SlideShare a Scribd company logo

ISO 27001 - Intervento di Salvatore Fabbricatore

Fabio Rosito
Fabio Rosito

La presentazione di Salvatore Fabbricatore sul tema della ISO 27001 utilizzata in occasione del webinar AIAS Piemonte e Valle d'Aosta del 13 dicembre 2021

Business
1 of 36
Download to read offline
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 1
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 2 Lo standard ISO/IEC 27001 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni. Questi sistemi sono stati concepiti per proteggere le attività che trattano informazioni e sono basati su principi, obiettivi, politiche e valutazione dei rischi volte a tutelare i tre pilastri fondamentali che garantiscono la sicurezza di dati e informazioni in qualsiasi modo trattate: Riservatezza delle informazioni Riservatezza significa proteggere le informazioni dagli accessi da parte di soggetti non autorizzati. In altre parole, all’interno dell’organizzazione, solo chi è autorizzato può accedere alle informazioni riservate. Integrità delle informazioni Integrità vuol dire garantire l'autenticità dell'informazione, che tale informazione non sia alterata e che la sorgente dell’informazione sia autentica. La mancanza di integrità si manifesta nell’occasione in cui vengano apportate modifiche (di qualunque tipo e non autorizzate) alle informazioni gestite. Disponibilità delle informazioni Disponibilità significa che l'informazione è accessibile agli utenti autorizzati.
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 3 Questo standard è applicabile non solo ad organizzazioni con profilo IT quasi tutte le organizzazioni, indipendentemente dall’attività esercitata, possono trattare informazioni sensibili circa i propri clienti, collaboratori, altre parti interessate e, in alcuni casi, anche il grande pubblico.
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 4 16:30 - 16:45 "Presentazione di AIAS e AIAs Piemonte" Salvatore Fabbricatore, segretario regionale AIAS Piemonte 16:45 - 17:00 "La funzione della certificazione nell'ambito della sicurezza dei dati" Antonio Lucchini – CEO dell’Ente di Certificazione SQS ITALIA. 17:00 - 17:15 "Il processo di implementazione di un sistema di gestione per la sicurezza dei dati" Salvatore Fabbricatore – Consulente sistemi di gestione 17:15 - 17:30 "Il processo di certificazione di un sistema di gestione per la sicurezza dei dati e principali non conformità rilevate" Alberto Rencurosi – SQS ITALIA Area Manager Nord Ovest 17:30 - 17:45 "L'impatto sull'azienda dell'implementazione della ISO 27001" Alessandro Bellone – Direttore di produzione Elipse srl. 17:45 - 18:00 Spazio per domande e risposte PROGRAMMA
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 5
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 6
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 7
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 8 Fonte: QNA AIAS n° 8/2020
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 9 Fonte: QNA AIAS n° 8/2020
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 10 Fonte: QNA AIAS n° 8/2020
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 11 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 12 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 13 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 14 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 15 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 16 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 17 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 18 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 19 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 20 Per quanto riguarda la politica per la sicurezza delle informazioni, l’organizzazione adotta due livelli di politica per la sicurezza delle informazioni. ▪ Il livello più alto, livello A, documenta la politica generale all’interno dell’All-05- 20-A Politica per la qualità e la sicurezza delle informazioni. ▪ Il livello inferiore, livello B, documenta le politiche specifiche per argomento. Le politiche specifiche sono riportate nella documentazione di sistema (es.: Istruzioni operative per la sicurezza (IOS) con riferimento agli specifici controlli dell'Annex A. POLITICA PER LA SICUREZZA DELLE INFORMAZIONI E STATEMENT OF APPLICABILITY DELLA NORMA
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 21 La norma ISO/IEC 27001 specifica una serie di requisiti obbligatori che devono essere soddisfatti per implementare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme con lo standard certificabile. La norma richiede all’Organizzazione di determinare i rischi per la sicurezza delle informazioni e come tali rischi devono essere trattati. L’Annex (A) alla norma ISO/IEC 27001 delinea una serie di controlli che devono ovviamente essere applicabili all’Organizzazione (che è comunque libera di scegliere strutture alternative e controlli che soddisfano le loro specifiche esigenze di sicurezza). In tal senso la Direzione definisce una Dichiarazione di Applicabilità (SOA) SOA Statement of Applicability
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 22 SOA Statement of Applicability
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 23 SOA Statement of Applicability
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 24 SOA Statement of Applicability AREA 5 : POLITICA PER LA SICUREZZA DELLE INFORMAZIONI Obiettivo: Fornire gli indirizzi ed il supporto della direzione per la sicurezza delle informazioni in accordo con i requisiti di business, con le leggi e con i regolamenti pertinenti. AREA 6 : ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI Obiettivo 6.1 : Stabilire un quadro di riferimento gestionale per intraprendere e controllare l’attuazione e l’esercizio della sicurezza delle informazioni all’interno dell’organizzazione. Obiettivo 6.2 : …………………… AREA 7 : SICUREZZA DELLE RISORSE UMANE Obiettivo 7.1 : Assicurare che il personale e i collaboratori comprendano le proprie responsabilità e siano adatti a ricoprire i ruoli per i quali sono presi in considerazione. Obiettivo 7.2 : ……………… Obiettivo 7.3 : ……………… AREA 8 ……………………… ………………………..
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 25 Esempio (1): controllo A.6.2.2 – Telelavoro Obiettivo: assicurare la sicurezza del telelavoro nell’uso di dispositivi portatili Controllo: devono essere attuate una politica e delle misure di sicurezza a suo supporto per proteggere le informazioni consultate, elaborate e memorizzate presso siti di telelavoro.
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 26
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 27 6.2.2 Telelavoro Previsione contrattuali del telelavoro La nostra organizzazione prevede che alcune attività lavorative possano essere eseguite all’esterno dei locali delle sue sedi ed in particolare in un ambiente idoneo a: ▪ eseguire la prestazione lavorativa in maniera sicura, efficace ed efficiente almeno tanto quanto sarebbe “in ufficio”; ▪ custodire i necessari dispositivi di lavoro in maniera sicura; ▪ preservare la sicurezza delle informazioni contenute negli asset; ▪ consentire al lavoratore di poter godere del comfort “adeguato” e della necessaria concentrazione (assenza di distrazioni). ▪ ……………………….. Il telelavoro è disciplinato, ai sensi di legge e conformemente alle specifiche normative in merito, dal contratto di lavoro che lega l’organizzazione al lavoratore, sia tale contratto di natura individuale o collettiva. Responsabilità nel telelavoro RDP Produzione ha la responsabilità: ▪ della supervisione delle attività lavorative compiute in regime di telelavoro; ▪ della sicurezza delle informazioni ad esse associate; ▪ della predisposizione dei controlli di sicurezza. ▪ ……………………..
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 28 Telelavoro come misura per la business continuity L’organizzazione considera il Telelavoro uno strumento efficace da impiegare quando condizioni improvvise ed avverse dovessero rendere impossibile il proseguire delle attività lavorative all’interno dei locali dell’organizzazione. Il telelavoro rappresenta, di conseguenza, anche una misura per la “business continuity”. Regole di prevenzione per il telelavoro L’organizzazione, allo scopo di tenere sotto controllo i rischi per la sicurezza delle informazioni nell’ambito del telelavoro applica la politica di sicurezza basata sulle seguenti regole: ▪ rende consapevole il personale, attraverso interventi di formazione, dei pericoli che possono compromettere la riservatezza, l’integrità e la disponibilità delle informazioni e dei controlli di sicurezza da applicare; ▪ fornisce i dispositivi portatili e vieta l’impiego di dispositivi personali; ▪ amministra il telelavoro con strumenti che permettono la pianificazione e la verifica delle attività eseguite da remoto; ▪ rende disponibile l’assistenza da parte dell'amministratore di sistema – IT Manager per la soluzione di problemi tecnici; ▪ rende disponibile l’assistenza da parte del RSGI per l'applicazione delle procedure di sicurezza; ▪ predispone apposite utility software per la rendicontazione del lavoro svolto da remoto; ▪ vieta l’impiego di “postazioni di lavoro” occasionali. 6.2.2 Telelavoro
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 29 Esempio (2): controllo A.16.1.1 – Responsabilità e procedure Obiettivo: Assicurare un approccio coerente ed efficace per la gestione degli incidenti relativi alla sicurezza delle informazioni, incluse le comunicazioni relative agli eventi di sicurezza ed ai punti di debolezza Controllo: devono essere stabilite le responsabilità e le procedure di gestione per assicurare una risposta rapida, efficace ed ordinata agli incidenti relativi alla sicurezza delle informazioni.
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 30
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 31 Introduzione al disaster recovery plan dell'organizzazione A fronte dei rischi che incombono sulle informazioni, l'organizzazione ha già stabilito i controlli di sicurezza interni che mantengono il rischio generale ad un livello basso. Tali controlli sono documentati all'interno del Mod-07-10-M- Inventario degli asset. La probabilità, tuttavia, che determinati incidenti possano accadere, ancorché bassa, non rende impossibili tali eventi. Se i controlli applicati internamente alla struttura, finalizzati alla protezione delle informazioni dovessero risultare, in condizioni critiche, inefficaci, compromessi, o comunque non funzionanti, l'organizzazione mette in atto delle azioni la cui finalità è quella di poter riacquisire, nel più breve tempo possibile, la disponibilità delle informazioni. Scopo La presente IOS ha lo scopo di disciplinare la modalità con cui l'organizzazione gestisce la sopravvenuta indisponibilità delle informazioni causata dalla distruzione dei supporti residenti nella sua struttura fisica (locali della sede: ufficio progettazione, ufficio amministrazione, ecc.). Le cause della distruzione dei supporti, come abbiamo visto nell'identificazione e la valutazione dei rischi, possono consistere in fenomeni fisici o atmosferici quali ad esempio: ▪ Allagamenti (a seguito di eventi atmosferici eccezionali o di guasti/rotture dell’impianto idrico) ▪ Terremoti ▪ Incendi 16.1.1 Responsabilità e procedure
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 32 La presente procedura, che scaturisce dall'analisi e dalla valutazione dei rischi, rappresenta il DISASTER RECOVERY PLAN, ossia il Piano di recupero delle informazioni da attuare in caso di disastro. L'organizzazione, in generale, per il recupero delle informazioni non più disponibili, adotta il "backup" la cui politica ed il cui funzionamento sono disciplinati nella procedura di sicurezza IOS-12 – Sicurezza delle attività operative, nel paragrafo dedicato. L'organizzazione adotta una soluzione di disaster recovery (di cui il backup è solo una componente) che è stata progettata in relazione alle caratteristiche tecniche della struttura IT, tenendo conto della quantità di informazioni che potrebbe "andare persa" a causa di uno degli eventi precedentemente indicati. Per il "ricovero" delle informazioni, l'organizzazione ha optato per un’infrastruttura informatica completamente ridondante con dati replicati fuori sede. ………… 16.1.1 Responsabilità e procedure
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 33 SOA Statement of Applicability
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 34 Nel mese di agosto del 2019 è stata pubblicata la Norma ISO/IEC 27701, che, basandosi sui requisiti della ISO/IEC 27001, fornisce la possibilità di estendere lo scopo di applicazione di quest’ultima al perimetro della gestione della Privacy - GDPR - Regolamento generale sulla protezione dei dati (UE/2016/679). I due standard possono esser certificati in combinazione. ISO/IEC 27701 - Gestione delle informazioni sulla privacy
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 35 L’implementazione di un Sistema di gestione conforme alle norme ISO/IEC 27701 e ISO 27001 consentirà di soddisfare i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in materia di protezione dei dati e dimostrerà che sono stati predisposte “misure tecniche e organizzative appropriate” (articolo 32) per proteggere i dati personali che vengono trattati, proteggendo i diritti degli interessati, in linea con il principio di accountability descritto nel Regolamento (articolo 5). Articolo 32 Sicurezza del trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso………. ISO/IEC 27701 - Gestione delle informazioni sulla privacy
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 36 L’articolo 42 del GDPR tratta dei meccanismi di certificazione della protezione dei dati. Anche se non è ancora stata definita e riconosciuta ufficialmente come meccanismo valido in tal senso dalle autorità competenti (EDPB e Garante), tuttavia è possibile ottenere la certificazione ISO 27001 – e per estensione ISO 27701 – accreditata in modo indipendente da un certification body riconosciuto, dimostrando così a tutti gli stakeholder che la vostra organizzazione segue le migliori pratiche internazionali in tema di protezione dei dati personali. Articolo 42 Certificazione 1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese. ISO/IEC 27701 - Gestione delle informazioni sulla privacy

Recommended

Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneFabio Rosito
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuityBusiness Resiliente
 
Tecnometal Srl
Tecnometal SrlTecnometal Srl
Tecnometal SrlRoberto Rosset
 
Nuova ASP - General Catalogue_Enclosure 2011
Nuova ASP - General Catalogue_Enclosure 2011Nuova ASP - General Catalogue_Enclosure 2011
Nuova ASP - General Catalogue_Enclosure 2011Davide Baccino
 
Nuova ASP - General Catalogue_Equipment for Mining 2011
Nuova ASP - General Catalogue_Equipment for Mining 2011Nuova ASP - General Catalogue_Equipment for Mining 2011
Nuova ASP - General Catalogue_Equipment for Mining 2011Davide Baccino
 
212 2015 allegato-dossier
212 2015 allegato-dossier212 2015 allegato-dossier
212 2015 allegato-dossierhttp://www.studioingvolpi.it
 
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATOCAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATOpostaSimo
 

Recommended

Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneFabio Rosito
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuityBusiness Resiliente
 
Tecnometal Srl
Tecnometal SrlTecnometal Srl
Tecnometal SrlRoberto Rosset
 
Nuova ASP - General Catalogue_Enclosure 2011
Nuova ASP - General Catalogue_Enclosure 2011Nuova ASP - General Catalogue_Enclosure 2011
Nuova ASP - General Catalogue_Enclosure 2011Davide Baccino
 
Nuova ASP - General Catalogue_Equipment for Mining 2011
Nuova ASP - General Catalogue_Equipment for Mining 2011Nuova ASP - General Catalogue_Equipment for Mining 2011
Nuova ASP - General Catalogue_Equipment for Mining 2011Davide Baccino
 
212 2015 allegato-dossier
212 2015 allegato-dossier212 2015 allegato-dossier
212 2015 allegato-dossierhttp://www.studioingvolpi.it
 
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATOCAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATOpostaSimo
 
Casadelvetro
Casadelvetro Casadelvetro
Casadelvetro Apulian ICT Living Labs
 
Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniAlessandro Bonu
 
La UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRLa UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRuninfoit
 
Gielle - Vigilanza Antincendio
Gielle - Vigilanza AntincendioGielle - Vigilanza Antincendio
Gielle - Vigilanza AntincendioGielle
 
Formazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini tesecoFormazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini tesecoNicola Mondini
 
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...Sardegna Ricerche
 
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Nicola Bottura
 
Mobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'usoMobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'usoAlberto Nicolai
 
Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario STEFANELLI&STEFANELLI LAW FIRM
 
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni 20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni uninfoit
 
(Ita) company profile 2019 2020
(Ita) company profile 2019 2020(Ita) company profile 2019 2020
(Ita) company profile 2019 2020Massimo De Persio
 
Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018Fabio Pecoraro
 
COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.EL.MO. SPA
 
Umidità in risalita
Umidità in risalitaUmidità in risalita
Umidità in risalitaFranco Losa
 
Smau Milano 2016 - Itancia
Smau Milano 2016 - ItanciaSmau Milano 2016 - Itancia
Smau Milano 2016 - ItanciaSMAU
 
Industria
IndustriaIndustria
IndustriaFranco Losa
 
MURE'_CV_25012017_IT
MURE'_CV_25012017_ITMURE'_CV_25012017_IT
MURE'_CV_25012017_ITSalvina Murè
 
PRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCIPRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCIConfartigianato Imprese Varese Campiotti
 
Certificazioni di Sistema
Certificazioni di SistemaCertificazioni di Sistema
Certificazioni di SistemaStargates Strategies
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.Fabio Rosito
 
Le novità della CEI 11-27
Le novità della CEI 11-27Le novità della CEI 11-27
Le novità della CEI 11-27Fabio Rosito
 

More Related Content

Similar to ISO 27001 - Intervento di Salvatore Fabbricatore

Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniAlessandro Bonu
 
La UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRLa UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRuninfoit
 
Gielle - Vigilanza Antincendio
Gielle - Vigilanza AntincendioGielle - Vigilanza Antincendio
Gielle - Vigilanza AntincendioGielle
 
Formazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini tesecoFormazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini tesecoNicola Mondini
 
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...Sardegna Ricerche
 
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Nicola Bottura
 
Mobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'usoMobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'usoAlberto Nicolai
 
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni 20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni uninfoit
 
(Ita) company profile 2019 2020
(Ita) company profile 2019 2020(Ita) company profile 2019 2020
(Ita) company profile 2019 2020Massimo De Persio
 
Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018Fabio Pecoraro
 
COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.EL.MO. SPA
 
Umidità in risalita
Umidità in risalitaUmidità in risalita
Umidità in risalitaFranco Losa
 
Smau Milano 2016 - Itancia
Smau Milano 2016 - ItanciaSmau Milano 2016 - Itancia
Smau Milano 2016 - ItanciaSMAU
 
MURE'_CV_25012017_IT
MURE'_CV_25012017_ITMURE'_CV_25012017_IT
MURE'_CV_25012017_ITSalvina Murè
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 

Similar to ISO 27001 - Intervento di Salvatore Fabbricatore (20)

Casadelvetro
Casadelvetro Casadelvetro
Casadelvetro
 
Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioni
 
La UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRLa UNI 11676 ed il GDPR
La UNI 11676 ed il GDPR
 
Gielle - Vigilanza Antincendio
Gielle - Vigilanza AntincendioGielle - Vigilanza Antincendio
Gielle - Vigilanza Antincendio
 
Formazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini tesecoFormazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini teseco
 
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
 
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
 
Mobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'usoMobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'uso
 
Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario
 
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni 20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
 
(Ita) company profile 2019 2020
(Ita) company profile 2019 2020(Ita) company profile 2019 2020
(Ita) company profile 2019 2020
 
Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018
 
COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.
 
Umidità in risalita
Umidità in risalitaUmidità in risalita
Umidità in risalita
 
Smau Milano 2016 - Itancia
Smau Milano 2016 - ItanciaSmau Milano 2016 - Itancia
Smau Milano 2016 - Itancia
 
Industria
IndustriaIndustria
Industria
 
MURE'_CV_25012017_IT
MURE'_CV_25012017_ITMURE'_CV_25012017_IT
MURE'_CV_25012017_IT
 
PRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCIPRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCI
 
Certificazioni di Sistema
Certificazioni di SistemaCertificazioni di Sistema
Certificazioni di Sistema
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
 

More from Fabio Rosito

La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.Fabio Rosito
 
Le novità della CEI 11-27
Le novità della CEI 11-27Le novità della CEI 11-27
Le novità della CEI 11-27Fabio Rosito
 
Il valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazioneIl valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazioneFabio Rosito
 
Enzo Medico - Asso.Forma - Slide webinar 12/05/2021
Enzo Medico - Asso.Forma - Slide webinar 12/05/2021Enzo Medico - Asso.Forma - Slide webinar 12/05/2021
Enzo Medico - Asso.Forma - Slide webinar 12/05/2021Fabio Rosito
 
AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021Fabio Rosito
 
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...Fabio Rosito
 
AimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumoreAimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumoreFabio Rosito
 
Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021Fabio Rosito
 
Ergonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva MacchineErgonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva MacchineFabio Rosito
 
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...Fabio Rosito
 
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratoriD.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratoriFabio Rosito
 
PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014Fabio Rosito
 
La misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumoreLa misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumoreFabio Rosito
 
Il rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratoriIl rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratoriFabio Rosito
 
La valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMCLa valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMCFabio Rosito
 
MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014Fabio Rosito
 
La normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratoriLa normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratoriFabio Rosito
 
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...Fabio Rosito
 
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativoDieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativoFabio Rosito
 

More from Fabio Rosito (20)

La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
 
Le novità della CEI 11-27
Le novità della CEI 11-27Le novità della CEI 11-27
Le novità della CEI 11-27
 
Il valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazioneIl valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazione
 
Enzo Medico - Asso.Forma - Slide webinar 12/05/2021
Enzo Medico - Asso.Forma - Slide webinar 12/05/2021Enzo Medico - Asso.Forma - Slide webinar 12/05/2021
Enzo Medico - Asso.Forma - Slide webinar 12/05/2021
 
AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021
 
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
 
AimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumoreAimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumore
 
Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021
 
Ergonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva MacchineErgonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva Macchine
 
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
 
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratoriD.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
 
PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014
 
La misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumoreLa misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumore
 
Il rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratoriIl rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratori
 
La valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMCLa valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMC
 
AimSafe conviene?
AimSafe conviene?AimSafe conviene?
AimSafe conviene?
 
MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014
 
La normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratoriLa normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratori
 
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
 
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativoDieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
 

ISO 27001 - Intervento di Salvatore Fabbricatore

  • 1. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 1
  • 2. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 2 Lo standard ISO/IEC 27001 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni. Questi sistemi sono stati concepiti per proteggere le attività che trattano informazioni e sono basati su principi, obiettivi, politiche e valutazione dei rischi volte a tutelare i tre pilastri fondamentali che garantiscono la sicurezza di dati e informazioni in qualsiasi modo trattate: Riservatezza delle informazioni Riservatezza significa proteggere le informazioni dagli accessi da parte di soggetti non autorizzati. In altre parole, all’interno dell’organizzazione, solo chi è autorizzato può accedere alle informazioni riservate. Integrità delle informazioni Integrità vuol dire garantire l'autenticità dell'informazione, che tale informazione non sia alterata e che la sorgente dell’informazione sia autentica. La mancanza di integrità si manifesta nell’occasione in cui vengano apportate modifiche (di qualunque tipo e non autorizzate) alle informazioni gestite. Disponibilità delle informazioni Disponibilità significa che l'informazione è accessibile agli utenti autorizzati.
  • 3. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 3 Questo standard è applicabile non solo ad organizzazioni con profilo IT quasi tutte le organizzazioni, indipendentemente dall’attività esercitata, possono trattare informazioni sensibili circa i propri clienti, collaboratori, altre parti interessate e, in alcuni casi, anche il grande pubblico.
  • 4. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 4 16:30 - 16:45 "Presentazione di AIAS e AIAs Piemonte" Salvatore Fabbricatore, segretario regionale AIAS Piemonte 16:45 - 17:00 "La funzione della certificazione nell'ambito della sicurezza dei dati" Antonio Lucchini – CEO dell’Ente di Certificazione SQS ITALIA. 17:00 - 17:15 "Il processo di implementazione di un sistema di gestione per la sicurezza dei dati" Salvatore Fabbricatore – Consulente sistemi di gestione 17:15 - 17:30 "Il processo di certificazione di un sistema di gestione per la sicurezza dei dati e principali non conformità rilevate" Alberto Rencurosi – SQS ITALIA Area Manager Nord Ovest 17:30 - 17:45 "L'impatto sull'azienda dell'implementazione della ISO 27001" Alessandro Bellone – Direttore di produzione Elipse srl. 17:45 - 18:00 Spazio per domande e risposte PROGRAMMA
  • 5. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 5
  • 6. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 6
  • 7. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 7
  • 8. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 8 Fonte: QNA AIAS n° 8/2020
  • 9. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 9 Fonte: QNA AIAS n° 8/2020
  • 10. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 10 Fonte: QNA AIAS n° 8/2020
  • 11. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 11 ANALISI DEI RISCHI
  • 12. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 12 ANALISI DEI RISCHI
  • 13. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 13 ANALISI DEI RISCHI
  • 14. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 14 ANALISI DEI RISCHI
  • 15. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 15 ANALISI DEI RISCHI
  • 16. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 16 ANALISI DEI RISCHI
  • 17. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 17 ANALISI DEI RISCHI
  • 18. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 18 ANALISI DEI RISCHI
  • 19. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 19 ANALISI DEI RISCHI
  • 20. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 20 Per quanto riguarda la politica per la sicurezza delle informazioni, l’organizzazione adotta due livelli di politica per la sicurezza delle informazioni. ▪ Il livello più alto, livello A, documenta la politica generale all’interno dell’All-05- 20-A Politica per la qualità e la sicurezza delle informazioni. ▪ Il livello inferiore, livello B, documenta le politiche specifiche per argomento. Le politiche specifiche sono riportate nella documentazione di sistema (es.: Istruzioni operative per la sicurezza (IOS) con riferimento agli specifici controlli dell'Annex A. POLITICA PER LA SICUREZZA DELLE INFORMAZIONI E STATEMENT OF APPLICABILITY DELLA NORMA
  • 21. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 21 La norma ISO/IEC 27001 specifica una serie di requisiti obbligatori che devono essere soddisfatti per implementare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme con lo standard certificabile. La norma richiede all’Organizzazione di determinare i rischi per la sicurezza delle informazioni e come tali rischi devono essere trattati. L’Annex (A) alla norma ISO/IEC 27001 delinea una serie di controlli che devono ovviamente essere applicabili all’Organizzazione (che è comunque libera di scegliere strutture alternative e controlli che soddisfano le loro specifiche esigenze di sicurezza). In tal senso la Direzione definisce una Dichiarazione di Applicabilità (SOA) SOA Statement of Applicability
  • 22. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 22 SOA Statement of Applicability
  • 23. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 23 SOA Statement of Applicability
  • 24. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 24 SOA Statement of Applicability AREA 5 : POLITICA PER LA SICUREZZA DELLE INFORMAZIONI Obiettivo: Fornire gli indirizzi ed il supporto della direzione per la sicurezza delle informazioni in accordo con i requisiti di business, con le leggi e con i regolamenti pertinenti. AREA 6 : ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI Obiettivo 6.1 : Stabilire un quadro di riferimento gestionale per intraprendere e controllare l’attuazione e l’esercizio della sicurezza delle informazioni all’interno dell’organizzazione. Obiettivo 6.2 : …………………… AREA 7 : SICUREZZA DELLE RISORSE UMANE Obiettivo 7.1 : Assicurare che il personale e i collaboratori comprendano le proprie responsabilità e siano adatti a ricoprire i ruoli per i quali sono presi in considerazione. Obiettivo 7.2 : ……………… Obiettivo 7.3 : ……………… AREA 8 ……………………… ………………………..
  • 25. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 25 Esempio (1): controllo A.6.2.2 – Telelavoro Obiettivo: assicurare la sicurezza del telelavoro nell’uso di dispositivi portatili Controllo: devono essere attuate una politica e delle misure di sicurezza a suo supporto per proteggere le informazioni consultate, elaborate e memorizzate presso siti di telelavoro.
  • 26. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 26
  • 27. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 27 6.2.2 Telelavoro Previsione contrattuali del telelavoro La nostra organizzazione prevede che alcune attività lavorative possano essere eseguite all’esterno dei locali delle sue sedi ed in particolare in un ambiente idoneo a: ▪ eseguire la prestazione lavorativa in maniera sicura, efficace ed efficiente almeno tanto quanto sarebbe “in ufficio”; ▪ custodire i necessari dispositivi di lavoro in maniera sicura; ▪ preservare la sicurezza delle informazioni contenute negli asset; ▪ consentire al lavoratore di poter godere del comfort “adeguato” e della necessaria concentrazione (assenza di distrazioni). ▪ ……………………….. Il telelavoro è disciplinato, ai sensi di legge e conformemente alle specifiche normative in merito, dal contratto di lavoro che lega l’organizzazione al lavoratore, sia tale contratto di natura individuale o collettiva. Responsabilità nel telelavoro RDP Produzione ha la responsabilità: ▪ della supervisione delle attività lavorative compiute in regime di telelavoro; ▪ della sicurezza delle informazioni ad esse associate; ▪ della predisposizione dei controlli di sicurezza. ▪ ……………………..
  • 28. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 28 Telelavoro come misura per la business continuity L’organizzazione considera il Telelavoro uno strumento efficace da impiegare quando condizioni improvvise ed avverse dovessero rendere impossibile il proseguire delle attività lavorative all’interno dei locali dell’organizzazione. Il telelavoro rappresenta, di conseguenza, anche una misura per la “business continuity”. Regole di prevenzione per il telelavoro L’organizzazione, allo scopo di tenere sotto controllo i rischi per la sicurezza delle informazioni nell’ambito del telelavoro applica la politica di sicurezza basata sulle seguenti regole: ▪ rende consapevole il personale, attraverso interventi di formazione, dei pericoli che possono compromettere la riservatezza, l’integrità e la disponibilità delle informazioni e dei controlli di sicurezza da applicare; ▪ fornisce i dispositivi portatili e vieta l’impiego di dispositivi personali; ▪ amministra il telelavoro con strumenti che permettono la pianificazione e la verifica delle attività eseguite da remoto; ▪ rende disponibile l’assistenza da parte dell'amministratore di sistema – IT Manager per la soluzione di problemi tecnici; ▪ rende disponibile l’assistenza da parte del RSGI per l'applicazione delle procedure di sicurezza; ▪ predispone apposite utility software per la rendicontazione del lavoro svolto da remoto; ▪ vieta l’impiego di “postazioni di lavoro” occasionali. 6.2.2 Telelavoro
  • 29. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 29 Esempio (2): controllo A.16.1.1 – Responsabilità e procedure Obiettivo: Assicurare un approccio coerente ed efficace per la gestione degli incidenti relativi alla sicurezza delle informazioni, incluse le comunicazioni relative agli eventi di sicurezza ed ai punti di debolezza Controllo: devono essere stabilite le responsabilità e le procedure di gestione per assicurare una risposta rapida, efficace ed ordinata agli incidenti relativi alla sicurezza delle informazioni.
  • 30. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 30
  • 31. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 31 Introduzione al disaster recovery plan dell'organizzazione A fronte dei rischi che incombono sulle informazioni, l'organizzazione ha già stabilito i controlli di sicurezza interni che mantengono il rischio generale ad un livello basso. Tali controlli sono documentati all'interno del Mod-07-10-M- Inventario degli asset. La probabilità, tuttavia, che determinati incidenti possano accadere, ancorché bassa, non rende impossibili tali eventi. Se i controlli applicati internamente alla struttura, finalizzati alla protezione delle informazioni dovessero risultare, in condizioni critiche, inefficaci, compromessi, o comunque non funzionanti, l'organizzazione mette in atto delle azioni la cui finalità è quella di poter riacquisire, nel più breve tempo possibile, la disponibilità delle informazioni. Scopo La presente IOS ha lo scopo di disciplinare la modalità con cui l'organizzazione gestisce la sopravvenuta indisponibilità delle informazioni causata dalla distruzione dei supporti residenti nella sua struttura fisica (locali della sede: ufficio progettazione, ufficio amministrazione, ecc.). Le cause della distruzione dei supporti, come abbiamo visto nell'identificazione e la valutazione dei rischi, possono consistere in fenomeni fisici o atmosferici quali ad esempio: ▪ Allagamenti (a seguito di eventi atmosferici eccezionali o di guasti/rotture dell’impianto idrico) ▪ Terremoti ▪ Incendi 16.1.1 Responsabilità e procedure
  • 32. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 32 La presente procedura, che scaturisce dall'analisi e dalla valutazione dei rischi, rappresenta il DISASTER RECOVERY PLAN, ossia il Piano di recupero delle informazioni da attuare in caso di disastro. L'organizzazione, in generale, per il recupero delle informazioni non più disponibili, adotta il "backup" la cui politica ed il cui funzionamento sono disciplinati nella procedura di sicurezza IOS-12 – Sicurezza delle attività operative, nel paragrafo dedicato. L'organizzazione adotta una soluzione di disaster recovery (di cui il backup è solo una componente) che è stata progettata in relazione alle caratteristiche tecniche della struttura IT, tenendo conto della quantità di informazioni che potrebbe "andare persa" a causa di uno degli eventi precedentemente indicati. Per il "ricovero" delle informazioni, l'organizzazione ha optato per un’infrastruttura informatica completamente ridondante con dati replicati fuori sede. ………… 16.1.1 Responsabilità e procedure
  • 33. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 33 SOA Statement of Applicability
  • 34. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 34 Nel mese di agosto del 2019 è stata pubblicata la Norma ISO/IEC 27701, che, basandosi sui requisiti della ISO/IEC 27001, fornisce la possibilità di estendere lo scopo di applicazione di quest’ultima al perimetro della gestione della Privacy - GDPR - Regolamento generale sulla protezione dei dati (UE/2016/679). I due standard possono esser certificati in combinazione. ISO/IEC 27701 - Gestione delle informazioni sulla privacy
  • 35. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 35 L’implementazione di un Sistema di gestione conforme alle norme ISO/IEC 27701 e ISO 27001 consentirà di soddisfare i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in materia di protezione dei dati e dimostrerà che sono stati predisposte “misure tecniche e organizzative appropriate” (articolo 32) per proteggere i dati personali che vengono trattati, proteggendo i diritti degli interessati, in linea con il principio di accountability descritto nel Regolamento (articolo 5). Articolo 32 Sicurezza del trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso………. ISO/IEC 27701 - Gestione delle informazioni sulla privacy
  • 36. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl – C.so Francia, 127/A – 10098 RIVOLI (TO) Tel . 011 95 74 889 – Fax 011 95 57 022 – mobile 380 34 56 943 info@studiofabbricatore.it – www.studiofabbricatore.it 36 L’articolo 42 del GDPR tratta dei meccanismi di certificazione della protezione dei dati. Anche se non è ancora stata definita e riconosciuta ufficialmente come meccanismo valido in tal senso dalle autorità competenti (EDPB e Garante), tuttavia è possibile ottenere la certificazione ISO 27001 – e per estensione ISO 27701 – accreditata in modo indipendente da un certification body riconosciuto, dimostrando così a tutti gli stakeholder che la vostra organizzazione segue le migliori pratiche internazionali in tema di protezione dei dati personali. Articolo 42 Certificazione 1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese. ISO/IEC 27701 - Gestione delle informazioni sulla privacy