- Implementa e impara
- RisorseRisorse
- Per i Partner
- Chi Siamo
Esperto ISO 27001 - Contattaci
Se stai iniziando a implementare la ISO 27001 probabilmente stai cercando un modo semplice per implementare questa norma. Cercherò di semplificare il tuo lavoro: ecco un elenco di 16 passaggi che riassumono come implementare la ISO 27001. Dall'ottenimento del consenso da parte dell’alta direzione, allo svolgimento delle attività per l'implementazione, il monitoraggio e il miglioramento, in questa checklist della ISO 27001 hai i passaggi principali che la tua organizzazione deve seguire se vuoi ottenere la certificazione ISO 27001
Questo può sembrare piuttosto ovvio e di solito non viene preso abbastanza sul serio. Ma secondo la mia esperienza, questo è il motivo principale per cui i progetti di certificazione ISO 27001 falliscono: la direzione non mette a disposizione abbastanza persone o abbastanza soldi per lavorare al progetto.
Nelle sezioni seguenti troverai alcuni suggerimenti su come convincere la tua direzione e sul costo dell'implementazione.
Come ho già detto, l'implementazione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) basato sulla ISO 27001 è un'impresa complessa che coinvolge diverse attività e molte persone, che dura da un paio di mesi (per le aziende più piccole) fino a più di un anno (per grandi aziende).
Se non definisci chiaramente cosa deve essere fatto, chi lo farà e in quale lasso di tempo (ad esempio, applicare la gestione del progetto), potresti anche non finire mai il lavoro.
Se sei un'organizzazione più grande, probabilmente ha senso implementare la ISO 27001 solo in una parte della tua organizzazione, riducendo così significativamente il rischio del tuo progetto; tuttavia, se la tua azienda ha meno di 50 dipendenti, sarà probabilmente più facile includere l'intera azienda nel campo di applicazione.
Trova ulteriori informazioni sulla definizione del campo di applicazione nell'articolo How to define the ISMS scope.
La Politica per la Sicurezza delle Informazioni (o politica dell’SGSI) è il documento interno di più alto livello nel tuo SGSI: non deve essere molto dettagliato, ma deve definire alcuni requisiti di base per la sicurezza delle informazioni nella tua organizzazione.
Ma qual è il suo scopo se non è dettagliato? Lo scopo è che la direzione definisca cosa vuole ottenere e come controllarlo. (Ulteriori informazioni nell'articolo What should you write in your Information Security Policy according to ISO 27001?).
La valutazione del rischio è il compito più complesso del progetto ISO 27001: lo scopo della metodologia è definire le regole per identificare i rischi, gli impatti e la probabilità e definire il livello di rischio accettabile.
Se tali regole non fossero chiaramente definite, potresti trovarti in una situazione in cui ottieni risultati inutilizzabili. (Per ulteriori informazioni, leggi l'articolo ISO 27001 Valutazione, Trattamento e Gestione del Rischio: La Guida Completa).
Qui devi implementare la valutazione del rischio che hai definito nel passaggio precedente: potrebbero essere necessari un paio di giorni per una piccola azienda e fino a diversi mesi per le organizzazioni più grandi, quindi dovresti coordinare tale sforzo con grande attenzione. Il punto è ottenere un quadro completo dei pericoli interni ed esterni ai dati della tua organizzazione.
Lo scopo del processo di trattamento del rischio è ridurre i rischi che non sono accettabili - questo di solito viene fatto pianificando di utilizzare i controlli dell'allegato A. Durante questa fase, deve essere scritto un rapporto di valutazione del rischio, che documenti tutti i passaggi intrapresi durante il processo di valutazione e trattamento del rischio. Inoltre, è necessario ottenere un'approvazione dei rischi residui.
Scopri di più sui dettagli della valutazione e del trattamento del rischio nell'articolo ISO 27001 Valutazione, Trattamento e Gestione del Rischio: La Guida Completa.
Una volta completata la valutazione del rischio e il processo di trattamento, saprai esattamente quali controlli dell’Allegato A della ISO 27001 sono necessari. Lo scopo di questo documento (spesso indicato come Dichiarazione di Applicabilità, o SoA) è di elencare tutti i controlli e definire quali sono applicabili e quali no, le ragioni di tale decisione e una descrizione di come sono implementati nell'organizzazione.
La Dichiarazione di Applicabilità è anche il documento più idoneo per ottenere l'autorizzazione da parte della direzione per l’implementazione dell’SGSI. (Per saperne di più, leggi l'articolo The importance of Statement of Applicability for ISO 27001).
Proprio quando pensavi di aver risolto con tutti i documenti relativi al rischio, ne arriva un altro – lo scopo del Piano per il Trattamento del Rischio è definire esattamente come devono essere implementati i controlli della SoA – chi lo farà, quando, con quale budget, ecc.
Questo documento è in realtà un piano di implementazione incentrato sui tuoi controlli, senza il quale non saresti in grado di coordinare ulteriori fasi del progetto.
Questo è un altro compito che di solito è sottovalutato in un sistema di gestione. Il punto qui è: se non puoi misurare ciò che hai fatto, come puoi essere sicuro di aver raggiunto lo scopo?
Pertanto, assicurati di definire come misurerai il raggiungimento degli obiettivi che hai impostato sia per l'intero SGSI, sia per i processi e/o i controlli di sicurezza. (Leggi di più nell'articolo ISO 27001 control objectives – Why are they important?)
Questo potrebbe essere più facile a dirsi che a farsi. È qui che devi implementare tutti i documenti e la tecnologia e, di conseguenza, modificare i processi di sicurezza nella tua azienda. Per ulteriori informazioni sui documenti e le registrazioni richieste dalla ISO 27001, leggi l'articolo Elenco dei documenti obbligatori richiesti dalla ISO 27001. Per ulteriori informazioni sull'allegato A, leggi l'articolo How to structure the documents for ISO 27001 Annex A controls.
Questo è solitamente il compito più difficile del tuo progetto perché significa imporre un nuovo comportamento nella tua organizzazione. Spesso sono necessarie nuove politiche e procedure (il che significa che è necessario un cambiamento) e le persone di solito si oppongono al cambiamento: ecco perché il compito successivo (formazione e consapevolezza) è fondamentale per evitare tale rischio.
Se vuoi che il tuo personale implementi tutte le nuove politiche e procedure, devi prima spiegare loro perché sono necessarie e formare il tuo personale affinché sia in grado di agire come previsto.
L'assenza di formazione e consapevolezza è la seconda ragione più comune per il fallimento del progetto ISO 27001. (Per ulteriori informazioni su formazione e sensibilizzazione, leggi l'articolo How to perform training & awareness for ISO 27001 and ISO 22301).
Questa è la parte in cui la ISO 27001 diventa una routine quotidiana nella tua organizzazione. La parola cruciale qui è: "registrazioni". Gli auditor della certificazione ISO 27001 adorano le registrazioni (compresi i registri): senza registrazioni, sarà molto difficile dimostrare che un'attività è stata svolta davvero.
Ma le registrazioni dovrebbero in primo luogo aiutarti: usandole, puoi monitorare ciò che sta accadendo; saprai effettivamente con certezza se i tuoi dipendenti (e fornitori) stanno svolgendo i loro compiti come richiesto. (Leggi di più nell'articolo Records management in ISO 27001).
Cosa sta succedendo nel tuo SGSI? Quanti incidenti hai e di che tipo? Tutte le procedure vengono eseguite correttamente?
È qui che si incontrano gli obiettivi per i tuoi controlli e la tua metodologia di misurazione: devi verificare se i risultati che ottieni stanno raggiungendo ciò che hai definito nei tuoi obiettivi. In caso contrario, sai che qualcosa non va: devi eseguire azioni correttive e/o preventive. (Ulteriori informazioni nell'articolo How to perform monitoring and measurement in ISO 27001).
Molto spesso, le persone non sono consapevoli di fare qualcosa di sbagliato (d'altra parte, a volte lo sono, ma non vogliono che nessuno lo scopra). Ma essere inconsapevoli di problemi esistenti o potenziali può danneggiare la tua organizzazione: devi eseguire un audit interno per scoprire queste cose.
Il punto qui non è avviare azioni disciplinari, ma intraprendere azioni correttive affinché tali problemi non si ripetano. (Per maggiori informazioni leggi l'articolo How to prepare for an ISO 27001 internal audit.)
L’alta direzione della tua azienda non deve configurare il tuo firewall, ma deve sapere cosa sta succedendo nell'SGSI, ovvero se tutti hanno svolto i propri compiti e se l'SGSI sta ottenendo i risultati desiderati, soddisfacendo i requisiti definiti, ecc...
Sulla base di ciò, la direzione deve prendere alcune decisioni cruciali come l'approvazione del budget per la sicurezza, l'allineamento della sicurezza con la strategia aziendale, ecc. (Ulteriori informazioni nell'articolo Why is management review important for ISO 27001?)
Lo scopo del sistema di gestione è garantire che tutto ciò che è sbagliato (cd “non conformità”) sia corretto, o auspicabilmente prevenuto. Pertanto, la ISO 27001 richiede che le azioni correttive siano eseguite sistematicamente, il che significa che la causa principale di una non conformità deve essere identificata, quindi risolta e verificata. (Leggi l'articolo Practical use of corrective actions for ISO 27001).
Speriamo che questa checklist per la ISO 27001 abbia chiarito cosa deve essere fatto, sebbene la ISO 27001 non sia un compito facile, non è necessariamente troppo complicato. Devi solo pianificare attentamente ogni passaggio e non preoccuparti: otterrai la certificazione ISO 27001 per la tua organizzazione.
Quanto tempo ci vorrà? Questa è probabilmente la seconda domanda più comune che sento sulla ISO 27001 (la prima è "Quanto costa?"). Bene, la risposta non è molto incoraggiante: la maggior parte delle persone con cui parlo si aspetta che ci vogliano un paio di settimane. Ma questo non è realistico: la realtà è da un paio di mesi per le aziende più piccole a più di un anno per le organizzazioni più grandi.
Certo, puoi sempre produrre dozzine di documenti nel giro di pochi giorni dichiarando di essere conforme alla ISO 27001, ma non è di questo che sto parlando qui. Sto parlando di un’implementazione che sia significativa, cioè che produca risultati: un numero inferiore di incidenti, maggiore efficienza, risparmi sui costi, ecc.
Il tuo principale sforzo per l’implementazione sarà impiegato nelle cosiddette fasi "Pianifica" e "Fai" della ISO 27001, ovvero le prime due fasi obbligatorie in cui viene eseguita la valutazione del rischio e in cui vengono implementate tutte le protezioni (controlli di sicurezza).
La durata dell'implementazione per queste due fasi dipende principalmente dalle dimensioni dell'organizzazione:
Questi tempi sono applicabili sia se utilizzi un consulente o uno strumento online per aiutarti nell'implementazione; se invece stai cercando di farlo da solo senza alcun aiuto, ci vorrà molto più tempo.
Inoltre, ciò che può prolungare notevolmente i tempi di implementazione è se la tua azienda non ha il supporto del top management o non ha un project manager esperto.
Nelle aziende più piccole, la persona che gestisce il progetto (cioè chi agisce come project manager) svolgerà anche il ruolo di responsabile della sicurezza, mentre le aziende più grandi avranno questi due ruoli separati: un project manager professionista gestirà il progetto e un'altra persona in qualità di responsabile della sicurezza sarà responsabile della sicurezza generale e parteciperà al progetto.
La ISO 27001 non richiede la creazione di un project team, ma questo sarà utile per le aziende con 200 o più dipendenti; per le aziende più piccole basterà avere solo un project manager che coordinerà il progetto con altri colleghi.
Nelle aziende più grandi sarebbe meglio includere nel project team i responsabili dei vari dipartimenti, ad esempio il responsabile del dipartimento di informatica, il responsabile dell'ufficio legale, il responsabile delle risorse umane, il responsabile del marketing e delle vendite, il responsabile operativo, ecc. In questo modo è possibile garantire che tutte le principali decisioni in materia di sicurezza siano prese a un livello sufficientemente elevato e che vi sia un impegno sufficiente per la loro implementazione.
In un'azienda di qualsiasi dimensione, dovrai includere parte dei tuoi dipendenti nelle seguenti attività:
Per i primi tre punti, è possibile utilizzare per queste attività i responsabili dei dipartimenti, mentre l'ultimo punto deve essere eseguito dall’alta direzione, ad esempio l’AD in un'azienda più piccola o il CIO o il CTO nelle aziende più grandi.
Ruoli e impegno necessari per l'implementazione iniziale della ISO 27001 |
|||
| Ruoli | < 200 dipendenti | 200 - 2.000 dipendenti | > 2.000 dipendenti |
| Project manager | (ruolo unito) 1 giorno a settimana | 50% del tempo | 100% del tempo |
| Responsabile per la Sicurezza | 50% del tempo | 100% del tempo | |
| Project team | (non necessario) | I responsabili dei dipartimenti sono membri del project team– 15 ore per ogni responsabile (durante l'intero progetto) | I responsabili dei dipartimenti sono membri del project team– 30 ore per ogni responsabile (durante l'intero progetto) |
| Responsabili dei dipartimenti | 7 ore per ogni responsabile (durante l'intero progetto) | ||
| Alta Direzione | 5 ore in totale | 10 ore in totale | 15 ore in totale |
Nelle aziende con un massimo di 200 dipendenti, il project manager dovrà in genere dedicare circa il 20% del suo tempo durante l'intero progetto, ad esempio 1 giorno alla settimana. Più grande e/o complessa è l'azienda, più tempo questo project manager dovrà investire: in aziende con un paio di migliaia di dipendenti, il project manager dovrà probabilmente lavorare a tempo pieno su un progetto come questo.
Se hai un responsabile della sicurezza separato dal project manager, questa persona probabilmente dovrà dedicare al progetto la stessa quantità di tempo del project manager, ad esempio, in un'azienda di 2.000 dipendenti potresti avere un project manager a tempo pieno e un responsabile della sicurezza a tempo pieno che lavora sulla ISO 27001.
In un'azienda di minori dimensioni il carico di lavoro dei responsabili dei dipartimenti per le attività di cui alla sezione precedente sarà di circa 7 ore per ciascuna funzione per la valutazione e il trattamento dei rischi e per il riesame dei documenti; l’alta direzione dovrà investire circa 5 ore per fare tutte le approvazioni.
Ancora una volta, questo impegno sarà necessario sia se utilizzi uno strumento per la ISO 27001 o un consulente per aiutarti; in caso contrario, avrai bisogno di un impegno notevolmente maggiore.
Vale la pena ricordare che il lavoro sulla ISO 27001 non si ferma alle fasi Pianifica and Fai: il Sistema di Gestione della sicurezza delle Informazioni (ISMS) che viene creato deve essere mantenuto (e migliorato), il che significa che il lavoro sulla sicurezza delle informazioni non è una tantum, ma continuo.
Tuttavia, l’impegno per mantenere il sistema non è così grande come nell'implementazione iniziale: sarà probabilmente il 25% dell’impegno necessario per le fasi Pianifica e Fai.
Di solito è la prima domanda che ricevo dal potenziale cliente. Con loro disappunto, non c'è un importo preciso da dargli, perché non è un acquisto di un prodotto standard.
Il costo totale dell'implementazione dipenderà da quanto segue:
Inoltre, ci sono diversi tipi di costi di cui bisogna tenere conto:
Ecco una spiegazione di ciascuno di questi costi e una stima approssimativa degli importi (tutti gli importi sono in USD):
L'implementazione della ISO 27001 è piuttosto complessa, richiede cambiamenti nell'organizzazione e nuove competenze. Puoi preparare i tuoi dipendenti acquistando vari libri sull'argomento e/o facendogli seguire dei corsi (di persona o online) – la durata di questi corsi varia da 1 a 5 giorni. Qui puoi vedere i corsi ISO 27001 di Advisera – il costo va dai 250 USD ai 1.700 USD a persona.
E non dimenticare di acquistare la norma ISO 27001: troppo spesso mi imbatto in aziende che implementano la norma senza averla mai letta. Costo: circa 100 USD.
Sfortunatamente, formare i tuoi dipendenti non basta. Se non hai un responsabile della sicurezza con un'esperienza approfondita nell'implementazione della ISO 27001, avrai bisogno di qualcuno che abbia tali conoscenze: puoi assumere un consulente o ottenere un'alternativa online.
I costi dei consulenti variano notevolmente da un paese all'altro, ma per le piccole aziende negli Stati Uniti, il costo potrebbe aggirarsi intorno ai 15.000 USD; il costo del software Conformio ISO 27001 di Advisera è di circa $ 2.000 all'anno.
Tuttavia, sia chiaro: non aspettarti che il consulente o il software online facciano l'intera implementazione per te: anche i tuoi dipendenti dovranno investire del tempo.
Come spiegato nelle sezioni precedenti, i tuoi dipendenti devono dedicare del tempo per capire dove sono i rischi, come migliorare le procedure e le politiche esistenti o implementarne di nuove, e devono prendersi del tempo per prepararsi per le nuove responsabilità e per adattarsi a nuove regole.
Nella sezione "Impegno necessario" sopra, puoi vedere la quantità di tempo necessaria, in modo da poter calcolare i costi associati a questo investimento di tempo dei tuoi dipendenti.
Potrebbe sembrare strano, ma la maggior parte delle aziende con cui ho lavorato non aveva bisogno di un investimento in hardware, software o qualcosa di simile. Avevano già tutta la tecnologia di cui avevano bisogno, tuttavia, durante l'implementazione della ISO 27001 hanno dovuto iniziare a utilizzare quella tecnologia in modo più sicuro.
Quindi, dal punto di vista tecnologico, la maggior parte dei costi sarà correlata alla modifica delle attività esistenti e tali costi verranno inclusi nella categoria precedente: il costo del tempo dei dipendenti.
Se desideri ottenere una prova pubblica della conformità alla ISO 27001, l'organismo di certificazione dovrà effettuare un audit di certificazione: questo costo dipenderà anche dalle dimensioni dell'azienda. Negli Stati Uniti, la certificazione di un'azienda più piccola potrebbe essere di circa 7.500 USD.
Vedi anche: Come ottenere la certificazione ISO 27001.
Per concludere, devi stare molto attento a non sottovalutare il vero costo di un progetto ISO 27001: se lo fai, la tua direzione inizierà a vedere il tuo progetto sotto una luce negativa. D'altra parte, prevedere correttamente tutti i costi mostrerà il tuo livello di professionalità; e non dimenticare: devi sempre presentare sia il costo che i benefici.
In sostanza, hai tre opzioni strategiche per implementare la ISO 27001:
In questa opzione, i tuoi dipendenti svolgono tutto il lavoro senza utilizzare l'aiuto di consulenti o strumenti.
Questa è l'opzione migliore se non vuoi estranei nella tua azienda e se il tuo budget è davvero limitato, ma è fattibile solo se hai un dipendente che ha già esperienza nella ISO 27001.
In questo caso tu stesso implementi la norma (eseguendo tutte le analisi, le interviste, scrivendo la documentazione, ecc.), ma stai utilizzando uno strumento ISO 27001 e la guida di esperti esterni per completare il progetto.
Questa è l'opzione migliore se hai un budget non molto elevato e se vuoi che i tuoi dipendenti imparino il più possibile su come gestire la sicurezza. Il Conformio i di Advisera è un esempio di un tale strumento.
In questo caso assumi un esperto esterno (ad esempio, un consulente per la ISO 27001) per fare l'intero lavoro: questa persona farà tutto il lavoro e ti consegnerà la documentazione completa.
Questa di solito è l'opzione più rapida per implementare la norma, ma anche la più costosa. Leggi anche i 5 criteria for choosing an ISO 27001 consultant.
Hai mai provato a convincere la tua direzione a finanziare l'implementazione della sicurezza delle informazioni? Se lo hai fatto, probabilmente sai come ci si sente: ti chiederanno quanto costa e, se sembra troppo costoso, ti diranno di no.
In realtà, non dovresti biasimarli: dopotutto, la loro responsabilità è la redditività dell'azienda. Ciò significa che ogni loro decisione si basa sull'equilibrio tra investimento e beneficio, o per dirla nel linguaggio del management: ROI (ritorno sull'investimento).
Ciò significa che devi fare i compiti prima di provare a proporre un tale investimento: pensa attentamente a come presentare i vantaggi, usando un linguaggio che la direzione possa capire e approvare.
Io ti posso aiutare: i vantaggi della sicurezza delle informazioni, in particolare l'implementazione della ISO 27001, sono numerosi. Ma nella mia esperienza, i seguenti quattro sono i più importanti:
Potrebbe sembrare strano elencarlo come il primo vantaggio, ma spesso mostra il più rapido "ritorno sull'investimento" - se un'azienda deve rispettare varie normative in materia di protezione dei dati, privacy e governance IT (in particolare se si tratta di un’organizzazione governativa), allora la ISO 27001 può introdurre la metodologia che gli consente di farlo nel modo più efficiente.
Ancora più importante, se un tuo cliente ti chiede la conformità alla ISO 27001, allora devi essere conforme per mantenere il cliente.
In un mercato sempre più competitivo, a volte è molto difficile trovare qualcosa che ti differenzi agli occhi dei potenziali clienti.
La ISO 27001 potrebbe essere un punto di forza unico per distinguerti dalla concorrenza, soprattutto se i nuovi clienti desiderano che i loro dati siano trattati con grande attenzione.
La sicurezza delle informazioni è generalmente considerata un costo senza evidenti vantaggi economici. Tuttavia, c'è un guadagno finanziario se riduci le spese causate dagli incidenti. Probabilmente si possono verificare interruzioni del servizio, occasionali perdite di dati o dipendenti scontenti. O ex dipendenti scontenti.
Ad essere onesti, non esiste ancora una metodologia e/o una tecnologia per calcolare quanti soldi potresti risparmiare se prevenissi tali incidenti. Ma suona sempre bene se porti questi casi all'attenzione della direzione.
Questa è probabilmente la più sottovalutata – se sei un'azienda in rapida crescita negli ultimi anni, potresti riscontrare problemi come – chi deve decidere cosa, chi è responsabile di determinate risorse informative, chi deve autorizzare l'accesso a sistemi informativi, ecc.
La ISO 27001 è particolarmente efficace per risolvere queste questioni: ti costringerà a definire ruoli e responsabilità in modo molto preciso e quindi a rafforzare la tua organizzazione interna.
Per concludere, la ISO 27001 potrebbe portare molti vantaggi oltre ad essere solo un altro certificato sulla tua bacheca. Nella maggior parte dei casi, se presenti questi vantaggi in modo chiaro, la direzione inizierà ad ascoltarti.
Molte aziende non se ne rendono conto, ma impostare correttamente il progetto per la ISO 27001 all'inizio dell'implementazione è uno degli elementi più importanti se si desidera completare l'implementazione con tempi e un budget accettabili.
L'impegno della direzione deve venire prima di ogni altra cosa: se i tuoi dirigenti non vedono un reale vantaggio nell'aumentare il livello di sicurezza stabilendo delle egole chiare, faresti meglio a investire le tue energie in qualcos'altro.
Ma questo non può accadere in breve tempo, figuriamoci in un incontro con una presentazione PowerPoint. Questo è un processo in cui è necessario svolgere un ruolo attivo: in primo luogo, è necessario riconoscere i vantaggi applicabili alla propria attività e quindi trasmettere in modo coerente questo messaggio ai responsabili delle decisioni.
A meno che tu non abbia già implementato la ISO 27001 un paio di volte, dovrai imparare come va fatto. L'implementazione della ISO 27001 è troppo complessa per essere compresa solo leggendo la norma.
Ci sono diversi corsi ISO 27001 disponibili per principianti o per utenti avanzati – vedi qui l'elenco dei corsi di formazione ISO 27001.
Se sai esattamente quali sono gli obiettivi, chi è responsabile di cosa, se le risorse sono disponibili e quali sono i risultati finali, non solo accelererai il processo, ma aumenterai anche le tue possibilità di successo. (Vedi qui un esempio di Project checklist for ISO 27001 implementation)
Il punto è che l'implementazione di norme come queste richiede molto tempo, quindi è necessario assicurarsi di farlo tenendo presente una struttura. Se l'implementazione viene eseguita in modo superficiale o senza obiettivi chiari, non solo perderai tempo, ma perderai un'opportunità per aiutare la tua azienda a migliorare e crescere. E, naturalmente, se pianifichi attentamente il tuo progetto potrai ridurre i tempi di implementazione.
La persona più ovvia per guidare il progetto dovrebbe essere la persona responsabile della sicurezza delle informazioni nella tua azienda - ci sono diversi titoli per questo lavoro: Chief Information Security Officer (CISO), Information Security Officer (ISO), Security Manager, ecc. Vedi anche: Chief Information Security Officer (CISO) – where does he belong in an org chart?
In ogni caso, devi scegliere una persona con le seguenti caratteristiche:
In alcuni casi, ho visto delle aziende dare questo progetto a un tirocinante, con il risultato che dopo molti sforzi il progetto è fallito.
Gestire un progetto ISO 27001 senza alcuna guida è come mettere insieme un grande puzzle di mille pezzi, ma senza l'immagine di fronte a te. Ciò di cui hai veramente bisogno in questa situazione è una guida.
In questa sezione proponiamo l'utilizzo di uno strumento ISO 27001 per la gestione dell'implementazione. Questa alternativa darà tutti i pezzi del puzzle con i numeri sul retro e la tranquillità.
Avere uno strumento online per aiutarti a portare avanti il tuo progetto ISO 27001 è sicuramente un vantaggio. Tuttavia, prima di scegliere una soluzione software, devi capire che non tutti gli strumenti soddisfano le tue esigenze: potresti essere sedotto da numerose funzionalità, ma non tutte ti saranno necessarie mentre potrebbero esserci altre funzionalità a cui non hai pensato.
Quindi, è necessario trovare uno strumento che abbia le funzionalità per portare avanti il progetto ISO 27001 e che abbia le competenze integrate su come soddisfare i requisiti della ISO 27001.
Hai bisogno di una piattaforma che:
Oltre ai criteri sopra elencati, il software dovrebbe:
E, ultimo ma non meno importante, forse il criterio più importante per selezionare lo strumento di implementazione della ISO 27001 è che bisogna avere una logica esperta incorporata su come eseguire correttamente l'implementazione, in altre parole, deve essere progettato da esperti ISO 27001, non solo da designer e sviluppatori di software.
E se avessi davanti a te tutti i passaggi per il tuo progetto ISO 27001, in modo che con una sola occhiata tu possa capire ogni passaggio davanti a te? Sarebbe bello, vero? Ora, immagina di avere una spiegazione su come completare ogni passaggio e di poter accedere a tali linee guida in qualsiasi momento e condividerle facilmente come attività attuabili con il tuo team.
Comprendendo l'importanza di tale guida, abbiamo creato Conformio, che ti guiderà attraverso l'implementazione e la manutenzione della ISO 27001. Conformio è un software collaborativo online progettato attorno ai vari passaggi per implementare ISO 27001, che comprende anni di esperienza nello sviluppo di documenti e nel fornire supporto alle organizzazioni di tutto il mondo.
Questa esperienza si concretizza in due elementi essenziali: il primo sono i Document Wizards, che forniscono una guida sullo sviluppo della documentazione e aiutano nella definizione di come le attività vengono distribuite durante l'implementazione e la manutenzione continua del proprio SGSI. La seconda è la Matrice delle responsabilità, che consolida le informazioni su chi fa cosa e quando, in ogni documento, fornendo una base per l'automazione di attività come la revisione dei documenti e l'audit interno.
Conformio è progettato per le aziende più piccole e offre quanto segue:
Nello screenshot qui sotto, puoi vedere come appare la procedura guidata passo dopo passo di Conformio:
Come puoi vedere, quando hai uno strumento online per portare avanti il tuo progetto, combinato con una guida concreta di esperti, hai le giuste condizioni per implementare e mantenere con successo qualsiasi progetto. Questo è qualcosa che abbiamo riconosciuto all'inizio e perfezionato per fornirti il miglior strumento possibile per la gestione del tuo progetto ISO 27001.
Se tutto questo ti convince, provalo.
Per imparare come implementare la ISO 27001 attraverso una procedura guidata passo dopo passo e ottenere tutte le politiche e le procedure necessarie, iscriviti per una prova gratuita di 14 giorni di Conformio, il principale software per la conformità alla ISO 27001.
Dejan Kosutic