Infotech Srl

  • Aumenta dimensione caratteri
  • Dimensione caratteri predefinita
  • Diminuisci dimensione caratteri

Documento Programmatico

Email Stampa PDF

Si tratta di un documento che le aziende devono redigere annualmente. 
Secondo la normativa vigente il Documento Programmatico sulla Sicurezza deve essere predisposto in tutti i casi in cui si verifica il trattamento dei dati sensibili. In pratica tutte le aziende gestiscono oggi dati sensibili così come previsto dal legislatore. 

Infotech è partner autorizzato Business Security.

Coerentemente con la propria mission incentrata sull’InfoSecurity, Infotech fornisce ai propri clienti ogni tipo di supporto volto alla realizzazione, l’implementazione, la manutenzione ed il controllo di Sistemi di Gestione della Sicurezza delle Informazioni (SGSI o ISMS Information Security Management System) secondo gli Standard Internazionali della famiglia ISO 27000 e ISO 20000. 

Le norme citate sono i riferimenti assoluti per gli ambiti aziendali ad indirizzo produttivo-commerciale e costituiscono rispettivamente l’evoluzione delle originarie norme BSI British Standard BS7799 (1 e 2) e BS 15000. 

Il sistemi di gestione attivati in sintonia con questi Standard hanno come obiettivo la protezione degli asset (ciò che per l’azienda possiede un valore) a carattere informativo e che alimentano i processi aziendali. 
Per definizione, un business process è un processo che è alimentato da informazioni, che produce informazioni ed agisce sottoposto a vincoli che di fatto sono essenzialmente informazioni. In tale ottica la tutela dell’informazione, nella complessità dei processi che la generano, la raccolgono, la valutano, la elaborano, la conservano, l’autorizzano, la classificano, la comunicano, la pubblicano, e ne determinano il ciclo di vita, è direttamente connessa alla sicurezza del processo stesso in termini di continuità, affidabilità, riservatezza. 

In sintesi gli Standard tendono alla protezione dell’azienda nella sua globalità, in quanto macro-processo vincolato agli asset informativi. 

Mentre il focus dello Standard ISO 20000 è specificatamente incentrato sui processi IT e ICT, lo Standard ISO27000 si focalizza su tutti i processi aziendali. 

ISO/IEC 27000 

Attualmente (febbraio 2008) lo Standard Internazionale della famiglia ISO 27000 è formato dai seguenti componenti:

  • ISO 27001: ISMS Requirements;
  • ISO 27002: Code of Practice for Information Security Management;
  • ISO 27006: Requirements for the Accreditation of Certification Bodies.

Sono comunque in preparazione altri corpi normativi che vedranno la luce nel prossimo periodo. I principali sono i seguenti:

  • ISO 27000: Fondamentals & Vocabulary;
  • ISO 27003: ISMS Implementation Guidance;
  • ISO 20004: Measurements;
  • ISO 27005: Risk Management;
  • ISO 27007: Guidelines for ISMS Auditing.

La certificazione di conformità dell’ISMS a ISO/IEC 27001 comporta i seguenti vantaggi per l’organizzazione:

  • Fornisce una dimostrazione indipendente di garanzia dei controlli interni e di conformità ai requisiti di governance imprenditoriale e di continuità aziendale;
  • Dimostra con imparzialità l’osservanza delle leggi e dei regolamenti in vigore;
  • Offre un vantaggio competitivo soddisfacendo i requisiti contrattuali e dimostrando ai clienti/stakeholder la massima importanza attribuita alla sicurezza delle loro informazioni;
  • Verifica con imparzialità l’identificazione, la valutazione e la gestione dei rischi dell’organizzazione, formalizzando al tempo stesso i processi, le procedure e la documentazione relativi alla sicurezza delle informazioni;
  • Dimostra l’impegno dei responsabili aziendali per garantire la sicurezza delle informazioni;
  • Il processo di valutazione periodica consente di monitorare costantemente le prestazioni aziendali e di migliorarle;
  • Costituisce un valore aggiunto in fase di valutazione dell’azienda ed apporta un concreto beneficio all’immagine di mercato.

 

 

ISO/IEC 20000 

Lo Standard Internazionale ISO 20000, rivolto principalmente alle aziende che forniscono servizi IT o ICT, è attualmente pubblicato in due componenti:

  • ISO 20000 part 1 “Specification for Service Management”;
  • ISO 20000 part 2 “Code of practice for Service Management”. 

L’implementazione di un SGSI conforme alla norma ISO 20000 comporta molti benefici e vantaggi. Questi ovviamente possono differire tra organizzazione ed organizzazione, comunque il seguente elenco ne costituisce una buona rappresentazione:

  • Allineamento tra servizi tecnologici e strategia di business;
  • Creazione di una infrastruttura formale per i progetti di potenziamento o miglioramento dei servizi offerti;
  • Fornisce una base di comparazione di tipo benchmark alla best practice;
  • Crea un vantaggio competitivo attraverso la promozione di servizi ICT efficaci ed economici;
  • Crea una progressione culturale ed etica, attraverso la necessità di disporre di adeguata consapevolezza e responsabilità a tutti i livelli;
  • Supporta “l’interscambiabilità” dei fornitori di servizi e dello staff in virtù della creazione di processi operativi appositi;
  • Riduce il livello di rischio ed i costi di servizio in termini di fornitura e/o ricezione di servizi esterni;
  • Attraverso la creazione di un approccio coerente allo Standard, favorisce il cambiamento organizzativo;
  • Migliora l’immagine aziendale ed incrementa la reputazione percepita dai mercati;
  • Sposta la strategia di sicurezza aziendale da tipicamente reattiva a pro-attiva;
  • Ottimizza la relazione tra dipartimenti aziendali, attraverso una migliore definizione degli obiettivi ed una maggiore chiarezza dei processi di responsabilità;
  • Crea una stabile infrastruttura per la formazione delle risorse umane e per la gestione automatizzata dei processi.

Contattateci liberamente per ulteriori informazioni sui servizi offerti.