Assistenza per Certificazione ISO 17799

Lo standard BS 7799 è stato sviluppato in risposta a una precisa domanda dei settori dell’industria,del commercio e della Pubblica Amministrazione di ricerca di un framework comune per sviluppare, implementare e monitorare le modalità di gestione della sicurezza delle informazioni. Lo standard è composto da due parti: BS 7799 - Prima Parte elenca le “best practice” necessarie per implementare un programma per la Sicurezza delle Informazioni, mentre BS 7799 - Seconda Parte descrive il processo di costruzione di un sistema di gestione della sicurezza e dei controlli applicabili (SGSI).

La parte certificabile della norma. Lo standard BS 7799 affronta il tema della Sicurezza delle Informazioni considerandone tutti gli aspetti, dalla salvaguardia delle competenze interne, fino alla protezione contro le frodi informatiche.

Fuga di informazioni

La fuga di informazioni verso i mezzi di comunicazione e la concorrenza sono purtroppo un problema molto diffuso. Il personale e Internet sono spesso il tramite di questi spiacevoli eventi. Sebbene molte aziende abbiano provveduto a rendere più sicuri i loro sistemi informatici, episodi simili accadono di continuo. Occorre perciò provvedere a una revisione completa delle misure di sicurezza di cui l’azienda dispone. Affrontare il problema secondo un approccio puramente tecnico o investigare su singole aree sulle quali si concentra l’attenzione dei media - come accade ad esempio con la pirateria informatica - non è sufficiente; anzi espone l’azienda a rischi di altro genere, creando delle semplici “isole di sicurezza” in un vero e proprio “mare di rischi”. L’avvento di internet e il ricorso alle telecomunicazioni per gli scambi commerciali ha reso più complessa la gestione della sicurezza all’interno delle aziende. Con i computer portatili e in assenza di una policy sull’impiego delle risorse aziendali, aumenta il pericolo di perdere le informazioni. Un forum sulla sicurezza aziendale può contribuire a far conoscere i rischi ai quali sono esposte le informazioni.

Proteggete le persone, le tecniche e le idee

La crescente quantità di informazioni oggi in circolazione ha indotto lo sviluppo di uno standard dedicato alla sicurezza delle informazioni. Si tratta di un’esigenza ovviamente più sentita da realtà aziendali che operano in settori quali servizi IT, finanza, telecomunicazioni, e-business, Pubblica Amministrazione, società d’ingegneria e industria automobilistica, dove è essenziale un’immagine che rifletta sicurezza.

Sicurezza delle Informazioni

Un programma per la Sicurezza delle Informazioni è destinato a tutelare un bene prezioso da alterazioni o accessi non autorizzati. Lo standard BS 7799 tutela pertanto tre aspetti fondamentali relativi alle informazioni:

1. Confidenzialità: solo gli utenti autorizzati possono accedere alle informazioni necessarie.
2. Integrità: protezione contro alterazioni o danneggiamenti; tutela dell’accuratezza e completezza dei dati.
3. Disponibilità: le informazioni sono rese disponibili su richiesta e nell’ambito di un contesto pertinente.

Perchè certificare un SGSI?

Un Sistema di Gestione per la Sicurezza delle Informazioni prevede che l’azienda implementi una politica di sicurezza con lo scopo di gestire le aree a rischio. La Certificazione BS 7799 consente quindi all’azienda di:

- Dimostrare a clienti, partner e dipendenti il proprio impegno a favore della sicurezza delle informazioni.
- Ottenere da un ente indipendente un documento che attesti la conformità ai requisiti richiesti.
- Orientare i processi di implementazione della politica stabilita.
- Dimostrare la propria attenzione, riducendo i rischi ed evitando responsabilità.

Il villaggio globale e le nuove minacce

L’impiego di sistemi IT è fonte di nuove opportunità per la vostra azienda, che potrà finalmente operare all’interno del cosiddetto “villaggio globale”. Ciò significa che si moltiplicheranno le occasioni commerciali, ma nel contempo emergeranno nuove minacce. Per riuscire a trarre profitto da queste opportunità, occorre quindi affrontare i rischi secondo un approccio strutturato. Questo approccio è quello che noi chiamiamo SGSI (Sistema di Gestione per la Sicurezza delle Informazioni). I seguenti elementi contribuiscono alla realizzazione di un efficace programma di sicurezza:


Le 10 aree da controllare.

- Gestione operativa e comunicazione
- Controllo degli accessi
- Sviluppo e manutenzione dei sistemi
- Gestione della Business Continuity
- Conformità
- Politica di sicurezza
- Organizzazione per la sicurezza
- Controllo e classificazione delle risorse
- Sicurezza del personale
- Sicurezza materiale e ambientale

Certificare un SGSI consente alla vostra azienda di:

- Creare una cultura della sicurezza all'interno dell'organizzazione.
- Individuare le aree di criticità attraverso l'analisi dei rischi.
- Realizzare una struttura per il continuo perfezionamento del sistema.
- Disporre di un elemento in più per promuovere la credibilità dell'azienda presso gli interlocutoriinterni ed esterni.
- Fornire al management aziendale gli strumenti per una gestione aziendale sicura, che riduca al minimo i rischi di perdita di informazioni critiche per il proprio Business.
- Considerare gli aspetti legali e tecnologici in chiave sistemica.
- Garantire che il "patrimonio di conoscenze" sia "conservato" all'interno di un sistema di gestione aziendale.
- Dimostrare a clienti, partner, dipendenti e in generale alle parti interessate il proprio impegno nella protezione delle informazioni.
- Orientare i processi di gestione della sicurezza delle informazioni rispetto alle volontà espresse dal management all’interno della politica della sicurezza.
- Avere un’opportunità di confronto con un organismo esterno per raccogliere spunti di miglioramento.
- Ottenere da un ente indipendente di terza parte accreditato un documento che attesti la conformità ai requisiti dello standard.

Certificazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI)

Certificare la propria conformità con lo standard BS 7799 offre alle aziende un mezzo sicuro per verificare il proprio SGSI.
Un team di auditor, rigorosamente selezionato e qualificato, provvede a valutare la conformità dell’azienda ai requisiti imposti dallo standard. Principale obiettivo di un sistema di sicurezza è la salvaguardia delle informazioni. A tale scopo è fondamentale individuare quali informazioni proteggere e quale livello di protezione assegnare a ciascuna di esse. Fra le risorse da tutelare rientrano dati, documenti cartacei, nonché componenti materiali come computer e reti, oltre al personale dell’azienda. Il Sistema di Gestione per la Sicurezza delle Informazioni implementato da un’azienda sulla base delle criticità individuate è sottoposto a verifica, proprio come accade per gli altri sistemi di gestione (ISO 9000, ISO 14001, ecc.). Oltre a svolgere la tipica attività di verifica dei sistemi di gestione, l’ente di certificazione deve essere in grado di valutare se le criticità rilevate siano effettivamente importanti e se il sistema adottato per tutelare le informazioni sia, in tutte le sue componenti, coerente e consistente. Occorre inoltre esaminare lo statement of applicability che definisce l’applicabilità dei requisiti dello standard rispetto agli obiettivi di riscontro e agli elementi
di controllo implementati. La certificazione può essere rilasciata a un’azienda, reparto, impianto o altra unità e può essere successivamente estesa a qualsiasi sistema di gestione conforme ai requisiti applicabili dello standard.

Qualora voleste ricevere gratuitamente un preventivo nel quale verranno riportate dettaglitamente tutte le attività che la Qua.Ser. s.a.s. si impegnerà a svolgere cliccate Qui.

Si riportano le Aziende a cui la Qua.Ser. S.a.s. ha fornito e/o fornisce assistenza.