Certificazione ISO 27001
Cos'è lo standard ISO 27001?
La norma ISO 27001 è il riferimento normativo per la certificazione del sistema di gestione per la sicurezza delle informazioni.
Si applica a tutte le realtà aziendali, indipendentemente dal settore e dalla dimensione.
Qual è lo scopo della norma ISO 27001?
La norma ISO 27001 si articola in 10 sezioni, pensate per organizzare tutti gli aspetti della vita aziendale e far convergere i diversi processi aziendali verso l’obiettivo d’implementare un sistema di gestione e protezione delle informazioni.
Seguendo le indicazioni fornite dalla norma l’azienda potrà:
- Sviluppare un sistema di protezione dei propri dati aziendali e dei dati di clienti e fornitori.
- Attuare procedure conformi alle normative in materia di protezione dei dati personali.
- Valutare i rischi connessi alla gestione delle informazioni e sviluppare misure preventive contro il furto dei dati.
La certificazione ISO 27001 è obbligatoria?
L’adozione da parte delle imprese di un sistema di gestione per la sicurezza delle informazioni è su base volontaria.
Perché certificarsi alla norma ISO 27001?
Seguendo le indicazioni fornite dalla norma l’azienda potrà:
- Prevenire i rischi legati alla gestione delle informazioni.
- Aumentare la consapevolezza organizzativa in termini di sicurezza informatica.
- Dare prova a clienti e fornitori del rispetto degli obblighi normativi, legislativi e contrattuali inerenti la sicurezza delle informazioni.
Come ottenere la certificazione alla ISO 27001?
L’iter per ottenere la certificazione ISO 27001 è articolato in 4 punti.
Richiesta di certificazione
In questa prima parte si concordano gli aspetti economici e le attività che saranno eseguite dagli auditor durante l’iter di certificazione. Questa parte si conclude con la firma di un contratto con validità triennale tra l’azienda e l’Organismo. Successivamente ha inizio il processo di certificazione.
Audit preliminare (opzionale ed eventualmente richiesto dal cliente)
Ha come obiettivo quello di esaminare il livello di preparazione del sistema di gestione oggetto di certificazione. Questo tipo di audit non rientra nell’iter di certificazione, pertanto eventuali miglioramenti, sono rilasciati sotto forma di raccomandazione e non vengono notificati in forma ufficiale sul rapporto di audit.
Audit di Certificazione – Stage 1
L’audit si svolge presso la sede aziendale. Durante questa fase l’auditor raccoglie informazioni e verifica la documentazione inerente il sistema di gestione da certificare. Determina quali sono norme obbligatorie e volontarie di riferimento per il sistema da certificare. Questo passaggio è preparatorio per il secondo audit di certificazione.
Audit di Certificazione – Stage 2
Durante questa fase l’auditor verificherà che il sistema di gestione venga realmente applicato dall’azienda.
Al termine di questo secondo stage, in assenza di non conformità gravi, l’auditor presenterà richiesta all’organo deliberante per l’emissione della certificazione ISO.