Lo standard ISO/IEC 27001:2013 è lo standard internazionale che descrive le best practice per l’implementazione di un sistema di gestione della sicurezza delle informazioni.
La certificazione accreditata ISO 27001 permette di dimostrare al mondo intero (clienti, fornitori, e azionisti compresi) che l’azienda sta seguendo e mettendo in pratica le best practice internazionali di sicurezza.
Come ottenere la certificazione accreditata ISO 27001
Prima di tutto, si deve implementare un sistema di gestione della sicurezza delle informazioni (ISMS) conforme allo standard ISO 27001.
Quali sono le fasi che caratterizzano il progetto di implementazione di un ISMS?
Le fasi sono:
- Identificare l’ambito del progetto
- Ottenere il supporto della dirigenza e allocare il budget necessario
- Identificare le parti da coinvolgere nel progetto e i requisiti legali, normativi e contrattuali da tenere in considerazione
- Effettuare una valutazione del rischio
- Rivedere ed implementare i controlli richiesti
- Sviluppare le competenze interne
- Sviluppare la documentazione richiesta per il sistema di gestione
- Condurre corsi di formazione del personale
- Misurare, monitorare, rivedere ed eseguire audit sul sistema di gestione implementato
Una volta implementato il sistema di gestione sarà possibile richiedere la certificazione accreditata ISO 27001.
Richiedere la certificazione accreditata ISO 27001
Bisogna cercare un organismo di certificazione accreditato dall’ente di accreditamento nazionale (Accredia, per l’Italia), a sua volta membro dell’International Accreditation Forum (IFA). Accredia è l’ente unico nazionale di accreditamento. Sul sito web è possibile verificare se l’organismo di certificazione scelto è accreditato ufficialmente e, se è in grado di emettere certificazioni valide e riconosciute internazionalmente.
Il processo di certificazione
L’organismo di certificazione rivedrà l’intera documentazione e verificherà che i controlli elencati dallo Standard siano effettivamente ed efficacemente implementati. In seguito, verranno eseguiti audit per verificare le procedure nella pratica. Se l’organismo è soddisfatto dell’implementazione, allora emetterà la certificazione.
Quanto costa la certificazione ISO 27001?
La spesa effettiva dipende dall’organismo di certificazione scelto e dal rischio associato al sistema di gestione della sicurezza delle informazioni implementato.