BM Trada Logo Library
Richiedi un preventivo
Home Certificazione Standard ISO 27001

ISO 27001 Domande Frequenti

Qui ci sono alcune domande frequenti relative a ISO 27001 e ISO 27701 per aiutarti nel tuo percorso di certificazione.

Clicca sulla domanda di tuo interesse:

Quanto tempo ci vuole per ottenere la certificazione ISO 27001?

Ci sono diversi fattori che possono determinare quanto tempo ci vuole. Il fattore cruciale è l'ambito della certificazione, che comprende aspetti come: dimensione dell'organizzazione, numero e complessità dei processi, numero di sedi e numero di dipendenti. E poi la maturità della capacità e della conoscenza della sicurezza delle informazioni già presenti nell'organizzazione. In generale, con l'aumentare della dimensione e della complessità, aumenta anche il tempo e lo sforzo necessari. Il processo può essere più rapido se l'organizzazione ha già esperienza con gli standard dei sistemi di gestione, come ISO 9001 Qualità.
 
Consigliamo sempre di trattare l'ottenimento della certificazione ISO 27001 come un progetto e di gestirlo di conseguenza. Questo può essere fatto internamente o con il supporto di un consulente ISO 27001 – il nostro team di vendita può aiutare le organizzazioni a decidere e consigliare anche consulenti di cui abbiamo un alto grado di fiducia.
 
Progetti ben gestiti con personale esperto possono richiedere dai 2 ai 3 mesi, sebbene oltre i 6 mesi non sia raro. In circostanze ideali, l'organizzazione avrà un sistema di gestione completamente funzionante in atto prima che avvengano gli audit. Verso la fine del progetto, l'organizzazione dovrà affrontare un breve audit di Fase 1 – essenzialmente un controllo di preparazione. Poi si svolgerà un audit di Fase 2, tipicamente su diversi giorni, in cui verranno esaminati tutti i requisiti dello standard e i controlli di sicurezza delle informazioni dell'organizzazione.

Chi può rilasciare la certificazione ISO 27001?

Solo gli Organismi di Certificazione (CB) accreditati secondo ISO 27001 possono rilasciare certificati ISO 27001.
 
Vale la pena spiegare la struttura globale di accreditamento per comprendere meglio come i CB possono rilasciare certificati.
 
I CB sono le organizzazioni accreditate per rilasciare certificati alle organizzazioni. Ci sono molti CB in diversi paesi e grazie al regime internazionale di accreditamento, tutti i certificati rilasciati dai CB accreditati sono riconosciuti a livello globale.
 
Perché un CB sia accreditato per un determinato standard ISO, il CB deve sottoporsi a un audit di accreditamento da parte di un Ente di Accreditamento approvato. NQA è accreditata UKAS che è firmatario dell'Accordo Multilaterale (MLA) della Cooperazione Europea per l'Accreditamento (EA).
 
L'EA MLA è riconosciuto a livello globale dal Forum Internazionale di Accreditamento, il che significa che un certificato rilasciato da un CB accreditato UKAS è riconosciuto a livello globale. Allo stesso modo, ad esempio, un certificato rilasciato da Accredia ha valore reciproco nel Regno Unito.

Quali sono i 14 domini di ISO 27001?

L'Allegato A di ISO 27001:2013 elenca 14 "obiettivi di controllo", ciascuno dei quali comprende un insieme di controlli di sicurezza (114 in totale, descritti in dettaglio in ISO 27002:2017). Questi obiettivi di controllo sono:
 
A.5 Politiche di sicurezza delle informazioni
A.6 Organizzazione della sicurezza delle informazioni
A.7 Sicurezza delle risorse umane
A.8 Gestione degli asset
A.9 Controllo degli accessi
A.10 Crittografia
A.11 Sicurezza fisica e ambientale
A.12 Sicurezza operativa
A.13 Sicurezza delle comunicazioni
A.14 Acquisizione, sviluppo e manutenzione del sistema
A.15 Relazioni con i fornitori
A.16 Gestione degli incidenti di sicurezza delle informazioni
A.17 Aspetti della sicurezza delle informazioni nella gestione della continuità operativa
A.18 Conformità

ISO 27001 copre la cyber security?

Cos'è la cyber security? Ci sono varie definizioni, ma in generale si intende la sicurezza dei sistemi e dei servizi informatici, tipicamente in un contesto online. Il che significa che è un dominio molto ampio, che comprende molte tecnologie e tecniche.
 
Mentre ISO 27001 è solitamente definito uno standard di sicurezza delle informazioni, è in realtà un sistema di gestione. Ma osserva più da vicino la copertina della pagina del titolo BSI:
 
Tecnologie dell'informazione – Tecniche di sicurezza
Sistemi di gestione della sicurezza delle informazioni – Requisiti
 
È molto difficile separare la tecnologia dell'informazione dalla tecnologia cyber. In quasi ogni contesto cyber, sono le informazioni che vengono elaborate dalla tecnologia sottostante per fornire servizi cyber. Quindi i termini sicurezza delle informazioni e cyber security sono spesso usati in modo intercambiabile. E questo è ulteriormente rafforzato dal fatto che i principi di sicurezza sottostanti sono comuni a entrambi.
 
ISO 27001:2022 è considerato lo standard di settore per la sicurezza delle informazioni ed è utilizzato da organizzazioni di ogni settore, a livello globale, per migliorare e dimostrare le loro pratiche di sicurezza. Dai un'occhiata ai principali fornitori online di servizi cyber, come Microsoft e Google, entrambi con varie certificazioni ISO 27001.
 
Quindi ISO 27001 copre la cyber security e fornisce un quadro per gestire i rischi di cyber security, nonché i rischi di sicurezza delle informazioni.

ISO 27001 copre il GDPR?

Il GDPR si riferisce ai dati personali, che sono un tipo di informazione. ISO 27001 è uno standard di sicurezza delle informazioni. Un'organizzazione certificata secondo ISO 27001 avrà considerato i rischi di sicurezza dei dati personali che elabora, nel contesto del GDPR. In questo senso, ISO 27001 è una misura di conformità agli articoli 5.1 (d), (e) e (f), e all'articolo 32 (Sicurezza del trattamento) del GDPR.

Per una copertura completa del GDPR, nella misura in cui si riferisce alle attività di trattamento di un'organizzazione e come misura per dimostrare la conformità, ISO 27701 dovrebbe essere implementato in aggiunta a ISO 27001. Questo è un'estensione di ISO 27001 e implementa un Sistema di Gestione delle Informazioni sulla Privacy.

Questo è un estratto di un comunicato stampa di aprile 2020 dell'equivalente francese dell'ICO, la CNIL: "Lo standard è stato redatto a livello internazionale con contributi di esperti di tutti i continenti e la partecipazione di diverse autorità di protezione dei dati. Gli esperti della CNIL hanno contribuito attivamente a questo standard, con il supporto del Comitato europeo per la protezione dei dati. Rappresenta lo stato dell'arte in termini di protezione della privacy e consentirà alle organizzazioni che lo adottano di aumentare la loro maturità e dimostrare un approccio attivo alla protezione dei dati."

Una persona può essere certificata ISO 27001?

No. Solo le organizzazioni possono essere certificate. Tuttavia, ciò significa che un'azienda individuale potrebbe essere certificata, ma è l'azienda, non l'individuo.

Come si controlla se un'azienda è certificata ISO 27001?

Le aziende certificate avranno ricevuto un certificato dal loro organismo di certificazione, quindi puoi chiedere di vedere una copia. Dovresti verificare i seguenti elementi sul certificato ISO 27001 dell'azienda:

  1. La versione corrente di ISO 27001 è ISO 2001:2022. Quando viene emessa una nuova versione, c'è un periodo di transizione durante il quale le organizzazioni adottano la nuova versione, quindi solo allora potrebbe esserci un numero di versione diverso.
  2. La data di scadenza.
  3. Che il certificato sia per l'azienda. In gruppi multi-societari, spesso accade che solo una società membro sia certificata – la certificazione non copre gli altri membri del gruppo a meno che non sia indicato nel certificato.
  4. I siti fisici coperti dal certificato. Questo è utile solo se sai da dove vengono forniti i servizi.
  5. L'ambito della certificazione. L'ambito della certificazione copre ciò che l'organizzazione ti sta fornendo? Solo perché un'organizzazione dichiara di essere certificata ISO 27001 non significa sempre che sia rilevante per te.
  6. L'ente di accreditamento che ha rilasciato il certificato, per esempio UKAS.  La cosa importante da verificare è che l'ente di accreditamento aderisca all'IAF.
  7. Puoi richiedere una copia della Dichiarazione di Applicabilità. Controllala per confermare che non abbiano escluso controlli necessari per proteggere i servizi che forniscono.

Qual è la differenza tra ISO 27001 e ISO 27002?

ISO 27001 specifica i requisiti di un sistema di gestione della sicurezza delle informazioni. Include il requisito di considerare 114 controlli di sicurezza standard di settore, specificati nell'Allegato A di ISO 27001.
 
ISO 27002 fornisce linee guida per l'implementazione di ciascuno dei controlli nell'Allegato A di ISO 27001. Sono un'amplificazione davvero utile del requisito del controllo dell'Allegato A e forniscono alle organizzazioni linee guida sulle migliori pratiche di settore per la sicurezza.
 
Questo significa che c'è una differenza importante nella terminologia. Nell'Allegato A i controlli sono formulati come "L'organizzazione deve...", mentre in ISO 27002 gli stessi controlli sono "L'organizzazione dovrebbe...". Deve è un requisito obbligatorio, mentre dovrebbe è una linea guida.
 
Le organizzazioni possono essere certificate secondo ISO 27001, ma non secondo ISO 27002.

Come gestire i dati personali utilizzando ISO 27701?

Questo è un argomento enorme. Ma i dati personali sono un bene informativo, quindi dovrebbero essere gestiti in modo sicuro come qualsiasi altro bene informativo prezioso. Ma il GDPR (o qualsiasi altra legislazione sulla privacy regionale) specifica requisiti aggiuntivi che le organizzazioni e gli individui devono seguire. Secondo NQA, il miglior quadro per la gestione dei dati personali è fornito da ISO 27701. Fornisce requisiti di controllo e linee guida per tutte le clausole GDPR che le organizzazioni devono rispettare. E non è specifico per il GDPR (sebbene ci sia una tabella di mappatura del GDPR in un allegato), può essere applicato alla maggior parte delle altre legislazioni sulla privacy.
 
Questo è un estratto di un comunicato stampa di aprile 2020 dell'equivalente francese dell'ICO, la CNIL: "Lo standard è stato redatto a livello internazionale con contributi di esperti di tutti i continenti e la partecipazione di diverse autorità di protezione dei dati. Gli esperti della CNIL hanno contribuito attivamente a questo standard, con il supporto del Comitato europeo per la protezione dei dati. Rappresenta lo stato dell'arte in termini di protezione della privacy e consentirà alle organizzazioni che lo adottano di aumentare la loro maturità e dimostrare un approccio attivo alla protezione dei dati."

Cosa è un Sistema di Gestione delle Informazioni sulla Privacy (PIMS)?

Un PIMS è un quadro di miglioramento continuo per la gestione dei dati personali e il supporto della conformità alle normative sulla privacy pertinenti. I PIMS sono tipicamente aggiunti ai Sistemi di Gestione della Sicurezza delle Informazioni e, infatti, per implementare un PIMS ISO 27701, un'organizzazione deve anche avere un ISMS ISO 27001. Questo significa che le clausole di ISO 27001 forniscono la base per tutte le attività legate alla privacy.

Perché è stata sviluppata ISO 27701?

ISO 27001 specifica un ISMS, che è un quadro di gestione attraverso il quale identificare, analizzare e affrontare i rischi di sicurezza delle informazioni. La cosa importante da notare è che garantisce che le disposizioni di sicurezza siano adattate al tuo business – non guida il business – lo abilita a tenere il passo con i cambiamenti delle minacce alla sicurezza, delle vulnerabilità e degli impatti aziendali.
 
Indipendentemente dalla maturità di un ISMS esistente, non c'è garanzia che le esigenze di protezione dei dati siano adeguatamente considerate, soprattutto dall'introduzione di leggi con requisiti di privacy – il GDPR è un esempio. I certificati esistenti per ISO 27001 assicurano che le organizzazioni dimostrino che la sicurezza delle informazioni è in atto all'interno di un'organizzazione – ma la protezione dei dati richiede che le organizzazioni vadano un passo oltre. ISO 27701 consente quel passo successivo.
 
L'articolo 42 del GDPR prevede schemi di certificazione che verranno utilizzati per dimostrare pienamente la conformità. I requisiti degli schemi del Comitato europeo per la protezione dei dati hanno criteri per gli articoli 5 e 6, 12 a 42, 44 a 48 e particolare attenzione alle misure tecniche e organizzative per proteggere i diritti e garantire i dati. Tuttavia, non esistono ancora tali schemi e probabilmente ci vorrà molto tempo per svilupparli.
 
ISO 27701 può aiutare a dimostrare la conformità a tutti questi articoli.