COBIT 5 for Information Security

Похожие документы
COBIT 5 for Information Security Struttura e linee guida per l utilizzo

ISO 9001:2015 vs. ISO 9001:2008

Alessandro D Ascenzio

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

IBM - IT Service Management 1

ACM CERT S.r.l. ACM CERT S.r.l. Corso Auditor/Lead Auditor ISO 9001:2015. Organismo di Certificazione. SGQ n. 135A

INDICE PREMESSA 1 INTRODUZIONE 2 1 SCOPO E CAMPO DI APPLICAZIONE 5 2 RIFERIMENTI NORMATIVI 6 3 TERMINI E DEFINIZIONI 6

ITIL cos'è e di cosa tratta

Sistemi di Gestione per la Qualità e della Sicurezza Informatica

DI ORE NUMERO. di Politica, di miglioramento. 33 Cfp. Titolo. Argomento. Introduzione 9001:2008 (2 h) Termini e definizioni. Introduzione.

ORGANIZZAZIONE Un modello organizzativo per l efficacia e l efficienza dello Studio

UNI EN ISO 9001:2015 LE MODIFICHE APPORTATE, GLI ADEGUAMENTI NECESSARI - SINTESI-

UNI ISO Il nuovo standard internazionale. Ing. Nadia Mogavero

L esperienza di Snam Rete Gas

MANUALE DELLA QUALITA ISO 9001:2015 STRUTTURA, ANTEPRIME, REGISTRAZIONI

SERVICE MANAGEMENT E ITIL

ISO 9001:2015 LA STRUTTURA DELLA NORMA

ISO 9001:2015 I NUOVI REQUISITI

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

[RAGIONE SOCIALE AZIENDA] [Manuale Qualità]

GENERALI GROUP Ufficio del Dirigente Preposto. L integrazione delle best practice per una best practice de facto. Padova, 13 Novembre 2008

Third Party Assurance Reporting

SAFER, SMARTER, GREENER

MANUALE SISTEMA DI GESTIONE INTEGRATO QUALITA AMBIENTE E SICUREZZA

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Alessandra Peverini Milano 19 ottobre 2015 LA NUOVA NORMA ISO 9001:2015 E I RISCHI GESTIONALI

ISO 9001:2015 e ISO HLS:

LA STRUTTURA DELL ISO 9001:2015

BUSINESS PRESENTATION

La sostenibilità applicata agli eventi aziendali mediante la certificazione ISO 20121

SGSI CERT CSP POSTE ITALIANE

ITIL cos'è e di cosa tratta

ISO 9001:2015. Linea guida. La ISO 9001è cambiata

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

Cyber Security LA COMPLIANCE CON LE NUOVE RICHIESTE DELLA CIRCOLARE FINMA 2008/21

SICUREZZA e QUALITÀ. Relatore: Giovanni Scotti - - Certification Coordinator per SGS Italia S.p.A.

Come cambieranno gli audit sui sistemi di gestione

Pubblicazioni COBIT 5

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

Corso di aggiornamento sui Sistemi di Gestione della Qualità

RISK MANAGEMENT ISO GESTIRE I RISCHI DI IMPRESA

QUALITA QUALITA GARANZI A

Allegato 3 - SCHEDE DI PROCESSO

MANUALE SISTEMA DI GESTIONE INTEGRATO QUALITA E AMBIENTE

Introduzione a COBIT 5 for Assurance

L ORGANIZZAZIONE PER PROCESSI COME SUPPORTO PER LA GESTIONE DELLA PUBBLICA AMMINISTRAZIONE. Relatore: GABRIELE DE SIMONE

COBIT e ISO/IEC 27000

COBIT5 per pianificare ed implementare

Approccio alla gestione del rischio

Analisi, revisione e implementazione di un modello organizzativo in Qualità nello Studio Legale

ITIL e PMBOK Service management and project management a confronto

Cybersecurity per la PA: approccio multicompliance Sogei

Per una migliore qualità della vita

La nostra storia inizia nel 1992, anno in cui Nova Systems Roma viene costituita e muove i primi passi nel mercato dei servizi informatici.

Politica per la Qualità, la Sicurezza delle Informazioni e la Sicurezza sul lavoro

La governance dei Servizi IT con COBIT, ITIL e ISO/IEC 20000

Certificazione ISO 20000:2005 e Integrazione con ISO 9001:2000 e ISO 27001:2005. Certification Europe Italia

Processi di Gestione dei Sistemi ICT

ISO 9001:2015. L innovazione nei Sistemi di Gestione per la Qualità. Roma 23/10/15 Bollate 06/11/15

Транскрипт:

COBIT 5 for Information Security Andrea Castello LA 27001, LA 20000, LA 22301, ISO 20000 trainer 1

SPONSOR DELL EVENTO SPONSOR DI ISACA VENICE CHAPTER CON IL PATROCINIO DI 2

Agenda Sicurezza delle informazioni e valore dell informazione Governance della sicurezza delle informazioni Contenuti COBIT5 For Information Security: Enablers e ciclo di vita Sicurezza delle informazioni e lo standard ISO 27001 Allineamento COBIT5 e ISO 27001 3

COBIT 5 for Information security 4

Perché parlare di Sicurezza delle informazioni? La pubblicazione COBIT5 For Information Security nasce dalla forte esigenza di definire un approccio consolidato e sistematico alla gestione della sicurezza delle informazioni 5

Il valore dell informazione Riservatezza Information is a key resource for all enterprises and, from the time information is created to the moment it is destroyed, technology plays a significant role. [Cobit5 For Information Security] Informazione Disponibilità Integrità 6

Governance della sicurezza delle informazioni Cobit5 For information security mira a fornire un framework in grado di consentire alle aziende la corretta Governance atta al raggiungimento degli obbiettivi di business. Il framework aiuta l azienda a garantire il valore delle informazioni gestite ottimizzandone i rischi e l impiego di risorse. 7

Quali benefici porta la Governance della sicurezza delle informazioni? Miglioramento continuo Minor complessità Commisurazione rischi GOVERNANCE Aumento costi benefici Soddisfazione clienti Maggior consapevolezza Maggior integrazione delle informazioni 8

Struttura: Struttura delle guida SECTION 1 COBIT 5 Principles SECTION 2 COBIT 5 Enablers for Implementing Information Security in Practice Principles, Policies and Frameworks Information Processes Services, Infrastr. and Applications Organisational Structures People, Skills and Competencies Culture, Ethics and Behaviour SECTION 3 Adapting COBIT 5 for Information Security to the Enterprise Environment 4 pagine 27 pagine 7 pagine [A] Princ., Policies and Frameworks [E] Information [B] Processes [F] Services, Infrastr. and Applications APPENDICES Detailed Guidance [C] Organisational Structures [G] People, Skills and Competencies [D] Culture, Ethics and Behaviour [H] Detailed Mapping 154 pagine 9

Section II: Enablers 10

Policy Framework 11

Processes 12

Organization structures COBIT5 For Information Security definisce le persone chiave nel processo decisionale legato alla sicurezza delle informazioni 13

Culture, Ethics and behaviour 14

Information 15

Service Infrastructure and Applications 16

People, Skill and Competencies 17

Section III: Come si implementa la gestione della sicurezza delle informazioni nel contesto aziendale? Gestione dei cambiamenti Comprensione del contesto Creazione di un ambiente adeguato (risorse, ruoli, responsabilità, strutture, processi) Individuazione Trigger (non conformità, incidenti di sicurezza,.) 18

COBIT and Other IT Governance Frameworks Allineamento con altre best practices COSO ISO 27002 COBIT WHAT ITIL HOW Source ISACA 2007 SCOPE OF COVERAGE 19

COBIT5 e ISO 27001 COBIT e ISO 27001 Molto è stato detto, forse tutto 20

Sicurezza delle informazioni e lo standard ISO 27001 Information technology - Security techniques - Information security management systems - Requirements 21

Sicurezza delle informazioni e lo standard ISO 27001 Set della documentazione SGSI Campo di applicazione Politica di sicurezza Metodologia (Processo di valutazione) dei rischi di sicurezza delle informazioni Processo e piano di trattamento del rischio SOA Obiettivi sicurezza delle informazioni Eventi Incidenti alla sicurezza; Debolezze presunte; Malfunzionamenti. Osservazioni degli audit; Risultati di test; Risultati di controlli a campione (spot-check) Riesame ed aggiornamento del SGSI Verbale(i) all interno di un forum Registrazione e analisi Evidenze 22

ISO/IEC 27001:13 4 Il contesto dell organizzazione Capire l organizzazione ed il suo contesto Comprendere le necessità e le aspettative delle parti interessate Determinare il campo di applicazione del sistema di gestione per la sicurezza delle informazioni Sistema di gestione per la sicurezza delle informazioni 5 Guida e direzione (Leadership) Guida, direzione e impegno Politica Ruoli, responsabilità e poteri dell organizzazione 6 Pianificazione Azioni per fronteggiare rischi e opportunità Obiettivi per la sicurezza delle informazioni e piani per conseguirli 7 Supporto Risorse Competenze Consapevolezza Comunicazione Informazioni documentate 8 Operatività Pianificazione e controllo operativo Valutazione del rischio relativo alla sicurezza delle informazioni Trattamento del rischio relativo alla sicurezza delle informazioni 9 Valutazione delle prestazioni Monitoraggio, misurazione, analisi e valutazione Audit interni Riesame della Direzione 10 Miglioramento Non conformità e azioni correttive Miglioramento continuo La nuova norma pone, in generale, maggiore enfasi sulla definizione degli obiettivi, sul monitoraggio delle prestazioni, sulla definizione delle metriche e sulla comunicazione interna ed esterna. 23

Controlli ISO 27001:13 Organizzativi Politiche di Sicurezza (2) Organizzazione della Sicurezza delle Informazioni (7) Sicurezza delle risorse umane (6) Fisici Sicurezza Fisica ed Ambientale (15) Tecnici Gestione dei Beni (10) Controllo degli accessi (13) Crittografia (2) Sicurezza Operativa (14) Sicurezza delle comunicazioni (7) Acquisizione, sviluppo e manutenzione dei sistemi (13) Relazioni con i fornitori (15) Gestione degli incidenti relativi alla sicurezza delle informazioni (7) Aspetti relativi alla sicurezza delle Informazioni nella gestione della Continuità Operativa (4) Legali 14 Aree 35 Obiettivi di controllo 114 controlli Conformità (8) 24

Cosa è cambiato? 2013 2005 25

COBIT5 e ISO 27001 Aree Annex A ISO 27001:05 26

COBIT5 e ISO 27001 Aree Annex A ISO 27001:05 Rif EDM APO BAI DSS MEA Appendice H A.05 0% 0% 0% 0% 50% 50% A.06 73% 27% 9% 0% 27% 73% A.07 0% 0% 40% 0% 0% 40% A.08 0% 22% 11% 11% 0% 22% A.09 0% 0% 8% 0% 0% 8% A.10 0% 13% 19% 100% 9% 100% A.11 0% 0% 12% 0% 0% 12% A.12 0% 0% 13% 0% 0% 13% A.13 0% 40% 20% 100% 0% 100% A.14 20% 40% 0% 100% 0% 100% A.15 0% 10% 10% 0% 60% 70% va A.15 A.05 100% 75% A.14 A.13 A.12 A.06 A.15 A.11 A.05 100% 75% 50% 25% 0% A.10 A.06 A.09 A.07 A.08 EDM APO BAI DSS MEA A.14 50% A.07 25% A.13 0% A.08 Copertura complessiva A.12 A.09 A.11 A.10 27

COBIT5 e ISO 27001 COBIT e ISO 27001: un risultato Copertura COBIT 5 Appendice A ISO 27001 A.15 A.05 100% 75% A.06 Cobit5 For Information Security A.14 50% A.07 Cobit5 25% A.13 0% A.08 Appendice H Cobit 5 A.12 A.09 A.11 A.10 28

COBIT e ISO 27001: considerazioni Quesito: se adotto una governance basata su COBIT 5 ho un efficace supporto alla certificazione ISO27001? Se con COBIT 5 ho una visione e una concretezza della sicurezza, come gestione di processi, Se uso COBIT 5 per monitorare i miei gap di sicurezza, e quindi le azioni di miglioramento. Se uso COBIT 5 per attivare e mantenere allineata con i miei obiettivi di business, l analisi dei rischi Se COBIT 5 mi guida nell organizzazione, nei controlli e nella valutazione di conformità, anche in senso generale dei miei processi IT Allora COBIT 5 è sinergico alla ISO 27001 29

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back