Sebbene la ISO 27001 sia costruita attorno all’implementazione dei controlli di sicurezza delle informazioni, nessuno di essi è universalmente obbligatorio per la conformità.
Questo perché lo Standard riconosce che ogni organizzazione avrà i propri requisiti quando sviluppa un ISMS e che non tutti i controlli saranno appropriato.
Al contrario, le organizzazioni sono tenute a svolgere attività che informano le loro decisioni in merito ai controlli da implementare. In questo blog, spieghiamo cosa comportano questi processi e come puoi completarli.
Requisiti di certificazione obbligatori
Le due attività più importanti quando si implementa la ISO 27001 sono:
- Definizione dell’ambito del tuo ISMS (clausola 4.3), in cui definisci quali informazioni devono essere protette; e
- Condurre una valutazione del rischio e definire una metodologia di trattamento del rischio (clausola 6.12), in cui identificare le minacce alle proprie informazioni.
Anche le organizzazioni sono tenute a completare le seguenti clausole obbligatorie:
- Politica e obiettivi per la sicurezza delle informazioni (clausole 5.2 e 6.2)
- Processo di trattamento del rischio delle informazioni (clausola 6.1.3)
- Piano di trattamento del rischio (clausole 6.1.3 ee 6.2)
- Rapporto di valutazione del rischio (clausola 8.2)
- Registrazioni di formazione, abilità, esperienza e qualifiche (clausola 7.2)
- Risultati del monitoraggio e della misurazione (clausola 9.1)
- Programma di audit interno (clausola 9.2)
- Risultati degli audit interni (clausola 9.2)
- Risultati del riesame della direzione (clausola 9.3)
- Risultati delle azioni correttive (clausola 10.1)
E i controlli dell’allegato A?
L’allegato A delinea i controlli che sono associati a vari rischi. A seconda dei controlli selezionati dalla tua organizzazione, ti verrà anche richiesto di documentare:
La dichiarazione di applicabilità
Non possiamo approfondire i dettagli di tutti questi processi qui ( si può dare un’occhiata al nostro sito web per maggiori informazioni), ma vale la pena evidenziare la SoA (Statement of Applicability), una parte essenziale della documentazione all’interno del processo di trattamento del rischio informativo.
La SoA delinea l’allegato A controlli che hai selezionato o omesso e spiega perché hai effettuato tali scelte. Dovrebbe anche includere informazioni aggiuntive su ogni controllo e link alla documentazione pertinente sulla sua implementazione.
Affrontare il processo di documentazione
Quando inizi il tuo progetto di conformità, noterai che la documentazione Il processo richiede molto più tempo rispetto all’implementazione dei requisiti stessi.
Ogni clausola viene fornita con i propri requisiti di documentazione, il che significa che i responsabili IT e gli implementatori dovranno gestire centinaia di documenti. Ogni politica e procedura deve essere ricercata, sviluppata, approvata e implementata, il che potrebbe richiedere mesi.
Semplificare il processo di documentazione
Le organizzazioni possono semplificare il processo di conformità con la nostra documentazione ISO 27001 ISMS Toolkit.
Sviluppato da esperti ISO 27001, questo set di modelli personalizzabili ti aiuterà a soddisfare i requisiti di documentazione dello Standard con il minimo sforzo possibile.
Puoi incorporare la documentazione direttamente nel tuo organizzazione, facendoti risparmiare tempo e denaro e con accesso all’assistenza per oltre 12 mesi, puoi essere certo dell’aiuto di esperti se non sei sicuro di qualsiasi cosa relativa al processo di documentazione ISO 27001.
Ulteriori informazioni sul toolkit di documentazione ISMS ISO 27001 > >
Una versione di questo blog è stata originariamente pubblicata il 24 marzo 2016.
Letture consigliate:
- Quanti controlli ci sono nello standard ISO 27001?