Sistemi di Gestione Sicurezza delle Informazioni
(ISO 27001:05 - ISO 17799:1 - ISO27001)

La ISO27001:2 -Information Security Management System (ISMS)- è stata la principale norma di riferimento per l'applicazione di un Sistema di gestione per la sicurezza delle informazioni. In origine la ISO27001 era divisa in 2 parti: la parte 1 era la Linea Guida e la parte 2 era lo Standard vero e proprio.

L'ISO ha adottato con una dichiarazione formale la parte 1 (Linea Guida) del documento BSI (British Standard Institute), che è diventato ISO 17799:1 (Information technology -- Security techniques -- Code of practice for information security management); e ha recepito nell'Ottobre 2005 la seconda parte della ISO27001, che è così diventata la ISO 27001:2005.

Se la ISO 17799:1 fornisce delle indicazioni non prescrittive per proteggere il patrimonio informativo di un'azienda, il documento normativo al quale un'azienda che intenda certificarsi deve far riferimento è la ISO 27001:2005.

L'ISO 27001:05 è uno standard di gestione della sicurezza delle informazioni che mira a preservare l'informazione, in qualsiasi forma essa sia presente nell'organizzazione, in termini di: riservatezza, integrità e disponibilità. Queste che rappresentano i tre requisiti fondamentali della sicurezza dell'informazione sono anche le componenti fondamentali da cui dipendono la competitività dell'azienda, i suoi profitti, la sua conformità ad obblighi legali e in definitiva la sua immagine commerciale.

Nell'ISO 17799:1, che rappresenta una sorta di linea guida, vengono individuati un insieme di punti d'intervento e le relative possibili misure organizzandoli nelle seguenti 10 aree distinte:

	Politica in materia di sicurezza delle informazioni
	Principi organizzativi per la gestione della sicurezza dell'informazione
	Controllo e classificazione del patrimonio informativo
	Sicurezza relativa al personale che gestisce le informazioni
	Sicurezza fisica e ambientale
	Gestione delle comunicazioni e delle attività operative
	Controllo degli accessi alle informazioni
	Sviluppo e manutenzione dei sistemi informativi
	Gestione continuativa dei processi operativi (Business continuity, disaster recovery)
	Conformità a requisiti legislativi

L'ISO 27001:05 è lo strumento per eseguire le verifiche di conformità del Sistema di Gestione della Sicurezza dell'Informazione. La creazione e manutenzione di un Sistema di Gestione del'Informazione prevede l'esecuzione di diversi passi:

	Delimitazione dell'ambito di competenza
	Definizione della politica di sicurezza ad alto livello
	Analisi e valutazione del rischio
	Gestione del rischio
	Scelta degli obiettivi e dei relativi controlli da realizzare
	Stesura della dichiarazione di applicabilità

Queste fasi riguardano la progettazione, attuazione, gestione, monitoraggio, revisione ed aggiornamento di un sistema di gestione per la sicurezza dell' informazione orientato ai rischi di business dell'azienda. L’impostazione dello standard ISO 27001, è coerente ed integrabile con quella del Sistema di Gestione per la Qualità ISO 9001:2000.

PROGETTO CARTESIO STUDIO ASSOCIATO PER IMPLEMENTAZIONE DEL SISTEMA GESTIONE SICUREZZA INFORMAZIONI (ISMS)

Il Cartesio Studio Associato si pone a servizio del mercato come ponte, strumento che consente il passaggio di stato da azienda ad azienda lungimirante nel mercato stesso. Le competenze della struttura garantiscono la piena comprensione delle esigenze del Cliente e tendono alla Sua piena soddisfazione.
La prima fase del progetto è costituita dall'Analisi Preliminare (chek-up gratuito presso l'azienda), attraverso la quale il Cartesio Studio Associato stima il gap dei processi dell'Organizzazione dalla conformità necessaria alla certificazione e, allo stesso tempo, consente all'azienda, di valutare la professionalità dei consulenti Cartesio.
Il rapporto di analisi preliminare consente di elaborare il progetto su misura per l'azienda dettagliando l'investimento necessario in termini economici, di tempo e di risorse.

Qualità ISO 9001 - Ambiente ISO 14001 - Sic. Lavoratori 626/94 OHSAS 18001 - Privacy 196/03 - Resp. Sociale SA8000
Modello Organizzativo ex D.L.gs 231/2001