ISO/IEC 27001:2022 – Certificazione dei sistemi di gestione per la sicurezza delle informazioni

Il tempo necessario per la certificazione ISO/IEC 27001 dipende da vari fattori, come ad esempio le dimensioni e la complessità dell’azienda, le competenze dei dipendenti coinvolti, la soluzione software o il tempo disponibile per strutturare il sistema. Di solito, sono necessari da sei a dodici mesi per elaborare i processi e i documenti connessi e per prepararsi all’audit di certificazione. Questo richiede almeno un giorno. Per le grandi aziende, l’audit può durare diversi giorni.

Una volta ottenuta la certificazione iniziale, l’azienda riceve un certificato valido per tre anni. Nei due anni successivi viene effettuato un audit di mantenimento, di portata più ridotta. Questo garantisce che i requisiti della norma siano soddisfatti su base continuativa e che l’azienda continui a svilupparsi. Prima della scadenza del certificato, viene effettuato un audit di ricertificazione e il ciclo ricomincia.

I costi dipendono da vari fattori: ad esempio, dalle dimensioni e dalla complessità dell’azienda, dal numero di dipendenti a tempo pieno o dal numero di sedi da certificare. È necessario tenere conto dei costi una tantum o continui per la creazione e il funzionamento del sistema, come i costi del personale interno, la formazione dei dipendenti, le spese di consulenza e le licenze per il software di gestione dei processi. È consigliabile effettuare previamente una stima dei costi. La certificazione ISO/IEC 27001 è di importanza strategica e rappresenta un investimento per il futuro dell’azienda.

SQS è un organismo di certificazione autorizzato dal Servizio di accreditamento svizzero (SAS). Questo ci vieta pertanto di consigliarvi in merito alla creazione di un ISMS. La separazione tra consulenza e certificazione è un fattore chiave per la nostra indipendenza e quindi per la credibilità dei nostri certificati. Tuttavia, offriamo corsi di formazione per la creazione e lo sviluppo continuo dei sistemi di gestione, tenuti dai nostri auditor esperti.

L’organismo di certificazione è responsabile dell’esecuzione dell’audit di certificazione in conformità ai requisiti normativi e della verifica della conformità dell’azienda ai requisiti della ISO/IEC 27001. È importante scegliere un organismo di certificazione come SQS, riconosciuto da un organismo di accreditamento nazionale. Questo è l’unico modo per garantire che il certificato sia ampiamente riconosciuto, anche a livello internazionale.

Tutti i certificati validi rilasciati da SQS sono disponibili sul nostro sito web alla voce Organizzazioni certificate. A tale scopo, indicate il vostro numero di registrazione.  

Sì, un’azienda può avere più certificazioni contemporaneamente: per i sistemi di gestione secondo le norme ISO 9001 (gestione della qualità), ISO 14001 (gestione ambientale), ISO 45001 (salute e sicurezza sul lavoro), ISO/IEC 27001 (sicurezza delle informazioni) e altre. Queste norme si completano e consentono alle aziende di creare un sistema di gestione integrato che tiene conto dei vari requisiti di clienti, dipendenti e altri stakeholder.

Se i requisiti della norma non sono soddisfatti e il/la Lead Auditor emette le cosiddette non conformità maggiori o minori, l’azienda deve porvi rimedio entro un determinato periodo di tempo. Se l’azienda non è in grado di farlo, l’organismo di certificazione può imporre una sospensione di massimo sei mesi o annullare la procedura di certificazione. Tuttavia, questi casi sono estremamente rari.

L’azienda deve far sì che tutti i dipendenti comprendano i requisiti della norma e che siano in grado di applicarli nelle operazioni quotidiane. I corsi e i programmi di formazione possono contribuire ad accrescere la consapevolezza della norma e dei suoi benefici e quindi a far funzionare l’ISMS in modo efficace ed efficiente.

Il regolamento sulla protezione dei dati (DGPR) dell’Unione europea è rilevante anche per numerose altre organizzazioni della Svizzera. Un sistema di gestione per la sicurezza delle informazioni (ISMS) secondo la norma ISO/IEC 27001 promuove il rispetto dei requisiti del GDPR sotto diversi punti di vista. Implementa solide misure di sicurezza volte a proteggere i dati personali dall’accesso non autorizzato e dalla perdita dei dati. Una gestione strutturata dei rischi permette inoltre di identificare e minimizzare in modo sistematico i potenziali rischi associati alla gestione dei dati. L’ISMS garantisce il rispetto dei requisiti legali e normativi, monitorando e migliorando costantemente i processi. Richiede inoltre una documentazione completa e trasparenza nell’elaborazione dei dati, requisito essenziale per l’osservanza del DGPR.

La ISO/IEC 27001:2022 contiene diverse modifiche sostanziali rispetto alla ISO/IEC 27001:2013. Tra le principali modifiche rientrano l’aggiornamento dei controlli nell’Allegato A per poter far fronte allo scenario di minacce tecnologiche in costante cambiamento, l’introduzione di nuovi controlli per neutralizzare i rischi di sicurezza sui cloud e il miglioramento del processo di gestione dei rischi. Sono stati poi inseriti chiarimenti e miglioramenti volti a semplificare l’implementazione e l’utilizzo della norma. Tutte queste modifiche hanno l’obiettivo di accrescere l’efficacia della sicurezza delle informazioni, adattandola ai tempi moderni. Sono previsti 36 mesi di transizione per implementare l’ISMS ai sensi della norma modificata.

Un ISMS secondo ISO/IEC 27001 è particolarmente utile per le PMI, che di norma non dispongono delle stesse risorse informatiche delle grandi aziende. Il sistema di gestione offre un approccio strutturato per la sicurezza delle informazioni che comprende soluzioni per PMI efficienti in termini di costi. Questa norma aiuta a identificare e a minimizzare in modo sistematico i rischi, garantendo così l’integrità e la riservatezza dei dati. Attraverso l’implementazione di chiare direttive di sicurezza e audit svolti a intervalli regolari, viene inoltre assicurato il rispetto dei requisiti legali necessari per rafforzare la fiducia di clienti e partner, migliorando l’efficienza a livello aziendale. Un ISMS consente alle PMI di raggiungere un livello di sicurezza elevato persino con risorse limitate, proteggendole così dalle diverse minacce informatiche.

La ISO/IEC 27001 offre un contesto globale dove possono integrarsi anche i requisiti di sicurezza posti agli ambienti cloud. La norma contiene controlli aggiornati dei rischi legati all’accesso non autorizzato, alla perdita di dati e alle violazioni della sicurezza nel cloud. Le organizzazioni vengono dunque spronate a sviluppare e ad attuare direttive e protocolli di sicurezza chiari che possano soddisfare persino i sofisticatissimi standard dei servizi cloud.  Audit svolti a intervalli regolari aiutano poi a migliorare costantemente queste misure, adeguandole alle nuove minacce. Ciò fa sì che i dati sensibili presenti nel cloud rimangano al sicuro, garantendo inoltre la compliance con gli standard di sicurezza e con i requisiti legali pertinenti.

La ISO/IEC 27001 e la ISO/IEC 42001 si completano a vicenda offrendo una protezione globale e parametri etici per i sistemi di informazioni e di AI. Implementando entrambe le norme, le aziende possono far sì che i loro sistemi di AI siano non solo sicuri, ma che abbiano anche una base etica e quindi responsabile. Mentre la ISO/IEC 27001 copre la sicurezza delle informazioni in termini più generali e la protezione contro le minacce informatiche, la ISO/IEC 42001 si concentra sulle sfide specifiche della AI, quali trasparenza, correttezza ed etica. Questa combinazione rafforza la fiducia di clienti e partner garantendo il rispetto dei requisiti legali e normativi, il che a sua volta porta a un utilizzo più solido e responsabile delle tecnologie dell’informazione e della AI.