ISO/IEC 27001

La ISO/IEC 27001 è la norma internazionale di riferimento mondiale per le pratiche di sicurezza per le informazioni aziendali e per la cyber security. Se da una parte indica quali siano le pratiche di sicurezza necessarie in una qualsiasi azienda o organizzazione al di là della sua dimensione o settore merceologico, dall’altra parte indica la via di un Sistema di gestione che permetta il governo nel tempo delle pratiche di sicurezza implementate.

Gerico fornisce supporto specialistico nei diversi momenti di gestione della Information e Cyber Security in conformità a quanto previsto dalla ISO/IEC 27001, prendendo in considerazione i diversi aspetti che incidono sulla sicurezza delle informazioni, ovvero:

1. 1. Gestione delle risorse umane e formazione
   2. Relazioni con i fornitori e le terze parti in generale
   3. Framework documentale a supporto della sicurezza e dei processi in ambito di analisi
   4. Sicurezza fisica
   5. Sicurezza delle informazioni in locale e quando condivise/trasmesse
   6. Sviluppo sicuro di sistemi e applicazioni
   7. Gestione delle vulnerabilità
   8. Gestione dei sistemi e delle reti
   9. Gestione degli incidenti Cyber e più in generale afferenti le informazioni
   10. Gestione della continuità della sicurezza delle informazioni
   11. Conformità alle normative Privacy (GDPR)

Il supporto specialistico si estende a tutte le declinazioni della famiglia ISO27000, in particolare la:

– ISO/IEC 27017 e la ISO/IEC 27018 per gli aspetti di sicurezza in Cloud

– ISO27701 che estende la ISO/IEC27001 agli aspetti di Protezione dei Dati personali (Privacy)

In particolare, vi supportiamo su:

1. Assessment As – IS:

– Definizione del contesto e analisi dei documenti per identificare i processi che hanno influenza sulla cyber security e il loro grado di formalizzazione

– Conduzione di una Gap Analysis al fine di analizzare la situazione AS-IS relativa alle attività in essere di cyber security evidenziando eventuali criticità

2. Gap analysis su specifici perimetri o processi aziendali

– Valutazione della sicurezza delle informazioni in perimetro

– Definizione di un piano di adeguamento degli aspetti di information security

3. Redazione remediation plan:

– Formalizzazione dei processi informativi e degli asset (persone, tecnologie e informazioni) coinvolti in ogni singolo processo al fine di evidenziare eventuali punti di criticità

– Redazione di un piano di miglioramento dei processi di cyber security in essere

4. Supporto alla realizzazione di un Sistema di Gestione per la sicurezza delle informazioni

– Supporto alla realizzazione del Sistema di Gestione per la sicurezza delle informazioni sul perimetro aziendale identificato con la Direzione

– Attività puntuali di supporto al cliente nella valutazione e nell’applicazione delle azioni di miglioramento

5. Valutazione dei servizi in cloud

– Valutazione della sicurezza del cloud provider

– Valutazione della sicurezza dell’implementazione in cloud di servizi a supporto della operatività aziendale e del business

6. Allineamento del ISMS ISO/IEC27001 aziendale con il CSMS ambienti industriali ISA62443

– Gap analysis dei due sistemi di gestione ISMS e CSMS

– Redazione del Remediation Plan

– Supporto alla realizzazione di un modello integrato di Information e Cyber security mondo IT tradizionale e mondo sistemi industriali

– Supporto alla realizzazione di un sistema di gestione integrato tra ISMS ISO/IEC27001 e CSMS ISA62443-2-1

7. Valutazione e definizione dei requisiti di sicurezza dei fornitori critici

– Supporto nella definizione degli aspetti contrattuali con i fornitori in materia di information security

– Definizione dei requisiti di sicurezza delle informazioni e cyber dei fornitori/partner

– Valutazione delle misure di sicurezza in essere dei fornitori critici per il business aziendale

8. Conformità a normative di settore

– Raccomandazioni della Banca d’Italia, della BCE o della FINMA in ambito bancario (CH)