BM Trada Logo Library
Richiedi un preventivo
Home Risorse Blog Febbraio 2021

ISO 27001 - Non conformità nel requisito 7

24 febbraio 2021
In questo articolo prendo in esame le non conformità riscontrate tipicamente nel requisito 7 - Supporto. I risultati sono quasi sempre gli stessi ogni volta che si presentano e di solito hanno le stesse cause profonde, per le quali fornirò degli esempi.

Requisito 7.2 Competenza

Questo requisito può essere riassunto come segue: individuare le competenze necessarie alla tua specifica organizzazione per le prestazioni di sicurezza delle informazioni, e assicurarsi che i dipendenti abbiano le suddette competenze. È importante notare che ciò non significa che tu abbia bisogno di esperti di sicurezza delle informazioni, infatti il paragrafo a. afferma: "determinare la competenza necessaria della persona o delle persone che svolgono un lavoro sotto il tuo controllo [ISMS] che influisce sulle prestazioni della sicurezza delle informazioni".

Ciò significa che le persone all'interno del campo di applicazione devono essere competenti nel loro lavoro laddove si tratti di sicurezza delle informazioni. Ad esempio, le persone nel reparto IT devono conoscere le implicazioni delle loro attività sulla sicurezza delle informazioni, mentre un agente del call center deve essere adeguatamente formato per convalidare l'identità dei clienti.

Significa anche che il requisito 7.3 "Consapevolezza", è strettamente correlato, perché tutti gli interessati hanno un ruolo di responsabilità per quanto concere la sicurezza delle informazioni, attraverso la conoscenza delle politiche e delle procedure di sicurezza delle informazioni.

Al fine di conformarsi, l'organizzazione deve decidere quali sono le competenze richieste, alcune delle quali sono semplicemente che il personale conosca e segua le politiche di sicurezza. Sebbene lo standard non richieda la documentazione delle competenze richieste, è buona norma prepararla lo stesso.

Una scoperta che si potrebbe fare è che l'organizzazione non abbia determinato le competenze richieste. Questo in genere succede o perchè è stato tralasciato, o perchè sono state combinate con l'elenco delle competenze generali del personale.

Individua le competenze di cui hai bisogno e, come il paragrafo d. impone, dovresti documentare queste competenze e questa è anche la circostanza in cui si verificano ripetute non conformità.

Documenti di formazione incompleti o inadeguati, CV non aggiornati, certificati di qualificazione professionale mancanti, formazione introduttiva non svolta, sono esempi tipici. I nostri auditor rilevano queste non conformità quando cercano fonti documentate o intervistano il personale.

È importante sottolineare che l'esperienza è importante quanto le qualifiche e la formazione, anche se è più difficile da documentare: i CV, le revisioni annuali delle prestazioni e altri documenti relativi al lavoro, come il mentoring, possono tutti servire come prove oggettive.
 

Clausola 7.3 Consapevolezza

Quasi tutte le organizzazioni che controlliamo definiscono una qualche forma di programma di sensibilizzazione o comunicazioni regolari, per garantire che il personale sia a conoscenza della politica di sicurezza delle informazioni, del loro ruolo nell'ISMS e delle implicazioni della non conformità. 

E quasi tutte le non conformità sorgono durante i colloqui con il personale. Chiediamo al personale del nostro cliente queste tre cose: la loro conoscenza della politica di sicurezza, il loro ruolo nell'ISMS e l'importanza di esso, e talvolta non sanno rispondere. A volte non sanno dove trovare la polizza e altre volte semplicemente non la ricordano.

Il trovare non confomità non dipede dall'auditor, ma suggerisce che le attività di sensibilizzazione non sono efficaci, il che di per sé presenta un rischio per la sicurezza dell'organizzazione.
 

Clausola 7.5 Informazioni documentate

Riscontriamo spesso che le organizzazioni lottano per seguire le proprie politiche per la creazione e l'aggiornamento delle informazioni documentate. In parte ciò è dovuto ai volumi di dati elaborati e al ritmo con cui viene condotta l'attività. Il paragrafo 7.5.2 stabilisce i requisiti obbligatori per la creazione e l'aggiornamento delle informazioni documentate e quindi il paragrafo 7.5.3 parla dei controlli di sicurezza.

Le non conformità tipiche includono etichette di classificazione errate o mancanti, denominazioni sbagliate, convenzioni di versione o datazione, riferimenti non aggiornati a documenti sostituiti, documenti mancanti e documenti incompleti. In alcuni casi i registri delle risorse e dei rischi risultano obsoleti o aggiornati, ma la data e i numeri di versione non lo sono stati.

Una mancanza di politica di conservazione delle informazioni o l'IRP non viene seguita, ad es. abbiamo scoperto che vecchi documenti lasciati come file sui server o e-mail risalenti a molti anni fa, sono anch'essi causa di non conformità.

Nel mio prossimo articolo esaminerò il requisito 9 - Valutazione delle prestazioni. Non prenderò in considerazione il requisito 8 perché ciò richiede che le organizzazioni abbiano implementato le attività del requisito 6.

Leggi l'articolo precedente su questa serie, Analisi delle non conformità nella ISO 27001 - Clausola 5,qui.



A cura di: Tim Pinnell, NQA Information Security Assurance Manager