SlideShare a Scribd company logo

Audit ISO 19011:2011 e ISO 27001:2013

Sylvio Verrecchia - IT Security Engineer
Sylvio Verrecchia - IT Security Engineer

Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.

Technology
1 of 29
Download to read offline
ISO 19011:2011 ISO 27001:2013
2 Sylvio Verrecchia – IT Security Engineer https://www.linkedin.com/in/sylvioverrecchia/ sylvio.verrecchia@peritoinformatico.it
3 Atto mediante il quale una terza parte indipendente dichiara che, con ragionevole attendibilità, un determinato prodotto, processo o servizio è conforme ad una specifica norma o ad altro documento normativo Certificazione
4 fornisce le linee guida sugli audit di sistemi di gestione (Rappresenta lo strumento di lavoro per gli auditor) ISO 19011:2012
5 Processo sistematico, indipendente e documentato per ottenere evidenze dell’audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti. Evidenze dell’audit: registrazioni, dichiarazioni di fatti o altre informazioni, che sono pertinenti ai criteri dell’audit e verificabili. Criteri dell’audit: insieme di politiche, procedure o requisiti. Cosa è un Audit?
6 • Valutare il grado di conformità del sistema ai requisiti di riferimento. • Valutare l'efficacia del sistema e la capacità di conseguire gli obiettivi stabiliti. • Valutare se i criteri dell’audit sono stati soddisfatti. Lo scopo dell’Audit
7 Tipologie di Audit AUDIT AUDIT INTERNO AUDIT ESTERNO RUOLO 1° PARTE 2° PARTE 3° PARTE Committente Organizzazione Cliente Ente Certificatore (che richiede l'audit) Valutando se stessa Fornitore Azienda (chi verificare) Valutatore Personale qualificato per eseguire l'audit Effettuato
8 Programma di Audit terza parte Stage 1 1° Anno 2° Anno scadenzaStage 2 Riesame documentazione Attività in campo Certificazione Sorveglianza Sorveglianza Rinnovo
9 Struttura ISO 19011:2012 1 SCOPO E CAMPO DI APPLICAZIONE (SG Qualità ISO9001, SG Servizi IT ISO20000, SGSI ISO27001 , SG Continuità Operativa ISO 22301) 2 RIFERIMENTI NORMATIVI 3 TERMINI E DEFINIZIONI 4 PRINCIPI DELL’ATTIVITÀ DI AUDIT 5 GESTIONE D UN PROGRAMMA DI AUDIT (obiettivi del programma e coordinamento attività di audit) 6 SVOLGIMENTO DI UN AUDIT (pianificazione e conduzione di un audit sui SG) > APP. B 7 COMPETENZA E VALUTAZONE DEGLI AUDITOR (guida per la valutazione della competenza) > APP. A APP A - GUIDA ED ESEMPI ILLUSTRATIVI DI CONOSCENZE E ABILITÀ DEGLI AUDITOR PER SPECIFICHE DISCIPLINE APP B - GUIDA AGGIUNTIVA DESTINATA AGLI AUDITOR PER PIANIFICARE E CONDURRE AUDIT
10 Svolgimento di un audit 6.1 Generalità 6.2 Avvio dell’audit (presa contatto, fattibilità audit) 6.3 Preparazione delle attività di audit (riesame documenti, preparazione piano audit, assegnazione compiti, preparazione documenti di lavoro) 6.4 Conduzione delle attività di audit (riunione apertura, assegnazione ruoli e responsabilità ai componenti del gruppo, raccolte e verifiche delle informazioni, produzione risultanze, preparazione conclusioni, riunione chiusura) 6.5 Preparazione e distribuzione del rapporto di audit 6.6 Chiusura dell’audit (tutte le attività del piano di audit sono state attuate ed il rapporto approvato e distribuito) 6.7 Conduzione di azioni conseguenti all’audit (eventuali consigli per mettersi a norma oppure azioni correttive e di miglioramento del SGSI)
11 Raccolta di informazioni Le fonti di informazioni possono variare con il campo dell’audit: • Interviste con impiegati o altre persone; • Osservazioni delle attività; • Riesame dei documenti (politica, procedure, obiettivi, …); • Registrazioni vari (resoconti riunioni, rapporto di audit, ispezioni, risultati di misurazioni, …); • Riassunti di dati, analisi ed indicatori di prestazioni; • Solo le informazioni verificabili possono costituire evidenze dell’audit ed essere registrate. Fonti d’informazioni Raccolta a campione Evidenze Valutazione rispetto ai criteri Risultanze Riesame Conclusione
12 • Sottoporre a verifiche la documentazione del SG del cliente; • Riesaminare lo stato e comprensione del Cliente riguardo i requisiti (processi, obiettivi e funzionamento del Sistema di Gestione); • Raccogliere informazioni riguardanti il campo di applicazione del SG, i processi, le sedi, gli aspetti legali; • Riesaminare l’assegnazione delle risorse e concordare con il Cliente i dettagli della fase 2; • Valutare se gli audit interni siano stati pianificati ed eseguiti e che il livello di attuazione del SG fornisca l’evidenza che il Cliente è pronto per la fase 2. Il riesame è svolto, prima dello svolgimento dell’audit, per verificare che la documentazione sia adeguata agli obiettivi ed al campo dell’audit. Le risultanze devono essere documentate e comunicate al Cliente. Eventuale inadeguatezza potrebbe essere classificata, nella fase 2, come una “NON CONFORMITA’”. Il Responsabile del Gruppo di Audit potrebbe decidere se continuare o sospendere l’audit fino a che le perplessità sulla documentazione siano state risolte. Stage 1
13 Valutare l’attuazione e l’efficacia del Sistema di Gestione del Cliente. Nel Sistema di Gestione per la Sicurezza delle Informazioni, si andrà a focalizzarsi: • Informazioni ed evidenze circa la conformità dei requisiti; • Valutazione dei rischi riferiti alla sicurezza delle informazioni; • Selezione di Controlli e degli Obiettivi di Controllo basati sui processi di valutazione e trattamento del rischio; • Riesame delle prestazioni del SGSI e delle misure delle stesse; • Verifiche interne dell’SGSI e riesame della direzione; • Responsabilità (Risk Owner) e competenza del personale; • La corrispondenza fra i Controlli applicabili ed applicati, la Dichiarazione di Applicabilità (SOA), i risultati del processo di valutazione e trattamento del rischio, la Politica e gli Obiettivi dell’SGSI. Stage 2
14 “L’informazione è una risorsa che, al pari di altri beni che costituiscono il patrimonio di un’azienda, rappresenta un valore per l’organizzazione e necessita pertanto di essere adeguatamente protetto” ISO/IEC 27002:2005 ISO 27001:2013
15 • La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali; • Sono norme emesse dalla ISO (International Organisation for Standardization); • Specificano un modello di sistema di gestione valido per tutte le organizzazioni, indipendentemente dal tipo e dimensione delle stesse e dei prodotti/servizi forniti. Va quindi adattato alla specifica realtà; • Approccio ciclico (PDCA), rivolto al miglioramento continuo; • Possono essere utilizzate per uso interno, per scopi contrattuali e di certificazione; • Dicono cosa fare, non come farlo. Ambito definibile a piacimento. Struttura ad alto livello. • Forniscono i requisiti minimi per attuare un Sistema di Gestione per la Sicurezza delle Informazioni. ISO 27001:2013 ISO/IEC 27001:2013 (Sistemi di gestione per la sicurezza delle informazioni - Requisiti ) ISO/IEC 27002:2013 (Raccolta di prassi sui controlli per la sicurezza delle informazioni ) ISO/IEC 27005:2011 (Information Security Risk Management)
16 Obiettivi della ISO 27001:2013
17 Obiettivi della ISO 27001:2013
18 Struttura ISO 27001:2013 vs 2005
19 Ciclo di Deming - PDCA Il modello PDCA (Plan, Do, Check, Act) è una metodologia tale da garantire il miglioramento continuo dei processi:  PLAN = la pianificazione, dire ciò che si fa;  DO = la realizzazione, fare ciò che si è detto;  CHECK = il controllo e la misurazione, registrare ciò che si è fatto;  ACT = l’applicazione delle migliorie individuate, verificare e mettere a sistema. Questo ciclo prescrive una fase di consolidamento per ogni miglioramento affinché l'organizzazione possa assimilare le nuove procedure.
20 Struttura ISO 27001:2013 + PDCA
21 ISO 27001:2013 - Documenti Richiesta la comprensione del contesto interno ed esterno dell’organizzazione, nonché l’identificazione degli stakeholder e delle loro aspettative . • Campo di applicazione Assicurare le risorse necessarie; Integrare SGSI nell’Organizzazione; Supportare il personale interno; Definire gli obiettivi ; Definizione della politica di sicurezza delle informazioni; La politica deve essere comunicata e resa disponibile; Promuovere il miglioramento continuo; Definire ruoli e responsabilità. • Politica di sicurezza (Information Security Policy)
22 ISO 27001:2013 - Documenti Risk assessment non più esplicitamente legato ad asset, minacce e vulnerabilità. – Si chiede di identificare i rischi relativi alla sicurezza delle informazioni e associati alla perdita di riservatezza, integrità e disponibilità; – Identificazione, analisi, valutazione e trattamento del rischio sono nel planning perché contribuiscono alla pianificazione del sistema di gestione per la sicurezza delle informazioni; – Il metodo deve sempre garantire la coerenza, validità e comparabilità dei risultati; – Approvazione del rischio accettabile; Si chiede di identificare i “risk owner”. Rimangono l’Annex A e lo SoA (inclusione ed esclusione dei controlli). Più dettagli su come stabilire gli obiettivi del sistema di gestione (in accordo con la sec. policy, misurabili, basati sul rischio, comunicati e aggiornati). • Metodologia Valutazione del rischio (Risk assessment process) • Piano trattamento del rischio (Risk treatment process) • Stato di applicabilità (SOA) • Obiettivi di sicurezza (Security objectives)
23 ISO 27001:2013 - Documenti Riguarda le risorse, le risorse umane, la comunicazione e le informazioni documentate. - Maggiore rilievo alla preparazione ed alla consapevolezza del personale (education, training, expertise) - Più dettagli su come devono essere affrontate le comunicazioni - Rimangono le modalità di gestione dei documenti (available, suitable, updated, protected, external documents) • Competenze del personale coinvolto (Evidence of competence) Si richiama il punto 6 per la pianificazione, implementazione e controllo dei processi necessari al raggiungimento degli obiettivi di sicurezza (6.1 e 6.2) • Risultati valutazione del rischio (Risk assessment results) • Risultati trattamento del rischio (Result of information security risk treatment )
24 ISO 27001:2013 - Documenti Tratta il: – monitoraggio, misurazioni, analisi e valutazione delle perforrmances – audit interni – riesame di Direzione • Attività di monitoraggio e misurazione (Evidence of monitoring and measurements) • Attività audit interni (Evidence of audit programme and results) • Riesame della direzione (Evidence of results of management reviews) Riguarda: non conformità, azioni correttive e miglioramento continuo • Gestione delle Non Conformità (Nature and actions resulting from NC) • Gestione delle Azioni Correttive (Results of corrective actions)
25 ISO 27001:2013 - Annex A
26 ISO 27001:2013 - Annex A La ISO 27001 definisce ed elenca una serie di 114 controlli da attuare per limitare il rischio, divisi in famiglie: • La politica e l'organizzazione per la sicurezza delle informazioni • La sicurezza delle risorse umane • La gestione dei beni • Il controllo degli accessi fisici e logici • La crittografia • La sicurezza fisica e ambientale • La sicurezza delle attività operative e delle comunicazioni • Sicurezza dei sistemi informativi • Relazioni con i fornitori • La gestione del monitoraggio e trattamento degli incidenti • La gestione della Business Continuity e il rispetto normativo
27 Analisi del rischio ISO 27001:2013 Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni. Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può essere considerata come un esteso catalogo.
28 Fornisce linee guida generali per la per la gestione del rischio in una organizzazione, con particolare attenzione a quelle che hanno realizzato un SGSI conforme ai requisiti della 27001. Definisce gli step da seguire per una corretta gestione del rischio inerente la sicurezza delle informazioni. ISO 27005:2011 -Identificazione del Rischio - individuazione degli assets da proteggere; - minacce; - vulnerabilità; - impatti in termini di perdita di Riservatezza, Integrità e Disponibilità delle informazioni. - Valutazione del Rischio - danni; - probabilità; - stima del livello dei rischi. - Trattamento del Rischio - accettare il rischio; - ridurre il rischio utilizzando contromisure; - trasferire il rischio; - evitare il rischio.
29 Via Adriano Olivetti, 24/26 00131 Roma (Italia) email: info@gyala.it

Recommended

LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
ControlCase
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013
scttmcvy
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
Fabrizio Di Crosta
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Magda CHELLY, Ph.D, S-CISO, CISSP®
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
Vigilant Software
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
Dr Madhu Aman Sharma
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
ControlCase
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013
scttmcvy
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
Fabrizio Di Crosta
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Magda CHELLY, Ph.D, S-CISO, CISSP®
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
Vigilant Software
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
Dr Madhu Aman Sharma
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?
PECB
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
PECB
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdf
SerkanRafetHalil1
 
ISO/IEC 27001:2022 (Information Security Management Systems) Awareness Training
ISO/IEC 27001:2022 (Information Security Management Systems) Awareness TrainingISO/IEC 27001:2022 (Information Security Management Systems) Awareness Training
ISO/IEC 27001:2022 (Information Security Management Systems) Awareness Training
Operational Excellence Consulting
 
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Schellman & Company
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
khushboo
 
Pemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptx
Pemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptxPemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptx
Pemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptx
Ali Konsultan
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001
Imran Ahmed
 
Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013
Ali Fuad R
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
PECB
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
Dr Madhu Aman Sharma
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf
ControlCase
 
Iso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromIso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interprom
Mart Rovers
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation Guide
NQA
 
How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...
Hernan Huwyler, MBA CPA
 
ISO 27001:2013 Mandatory documents and records
ISO 27001:2013 Mandatory documents and recordsISO 27001:2013 Mandatory documents and records
ISO 27001:2013 Mandatory documents and records
Manoj Vakekattil
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
Ãsħâr Ãâlâm
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentation
Pranay Kumar
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
ControlCase
 
NQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex ANQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex A
NA Putra
 
I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012
Mario Gentili
 
Linea guida 20121 rev.4
Linea guida 20121 rev.4Linea guida 20121 rev.4
Linea guida 20121 rev.4
Certification Europe Italia
 

More Related Content

What's hot

ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?
PECB
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
PECB
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdf
SerkanRafetHalil1
 
ISO/IEC 27001:2022 (Information Security Management Systems) Awareness Training
ISO/IEC 27001:2022 (Information Security Management Systems) Awareness TrainingISO/IEC 27001:2022 (Information Security Management Systems) Awareness Training
ISO/IEC 27001:2022 (Information Security Management Systems) Awareness Training
Operational Excellence Consulting
 
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Schellman & Company
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
khushboo
 
Pemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptx
Pemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptxPemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptx
Pemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptx
Ali Konsultan
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001
Imran Ahmed
 
Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013
Ali Fuad R
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
PECB
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
Dr Madhu Aman Sharma
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf
ControlCase
 
Iso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromIso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interprom
Mart Rovers
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation Guide
NQA
 
How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...
Hernan Huwyler, MBA CPA
 
ISO 27001:2013 Mandatory documents and records
ISO 27001:2013 Mandatory documents and recordsISO 27001:2013 Mandatory documents and records
ISO 27001:2013 Mandatory documents and records
Manoj Vakekattil
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
Ãsħâr Ãâlâm
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentation
Pranay Kumar
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
ControlCase
 
NQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex ANQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex A
NA Putra
 

What's hot (20)

ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?
 
Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032Improve Cybersecurity posture by using ISO/IEC 27032
Improve Cybersecurity posture by using ISO/IEC 27032
 
ISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdfISO 27001_2022 Standard_Presentation.pdf
ISO 27001_2022 Standard_Presentation.pdf
 
ISO/IEC 27001:2022 (Information Security Management Systems) Awareness Training
ISO/IEC 27001:2022 (Information Security Management Systems) Awareness TrainingISO/IEC 27001:2022 (Information Security Management Systems) Awareness Training
ISO/IEC 27001:2022 (Information Security Management Systems) Awareness Training
 
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
 
Pemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptx
Pemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptxPemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptx
Pemahaman SMKI ISO 27001_2013 dan ISO 27001_2022 New Edition.pptx
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001
 
Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013Awareness ISMS ISO 27001:2013
Awareness ISMS ISO 27001:2013
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf
 
Iso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interpromIso iec 27001 foundation training course by interprom
Iso iec 27001 foundation training course by interprom
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation Guide
 
How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...
 
ISO 27001:2013 Mandatory documents and records
ISO 27001:2013 Mandatory documents and recordsISO 27001:2013 Mandatory documents and records
ISO 27001:2013 Mandatory documents and records
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentation
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
 
NQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex ANQA ISO 27001 A Guide to Annex A
NQA ISO 27001 A Guide to Annex A
 

Similar to Audit ISO 19011:2011 e ISO 27001:2013

I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012
Mario Gentili
 
Linea guida 20121 rev.4
Linea guida 20121 rev.4Linea guida 20121 rev.4
Linea guida 20121 rev.4
Certification Europe Italia
 
03A quadro normativo di riferimento
03A quadro normativo di riferimento03A quadro normativo di riferimento
03A quadro normativo di riferimento
Maurilio Savoldi
 
Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestione
Fabio Rosito
 
Corso sicurezza e indicatori di prestazione
Corso sicurezza e indicatori di prestazioneCorso sicurezza e indicatori di prestazione
Corso sicurezza e indicatori di prestazione
Carlo Bisio (1000 +)
 
Fse 15 lezione - iso9001
Fse 15 lezione - iso9001Fse 15 lezione - iso9001
Fse 15 lezione - iso9001ANAPIA FSE 2010
 
Continual service improvement tutorial
Continual service improvement tutorialContinual service improvement tutorial
Continual service improvement tutorial
Andrea Praitano
 
Sgs auditor iso 50001 4 iso 19011
Sgs auditor iso 50001 4 iso 19011Sgs auditor iso 50001 4 iso 19011
Sgs auditor iso 50001 4 iso 19011Luca Vecchiato
 
00 la qualità demistificata (premesse)
00 la qualità demistificata (premesse)00 la qualità demistificata (premesse)
00 la qualità demistificata (premesse)
Andrea Saviano
 
9 - Norme Tecniche e Risk Management
9 - Norme Tecniche e Risk Management9 - Norme Tecniche e Risk Management
9 - Norme Tecniche e Risk Management
Piero Mignardi
 
Uni en iso 9001 2015
Uni en iso 9001 2015Uni en iso 9001 2015
Uni en iso 9001 2015
Silvio Marzo
 
Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...
Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...
Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Gestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
Gestione sistema integrato Qualità Ambiente Sicurezza con QualibusGestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
Gestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
Sogesi
 
Uni en iso 19011 2012
Uni en iso 19011 2012Uni en iso 19011 2012
Uni en iso 19011 2012
Mario Gentili
 
Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...
Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...
Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Implementazione del modello Qualità - Alessandra Damiani
Implementazione del modello Qualità - Alessandra DamianiImplementazione del modello Qualità - Alessandra Damiani
Implementazione del modello Qualità - Alessandra Damiani
Barbieri & Associati Dottori Commercialisti - Bologna
 

Similar to Audit ISO 19011:2011 e ISO 27001:2013 (20)

I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012
 
Linea guida 20121 rev.4
Linea guida 20121 rev.4Linea guida 20121 rev.4
Linea guida 20121 rev.4
 
03A quadro normativo di riferimento
03A quadro normativo di riferimento03A quadro normativo di riferimento
03A quadro normativo di riferimento
 
Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestione
 
Corso sicurezza e indicatori di prestazione
Corso sicurezza e indicatori di prestazioneCorso sicurezza e indicatori di prestazione
Corso sicurezza e indicatori di prestazione
 
Fse 08 - iso9001
Fse 08 - iso9001Fse 08 - iso9001
Fse 08 - iso9001
 
Fse 15 lezione - iso9001
Fse 15 lezione - iso9001Fse 15 lezione - iso9001
Fse 15 lezione - iso9001
 
2 Iso9001
2 Iso90012 Iso9001
2 Iso9001
 
Continual service improvement tutorial
Continual service improvement tutorialContinual service improvement tutorial
Continual service improvement tutorial
 
Sgs auditor iso 50001 4 iso 19011
Sgs auditor iso 50001 4 iso 19011Sgs auditor iso 50001 4 iso 19011
Sgs auditor iso 50001 4 iso 19011
 
00 la qualità demistificata (premesse)
00 la qualità demistificata (premesse)00 la qualità demistificata (premesse)
00 la qualità demistificata (premesse)
 
9 - Norme Tecniche e Risk Management
9 - Norme Tecniche e Risk Management9 - Norme Tecniche e Risk Management
9 - Norme Tecniche e Risk Management
 
Uni en iso 9001 2015
Uni en iso 9001 2015Uni en iso 9001 2015
Uni en iso 9001 2015
 
Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...
Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...
Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...
 
Gestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
Gestione sistema integrato Qualità Ambiente Sicurezza con QualibusGestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
Gestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
 
56 asl fi-sgsl_verifica_efficacia_novelli
56 asl fi-sgsl_verifica_efficacia_novelli56 asl fi-sgsl_verifica_efficacia_novelli
56 asl fi-sgsl_verifica_efficacia_novelli
 
Uni en iso 19011 2012
Uni en iso 19011 2012Uni en iso 19011 2012
Uni en iso 19011 2012
 
Sistemi di gestione
Sistemi di gestioneSistemi di gestione
Sistemi di gestione
 
Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...
Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...
Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...
 
Implementazione del modello Qualità - Alessandra Damiani
Implementazione del modello Qualità - Alessandra DamianiImplementazione del modello Qualità - Alessandra Damiani
Implementazione del modello Qualità - Alessandra Damiani
 

More from Sylvio Verrecchia - IT Security Engineer

Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
Sylvio Verrecchia - IT Security Engineer
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
 
ECSM 2015 - Video Awareness Security
ECSM 2015 - Video Awareness SecurityECSM 2015 - Video Awareness Security
ECSM 2015 - Video Awareness Security
Sylvio Verrecchia - IT Security Engineer
 
Linux Day 2015 - La Sicurezza dei Siti Web PA
Linux Day 2015 - La Sicurezza dei Siti Web PALinux Day 2015 - La Sicurezza dei Siti Web PA
Linux Day 2015 - La Sicurezza dei Siti Web PA
Sylvio Verrecchia - IT Security Engineer
 
Clusit - Pillole di Sicurezza Informatica
Clusit - Pillole di Sicurezza InformaticaClusit - Pillole di Sicurezza Informatica
Clusit - Pillole di Sicurezza Informatica
Sylvio Verrecchia - IT Security Engineer
 
Sicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica AmministrazioneSicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica Amministrazione
Sylvio Verrecchia - IT Security Engineer
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
Sylvio Verrecchia - IT Security Engineer
 

More from Sylvio Verrecchia - IT Security Engineer (7)

Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
ECSM 2015 - Video Awareness Security
ECSM 2015 - Video Awareness SecurityECSM 2015 - Video Awareness Security
ECSM 2015 - Video Awareness Security
 
Linux Day 2015 - La Sicurezza dei Siti Web PA
Linux Day 2015 - La Sicurezza dei Siti Web PALinux Day 2015 - La Sicurezza dei Siti Web PA
Linux Day 2015 - La Sicurezza dei Siti Web PA
 
Clusit - Pillole di Sicurezza Informatica
Clusit - Pillole di Sicurezza InformaticaClusit - Pillole di Sicurezza Informatica
Clusit - Pillole di Sicurezza Informatica
 
Sicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica AmministrazioneSicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica Amministrazione
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
 

Audit ISO 19011:2011 e ISO 27001:2013

  • 2. 2 Sylvio Verrecchia – IT Security Engineer https://www.linkedin.com/in/sylvioverrecchia/ sylvio.verrecchia@peritoinformatico.it
  • 3. 3 Atto mediante il quale una terza parte indipendente dichiara che, con ragionevole attendibilità, un determinato prodotto, processo o servizio è conforme ad una specifica norma o ad altro documento normativo Certificazione
  • 4. 4 fornisce le linee guida sugli audit di sistemi di gestione (Rappresenta lo strumento di lavoro per gli auditor) ISO 19011:2012
  • 5. 5 Processo sistematico, indipendente e documentato per ottenere evidenze dell’audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti. Evidenze dell’audit: registrazioni, dichiarazioni di fatti o altre informazioni, che sono pertinenti ai criteri dell’audit e verificabili. Criteri dell’audit: insieme di politiche, procedure o requisiti. Cosa è un Audit?
  • 6. 6 • Valutare il grado di conformità del sistema ai requisiti di riferimento. • Valutare l'efficacia del sistema e la capacità di conseguire gli obiettivi stabiliti. • Valutare se i criteri dell’audit sono stati soddisfatti. Lo scopo dell’Audit
  • 7. 7 Tipologie di Audit AUDIT AUDIT INTERNO AUDIT ESTERNO RUOLO 1° PARTE 2° PARTE 3° PARTE Committente Organizzazione Cliente Ente Certificatore (che richiede l'audit) Valutando se stessa Fornitore Azienda (chi verificare) Valutatore Personale qualificato per eseguire l'audit Effettuato
  • 8. 8 Programma di Audit terza parte Stage 1 1° Anno 2° Anno scadenzaStage 2 Riesame documentazione Attività in campo Certificazione Sorveglianza Sorveglianza Rinnovo
  • 9. 9 Struttura ISO 19011:2012 1 SCOPO E CAMPO DI APPLICAZIONE (SG Qualità ISO9001, SG Servizi IT ISO20000, SGSI ISO27001 , SG Continuità Operativa ISO 22301) 2 RIFERIMENTI NORMATIVI 3 TERMINI E DEFINIZIONI 4 PRINCIPI DELL’ATTIVITÀ DI AUDIT 5 GESTIONE D UN PROGRAMMA DI AUDIT (obiettivi del programma e coordinamento attività di audit) 6 SVOLGIMENTO DI UN AUDIT (pianificazione e conduzione di un audit sui SG) > APP. B 7 COMPETENZA E VALUTAZONE DEGLI AUDITOR (guida per la valutazione della competenza) > APP. A APP A - GUIDA ED ESEMPI ILLUSTRATIVI DI CONOSCENZE E ABILITÀ DEGLI AUDITOR PER SPECIFICHE DISCIPLINE APP B - GUIDA AGGIUNTIVA DESTINATA AGLI AUDITOR PER PIANIFICARE E CONDURRE AUDIT
  • 10. 10 Svolgimento di un audit 6.1 Generalità 6.2 Avvio dell’audit (presa contatto, fattibilità audit) 6.3 Preparazione delle attività di audit (riesame documenti, preparazione piano audit, assegnazione compiti, preparazione documenti di lavoro) 6.4 Conduzione delle attività di audit (riunione apertura, assegnazione ruoli e responsabilità ai componenti del gruppo, raccolte e verifiche delle informazioni, produzione risultanze, preparazione conclusioni, riunione chiusura) 6.5 Preparazione e distribuzione del rapporto di audit 6.6 Chiusura dell’audit (tutte le attività del piano di audit sono state attuate ed il rapporto approvato e distribuito) 6.7 Conduzione di azioni conseguenti all’audit (eventuali consigli per mettersi a norma oppure azioni correttive e di miglioramento del SGSI)
  • 11. 11 Raccolta di informazioni Le fonti di informazioni possono variare con il campo dell’audit: • Interviste con impiegati o altre persone; • Osservazioni delle attività; • Riesame dei documenti (politica, procedure, obiettivi, …); • Registrazioni vari (resoconti riunioni, rapporto di audit, ispezioni, risultati di misurazioni, …); • Riassunti di dati, analisi ed indicatori di prestazioni; • Solo le informazioni verificabili possono costituire evidenze dell’audit ed essere registrate. Fonti d’informazioni Raccolta a campione Evidenze Valutazione rispetto ai criteri Risultanze Riesame Conclusione
  • 12. 12 • Sottoporre a verifiche la documentazione del SG del cliente; • Riesaminare lo stato e comprensione del Cliente riguardo i requisiti (processi, obiettivi e funzionamento del Sistema di Gestione); • Raccogliere informazioni riguardanti il campo di applicazione del SG, i processi, le sedi, gli aspetti legali; • Riesaminare l’assegnazione delle risorse e concordare con il Cliente i dettagli della fase 2; • Valutare se gli audit interni siano stati pianificati ed eseguiti e che il livello di attuazione del SG fornisca l’evidenza che il Cliente è pronto per la fase 2. Il riesame è svolto, prima dello svolgimento dell’audit, per verificare che la documentazione sia adeguata agli obiettivi ed al campo dell’audit. Le risultanze devono essere documentate e comunicate al Cliente. Eventuale inadeguatezza potrebbe essere classificata, nella fase 2, come una “NON CONFORMITA’”. Il Responsabile del Gruppo di Audit potrebbe decidere se continuare o sospendere l’audit fino a che le perplessità sulla documentazione siano state risolte. Stage 1
  • 13. 13 Valutare l’attuazione e l’efficacia del Sistema di Gestione del Cliente. Nel Sistema di Gestione per la Sicurezza delle Informazioni, si andrà a focalizzarsi: • Informazioni ed evidenze circa la conformità dei requisiti; • Valutazione dei rischi riferiti alla sicurezza delle informazioni; • Selezione di Controlli e degli Obiettivi di Controllo basati sui processi di valutazione e trattamento del rischio; • Riesame delle prestazioni del SGSI e delle misure delle stesse; • Verifiche interne dell’SGSI e riesame della direzione; • Responsabilità (Risk Owner) e competenza del personale; • La corrispondenza fra i Controlli applicabili ed applicati, la Dichiarazione di Applicabilità (SOA), i risultati del processo di valutazione e trattamento del rischio, la Politica e gli Obiettivi dell’SGSI. Stage 2
  • 14. 14 “L’informazione è una risorsa che, al pari di altri beni che costituiscono il patrimonio di un’azienda, rappresenta un valore per l’organizzazione e necessita pertanto di essere adeguatamente protetto” ISO/IEC 27002:2005 ISO 27001:2013
  • 15. 15 • La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali; • Sono norme emesse dalla ISO (International Organisation for Standardization); • Specificano un modello di sistema di gestione valido per tutte le organizzazioni, indipendentemente dal tipo e dimensione delle stesse e dei prodotti/servizi forniti. Va quindi adattato alla specifica realtà; • Approccio ciclico (PDCA), rivolto al miglioramento continuo; • Possono essere utilizzate per uso interno, per scopi contrattuali e di certificazione; • Dicono cosa fare, non come farlo. Ambito definibile a piacimento. Struttura ad alto livello. • Forniscono i requisiti minimi per attuare un Sistema di Gestione per la Sicurezza delle Informazioni. ISO 27001:2013 ISO/IEC 27001:2013 (Sistemi di gestione per la sicurezza delle informazioni - Requisiti ) ISO/IEC 27002:2013 (Raccolta di prassi sui controlli per la sicurezza delle informazioni ) ISO/IEC 27005:2011 (Information Security Risk Management)
  • 19. 19 Ciclo di Deming - PDCA Il modello PDCA (Plan, Do, Check, Act) è una metodologia tale da garantire il miglioramento continuo dei processi:  PLAN = la pianificazione, dire ciò che si fa;  DO = la realizzazione, fare ciò che si è detto;  CHECK = il controllo e la misurazione, registrare ciò che si è fatto;  ACT = l’applicazione delle migliorie individuate, verificare e mettere a sistema. Questo ciclo prescrive una fase di consolidamento per ogni miglioramento affinché l'organizzazione possa assimilare le nuove procedure.
  • 21. 21 ISO 27001:2013 - Documenti Richiesta la comprensione del contesto interno ed esterno dell’organizzazione, nonché l’identificazione degli stakeholder e delle loro aspettative . • Campo di applicazione Assicurare le risorse necessarie; Integrare SGSI nell’Organizzazione; Supportare il personale interno; Definire gli obiettivi ; Definizione della politica di sicurezza delle informazioni; La politica deve essere comunicata e resa disponibile; Promuovere il miglioramento continuo; Definire ruoli e responsabilità. • Politica di sicurezza (Information Security Policy)
  • 22. 22 ISO 27001:2013 - Documenti Risk assessment non più esplicitamente legato ad asset, minacce e vulnerabilità. – Si chiede di identificare i rischi relativi alla sicurezza delle informazioni e associati alla perdita di riservatezza, integrità e disponibilità; – Identificazione, analisi, valutazione e trattamento del rischio sono nel planning perché contribuiscono alla pianificazione del sistema di gestione per la sicurezza delle informazioni; – Il metodo deve sempre garantire la coerenza, validità e comparabilità dei risultati; – Approvazione del rischio accettabile; Si chiede di identificare i “risk owner”. Rimangono l’Annex A e lo SoA (inclusione ed esclusione dei controlli). Più dettagli su come stabilire gli obiettivi del sistema di gestione (in accordo con la sec. policy, misurabili, basati sul rischio, comunicati e aggiornati). • Metodologia Valutazione del rischio (Risk assessment process) • Piano trattamento del rischio (Risk treatment process) • Stato di applicabilità (SOA) • Obiettivi di sicurezza (Security objectives)
  • 23. 23 ISO 27001:2013 - Documenti Riguarda le risorse, le risorse umane, la comunicazione e le informazioni documentate. - Maggiore rilievo alla preparazione ed alla consapevolezza del personale (education, training, expertise) - Più dettagli su come devono essere affrontate le comunicazioni - Rimangono le modalità di gestione dei documenti (available, suitable, updated, protected, external documents) • Competenze del personale coinvolto (Evidence of competence) Si richiama il punto 6 per la pianificazione, implementazione e controllo dei processi necessari al raggiungimento degli obiettivi di sicurezza (6.1 e 6.2) • Risultati valutazione del rischio (Risk assessment results) • Risultati trattamento del rischio (Result of information security risk treatment )
  • 24. 24 ISO 27001:2013 - Documenti Tratta il: – monitoraggio, misurazioni, analisi e valutazione delle perforrmances – audit interni – riesame di Direzione • Attività di monitoraggio e misurazione (Evidence of monitoring and measurements) • Attività audit interni (Evidence of audit programme and results) • Riesame della direzione (Evidence of results of management reviews) Riguarda: non conformità, azioni correttive e miglioramento continuo • Gestione delle Non Conformità (Nature and actions resulting from NC) • Gestione delle Azioni Correttive (Results of corrective actions)
  • 26. 26 ISO 27001:2013 - Annex A La ISO 27001 definisce ed elenca una serie di 114 controlli da attuare per limitare il rischio, divisi in famiglie: • La politica e l'organizzazione per la sicurezza delle informazioni • La sicurezza delle risorse umane • La gestione dei beni • Il controllo degli accessi fisici e logici • La crittografia • La sicurezza fisica e ambientale • La sicurezza delle attività operative e delle comunicazioni • Sicurezza dei sistemi informativi • Relazioni con i fornitori • La gestione del monitoraggio e trattamento degli incidenti • La gestione della Business Continuity e il rispetto normativo
  • 27. 27 Analisi del rischio ISO 27001:2013 Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni. Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può essere considerata come un esteso catalogo.
  • 28. 28 Fornisce linee guida generali per la per la gestione del rischio in una organizzazione, con particolare attenzione a quelle che hanno realizzato un SGSI conforme ai requisiti della 27001. Definisce gli step da seguire per una corretta gestione del rischio inerente la sicurezza delle informazioni. ISO 27005:2011 -Identificazione del Rischio - individuazione degli assets da proteggere; - minacce; - vulnerabilità; - impatti in termini di perdita di Riservatezza, Integrità e Disponibilità delle informazioni. - Valutazione del Rischio - danni; - probabilità; - stima del livello dei rischi. - Trattamento del Rischio - accettare il rischio; - ridurre il rischio utilizzando contromisure; - trasferire il rischio; - evitare il rischio.
  • 29. 29 Via Adriano Olivetti, 24/26 00131 Roma (Italia) email: info@gyala.it