ISO/IEC 27001 è la norma internazionale di riferimento per il Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Sempre più richiesta dai committenti, nei bandi di gara, dagli assicuratori cyber o per l'accesso a determinati mercati export, SYAGA vi accompagna dal gap assessment fino alla preparazione dell'audit di certificazione.
ISO 27001 non è un obbligo legale generale, ma sta diventando un prerequisito commerciale imprescindibile
ISO/IEC 27001 resta un percorso volontario. Tuttavia è sempre più richiesta nei bandi di gara, dai grandi committenti, da alcuni assicuratori cyber, o come prerequisito per l'accesso a determinati mercati export.
La maggior parte delle PMI e delle medie imprese non ha avviato alcun percorso strutturato di Sistema di Gestione della Sicurezza delle Informazioni. L'argomento è percepito come complesso, tecnico e lungo.
Le missioni di certificazione classiche impegnano i vostri team per diversi mesi e rappresentano un investimento consistente, spesso fuori dalla portata di una PMI.
Impegnare il responsabile IT o della sicurezza per mesi per costruire un SGSI non è sostenibile in una PMI dove ognuno riveste già più ruoli.
Un percorso strutturato in 3 fasi, basato sulla stessa metodologia già collaudata da SYAGA su PSSI-Express
Colloquio di inquadramento con la direzione e il responsabile SI, poi valutazione sistematica di ciascuna delle 93 misure di sicurezza dell'Allegato A (edizione 2022), ripartite sui 4 temi organizzativo, umano, fisico e tecnologico. Restituzione di un rapporto di scostamenti fattuale.
Redazione o aggiornamento della politica di sicurezza (SGSI), della Dichiarazione di Applicabilità (SoA) che giustifica l'applicazione o l'esclusione di ciascuna delle 93 misure, e di un piano di rimedio prioritizzato per colmare gli scostamenti identificati nella fase 1.
Monitoraggio dell'attuazione del piano di rimedio, revisione documentale e preparazione del vostro team all'audit condotto da un ente certificatore accreditato indipendente. SYAGA vi prepara all'audit; la certificazione stessa è rilasciata da questo ente terzo.
I documenti strutturanti del dossier di certificazione ISO 27001
Valutazione fattuale del vostro livello di conformità rispetto alla norma.
Documento normativo centrale del dossier di certificazione ISO 27001.
Il documento di governance richiesto dalle clausole 4 a 10 della norma.
La roadmap per colmare gli scostamenti identificati.
Documenti applicabili direttamente dai vostri team.
Tutti i documenti in formati che potete far evolvere.
Il SGSI ISO 27001 si sovrappone naturalmente a più standard
Standard centrale: clausole 4 a 10 (requisiti di gestione) e Allegato A (93 misure di sicurezza ripartite in 4 temi).
Le misure di gestione dei rischi cyber richieste dalla direttiva NIS2 si sovrappongono ampiamente alle misure dell'Allegato A ISO 27001. Un SGSI ISO 27001 facilita la messa in conformità NIS2 per le entità interessate.
Le misure della guida di igiene informatica dell'ANSSI (l'agenzia francese per la cybersicurezza) si sovrappongono in modo significativo alle misure dell'Allegato A ISO 27001. Corrispondenza documentata nel piano di rimedio.
Le misure tecniche e organizzative adeguate richieste dall'articolo 32 del GDPR si basano sulle stesse buone pratiche dell'Allegato A ISO 27001 (controllo degli accessi, cifratura, gestione degli incidenti).
Ogni missione ISO 27001 è dimensionata secondo il vostro perimetro e la vostra maturità attuale. Preventivo personalizzato sistematico.
Fotografia iniziale dei vostri scostamenti
Dal gap assessment alla preparazione dell'audit
Dopo la certificazione o in continuo
Contattateci per un preventivo personalizzato secondo il vostro perimetro e la vostra maturità attuale.