Sistemi di Gestione della Sicurezza delle Informazioni – SGSI [ISO IEC 27001:2005, ISO IEC 17799:2005]
L’Information Security Management System è il framework che realizza la gestione della sicurezza delle informazioni in una Organizzazione. Esso coinvolge, allo stesso livello di importanza, gli aspetti legati ai sistemi informativi, al personale ed ai processi gestionali attraverso una serie di controlli che verifichino e garantiscano il livello di sicurezza raggiunto attraverso i più vari strumenti: policy, prassi, procedure, strutture organizzative, strumenti software.
Le fasi di implementazione di un ISMS conforme alla UNI CEI ISO/IEC 27001:2006 sono le seguenti:
- initial audit: effettuazione di un conformity audit comprendete tutti i controlli dell'Annex A della Norma, al fine di verificare il grado di conformità dell'ISMS;
- definizione del perimetro dell'ISMS: analisi, mappatura e documentazione dei processi rilevanti;
- Risk management: progettazione ed implementazione del processo di gestione dei rischi delle informazioni, in conformità alla metodologia ISO/IEC 13335-3:1998 e ISO/IEC 27001:2006;
- Business Continuity Management: progettazione e supporto alla implementazione del Business Continuity plan e del Disaster recovery plan;
- progettazione dell’ISMS: stesura e/o allineamento del corpus documentale e procedurale richiesto dalla Norma;
- impostazione e realizzazione del Piano di Formazione;
- supporto diretto nella gestione dei rapporti con l'organismo di certificazione;
- servizio di auditing e supporto per tutte le attività finalizzate all'aggiornamento, mantenimento e miglioramento dell'ISMS.