ed esterni che minacciano il business
  • Rilevazione di punti deboli e aperti che mettono in pericolo il business
  • Determinazione della probabilità di realizzazione del rischio
  • Determinazione degli effetti dei rischi sulle attività dell'impresa e del sistema

Per asset, intendiamo tutto ciò che fa parte del sistema e ha un valore per l'azienda. Pertanto, le risorse sono preziose per il business e devono essere protette.

In termini di sistema informatico, le risorse non significano solo software e hardware. I seguenti sono inclusi nel concetto di essere: tutti i tipi di informazioni, personal computer, stampanti, server e hardware simile, sistemi operativi, applicazioni sviluppate, programmi per ufficio e tutti i software simili, telefoni, cavi, modem di linee, dispositivi di commutazione e tutti gli altri dispositivi di comunicazione , tutti i documenti, i servizi prodotti e, naturalmente, la reputazione e l'immagine dell'azienda nel mercato.

I rischi sono soggetti a una determinata classificazione negli studi di gestione del rischio. Ad esempio, se la risorsa è danneggiata nel gruppo a basso rischio, il sistema informativo non sarà danneggiato molto e il sistema continuerà a funzionare. Questa situazione non danneggia la reputazione dell'azienda. Il sistema informativo è interessato se l'attività è danneggiata nel gruppo a rischio medio. Sebbene il sistema continui a funzionare, l'asset deve ancora essere implementato. Questa situazione causa alcuni danni alla reputazione dell'azienda. Il sistema di informazione è fortemente influenzato se il bene è danneggiato nel gruppo ad alto rischio. Quasi la metà del sistema diventa inutilizzabile. Affinché il sistema funzioni, la risorsa deve essere sostituita. Questa situazione influisce in modo significativo sulla reputazione dell'azienda. Nel gruppo ad alto rischio, la presenza di informazioni è stata gravemente danneggiata e in questo caso l'operabilità del sistema è stata fortemente compromessa. Il sistema informativo non è disponibile. Questa situazione influisce molto negativamente sulla reputazione della società sul mercato.

Una minaccia è il potenziale per qualsiasi fonte di minaccia, intenzionalmente o a seguito di un incidente, di sfruttare una vulnerabilità nel sistema e danneggiare le risorse. Le minacce naturali includono terremoti, frane, inondazioni, fulmini o tempeste. Le minacce ambientali includono l'inquinamento atmosferico, interruzioni di corrente prolungate e perdite. Le minacce causate dagli esseri umani sono causate da persone consapevolmente o inconsapevolmente. Ad esempio, inserendo dati errati nel sistema, attacchi di rete esterni, installazione di software dannoso sul sistema, furto di credenziali utente o accesso a persone autorizzate nel sistema.

L'apertura ai sistemi informativi è una debolezza, un errore o un difetto riscontrato nelle procedure di sicurezza del sistema, nella pratica o negli audit interni, che viola la sicurezza delle informazioni. Queste aperture da sole non sono un pericolo. Ci deve essere una minaccia alla loro realizzazione.

Qual è l'ambito del sistema di gestione della sicurezza delle informazioni ISO 27001?

Le imprese producono determinate informazioni nell'ambito delle loro attività indipendentemente dal settore o dalle dimensioni in cui operano e tali informazioni sono preziose per ciascuna impresa. Gli sforzi per proteggere le informazioni saranno diversi da business to business, ma generalmente il sistema coprirà i seguenti elementi principali:

  • Il top management dell'impresa avrebbe dovuto definire e spiegare una politica da seguire nel campo della sicurezza delle informazioni.
  • Le risorse informative nell'impresa dovrebbero essere elencate e inserite in ordine di importanza.
  • La possibilità che i dipendenti commettano errori dovrebbe essere evitata.
  • Il rischio di uso improprio delle risorse informative nell'impresa dovrebbe essere ridotto.
  • Gli attacchi alle fonti di informazione e il rischio di corruzione o alterazione delle informazioni dovrebbero essere ridotti.
  • I sistemi informatici operativi dovrebbero essere sufficienti e affidabili.
  • Solo le persone autorizzate dovrebbero avere accesso alle informazioni.
  • In caso di violazione della sicurezza, dovrebbe essere possibile rispondere tempestivamente e rapidamente in base alla forma dell'evento.
  • Gli attacchi alle informazioni non dovrebbero interrompere le attività principali dell'impresa e dovrebbero essere in grado di ritornare all'ambiente normale molto rapidamente. In altre parole, dovrebbe essere garantita la continuità delle attività.
  • Il sistema di gestione della sicurezza delle informazioni deve essere ad un livello sufficiente per soddisfare gli obblighi delle norme statutarie di un'entità.

Sebbene il sistema di gestione della sicurezza delle informazioni ISO 27001 sia percepito solo come un progetto di tecnologia dell'informazione nelle imprese, è in realtà un progetto di sicurezza delle informazioni che riguarda l'intera impresa. L'alta dirigenza è quindi direttamente responsabile della creazione e del funzionamento dello standard ISO 27001. Oggi, il sistema di gestione della sicurezza delle informazioni ISO 27001 è gestito nel suo insieme e comprende tutte le risorse umane, la gestione aziendale, i sistemi informativi e i processi aziendali dell'impresa.

Gli obiettivi principali dello standard ISO 27001 sono:

  • Per identificare le vulnerabilità della sicurezza delle informazioni, se presenti
  • Identificazione dei rischi che minacciano le risorse informative
  • Determinare i metodi di controllo per garantire la sicurezza delle risorse informative a rischio
  • Garantire che vengano effettuati i controlli necessari e mantenere possibili rischi a un livello accettabile
  • Garantire la continuità dei controlli di sicurezza delle informazioni nell'azienda

Che cosa porta il sistema di gestione della sicurezza delle informazioni ISO 27001?

Lo standard ISO 27001 consente la definizione della metodologia di valutazione del rischio, la preparazione delle relazioni di valutazione del rischio e la preparazione dei piani di elaborazione del rischio.

Nel tempo, la natura delle minacce e delle vulnerabilità presenti nel sistema potrebbe cambiare. O come risultato dei controlli effettuati con lo standard ISO 27001 applicato, i rischi possono essere ridotti o la severità può essere ridotta. Pertanto, le attività di monitoraggio del rischio delle imprese sono importanti. Le imprese sono obbligate a condurre studi di valutazione del rischio secondo la metodologia accettata entro il periodo da loro stabilito.

La politica di sicurezza delle informazioni secondo lo standard ISO 27001 dovrebbe includere principalmente: sicurezza fisica e ambientale, sicurezza delle apparecchiature, sistemi operativi e sicurezza dell'utente finale, sicurezza delle password e sicurezza del server e del sistema.

La questione della sicurezza fisica e ambientale si riferisce alla prevenzione di accessi non autorizzati al sistema e alla protezione del patrimonio informativo da vari rischi. Oggi la sicurezza fisica e ambientale è diventata sempre più importante. La presenza di squadre di sicurezza private all'ingresso dell'edificio aziendale, l'archiviazione di importanti ambienti informativi e l'accesso a questi ambienti con sistemi di sicurezza crittografati sono esempi di tali misure. Al fine di proteggere i sistemi informativi, è normale installare un accesso controllato da una scheda e sistemi di sicurezza fisica simili. Tale sicurezza delle frontiere fisiche viene stabilita in base alle esigenze di sicurezza delle risorse informative e ai risultati della valutazione del rischio. Ambienti con informazioni altamente rischiose sono bloccati dall'accesso non autorizzato tramite carte di autenticazione o protezione PIN. Inoltre, le misure di protezione fisica dovrebbero essere prese e applicate contro i danni causati da disastri quali incendi, inondazioni, terremoti, esplosioni o disordini sociali.

Importanza del sistema di gestione della sicurezza delle informazioni ISO 27001

La sicurezza delle informazioni mira a garantire la continuità del lavoro nelle imprese, a ridurre al minimo la perdita in caso di pericolo inevitabile ea proteggere la riservatezza, l'accessibilità e l'integrità delle risorse in tutti i casi. Oggi, non solo con i suoi dipendenti, ma anche con partner commerciali, azionisti e clienti, la creazione di un ambiente di fiducia per la protezione e la riservatezza delle informazioni è di importanza strategica per la gestione aziendale.

I problemi di sicurezza sperimentati in vari modi non solo interrompono la continuità delle attività, ma causano anche una perdita di mercato, creano difficoltà competitive e causano una perdita di fiducia nei confronti di partner commerciali, azionisti e clienti. Il costo delle spese per recuperare questi numeri è più costoso del costo delle misure per evitare di perderle.

Le informazioni per le imprese, come le altre attività commerciali, sono una risorsa che ha valore e quindi deve essere protetta. L'informazione è di grande importanza per il business per continuare le sue attività. Per questo motivo, è importante che le risorse informative siano mantenute riservate, che la loro integrità sia mantenuta e disponibile in ogni momento, in breve, la sicurezza delle informazioni sia garantita. Il sistema di gestione della sicurezza delle informazioni ISO / IEC 27001 è l'unico sistema internazionale e verificabile che definisce le esigenze delle imprese in questa direzione.

Lo standard ISO 27001 è particolarmente necessario nei settori in cui l'elaborazione e la protezione delle informazioni sono di fondamentale importanza, come i settori pubblico, finanziario, sanitario e delle tecnologie dell'informazione. Questo standard è importante anche per le aziende che gestiscono le informazioni per altre persone e organizzazioni. In questo modo, le aziende forniscono ai propri clienti la certezza che le loro informazioni siano protette.

ISO 27001 Information Security Management System è un sistema di gestione creato dalle imprese con lo scopo di fornire sicurezza delle informazioni, applicare questo standard, monitorare, rivedere, mantenere e migliorare continuamente l'applicazione. In questo contesto, vengono condotti studi di analisi del rischio al fine di determinare le risorse dell'impresa e identificare i possibili rischi. Gli studi di valutazione del rischio sono il confronto del rischio con determinati criteri di rischio al fine di determinare la significatività del rischio.

ISO 27001 Pianificazione del sistema di gestione della sicurezza delle informazioni

L'istituzione dello standard ISO 27001 nell'azienda dipende da una serie di passaggi. È come,

  • In primo luogo, dovrebbero essere raccolte informazioni sull'infrastruttura dell'azienda. Questa informazione è legata ai campi di attività dell'impresa, alla natura del lavoro svolto, alla missione e alla sistemazione dell'impresa.
  • Quindi, dovrebbero essere determinati i nomi delle chiavi che verranno utilizzati per stabilire il sistema. In questa fase, dovrebbero essere determinati i responsabili della gestione del rischio e lo scopo di stabilire il sistema.
  • Quindi la situazione di sicurezza dell'impresa dovrebbe essere determinata nella situazione odierna.
  • Le informazioni dovrebbero quindi essere raccolte, come luoghi, operazioni, funzioni aziendali e tecnologie dell'informazione, che determineranno l'ambito del sistema.
  • In questa fase, è necessario determinare l'obiettivo e la portata del sistema di gestione della sicurezza delle informazioni ISO 27001 e stabilire un programma di lavoro.
  • Infine, nell'ultima fase, dovrebbero essere determinati i processi necessari per la creazione del sistema e la continuità del sistema.

Il ciclo, che tradizionalmente si applica a tutti i sistemi di gestione della qualità, è anche il caso qui:

  • Piano (istituzione del sistema di gestione della sicurezza delle informazioni)
  • Applicare (implementazione e gestione del sistema di gestione della sicurezza delle informazioni)
  • Verifica (monitoraggio e revisione del sistema di gestione della sicurezza delle informazioni)
  • Prendere precauzioni (manutenzione e miglioramento del sistema di gestione della sicurezza delle informazioni)

Naturalmente, con la creazione di un tale sistema, le imprese ottengono enormi benefici. Ad esempio,

  • L'entità riconosce l'esistenza e il significato di tutte le attività informative.
  • Protegge le risorse informative applicandole ai metodi di controllo e protezione specificati.
  • In questo modo viene assicurata la continuità del lavoro. Quando si incontra un rischio, le attività non possono essere interrotte.
  • Con questo sistema, la società ottiene la fiducia delle parti correlate in quanto protegge le informazioni delle aziende fornitrici e dei clienti.
  • La protezione delle informazioni non è casuale.
  • L'azienda agisce in modo più sistematico rispetto ai suoi concorrenti nella valutazione dei propri clienti.
  • La motivazione dei dipendenti nel business aumenta.
  • Poiché saranno garantite le normative legali, è possibile prevenire eventuali controlli legali.
  • La reputazione del business nel mercato aumenta e l'azienda è un passo avanti nella lotta alla concorrenza.

Il sistema di gestione della sicurezza delle informazioni ISO 27001 richiede che tutte le risorse informative presenti nell'azienda siano affrontate e valutate e che venga effettuata un'analisi dei rischi tenendo conto delle debolezze e delle minacce di tali risorse. Per raggiungere questo obiettivo, un'impresa deve scegliere un metodo di gestione del rischio adeguato alla sua struttura e pianificare i rischi. Lo standard include gli obiettivi di controllo e i metodi di controllo per l'elaborazione del rischio.

In conformità con lo standard ISO 27001, le aziende sono tenute a elaborare piani di gestione dei rischi e dei rischi, identificare attività e responsabilità, preparare piani di continuità operativa, preparare processi di gestione delle emergenze e conservarne i registri durante l'implementazione.

Le imprese devono anche emettere una politica di sicurezza delle informazioni che copre tutte queste attività. Tutti gli alti dirigenti e i dipendenti dovrebbero anche essere a conoscenza della sicurezza delle informazioni e delle minacce. Nell'implementazione del sistema di gestione della sicurezza delle informazioni ISO 27001, gli obiettivi di controllo selezionati devono essere misurati e l'adeguatezza e le prestazioni dei controlli devono essere monitorate continuamente. Questo processo dovrebbe essere un processo vivente, la gestione della sicurezza delle informazioni, il sostegno attivo dell'alta direzione e la partecipazione di tutti i dipendenti dovrebbe essere garantita. Le imprese richiedenti possono ricevere consulenza e supporto di esperti nella gestione dei rischi, nella definizione delle politiche, nella documentazione dei processi di sicurezza, nell'individuazione e nell'implementazione di metodi di controllo appropriati.

In breve, lo standard ISO 27001 è un sistema che definisce la sicurezza totale delle informazioni e come garantire la sicurezza delle informazioni come processo vivente. I passaggi per configurare questo sistema possono essere descritti come segue:

  • Classificazione delle attività informative
  • Valutazione del patrimonio informativo secondo criteri di riservatezza, integrità e accessibilità
  • Analisi del rischio
  • Determinazione dei metodi di controllo da applicare in base ai risultati dell'analisi del rischio
  • Completamento del lavoro di documentazione
  • Applicazione di determinati metodi di controllo
  • Conduzione di studi di audit interni
  • Mantenere i record richiesti dallo standard
  • Esecuzione di riunioni di riesame della direzione
  • Effettuare studi di certificazione

Minacce e debolezze legate alla comunicazione elettronica

Nell'ambito delle normative legali in materia, ci sono alcune cose che le aziende dovrebbero fare per garantire la sicurezza delle informazioni:

  • Tieni traccia dei registri IP utilizzati dai computer
  • Tenere un registro di quali dipendenti hanno indirizzi IP per il passato
  • Tieni traccia delle registrazioni dei viaggi dei dipendenti su Internet
  • Mantenere i record del registro e-mail inviati dai dipendenti
  • Tenere traccia delle pagine su Internet che i dipendenti hanno speso e per quanto tempo hanno trascorso in passato
  • Fornire accesso limitato all'accesso a Internet filtrando per contenuto
  • Garantire l'integrità di tutti i record ottenuti e dimostrare che non sono stati alterati

In questo contesto, le principali minacce alla comunicazione elettronica dei dipendenti sono:

  • Dipendenti che entrano in un'area di sensibilità di sicurezza senza autorizzazione o che superano i limiti di autorizzazione esistenti
  • I dipendenti cercano di interrompere la riservatezza, l'integrità e la continuità dei dati senza autorizzazione o superando i limiti di autorizzazione esistenti eliminando, aggiungendo, modificando, ritardando, salvando su un altro supporto o divulgando informazioni
  • Tentativo di impedire, in tutto o in parte, componenti hardware e software di soddisfare i requisiti stabiliti in base alle normative legali e agli standard nazionali ed esteri
  • Fornire l'impressione che la comunicazione elettronica venga effettuata con la parte giusta ingannando l'utente
  • Monitoraggio della comunicazione elettronica con metodi illegali
  • Affermare che queste informazioni sono state ottenute da un'altra parte producendo informazioni errate o inviando informazioni errate a un'altra parte
  • Rendere parzialmente o completamente inutilizzabile l'infrastruttura di comunicazione elettronica o consumare le risorse per questa infrastruttura in modo da impedire la fornitura di servizi

Nel frattempo, alcuni punti deboli per la comunicazione elettronica possono essere elencati come segue:

  • Minacce future imprevedibili
  • Errori nella progettazione di un sistema o protocollo
  • Problemi durante l'installazione di un sistema o un protocollo
  • Errori causati dagli sviluppatori di software
  • Errori dell'utente
  • Inadeguatezza o non conformità che si presentano durante l'uso del sistema

Struttura standard del sistema di gestione della sicurezza delle informazioni ISO 27001

Lo standard ISO 27001 è stato recentemente rivisto in 2013. In questa versione, le clausole dello standard sono le seguenti:

  1. portata
  2. Standard e documenti citati
  3. Termini e ricette
  4. Il contesto dell'organizzazione
  • Comprensione dell'organizzazione e del suo contesto
  • Comprensione dei bisogni e delle aspettative delle parti interessate
  • Determinazione dell'ambito del sistema di gestione della sicurezza delle informazioni
  • Sistema di gestione della sicurezza delle informazioni
  1. guida
  • Leadership e impegno
  • Politika
  • Ruoli, responsabilità e autorità aziendali
  1. pianificazione
  • Attività che si occupano di rischi e opportunità
  • Obiettivi di sicurezza delle informazioni e pianificazione per raggiungere questi obiettivi
  1. Destek
  • risorse
  • qualifiche
  • consapevolezza
  • comunicazione
  • Informazioni scritte
  1. operativo
  • Pianificazione e controllo operativi
  • Valutazione del rischio per la sicurezza delle informazioni
  • Elaborazione del rischio di sicurezza delle informazioni
  1. Valutazione delle prestazioni
  • Monitoraggio, misurazione, analisi e valutazione
  • Audit interno
  • Revisione della direzione
  1. reinserimento
  • Non conformità e azioni correttive
  • Miglioramento continuo

Certificazione del sistema di gestione della sicurezza delle informazioni ISO 27001

Dopo aver stabilito il sistema di gestione della sicurezza delle informazioni ISO 27001, le aziende vorranno ottenere il certificato ISO 27001 per dimostrare questa situazione ai propri clienti, concorrenti e organizzazioni ufficiali e private collegate. Tuttavia, lo scopo dell'installazione di questo sistema non dovrebbe essere solo quello di avere questo documento. Altrimenti, non ci si può aspettare che il sistema fornisca i benefici descritti sopra.

Secondo i metodi di controllo determinati durante il processo di attuazione, protezione delle attività informative, controllo dei rischi che minacciano il patrimonio informativo, adozione di misure per eliminare o mitigare i rischi, valutazione dei nuovi rischi che si presentano nel tempo e valutazione di tali rischi, per questi sono necessarie le approvazioni del top management. Questo processo continuerà finché l'azienda esiste.

Le aziende che soddisfano i requisiti dello standard ISO 27001 e implementano il sistema di gestione della sicurezza delle informazioni possono ora richiedere un certificato ISO 27001 rivolgendosi a un ente di certificazione. A questo punto, è estremamente importante che l'organismo di certificazione sia accreditato da un ente di accreditamento locale o straniero. In caso contrario, i report e i documenti da emettere non possono avere validità.

La prima fase del lavoro di certificazione viene eseguita attraverso il lavoro di documentazione esistente. In questa fase, la politica di sicurezza delle informazioni, i rapporti di valutazione del rischio, i piani di azione sul rischio, la dichiarazione di conformità, le procedure di sicurezza e le istruzioni per l'applicazione preparate dall'impresa vengono gestite individualmente. Se vengono rilevate delle non conformità in questi documenti, è previsto che vengano completati prima di passare alla seconda fase.

Dopo aver completato la prima fase, l'organismo di certificazione nomina uno o più revisori e avvia il lavoro di revisione nell'ambiente di lavoro dell'azienda. In questi audit in loco, si osserva se i controlli di sicurezza delle informazioni determinati dall'entità in base al settore di attività sono conformi ai requisiti dello standard ISO 27001. Dopo che gli audit della seconda fase sono stati completati, i revisori preparano una relazione e la sottopongono all'organismo di certificazione.

L'ente di certificazione conduce studi di valutazione basati su questo rapporto e prepara il certificato del sistema di gestione della sicurezza delle informazioni ISO 27001 se lo ritiene appropriato e lo consegna all'azienda. Il periodo di validità del certificato è di tre anni. Tuttavia, dopo che questo documento è stato rilasciato, gli audit intermedi vengono condotti una o due volte l'anno in conformità con la richiesta dell'impresa. Dopo tre anni, gli studi di certificazione devono essere nuovamente eseguiti.

certificazione

L'azienda, che fornisce servizi di auditing, supervisione e certificazione a standard riconosciuti a livello internazionale, fornisce anche servizi di ispezione, test e controllo periodici.

Bize Ulaşın

Indirizzo:

Head Office Mh, Gencosman Cd, No 11
Gungoren - Istanbul

telefon:

+ 90 (212) 702 40 00

Whatapp:

+ 90 (532) 281 01 42

Perché TÜRCERT

Arama