La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria"

Transcript

1 La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria Catania 22 Settembre 2006

2 Presentazione Relatore Nome: Ombretta Palma Azienda: Siemens Informatica Divisione: SOL ISS Posizione: Project Manager Principali esperienze maturate nell IS: Consulenza specialistica in ambito Sicurezza Informatica per Clienti Enterprise (Telco Operator, Industry, Utilities, Pubblica Amministrazione, etc.) Certificazioni CISA, CISM, Lead Assessor BS7799 Esperienza consolidata nell Information Security maturata attraverso la conduzione e la partecipazione a progetti di analisi dei rischi, realizzazione di Sistemi di Gestione della Sicurezza delle Informazioni e supporto alla loro Certificazione BS7799-2:2002, definizione ed implementazione di Corporate Information Security Policy, Departmental Security Policy, etc., Consulenza su Business Continuity e Disaster Recovery Page 2 22 Settembre 2006 Siemens Business Services

3 Sicurezza delle Informazioni L informazione è un asset di vitale importanza per il business, in ogni Organizzazione sia che si tratti di una grande impresa privata che di una PMI o di una Pubblica Amministrazione L informazione, quindi, deve essere opportunamente protetta. Per Sicurezza delle Informazioni si intende la salvaguardia di Riservatezza (assicurare che l informazione sia accessibile solo agli utenti autorizzati) Integrità (assicurare che l informazione venga modificata solo da utenti e processi autorizzati salvaguardando l accuratezza e la completezza dei dati e dei metodi di elaborazione) Disponibilità (assicurare che gli utenti autorizzati abbiano accesso all informazione quando richiesto) Page 3 22 Settembre 2006 Siemens Business Services

4 Introduzione allo standard Che cos è l ISO/IEC 27001:2005? E uno standard internazionale derivante dal riconoscimento da parte dell ISO/IEC dello standard de facto BS (British Standard) 7799 Parte 2 in materia di sicurezza delle informazioni (Information Security) pubblicato, prima del riconoscimento ISO, dal British Standard Institute (BSI) in collaborazione con diversi rappresentanti del mondo imprenditoriale Il British Standard si suddivide in due parti: BS 7799 Parte 1: Code of practice for information security management BS 7799 Parte 2: Specification for Information Security Management Systems Page 4 22 Settembre 2006 Siemens Business Services

5 Introduzione allo standard La parte 1 del BS 7799 è stata standardizzata nel 2000 dall Ente Internazionale ISO/IEC: International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 17799:2000(E) Code of Practice for Information Security Management La parte 2, è stata standardizzata dal medesimo ente nel 2005: International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 27001:2005 Information Technology - Security techniques - Information security management systems - Requirements Page 5 22 Settembre 2006 Siemens Business Services

6 SGSI o ISMS Che cos è un SGSI? Un Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) o Information Security Management System (ISMS) è un processo per la gestione delle informazioni aziendali (interne e dei propri Clienti e Business Partner) finalizzato a garantirne i requisiti di riservatezza, integrità e disponibilità Page 6 22 Settembre 2006 Siemens Business Services

7 In cosa consiste un SGSI Un SGSI non è un semplice insieme di controlli di sicurezza ma è un Sistema di Gestione che, con un insieme di feedback loops, permette di controllare e monitorare la sicurezza dei sistemi e, più in generale, la sicurezza del patrimonio informativo aziendale Un SGSI si compone, quindi, di: ruoli e responsabilità organizzative politiche di sicurezza procedure operative istruzioni controlli fisici (relativi all ambiente di lavoro ed alle attrezzature...) controlli logici (relativi ai servizi ICT...) cultura Page 7 22 Settembre 2006 Siemens Business Services

8 SGSI Certificabile Un SGSI può essere certificato secondo lo standard ISO/IEC 27001:2005 Ma prima occorre implementarlo ed assicurarsi che funzioni in modo efficace ed efficiente seguendo le indicazioni dello standard ISO/IEC e dello standard ISO/IEC 17799! Page 8 22 Settembre 2006 Siemens Business Services

9 Il Processo di Information Security Management Fonte: ISO/IEC 27001:2005 Page 9 22 Settembre 2006 Siemens Business Services

10 SGSI:Le Fasi del Processo 1. Fase Plan (Establish the ISMS) definizione ambito, scopo del SGSI, analisi dei rischi e scelta dei controlli di sicurezza da implementare 2. Fase Do (Implement and Operate the ISMS) 3. Fase Check (Monitor and Review the ISMS) 4. Fase Act (Maintain and Improve the ISMS) Page Settembre 2006 Siemens Business Services

11 SGSI: Fase Plan Definire lo scopo e l ambito del SGSI in funzione delle caratteristiche del business, tecnologia, organizzazione, etc. Definire la Politica di Sicurezza Definire un approccio sistematico al Risk Assessment, adeguato ai requisiti di business, legali, etc. Analisi e Gestione del Rischio: identificare i rischi valutare i rischi identificare e valutare le opzioni per il trattamento del rischio identificare le strategie per il trattamento del rischi selezionare i controlli di sicurezza che riducano l esposizione al rischio Page Settembre 2006 Siemens Business Services

12 Definizione dell Ambito di Applicazione Il primo step per la definizione di un SGSI è la definizione dell ambito di applicazione (scope) del SGSI Bisogna delimitare con maggiore precisione possibile l ambito fisico, logico ed organizzativo del SGSI Ai fini della Certificazione ISO/IEC del SGSI deve essere predisposto un documento che descriva l ambito di applicazione identificato e le interfacce dell ambito verso l interno e verso l esterno dell Organizzazione stessa. Page Settembre 2006 Siemens Business Services

13 Definizione dell Ambito di Applicazione Per individuare e descrivere l ambito di applicazione del SGSI occorre procedere attraverso successive analisi di maggiore dettaglio: Analisi dei Processi dell Area d Intervento: occorre rilevare tutti i processi attivi e le procedure operative utilizzate nell area d intervento. Censimento Interazioni ed Interfacce dell Area d Intervento: si devono individuare ed analizzare tutte le interazioni e le interfacce logiche e fisiche tra l area d intervento considerata e l esterno. Definizione dell Ambito Fisico, Logico ed Organizzativo del SGSI: si deve identificare, definire e descrivere in modo puntuale l ambito operativo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni. Page Settembre 2006 Siemens Business Services

14 Definizione della Security Policy L Organizzazione, in modo rispondente alle esigenze di business, settore di mercato e tipo di offerta, obiettivi, etc. deve definire la propria Politica di Sicurezza La Politica di Sicurezza non è un documento operativo bensì è una comunicazione breve e chiara che è disponibile a tutto il personale e che illustra gli indirizzi della Direzione/ Management in materia di Information Security Page Settembre 2006 Siemens Business Services

15 La Secutiy Policy nello standard In libera traduzione dallo standard: A.5 Security Policy A.5.1 Information Security Policy Obiettivo: Fornire indirizzo gestionale e supporto all information security in accordo con i requisiti di business e con le leggi ed i requisiti normativi applicabili. A Documento di Information Security Policy A Revisione dell Information Security Policy Controllo: Un documento di Politica di Sicurezza delle Informazioni deve essere approvato dal management. Successivamente, il documento di Politica di Sicurezza deve essere comunicato e pubblicato, nel modo appropriato, a tutti i dipendenti ed alle parti esterne di rilievo. Controllo: Al fine di mantenere idonea, adeguata ed efficace la Politica di Sicurezza, essa deve essere revisionata sia periodicamente che in caso di cambiamenti significativi. Page Settembre 2006 Siemens Business Services

16 Security Policy In dettaglio, la Politica di Sicurezza include: 1. framework degli obiettivi, principi di azione sugli aspetti di information security 2. considerazioni circa i requisiti di business, legali e normativi 3. contesto organizzativo per la gestione del rischio 4. criteri per la valutazione del rischio La Politica di Sicurezza deve essere firmata dall Executive Management Page Settembre 2006 Siemens Business Services

17 L Analisi del Rischio Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell esposizione al rischio degli asset informativi Analisi del Rischio Gestione del Rischio Gestione del rischio: Processo sistematico successivo all analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello residuo ritenuto accettabile ed accettato Page Settembre 2006 Siemens Business Services

18 Il concetto di Rischio Che cos è il Rischio? Il Rischio rappresenta la probabilità che una minaccia, sfruttando una vulnerabilità, generi un impatto negativo sugli asset informativi aziendali Il Rischio può essere espresso come il prodotto scalare dell Impatto (ovvero della gravità delle conseguenze) di un evento di minaccia per la probabilità di accadimento di tale evento R = I X P Page Settembre 2006 Siemens Business Services

19 Il Processo di Analisi del Rischio I principali step dell Analisi del Rischio sono: Identificazione e Valutazione degli asset (rif. Asset Inventory) Identificazione e Valutazione delle Minacce applicabili agli asset Identificazione e Valutazione delle Vulnerabilità degli asset Valutazione dell esposizione esposizione al Rischio Page Settembre 2006 Siemens Business Services

20 Identificazione degli Asset Devono essere identificati tutti gli asset che costituiscono il patrimonio informativo dell Organizzazione Le principali tipologie di asset che devono essere individuate sono: Asset Informativi (Dati/Informazioni e Documenti in forma cartacea e/o elettronica) Es.: Appunti con info del cliente, documentazione relativa alle Offerte, documentazione di Progetto, etc. Asset Software (applicativi e S.O. di supporto) Es.: Win 2000, Linux, SAP R/3, Exchange, etc. Asset Fisici (sistemi hardware di supporto) Es.: server, desktop, laptop, router, firewall, etc. ma anche cassettiere, armadiature, locali, etc. Page Settembre 2006 Siemens Business Services

21 Valutazione degli Asset Gli asset devono essere valutati tentando di valorizzare in maniera quantitativa o qualitativa l impatto che deriverebbe da una relativa compromissione in termini di perdita di confidenzialità, integrità e disponibilità. In pratica, bisogna valutare gli eventuali impatti che potrebbero essere determinati qualora: Gli Asset Informativi siano pubblicati, modificati, parzialmente corrotti, distrutti, resi indisponibili, etc. Gli Asset Software siano distrutti, parzialmente corrotti, o ceduti, resi indisponibili, etc. Gli Asset Fisici siano distrutti, parzialmente danneggiati, etc. Page Settembre 2006 Siemens Business Services

22 Asset Inventory L Asset inventory è, quindi, il primo step dell Analisi dei Rischi Il documento di Asset Inventory è di fondamentale importanza ai fini della Certificazione ISO/IEC Il doc dei cespiti aziendali (componente dell Asset Inventory) deve essere costantemente mantenuto aggiornato! Page Settembre 2006 Siemens Business Services

23 Valutazioni di criticità Le figure aziendali coinvolte nei processi censiti dovranno effettuare le valutazioni di criticità degli asset informativi in termini di: Criticità (importanza dell asset all interno del processo) Riservatezza Integrità Disponibilità Page Settembre 2006 Siemens Business Services

24 Identificazione delle Minacce Occorre identificare l insieme delle possibili minacce che si possono considerare (possono verificarsi) per gli asset del sistema ad esempio minacce: Naturali (es. terremoti, uragani, allagamenti, etc.); Tecnologiche (es. virus, malfunzionamenti, etc.); Sociali (es. scioperi, manifestazioni, etc.); Umane: Interne: Volontarie (es. frodi da interni, intercettazione documenti, etc.); Involontarie (es. manipolazioni dei dati, etc.); Esterne: Volontarie (es. frodi da esterni, attacchi informatici, etc.); Involontarie (es. virus, etc.). Page Settembre 2006 Siemens Business Services

25 Identificazione delle Vulnerabilità Le Vulnerabilità sono le debolezze proprie degli asset e/o dei relativi sistemi di supporto. Esempi di vulnerabilità nei tre domini sono: Dominio Logico: assenza di patch e/o di hotfix nei S.O., password di bassa complessità degli utenti e degli Amministratori, etc. Dominio Fisico: assenza di un controllo degli accessi (tornelli con badge) per la sala CED, assenza di allarmi anti-intrusione perimetrale negli uffici, etc. Dominio Organizzativo: sovrapposizione di ruoli e/o responsabilità in materia di IS, mancanza di formalizzazione delle procedure di Business Continuity, etc. Page Settembre 2006 Siemens Business Services

26 Valutazione delle Minacce e delle Vulnerabilità Occorre effettuare una valutazione del Livello di Minaccia che può essere espresso come la probabilità che la Minaccia si concretizzi impattando sull asset Le Vulnerabilità devono essere valutate in funzione della facilità con cui una Minaccia può impattare sugli asset sfruttando la presenza di tale Vulnerabilità Anche questa è una valutazione di tipo probabilistico Page Settembre 2006 Siemens Business Services

27 Valutazione del rischio In funzione dei valori determinati precedentemente si determina con un opportuno algoritmo (semplice o complesso) la misura di esposizione al Rischio La Misura di esposizione al Rischio o livello di esposizione al Rischio è indice di quali asset siano critici e maggiormente vulnerabili, in tal modo si potrà intervenire efficacemente (Gestione del Rischio) per identificare i migliori controlli di sicurezza Page Settembre 2006 Siemens Business Services

28 Esempio di applicazione Step 1 Identificazione Asset: Id0001: Documento di offerta (standard aziendale) Id0011: Server di Archiviazione dei Documenti (serverdoc01) Id0013: Software S.O. Ms Windows Server 2003 (1 licenza) Id0018: Software Applicativo Ms Office (1 licenza) Valutazione Asset: Id0001: Valore Alto Id0011: Valore Alto Id0013: Valore Basso Id0018: Valore Basso Page Settembre 2006 Siemens Business Services

29 Esempio di Applicazione Step 2 Identificazione Minacce: Lista delle Minacce Applicabili per asset Id0001: Mi0001: Spionaggio industriale Mi0009: Perdita d integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk) Valutazione Minacce: Valutazione delle Minacce Applicabili per asset Id0001: Mi0001: Spionaggio industriale: Valore Medio (Doc abbastanza competitivo) Mi0009: Perdita d integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk): Valore Basso (Raid 5 implementato) Page Settembre 2006 Siemens Business Services

30 Esempio di Applicazione Step 3 Identificazione Vulnerabilità: Lista delle Vulnerabilità per asset Id0001: Vu0008: Assenza del Label di Classificazione (Documento Confidenziale) Valutazione Vulnerabilità: Valutazione delle Vulnerabilità per asset Id0001: Vu0008: Assenza del Label di Classificazione (Documento Confidenziale): Valore Alto Page Settembre 2006 Siemens Business Services

31 Esempio di Applicazione: Output Valore Asset Id0001: alto Valore Minaccia Mi0001: medio Valore Vulnerabilità Vu0008: alto Livello Minaccia Basso (0) Medio (1) Alto (2) Livello Vulnerabilità B 0 M 1 A 2 B 0 M 1 A 2 B 0 M 1 A 2 Basso (0) Valore Asset Medio (1) Alto (2) Il valore di esposizione al rischio è 5 (Alto)! Legenda: 0-2 Rischio basso; 3-4 Rischio medio; 5-6 Rischio alto Page Settembre 2006 Siemens Business Services

32 Gestione dei Rischi Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell esposizione al rischio degli asset informativi Analisi del Rischio Gestione del Rischio Gestione del rischio: Processo sistematico successivo all analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello ritenuto accettabile e accettato Page Settembre 2006 Siemens Business Services

33 Gestione del Rischio Il processo di Gestione del Rischio consiste nell identificazione delle contromisure di sicurezza (fisica, logica ed organizzativa) che consentano di ridurre il livello di Rischio ad un livello che è ritenuto accettabile dall Organizzazione Il Rischio può essere gestito: implementando opportuni contromisure / controlli di sicurezza trasferendo il rischio (con opportune di polizze, con contratti di outsourcing, etc.) Page Settembre 2006 Siemens Business Services

34 Selezione delle Contromisure Le Contromisure possono abbassare il livello di rischio agendo su: Riduzione della probabilità di attacco e/o d incidente Riduzione delle vulnerabilità del sistema Riduzione dell impatto di un attacco e/o incidente Identificazione tempestiva dell occorrenza di un attacco e/o incidente Agevolazione del Recovery in seguito all occorrenza di un attacco e/o incidente di sicurezza Page Settembre 2006 Siemens Business Services

35 Scelta delle Contromisure Nella Scelta delle Contromisure bisognerà procedere con cognizione facendo opportune valutazioni di tipo Costi/Benefici Se l implementazione di una contromisura ha un costo di Euro ma riduce l esposizione al rischio (con un impatto stimato da Euro a Euro), si potrebbe ritenere che tale implementazione non risulta conveniente! Page Settembre 2006 Siemens Business Services

36 Classi di Contromisure Per l elenco delle contromisure di sicurezza si faccia riferimento all ISO/IEC Annex A o all ISO/IEC da cui sono tratti i seguenti in libera traduzione: Security Policy Organizzazione dell Information Security Gestione degli Asset Sicurezza delle Risorse Umane Sicurezza Fisica e Ambientale Gestione delle Comunicazioni e dell e attività di Esercizio Controllo Accessi Acquisizione, Sviluppo e Manutenzione di sistemi informativi Gestione degli Incidenti di Sicurezza delle Informazioni Gestione della Business Continuity Conformità Tale elenco di controlli non è esaustivo, né tutti i controlli risultano mandatori Page Settembre 2006 Siemens Business Services

37 Cosa fare e non come fare! Ciascuno dei controlli ISO/IEC definisce l obiettivo da perseguire COSA FARE Viene lasciata all Organizzazione piena libertà di implementazione dei controlli COME FARE Del resto, la tecnologia dei controlli di sicurezza cambia velocemente e sarebbe stato limitante vincolare l Organizzazione ad implementare una soluzione di sicurezza secondo una particolare tecnologia e/o propria di un particolare Produttore... Page Settembre 2006 Siemens Business Services

38 Risultati della Gestione del Rischio I Risultati della Gestione del Rischio devono essere esposti in modo sintetico, efficace ed adeguato al target cui sono rivolti Il Management deve avallare il livello di rischio residuo che diverrà il livello di rischio accettato dall Organizzazione L attività di Analisi e Gestione del Rischio dovrà essere ripetuta periodicamente e all occorrenza nel caso in cui si verifichino cambiamenti sostanziali negli obiettivi di business, infrastruttura tecnologica, etc. secondo il noto approccio ciclico Plan Do Check Act Page Settembre 2006 Siemens Business Services

39 Statement of Applicability Lo Statement of Applicability (Dichiarazione di Applicabilità) è un documento di rilevante importanza ai fini della Certificazione BS 7799 del SGSI in essere nell Organizzazione Tale documento, che deve essere costantemente mantenuto aggiornato, indica per ciascuno dei controlli ISO/IEC se applicato se non applicabile (e perché) se risulta non applicato (e perché) In particolare, un controllo ISO/IEC potrebbe risultare: Non applicabile ad es. a causa di problemi tecnologici (l event logging potrebbe non essere supportato da un applicativo legacy) Non applicato ad es. a causa del costo d implementazione (ci sono reali problemi di budget) Page Settembre 2006 Siemens Business Services

40 SGSI: Fase Do 1. Fase Plan (Establish the ISMS) 2. Fase Do (Implement and operate the ISMS) implementazione dei controlli di sicurezza identificati (ambiti logico, fisico ed organizzativo) 3. Fase Check (Monitor and Review the ISMS): 4. Fase Act (Maintain and improve the ISMS) Page Settembre 2006 Siemens Business Services

41 Security Controls e Tecnologie di Sicurezza L ISO/IEC è svincolato dai prodotti di sicurezza (fornisce delle raccomandazioni su cosa fare) e dai relativi Produttori (non entra nel merito di come fare). Sarà cura del Responsabile del SGSI opportunamente supportato dalla collaborazione di Security Architect, System Administrator, Network Administrator, etc. ad identificare le tecnologie che riescono a garantire i controlli di sicurezza identificati nel rispetto del budget assegnato In genere, un prodotto di sicurezza fornisce, nello stesso tempo, più controlli di sicurezza ma necessita di un opportuna configurazione. Ad es., Ms Win 2000 è un sw, esattamente un S.O. che implementa il log-on, logging, controllo d integrità dei dati in input, etc. Page Settembre 2006 Siemens Business Services

42 SGSI: Framework Documentale Il SGSI deve essere strutturato in un insieme di documenti, politiche, procedure, report, modulistica, etc. di facile consultazione. In particolare, le procedure che sono rivolte ai dipendenti durante l espletamento delle normali attività lavorative devono essere concise ed efficaci Page Settembre 2006 Siemens Business Services

43 SGSI: Documenti Formali Il SGSI certificabile secondo la norma ISO deve avere i principali documenti formali di seguito elencati: Ambito di applicazione del SGSI Manuale del SGSI Politica di Sicurezza Piano di Gestione del Rischio Piano di Gestione dei Log Statement of Applicability (SoA)... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

44 SGSI:Procedure Il SGSI certificabile secondo la norma BS 7799 deve avere, se applicabili, le principali procedure gestionali come quelle di seguito elencate: Procedura utente Formazione e Addestramento utente Amministrazione dei server di produzione e dei sistemi di sicurezza di supporto Back-up Business Continuity/Disaster Recovery Incident Handling Gestione degli Accessi Verifiche Ispettive... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

45 SGSI: Ulteriori Documenti Il SGSI certificabile secondo la norma BS 7799 deve avere l ulteriore documentazione relativa a: Comunicazioni interne relative alle decisioni prese e alle nomine effettuate Verbali delle riunioni degli organi di controllo Modulistica per Verifiche Ispettive Manuale di Qualità Contratti di Outsourcing con la definizione degli SLA di sicurezza Log forniti dall Outsourcer Log dei sistemi di produzione amministrati Registrazioni varie (Accessi, utilizzo delle macchine di lab, etc.)... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

46 Sicurezza Organizzativa L infrastruttura Organizzativa ha un peso rilevante in tutte le Aziende Private e Pubblica Amministrazione ed essenziale per il raggiungimento degli obiettivi di Business L ISO/IEC sancisce che l infrastruttura Organizzativa deve rendersi responsabile della Sicurezza delle Informazioni e più precisamente deve essere coinvolta attivamente nel continuo processo di Information Security dell Organizzazione Page Settembre 2006 Siemens Business Services

47 Gli attori coinvolti I vari attori coinvolti nel processo di IS sono: Struttura Organizzativa di IS Executive Management Responsabili di B.U. e/o Divisioni System Administrator, Network Administrator, DB Administrator, etc. Dipendenti Outsourcer / Fornitori / Business Partner Ciascuno ha un ruolo cruciale nel mantenere elevato il livello di sicurezza perché il livello di sicurezza di una Catena è determinato dal livello di sicurezza del più debole degli anelli: in un SGSI il fattore umano è quello più debole Page Settembre 2006 Siemens Business Services

48 SGSI:Fase Check 1. Fase Plan (Establish the ISMS) 2. Fase Do (Implement and Operate the ISMS) 3. Fase Check (Monitor and Review the ISMS): misurazione delle performance del SGSI: Management Review Raccolta ed Analisi delle registrazioni/log Monitoring degli Incidenti di Sicurezza (Incident Handling) 4. Fase Act (Maintain and Improve the ISMS) Page Settembre 2006 Siemens Business Services

49 Fase Check: Management Review Management review su una base regolare (almeno una volta l anno) per assicurare che lo scopo rimanga adeguato ed i miglioramenti del SGSI siano identificati Deve, altresì, essere rivisto il livello di rischio residuo e ritenuto accettabile dall organizzazione, anche, a seguito di modifiche sostanziali nell Organizzazione, tecnologie, minacce identificate, etc. Page Settembre 2006 Siemens Business Services

50 SGSI Fase Check:Raccolta e analisi delle registrazioni Si devono regolarmente raccogliere le registrazioni e log che daranno le indicazioni sul reale funzionamento e sull efficacia del SGSI implementato. L analisi di registrazioni e log e lo sviluppo di appositi indicatori di performance, aiuterà l identificazione delle misure correttive e migliorative Page Settembre 2006 Siemens Business Services

51 SGSI Fase Check: Monitoring degli incidenti di sicurezza Un importante fonte di informazioni che non deve essere assolutamente trascurata è costituita dallo storico degli incidenti di sicurezza che sono stati rilevati: falsi positivi incidenti di sicurezza chiusi incidenti di sicurezza aperti... Page Settembre 2006 Siemens Business Services

52 Verifiche Periodiche Il sistema dovrà essere sottoposto a verifiche periodiche: ai processi da parte del responsabile e/o proprietario del processo al fine di verificare l efficacia dei controlli rispetto alle normative di sicurezza e alla politica di sicurezza alle nuove tecnologie che sono introdotte (almeno ogni sei mesi) o al momento dell introduzione di tecnologie che comportino innovazioni rilevanti ispettive interne ( audit ): devono essere condotte indagini, soprattutto, sugli aspetti organizzativi del SGSI (l ispettore pur essendo interno all azienda deve condurre la verifica in autonomia e deve essere esterno rispetto al settore o al processo da valutare e indipendente dalle persone che ci lavorano) Page Settembre 2006 Siemens Business Services

53 SGSI:Miglioramento delle prestazioni Fase Plan (Establish the ISMS) Fase Do (Implement and Operate the ISMS) Fase Check (Monitor and Review the ISMS): Fase Act (Maintain and Improve the ISMS) implementazione di eventuali azioni correttive e migliorative Page Settembre 2006 Siemens Business Services

54 SGSI:Fase Act Implementare i miglioramenti identificati Intraprendere tutte le azioni preventive e correttive, apprendendo dal passato e dagli errori commessi Comunicare e condividere con le parti interessate le azioni intraprese Assicurare che vengano raggiunti gli obiettivi dichiarati Page Settembre 2006 Siemens Business Services

55 Start dell Iter di Certificazione Dopo aver revisionato ed affinato opportunamente il SGSI l organizzazione può fare domanda di certificazione ad un OdC (Organismo di Certificazione) che sia accreditato, in Italia, dal SINCERT Nella domanda di certificazione l organizzazione deve specificare l ambito di applicazione del SGSI e fornire tutte le informazioni necessarie all OdC affinché possa essere effettuata una relativa stima dei costi Page Settembre 2006 Siemens Business Services

56 Processo di Certificazione Ricezione Domanda Apertura Pratica Esame Documentale OK NO Verifiche supplementari SI Invio Programma di Valutazione Effettuazione Valutazione Rapporto Verifica Ispettiva OK NO Verifiche supplementari SI Proposta di Certificazione Esame da parte del Comitato tecnico Fonte: Sincert Rilascio Certificazione Page Settembre 2006 Siemens Business Services

57 Approfondimenti BS 7799 Parte 1: Code of practice for information security management BS 7799 Parte 2: Specification for Information Security Management Systems ISO/IEC 17799:2000(E) Code of Practise for Information Security Management BSI, Guide to BS 7799 Risk Assessment and Management, ISBN BSI, Guide on the selection of BS 7799 controls, ISBN BSI, Guide to BS 7799 Auditing, ISBN BSI, Preparing for BS certification Page Settembre 2006 Siemens Business Services

58 Link BS 7799 URL: ISO/IEC URL: European co-operation for Accreditation URL: SINCERT URL: RINA URL: itservices.rina.org/iso/ CLUSIT URL: Page Settembre 2006 Siemens Business Services

59 Certificazione della Sicurezza nel settore della tecnologia dell Informazione secondo ITSEC o Common Criteria La sicurezza nel settore della tecnologia dell informazione consiste nella protezione della riservatezza, integrità e disponibilità delle informazioni mediante il contrasto delle minacce originate dall uomo o dall ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l accesso, l utilizzo, la divulgazione, la modifica delle informazioni stesse, e di garantirne l accesso e l utilizzo a coloro che siano stati autorizzati. Fonte: LGP1 - Descrizione dello Schema Nazionale Page Settembre 2006 Siemens Business Services

60 Certificazione della Sicurezza nel settore della tecnologia dell Informazione secondo ITSEC o Common Criteria Il Decreto del Ministro per l'innovazione e le tecnologie e del Ministro delle comunicazioni (17/02/2005) ha identificato le: "Linee guida provvisorie per l'applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione (LGP), che entro 12 mesi dovranno essere pubblicate nella versione definitiva di Linee Guida Definitive (LGD) dall OCSI. L Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCTI) del Ministero delle Comunicazioni è l Organismo di Certificazione della Sicurezza nel settore della tecnologia dell Informazione (OCSI). Lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione si compone dell insieme delle procedure e delle regole necessarie per la valutazione e la certificazione, in conformità ai criteri europei ITSEC o ai Common Criteria (CC). Page Settembre 2006 Siemens Business Services

Nota Informativa dello Schema N. 1/13

Nota Informativa dello Schema N. 1/13 Organismo di Certificazione della Sicurezza Informatica Nota Informativa dello Schema N. 1/13 Modifiche alla LGP1 Novembre 2013 Versione 1.0 REGISTRAZIONE DELLE AGGIUNTE E VARIANTI L'elenco delle aggiunte

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

Accreditamento degli LVS e abilitazione degli Assistenti

Accreditamento degli LVS e abilitazione degli Assistenti Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione Organismo di Certificazione Accreditamento degli LVS e abilitazione

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

La certificazione della sicurezza ICT

La certificazione della sicurezza ICT La certificazione della sicurezza ICT Roma CNIPA, 30 maggio 2005 Le entità in gioco Common Criteria/ITSEC ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

MODALITÀ E CRITERI PER IL RINNOVO DELLA CERTIFICAZIONE NEL SETTORE SECURITY

MODALITÀ E CRITERI PER IL RINNOVO DELLA CERTIFICAZIONE NEL SETTORE SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: rinnovo@cepas.it Sito internet: www.cepas.eu PROCEDURA GESTIONALE sigla: PG21 Pag. 1 di 5 DELLA CERTIFICAZIONE NEL SETTORE 3

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO

IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO Dott.ssa Lucia Romagnoli Ancona, 15 luglio 2015 maggio 2007 UNIVPM ottiene la certificazione del proprio Sistema di Gestione per la Qualità (SGQ) ai sensi della

Dettagli

Studio legale: sicurezza e salute sul lavoro

Studio legale: sicurezza e salute sul lavoro Studio legale: sicurezza e salute sul lavoro Le politiche adottate a livello istituzionale, produttivo e dei servizi in tema di Sicurezza e salute del lavoro sono da tempo orientate verso l implementazione

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITÀ NELLO STUDIO LEGALE OBIETTIVI Master Breve di formazione personalizzata Il Master

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione

La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione Daniele Perucchini Fondazione Ugo Bordoni OCSI Resp. sezione "Progetti speciali" Check Point Achieves Prominent EAL 4

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

SISTEMA DI LOG MANAGEMENT

SISTEMA DI LOG MANAGEMENT SIA SISTEMA DI LOG MANAGEMENT Controllo degli accessi, monitoring delle situazioni anomale, alerting e reporting Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.04 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE Titolo progetto: Ente: ALDEBRA SPA Indirizzo: VIA LINZ, 13 38121 TRENTO Recapito telefonico: 0461/302400 Indirizzo e-mail: info@aldebra.com Indirizzo

Dettagli

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE Sistema di gestione UNI EN ISO 9001 MANUALE DI QUALITÀ INTRODUZIONE MAN-00 Organizzazione AZIENDA s.p.a. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 Web : www.nomeazienda.it

Dettagli

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari Pag. 1/9 03 11/02/2015 Modificata da EA a IAF la denominazione dei Settori merceologici. S. Ronchi R. De Pari E. Stanghellini R. De Pari 02 03/01/2014 Modificata ragione sociale 01 10/04/2012 Aggiornamento

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

AUDIT DEI SISTEMI DI GESTIONE ISO/IEC 27001 E ISO/IEC 20000-1: PECULIARITÀ, APPROCCI POSSIBILI, INTEGRAZIONE, FORMAZIONE DEGLI AUDITOR

AUDIT DEI SISTEMI DI GESTIONE ISO/IEC 27001 E ISO/IEC 20000-1: PECULIARITÀ, APPROCCI POSSIBILI, INTEGRAZIONE, FORMAZIONE DEGLI AUDITOR Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legati agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce agli Audit dei Sistemi di Gestione

Dettagli

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori Struttura della norma ISO/IEC 17025 1. Scopo 2. Riferimenti normativi 3. Termini e definizioni 4. Requisiti gestionali

Dettagli

Ministero dello Sviluppo Economico

Ministero dello Sviluppo Economico Ministero dello Sviluppo Economico Comunicazioni Istituto Superiore C.T.I. Rapporto di Certificazione Gestione dei dati sanitari, infermerie e CMD Versione 1.1 Ottobre 2008 Questa pagina è lasciata intenzionalmente

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITÀ NELLO STUDIO LEGALE ACEF Associazione Culturale Economia e Finanza è lieta di

Dettagli

ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITA NELLO STUDIO LEGALE

ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITA NELLO STUDIO LEGALE 22 aprile 2015 ore 14:30 / 18:30 Sala della Fondazione Forense Bolognese Via del Cane, 10/a Presiede e modera Avv. Federico Canova Consigliere dell Ordine degli Avvocati di Bologna ANALISI,REVISIONEEIMPLEMENTAZIONEDIUNMODELLO

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

Standard per la Certificazione della Sicurezza dell Informazione

Standard per la Certificazione della Sicurezza dell Informazione Standard per la Certificazione della Sicurezza dell Informazione Ing. Emilio Montolivo Amtec-Securteam emilio.montolivo@elsagdatamat.it Roma, 17 aprile 2007 Parte 1 Concetti Introduttivi Che cos è la certificazione?

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.03 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

REGOLAMENTO PER L ATTESTAZIONE EX REGOLAMENTO (UE) N. 333/2011

REGOLAMENTO PER L ATTESTAZIONE EX REGOLAMENTO (UE) N. 333/2011 REGOLAMENTO (UE) N. PROCEDURA GENERALE GP01 333 REGOLAMENTO PER L ATTESTAZIONE EX 0 15/09/2011 LTM CSI 1 di 8 INDICE 1. SCOPO... 3 2. GENERALITA... 3 2.1. REQUISITI AGGIUNTIVI PER... 3 3. RIFERIMENTI...

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

Le novità della UNI ISO 27001:2014

Le novità della UNI ISO 27001:2014 Le novità della UNI ISO 27001:2014 La norma ISO 27001 pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 Tecnologie informatiche Tecniche

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

MASTER GESTIONE INTEGRATA

MASTER GESTIONE INTEGRATA MASTER GESTIONE INTEGRATA ESPERTI in SISTEMI DI GESTIONE AZIENDALE: QUALITA, AMBIENTE E SICUREZZA ISO serie 9000, ISO serie 14000, OHSAS 18001, OHSAS 18002, ISO 22000, ISO 27001, Reg. EMAS, ISO 19011,

Dettagli

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza.

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza. Conservazione Sostitutiva Verso l amministrazione digitale, in tutta sicurezza. Paperless office Recenti ricerche hanno stimato che ogni euro investito nella migrazione di sistemi tradizionali verso tecnologie

Dettagli

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Comitato SGQ Comitato Ambiente Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Mercoledì, 23 febbraio 2005 - Palazzo FAST (Aula Morandi) Piazzale Morandi, 2 - Milano E' una

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona La norma ISO 50001 Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona I problemi dell energy management Fondamentalmente l EM è richiesto per risparmiare sui costi aziendali. Costi sempre

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

Guida alla Certificazione ISO 9001 per Piccole Medie Imprese

Guida alla Certificazione ISO 9001 per Piccole Medie Imprese Guida alla Certificazione ISO 9001 per Piccole Medie Imprese Tutto quello che c è da sapere per non sbagliare. Guida Pratica per Imprenditori e Manager che devono affrontare il processo di certificazione

Dettagli

Le procedure gestionali del SGQ di UTFUS TF GQL

Le procedure gestionali del SGQ di UTFUS TF GQL Le procedure gestionali del SGQ di UTFUS TF GQL Sommario Procedure gestionali obbligatorie secondo ISO 9001:2008; Gestione Documenti; Audit Interni; Non Conformità; Azioni di miglioramento (azioni correttive

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

BSI Group Italia 8901 Sostenibilità degli eventi

BSI Group Italia 8901 Sostenibilità degli eventi BSI Group Italia 8901 Sostenibilità degli eventi 1 Chi è BSI 2 BSI nasce nel 1901 in Inghilterra come primo ente di normazione al mondo, riconosciuto dalla corona britannica e oggi, a più di 100 anni dalla

Dettagli

IL RUOLO DEL ORGANISMO DI CERTIFICAZIONE

IL RUOLO DEL ORGANISMO DI CERTIFICAZIONE IL RUOLO DEL ORGANISMO DI CERTIFICAZIONE IL SISTEMA delle CERTIFICAZIONI CON LA DENOMINAZIONE SISTEMA DELLE CERTIFICAZIONI SI INTENDE DEFINIRE L INSIEME DEGLI STRUMENTI (ISTITUZIONALI, ORGANIZZATIVI, NORMATIVI)

Dettagli

BtoWeb QS Caratteristiche e funzionalità: BtoWeb QS

BtoWeb QS Caratteristiche e funzionalità: BtoWeb QS www.btoweb.it L unione tra il know-how gestionale e organizzativo maturato in oltre 12 anni di consulenza e l esperienza nell ambito dell informatizzazione dei processi ha consentito a Sinergest lo sviluppo

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE

SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE DEI CORSI DI FORMAZIONE PER Il presente Schema è stato redatto in conformità alle Norme : UNI CEI EN ISO/IEC 17024:2004 Sistemi Valutazione della conformità -

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Information Systems Audit and Control Association

Information Systems Audit and Control Association Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone

Dettagli

Titolo. Revisione 00. Data 2010-09-21. Redazione Approvazione Autorizzazione all emissione. Entrata in vigore. Il Coordinatore del Gruppo di Lavoro

Titolo. Revisione 00. Data 2010-09-21. Redazione Approvazione Autorizzazione all emissione. Entrata in vigore. Il Coordinatore del Gruppo di Lavoro Titolo Sigla Prescrizioni per l accreditamento di Organismi operanti le certificazioni dei Centri di contatto in accordo alla UNI EN 15838, seguendo i criteri della UNI 11200. Directives for accreditation

Dettagli

Conservazione del documento informatico ed i conservatori accreditati. Agenzia per l Italia Digitale

Conservazione del documento informatico ed i conservatori accreditati. Agenzia per l Italia Digitale Conservazione del documento informatico ed i conservatori accreditati Agenzia per l Italia Digitale 21-11-2014 L «ecosistema» della gestione dei documenti informatici PROTOCOLLO INFORMATICO FIRME ELETTRONICHE

Dettagli

LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION)

LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) PDCA Srl, partner di Security Brokers SCpA LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) Sommario

Dettagli

LA NORMA UNI EN ISO 9001: 2000 E LA CERTIFICAZIONE. C-La Norma UNI EN ISO 9001: 2000 e la certificazione 1

LA NORMA UNI EN ISO 9001: 2000 E LA CERTIFICAZIONE. C-La Norma UNI EN ISO 9001: 2000 e la certificazione 1 LA NORMA UNI EN ISO 9001: 2000 E LA CERTIFICAZIONE C-La Norma UNI EN ISO 9001: 2000 e la certificazione 1 LE NORME SERIE ISO 9000 Guidare e condurre con successo un'organizzazione richiede che questa sia

Dettagli