La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni



Documenti analoghi
La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Value Proposition. Services Portfolio

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio per gli Istituti Finanziari

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

Telex telecomunicazioni. Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali

La Business Unit Sistemi

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

La certificazione CISM

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

Gli standard ISO e UNI per l efficienza energetica: opportunità, benefici e ritorni degli investimenti

Francesco Scribano GTS Business Continuity and Resiliency services Leader

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Audit & Sicurezza Informatica. Linee di servizio

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

Siamo quello che ti serve

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

Esternalizzazione della Funzione Compliance

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

TAURUS INFORMATICA S.R.L. Area Consulenza

OHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro

Direzione Centrale Sistemi Informativi

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Politica per la Sicurezza

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

CONNECTING THE FUTURE

Case Study Certificazione BS 7799

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

Il Regolamento REACh e la Check Compliance: proposta di Linee Guida

Organizzazione e sistemi di gestione

Proteggere il proprio business. ISO 22301: continuità operativa.

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS ISO/IEC 17799

Presentazione. agili e flessibili; costantemente aderenti al business model ed alla sua evoluzione geografica e temporale;

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

I dati in cassaforte 1

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane

Esperienze di analisi del rischio in proggeti di Information Security

LA NORMA OHSAS E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO

Lo standard ISO per l efficienza energetica e il nuovo periodo ETS: opportunità e benefici

1- Corso di IT Strategy

Il rischio d impresa A MISURA DI PMI

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

La sicurezza in banca: un assicurazione sul business aziendale

A disposizione del. Vostro Business

SISTEMA DI GESTIONE AMBIENTALE

Fattori critici di successo

Servizi e Consulenze per lo sviluppo e la crescita dell impresa. Risk Management

Chi siamo e cosa offriamo

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1

STT e BS7799: traguardo ed evoluzione in azienda

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Presentazione di Arthur D. Little Integrazione di sistemi di gestione

Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica

CERTIFICAZIONE DI QUALITA

BE ACTIVE. Upgrading means growing

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

Consulenza di Direzione. Partners del Vostro successo. Ricerca e Selezione di personale specializzato

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Chi siamo e le nostre aree di competenza

3SQUARE(Strategy(&(Tech(Consultants. A"brand"new"Concept"Consul2ng"Company"

Presentazione dell Azienda

Gestione della Sicurezza Informatica

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Claudio Pedrotti, Alessandra Carazzina Milano, 28 maggio 2008

Ing. Giovanni Germino. Modelli di Gestione Aziendale

BUSINESS SOLUTION FOR BUSINESS PEOPLE

MILANO TORINO GENOVA

Associazione Italiana Information Systems Auditors

Per offrire soluzioni di Risk Management

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

Banche e Sicurezza 2015

Service Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Qualità - Privacy - Sicurezza - Ambiente e Mobility Management Soluzioni ICT - Assessment e Formazione - Marketing e Comunicazione

Modello dei controlli di secondo e terzo livello

Creating Your Future

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

u Politiche di miglioramento della marginalità, valutazione dei costi aziendali e riduzione degli oneri per la crescita della redditività aziendale;

Il Sistema di Gestione per la Qualità nelle RSA. Principi metodologici della consulenza

Quando la sicurezza stradale è una priorità. ISO Road Safety Management System

Smart UTILITIES. L offerta SAP in Cloud per il mercato Energy & Utilities. Società Italiana Di Informatica. JOIN THE SIDI EXPERIENCE!

L EFFICIENZA ENERGETICA NEL 2016

Progetto di Information Security

PROFILO AZIENDALE NET STUDIO 2015

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Presentazione aziendale. soluzioni, servizi, consulenza

Progetto Atipico. Partners

Transcript:

Sistema di Gestione della Sicurezza delle Informazioni 2015

Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 2

Chi siamo Media Management Consulting Application Development & System integration Finance P.A. Insurance PMI Manufacturing Consulenza Operativa Aziendale ERP Solutions Development Telco ICT 3

Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 4

Il modello operativo di Quality Solutions Presidio dei mercati e delle competenze Integrated Process Care Security & BC L esperienza di oltre 15 anni nel campo dei servizi alle imprese e dei sistemi di gestione aziendale delinea Quality Solutions come un partner di riferimento per la Consulenza Direzionale e ICT Il nostro sistema di gestione è certificato secondo le norme ISO 9001 e SA 8000 Compliance Training Finance Telco P.A. ICT Tutti i collaboratori di Quality Solutions hanno conseguito specializzazioni e certificazioni professionali per lo sviluppo dei servizi che la società offre ai clienti Compliance Gestione Qualità IT ICT Consulting Health, Safety & Environment Safety Organizzazione Energy Responsabilità Sociale Security Training ICT Consulting Business Continuity Energy Sommiamo agli skill verticali - specifiche per settore di mercato - i professionisti e le tecnologie più adatte, dalle aree di competenza orizzontali interne 5

Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 6

Introduzione alla ISO 27001 (1/3) Il problema della sicurezza delle informazioni Le INFORMAZIONI sono la linfa vitale di tutte le organizzazioni ed oggi più che mai rappresentano un patrimonio di grande valore da salvaguardare La famiglia ISO 27000 È una raccolta di norme volontarie e linee guida per la realizzazione e la conduzione di un Sistema aziendale di gestione della sicurezza delle informazioni INFORMAZIONI Lo standard è costruito sulla base di due principi fondamentali: Sicurezza delle informazioni intesa come: integrità disponibilità riservatezza Assicurare e garantire la protezione del proprio patrimonio informativo Le MINACCE provengono da diverse fonti e colpiscono diversi ambiti Minacce interne/esterne Minacce accidentali/dolose Efficacia come continuità del business minimizzazione del danno in caso di incidente 7

Introduzione alla ISO 27001 (2/3) Gli ambiti di intervento Protezione delle informazioni La ISO/IEC 27001 consente di valutare attentamente tutti i rischi riferibili al business e di evidenziare le aree in cui è necessario un miglioramento Le modalità di protezione delle informazioni consistono nell assicurarne adeguati livelli di riservatezza, integrità e accessibilità, attraverso la gestione controllata dei processi aziendali, ciò richiede l utilizzo di personale, procedure e sistemi IT Sicurezza IT Sicurezza Fisica Ambiti Azioni Implementazione di misure (di carattere tecnologico) tese ad assicurare: la gestione degli accessi da parte degli utenti a tutti ed i servizi previsti per quell utente, nei tempi e nelle modalità previste l individuazione ed il blocco delle intrusioni non autorizzate ai sistemi (antivirus, firewall, ecc) il back-up dei dati e la pianificazione del Disaster Recovery Implementazione di misure (di carattere infrastrutturale e tecnologico) tese a dissuadere l accesso non autorizzato ad un asset e/o la sottrazione di informazioni critiche Sicurezza Organizzativa Progettazione ed implementazione di modelli organizzativi (processi, procedure, ecc) tesi ad assicurare il monitoraggio delle performance e l aggiornamento continuo dell analisi dei rischi 8

Introduzione alla ISO 27001 (3/3) Benefici/Valore aggiunto Principali attività svolte Identificazione e comunicazione dei rischi Comprensione dei rischi da parte delle risorse Valutazione dei rischi in termini di impatti sul business Prioritizzazione delle azioni di mitigazione del rischio Monitoraggio efficace dei rischi e della loro gestione Valore aggiunto Metodologia consolidata per l analisi del rischio Approccio alla Business Continuity Benefici per l organizzazione L effort per la costruzione di una metodologia di analisi dei rischi è un investimento in direzione dello sviluppo di una cultura aziendale in materia di sicurezza La crescente attenzione all analisi e alla gestione dei rischi fa della cultura del rischio uno strumento di sviluppo aziendale coerente con l evoluzione degli standard internazionali di riferimento L analisi rischi richiesta dalla ISO 27001, sebbene focalizzata sulla valutazione degli impatti sulle informazioni, apre la strada alla valutazione degli impatti sul business Un sistema di gestione consente una pianificazione orientata a minimizzare i danni economici derivanti dai rischi connessi alla complessità del mercato Approccio alla Compliance (Privacy, ecc) L implementazione di un ISMS: garantisce una maggiore capacità nel gestire l impatto delle leggi e regolamenti cogenti consente di evitare sanzioni o altre ripercussioni in caso di incidenti che procurino danni a terzi migliora la gestione dei requisiti inerenti la Privacy 9

Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 10

La metodologia Quality Solutions Sviluppo del Sistema di Gestione ISO 27001 Progettazione e realizzazione dell Information Security Management System (ISMS) As is Analysis Gap Analysis Implementazione Monitoraggio Definizione del perimetro Analisi dei rischi informazioni critiche asset minacce Valutazione dei rischi minacce/scenari (%) impatti sull informazione livello di rischio accettabile Definizione del piano di mitigazione dei rischi Verifica e revisione dell analisi (SOA) Produzione della documentazione di sistema Avvio del sistema Avvio della gestione degli incidenti di sicurezza delle informazioni Formazione Analisi dati Audit interno Gestione delle non conformità Definizione delle azioni correttive e di miglioramento Certificazione dell ente Metodologia di analisi dei rischi Report dell analisi dei rischi Piano del trattamento dei rischi Statement of Applicability (SOA) Procedura di gestione degli incidenti di sicurezza Procedure operative (controllo accessi logici, back-up, etc.) Business Continuity Plan Modulistica per le registrazioni di sistema Manuale del Sistema di Gestione per la Sicurezza delle Informazioni Rapporto di audit interno Non Conformità Azioni Correttive Azioni di miglioramento Certificazione ISO 27001 11

La metodologia Quality Solutions Miglioramento continuo Definizione perimetro Valutazione rischi Piano mitigazione rischi Accettazione del rischio Attuazione del Piano mitigazione rischi Gestione degli Incidenti PLAN DO Requisiti ed aspettative di sicurezza delle informazioni ISMS Sicurezza delle informazioni ACT CHECK Gestione dei Problemi Azioni di miglioramento Analisi dati Revisione degli Incidenti Individuazione dei Problemi 12

Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 13

Focus on: L analisi dei rischi QS Risk Assessment secondo le linee guida ISO 27005 QS Rsk Assessment Analisi funzionale e strutturale Stima valore degli asset Analisi minacce e Valutazione vulnerabilità Calcolo livello di rischio (Risk Profile) Assessment preliminare identificazione degli asset primari, in termini di organizzazione, processi ed attività che caratterizzano l erogazione dei servizi Valutazione preliminare del livello di criticità delle informazioni, prendendo in considerazione più tipologie di eventi secondo tre macroscenari: Analisi delle Minacce e Valutazione delle Vulnerabilità per ciascun asset di cui abbiamo identificato la criticità: Probabilità (P) probabilità di accadimento della minaccia Vulnerabilità (V) Livello di Vulnerabilità dell asset rispetto alla minaccia Assessment IT individuazione degli asset che supportano quelli primari, in termini di hardware, software e apparati di rete Assessment Fisico descrizione delle componenti fisiche utilizzate per l erogazione dei servizi, in termini di infrastrutture ed aree di lavoro perdita di Confidenzialità perdita d Integrità perdita di Disponibilità Minacce possibilità di accadimento di un evento indesiderato che può impattare negativamente su un bene o sulla struttura organizzativa Vulnerabilità livello di esposizione di un asset rispetto a una possibile minaccia Impatto (I) Impatto potenziale (in funzione della criticità dell asset) Risk Profile (R) Livello di Rischio di un asset associato ad una specifica minaccia R = P x V x I 14

Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 15

Referenze Le principali Aziende con le quali abbiamo collaborato 16

Grazie per l attenzione Via C. Colombo, 456-00144 Roma Tel/Fax 06.54224774 / 06.54223196 Corso Venezia, 40-20121 Milano Tel 02.76005343 www.qualitysolutions.it www.5minfonramtica.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back