際際滷

際際滷Share a Scribd company logo

ISO 27001 - Intervento di Salvatore Fabbricatore

Fabio Rosito
Fabio Rosito

La presentazione di Salvatore Fabbricatore sul tema della ISO 27001 utilizzata in occasione del webinar AIAS Piemonte e Valle d'Aosta del 13 dicembre 2021

1 of 36
Downloaded 18 times
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 1
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 2 Lo standard ISO/IEC 27001 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni. Questi sistemi sono stati concepiti per proteggere le attivit che trattano informazioni e sono basati su principi, obiettivi, politiche e valutazione dei rischi volte a tutelare i tre pilastri fondamentali che garantiscono la sicurezza di dati e informazioni in qualsiasi modo trattate: Riservatezza delle informazioni Riservatezza significa proteggere le informazioni dagli accessi da parte di soggetti non autorizzati. In altre parole, allinterno dellorganizzazione, solo chi 竪 autorizzato pu嘆 accedere alle informazioni riservate. Integrit delle informazioni Integrit vuol dire garantire l'autenticit dell'informazione, che tale informazione non sia alterata e che la sorgente dellinformazione sia autentica. La mancanza di integrit si manifesta nelloccasione in cui vengano apportate modifiche (di qualunque tipo e non autorizzate) alle informazioni gestite. Disponibilit delle informazioni Disponibilit significa che l'informazione 竪 accessibile agli utenti autorizzati.
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 3 Questo standard 竪 applicabile non solo ad organizzazioni con profilo IT quasi tutte le organizzazioni, indipendentemente dallattivit esercitata, possono trattare informazioni sensibili circa i propri clienti, collaboratori, altre parti interessate e, in alcuni casi, anche il grande pubblico.
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 4 16:30 - 16:45 "Presentazione di AIAS e AIAs Piemonte" Salvatore Fabbricatore, segretario regionale AIAS Piemonte 16:45 - 17:00 "La funzione della certificazione nell'ambito della sicurezza dei dati" Antonio Lucchini CEO dellEnte di Certificazione SQS ITALIA. 17:00 - 17:15 "Il processo di implementazione di un sistema di gestione per la sicurezza dei dati" Salvatore Fabbricatore Consulente sistemi di gestione 17:15 - 17:30 "Il processo di certificazione di un sistema di gestione per la sicurezza dei dati e principali non conformit rilevate" Alberto Rencurosi SQS ITALIA Area Manager Nord Ovest 17:30 - 17:45 "L'impatto sull'azienda dell'implementazione della ISO 27001" Alessandro Bellone Direttore di produzione Elipse srl. 17:45 - 18:00 Spazio per domande e risposte PROGRAMMA
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 5
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 6
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 7
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 8 Fonte: QNA AIAS n属 8/2020
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 9 Fonte: QNA AIAS n属 8/2020
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 10 Fonte: QNA AIAS n属 8/2020
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 11 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 12 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 13 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 14 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 15 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 16 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 17 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 18 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 19 ANALISI DEI RISCHI
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 20 Per quanto riguarda la politica per la sicurezza delle informazioni, lorganizzazione adotta due livelli di politica per la sicurezza delle informazioni. Il livello pi湛 alto, livello A, documenta la politica generale allinterno dellAll-05- 20-A Politica per la qualit e la sicurezza delle informazioni. Il livello inferiore, livello B, documenta le politiche specifiche per argomento. Le politiche specifiche sono riportate nella documentazione di sistema (es.: Istruzioni operative per la sicurezza (IOS) con riferimento agli specifici controlli dell'Annex A. POLITICA PER LA SICUREZZA DELLE INFORMAZIONI E STATEMENT OF APPLICABILITY DELLA NORMA
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 21 La norma ISO/IEC 27001 specifica una serie di requisiti obbligatori che devono essere soddisfatti per implementare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme con lo standard certificabile. La norma richiede allOrganizzazione di determinare i rischi per la sicurezza delle informazioni e come tali rischi devono essere trattati. LAnnex (A) alla norma ISO/IEC 27001 delinea una serie di controlli che devono ovviamente essere applicabili allOrganizzazione (che 竪 comunque libera di scegliere strutture alternative e controlli che soddisfano le loro specifiche esigenze di sicurezza). In tal senso la Direzione definisce una Dichiarazione di Applicabilit (SOA) SOA Statement of Applicability
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 22 SOA Statement of Applicability
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 23 SOA Statement of Applicability
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 24 SOA Statement of Applicability AREA 5 : POLITICA PER LA SICUREZZA DELLE INFORMAZIONI Obiettivo: Fornire gli indirizzi ed il supporto della direzione per la sicurezza delle informazioni in accordo con i requisiti di business, con le leggi e con i regolamenti pertinenti. AREA 6 : ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI Obiettivo 6.1 : Stabilire un quadro di riferimento gestionale per intraprendere e controllare lattuazione e lesercizio della sicurezza delle informazioni allinterno dellorganizzazione. Obiettivo 6.2 : AREA 7 : SICUREZZA DELLE RISORSE UMANE Obiettivo 7.1 : Assicurare che il personale e i collaboratori comprendano le proprie responsabilit e siano adatti a ricoprire i ruoli per i quali sono presi in considerazione. Obiettivo 7.2 : Obiettivo 7.3 : AREA 8 ..
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 25 Esempio (1): controllo A.6.2.2 Telelavoro Obiettivo: assicurare la sicurezza del telelavoro nelluso di dispositivi portatili Controllo: devono essere attuate una politica e delle misure di sicurezza a suo supporto per proteggere le informazioni consultate, elaborate e memorizzate presso siti di telelavoro.
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 26
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 27 6.2.2 Telelavoro Previsione contrattuali del telelavoro La nostra organizzazione prevede che alcune attivit lavorative possano essere eseguite allesterno dei locali delle sue sedi ed in particolare in un ambiente idoneo a: eseguire la prestazione lavorativa in maniera sicura, efficace ed efficiente almeno tanto quanto sarebbe in ufficio; custodire i necessari dispositivi di lavoro in maniera sicura; preservare la sicurezza delle informazioni contenute negli asset; consentire al lavoratore di poter godere del comfort adeguato e della necessaria concentrazione (assenza di distrazioni). .. Il telelavoro 竪 disciplinato, ai sensi di legge e conformemente alle specifiche normative in merito, dal contratto di lavoro che lega lorganizzazione al lavoratore, sia tale contratto di natura individuale o collettiva. Responsabilit nel telelavoro RDP Produzione ha la responsabilit: della supervisione delle attivit lavorative compiute in regime di telelavoro; della sicurezza delle informazioni ad esse associate; della predisposizione dei controlli di sicurezza. ..
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 28 Telelavoro come misura per la business continuity Lorganizzazione considera il Telelavoro uno strumento efficace da impiegare quando condizioni improvvise ed avverse dovessero rendere impossibile il proseguire delle attivit lavorative allinterno dei locali dellorganizzazione. Il telelavoro rappresenta, di conseguenza, anche una misura per la business continuity. Regole di prevenzione per il telelavoro Lorganizzazione, allo scopo di tenere sotto controllo i rischi per la sicurezza delle informazioni nellambito del telelavoro applica la politica di sicurezza basata sulle seguenti regole: rende consapevole il personale, attraverso interventi di formazione, dei pericoli che possono compromettere la riservatezza, lintegrit e la disponibilit delle informazioni e dei controlli di sicurezza da applicare; fornisce i dispositivi portatili e vieta limpiego di dispositivi personali; amministra il telelavoro con strumenti che permettono la pianificazione e la verifica delle attivit eseguite da remoto; rende disponibile lassistenza da parte dell'amministratore di sistema IT Manager per la soluzione di problemi tecnici; rende disponibile lassistenza da parte del RSGI per l'applicazione delle procedure di sicurezza; predispone apposite utility software per la rendicontazione del lavoro svolto da remoto; vieta limpiego di postazioni di lavoro occasionali. 6.2.2 Telelavoro
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 29 Esempio (2): controllo A.16.1.1 Responsabilit e procedure Obiettivo: Assicurare un approccio coerente ed efficace per la gestione degli incidenti relativi alla sicurezza delle informazioni, incluse le comunicazioni relative agli eventi di sicurezza ed ai punti di debolezza Controllo: devono essere stabilite le responsabilit e le procedure di gestione per assicurare una risposta rapida, efficace ed ordinata agli incidenti relativi alla sicurezza delle informazioni.
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 30
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 31 Introduzione al disaster recovery plan dell'organizzazione A fronte dei rischi che incombono sulle informazioni, l'organizzazione ha gi stabilito i controlli di sicurezza interni che mantengono il rischio generale ad un livello basso. Tali controlli sono documentati all'interno del Mod-07-10-M- Inventario degli asset. La probabilit, tuttavia, che determinati incidenti possano accadere, ancorch辿 bassa, non rende impossibili tali eventi. Se i controlli applicati internamente alla struttura, finalizzati alla protezione delle informazioni dovessero risultare, in condizioni critiche, inefficaci, compromessi, o comunque non funzionanti, l'organizzazione mette in atto delle azioni la cui finalit 竪 quella di poter riacquisire, nel pi湛 breve tempo possibile, la disponibilit delle informazioni. Scopo La presente IOS ha lo scopo di disciplinare la modalit con cui l'organizzazione gestisce la sopravvenuta indisponibilit delle informazioni causata dalla distruzione dei supporti residenti nella sua struttura fisica (locali della sede: ufficio progettazione, ufficio amministrazione, ecc.). Le cause della distruzione dei supporti, come abbiamo visto nell'identificazione e la valutazione dei rischi, possono consistere in fenomeni fisici o atmosferici quali ad esempio: Allagamenti (a seguito di eventi atmosferici eccezionali o di guasti/rotture dellimpianto idrico) Terremoti Incendi 16.1.1 Responsabilit e procedure
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 32 La presente procedura, che scaturisce dall'analisi e dalla valutazione dei rischi, rappresenta il DISASTER RECOVERY PLAN, ossia il Piano di recupero delle informazioni da attuare in caso di disastro. L'organizzazione, in generale, per il recupero delle informazioni non pi湛 disponibili, adotta il "backup" la cui politica ed il cui funzionamento sono disciplinati nella procedura di sicurezza IOS-12 Sicurezza delle attivit operative, nel paragrafo dedicato. L'organizzazione adotta una soluzione di disaster recovery (di cui il backup 竪 solo una componente) che 竪 stata progettata in relazione alle caratteristiche tecniche della struttura IT, tenendo conto della quantit di informazioni che potrebbe "andare persa" a causa di uno degli eventi precedentemente indicati. Per il "ricovero" delle informazioni, l'organizzazione ha optato per uninfrastruttura informatica completamente ridondante con dati replicati fuori sede. 16.1.1 Responsabilit e procedure
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 33 SOA Statement of Applicability
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 34 Nel mese di agosto del 2019 竪 stata pubblicata la Norma ISO/IEC 27701, che, basandosi sui requisiti della ISO/IEC 27001, fornisce la possibilit di estendere lo scopo di applicazione di questultima al perimetro della gestione della Privacy - GDPR - Regolamento generale sulla protezione dei dati (UE/2016/679). I due standard possono esser certificati in combinazione. ISO/IEC 27701 - Gestione delle informazioni sulla privacy
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 35 Limplementazione di un Sistema di gestione conforme alle norme ISO/IEC 27701 e ISO 27001 consentir di soddisfare i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in materia di protezione dei dati e dimostrer che sono stati predisposte misure tecniche e organizzative appropriate (articolo 32) per proteggere i dati personali che vengono trattati, proteggendo i diritti degli interessati, in linea con il principio di accountability descritto nel Regolamento (articolo 5). Articolo 32 Sicurezza del trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonch辿 della natura, dell'oggetto, del contesto e delle finalit del trattamento, come anche del rischio di varia probabilit e gravit per i diritti e le libert delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso. ISO/IEC 27701 - Gestione delle informazioni sulla privacy
Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 36 Larticolo 42 del GDPR tratta dei meccanismi di certificazione della protezione dei dati. Anche se non 竪 ancora stata definita e riconosciuta ufficialmente come meccanismo valido in tal senso dalle autorit competenti (EDPB e Garante), tuttavia 竪 possibile ottenere la certificazione ISO 27001 e per estensione ISO 27701 accreditata in modo indipendente da un certification body riconosciuto, dimostrando cos狸 a tutti gli stakeholder che la vostra organizzazione segue le migliori pratiche internazionali in tema di protezione dei dati personali. Articolo 42 Certificazione 1. Gli Stati membri, le autorit di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonch辿 di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformit al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese. ISO/IEC 27701 - Gestione delle informazioni sulla privacy

Recommended

Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestione
Fabio Rosito
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuity
Business Resiliente
Tecnometal Srl
Tecnometal SrlTecnometal Srl
Tecnometal Srl
Roberto Rosset
Nuova ASP - General Catalogue_Enclosure 2011
Nuova ASP - General Catalogue_Enclosure 2011Nuova ASP - General Catalogue_Enclosure 2011
Nuova ASP - General Catalogue_Enclosure 2011
Davide Baccino
Nuova ASP - General Catalogue_Equipment for Mining 2011
Nuova ASP - General Catalogue_Equipment for Mining 2011Nuova ASP - General Catalogue_Equipment for Mining 2011
Nuova ASP - General Catalogue_Equipment for Mining 2011
Davide Baccino
212 2015 allegato-dossier
212 2015 allegato-dossier212 2015 allegato-dossier
212 2015 allegato-dossier
http://www.studioingvolpi.it
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATOCAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
postaSimo
Casadelvetro
Casadelvetro Casadelvetro
Casadelvetro
Apulian ICT Living Labs
Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioni
Alessandro Bonu
La UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRLa UNI 11676 ed il GDPR
La UNI 11676 ed il GDPR
uninfoit
Gielle - Vigilanza Antincendio
Gielle - Vigilanza AntincendioGielle - Vigilanza Antincendio
Gielle - Vigilanza Antincendio
Gielle
Formazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini tesecoFormazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini teseco
Nicola Mondini
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
Sardegna Ricerche
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Nicola Bottura
Mobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'usoMobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'uso
Alberto Nicolai
Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario
STEFANELLI&STEFANELLI LAW FIRM
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni 20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
uninfoit
(Ita) company profile 2019 2020
(Ita) company profile 2019 2020(Ita) company profile 2019 2020
(Ita) company profile 2019 2020
Massimo De Persio
Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018
Fabio Pecoraro
COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.
EL.MO. SPA
Umidit in risalita
Umidit in risalitaUmidit in risalita
Umidit in risalita
Franco Losa
Smau Milano 2016 - Itancia
Smau Milano 2016 - ItanciaSmau Milano 2016 - Itancia
Smau Milano 2016 - Itancia
SMAU
Industria
IndustriaIndustria
Industria
Franco Losa
MURE'_CV_25012017_IT
MURE'_CV_25012017_ITMURE'_CV_25012017_IT
MURE'_CV_25012017_IT
Salvina Mur竪
PRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCIPRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCI
Confartigianato Imprese Varese Campiotti
Certificazioni di Sistema
Certificazioni di SistemaCertificazioni di Sistema
Certificazioni di Sistema
Stargates Strategies
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
Fabio Rosito
Le novit della CEI 11-27
Le novit della CEI 11-27Le novit della CEI 11-27
Le novit della CEI 11-27
Fabio Rosito

More Related Content

Similar to ISO 27001 - Intervento di Salvatore Fabbricatore (20)

Casadelvetro
Casadelvetro Casadelvetro
Casadelvetro
Apulian ICT Living Labs
Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioni
Alessandro Bonu
La UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRLa UNI 11676 ed il GDPR
La UNI 11676 ed il GDPR
uninfoit
Gielle - Vigilanza Antincendio
Gielle - Vigilanza AntincendioGielle - Vigilanza Antincendio
Gielle - Vigilanza Antincendio
Gielle
Formazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini tesecoFormazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini teseco
Nicola Mondini
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
Sardegna Ricerche
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Nicola Bottura
Mobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'usoMobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'uso
Alberto Nicolai
Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario
STEFANELLI&STEFANELLI LAW FIRM
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni 20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
uninfoit
(Ita) company profile 2019 2020
(Ita) company profile 2019 2020(Ita) company profile 2019 2020
(Ita) company profile 2019 2020
Massimo De Persio
Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018
Fabio Pecoraro
COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.
EL.MO. SPA
Umidit in risalita
Umidit in risalitaUmidit in risalita
Umidit in risalita
Franco Losa
Smau Milano 2016 - Itancia
Smau Milano 2016 - ItanciaSmau Milano 2016 - Itancia
Smau Milano 2016 - Itancia
SMAU
Industria
IndustriaIndustria
Industria
Franco Losa
MURE'_CV_25012017_IT
MURE'_CV_25012017_ITMURE'_CV_25012017_IT
MURE'_CV_25012017_IT
Salvina Mur竪
PRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCIPRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCI
Confartigianato Imprese Varese Campiotti
Certificazioni di Sistema
Certificazioni di SistemaCertificazioni di Sistema
Certificazioni di Sistema
Stargates Strategies
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf
Casadelvetro
Casadelvetro Casadelvetro
Casadelvetro
Apulian ICT Living Labs
Ricette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioniRicette e contromisure per la sicurezza delle informazioni
Ricette e contromisure per la sicurezza delle informazioni
Alessandro Bonu
La UNI 11676 ed il GDPR
La UNI 11676 ed il GDPRLa UNI 11676 ed il GDPR
La UNI 11676 ed il GDPR
uninfoit
Gielle - Vigilanza Antincendio
Gielle - Vigilanza AntincendioGielle - Vigilanza Antincendio
Gielle - Vigilanza Antincendio
Gielle
Formazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini tesecoFormazione marcatura ce aggregati mondini teseco
Formazione marcatura ce aggregati mondini teseco
Nicola Mondini
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
Sardegna Ricerche
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Nicola Bottura
Mobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'usoMobile device in ambito lavorativo: istruzioni per l'uso
Mobile device in ambito lavorativo: istruzioni per l'uso
Alberto Nicolai
Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario Sanita' digitale e rischio sanitario
Sanita' digitale e rischio sanitario
STEFANELLI&STEFANELLI LAW FIRM
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni 20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
20180509 Assodpo La Norma UNI 11697:2017 e le sue possibili applicazioni
uninfoit
(Ita) company profile 2019 2020
(Ita) company profile 2019 2020(Ita) company profile 2019 2020
(Ita) company profile 2019 2020
Massimo De Persio
Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018Presentazione BNI 05-01-2018
Presentazione BNI 05-01-2018
Fabio Pecoraro
COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.COMPANY PROFILE EL.MO.
COMPANY PROFILE EL.MO.
EL.MO. SPA
Umidit in risalita
Umidit in risalitaUmidit in risalita
Umidit in risalita
Franco Losa
Smau Milano 2016 - Itancia
Smau Milano 2016 - ItanciaSmau Milano 2016 - Itancia
Smau Milano 2016 - Itancia
SMAU
Industria
IndustriaIndustria
Industria
Franco Losa
MURE'_CV_25012017_IT
MURE'_CV_25012017_ITMURE'_CV_25012017_IT
MURE'_CV_25012017_IT
Salvina Mur竪
PRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCIPRESENTAZIONE RICCARDO ANGELUCCI
PRESENTAZIONE RICCARDO ANGELUCCI
Confartigianato Imprese Varese Campiotti
Certificazioni di Sistema
Certificazioni di SistemaCertificazioni di Sistema
Certificazioni di Sistema
Stargates Strategies
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf

More from Fabio Rosito (20)

La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
Fabio Rosito
Le novit della CEI 11-27
Le novit della CEI 11-27Le novit della CEI 11-27
Le novit della CEI 11-27
Fabio Rosito
Il valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazioneIl valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazione
Fabio Rosito
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Fabio Rosito
AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021
Fabio Rosito
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Fabio Rosito
AimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumoreAimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumore
Fabio Rosito
Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021
Fabio Rosito
Ergonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva MacchineErgonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva Macchine
Fabio Rosito
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Fabio Rosito
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratoriD.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
Fabio Rosito
PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014
Fabio Rosito
La misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumoreLa misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumore
Fabio Rosito
Il rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratoriIl rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratori
Fabio Rosito
La valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMCLa valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMC
Fabio Rosito
AimSafe conviene?
AimSafe conviene?AimSafe conviene?
AimSafe conviene?
Fabio Rosito
MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014
Fabio Rosito
La normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratoriLa normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratori
Fabio Rosito
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Fabio Rosito
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativoDieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Fabio Rosito
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
Fabio Rosito
Le novit della CEI 11-27
Le novit della CEI 11-27Le novit della CEI 11-27
Le novit della CEI 11-27
Fabio Rosito
Il valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazioneIl valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazione
Fabio Rosito
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Fabio Rosito
AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021
Fabio Rosito
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Fabio Rosito
AimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumoreAimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumore
Fabio Rosito
Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021
Fabio Rosito
Ergonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva MacchineErgonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva Macchine
Fabio Rosito
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Fabio Rosito
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratoriD.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
Fabio Rosito
PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014
Fabio Rosito
La misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumoreLa misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumore
Fabio Rosito
Il rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratoriIl rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratori
Fabio Rosito
La valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMCLa valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMC
Fabio Rosito
AimSafe conviene?
AimSafe conviene?AimSafe conviene?
AimSafe conviene?
Fabio Rosito
MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014
Fabio Rosito
La normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratoriLa normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratori
Fabio Rosito
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Fabio Rosito
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativoDieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Fabio Rosito

ISO 27001 - Intervento di Salvatore Fabbricatore

  • 1. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 1
  • 2. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 2 Lo standard ISO/IEC 27001 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni. Questi sistemi sono stati concepiti per proteggere le attivit che trattano informazioni e sono basati su principi, obiettivi, politiche e valutazione dei rischi volte a tutelare i tre pilastri fondamentali che garantiscono la sicurezza di dati e informazioni in qualsiasi modo trattate: Riservatezza delle informazioni Riservatezza significa proteggere le informazioni dagli accessi da parte di soggetti non autorizzati. In altre parole, allinterno dellorganizzazione, solo chi 竪 autorizzato pu嘆 accedere alle informazioni riservate. Integrit delle informazioni Integrit vuol dire garantire l'autenticit dell'informazione, che tale informazione non sia alterata e che la sorgente dellinformazione sia autentica. La mancanza di integrit si manifesta nelloccasione in cui vengano apportate modifiche (di qualunque tipo e non autorizzate) alle informazioni gestite. Disponibilit delle informazioni Disponibilit significa che l'informazione 竪 accessibile agli utenti autorizzati.
  • 3. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 3 Questo standard 竪 applicabile non solo ad organizzazioni con profilo IT quasi tutte le organizzazioni, indipendentemente dallattivit esercitata, possono trattare informazioni sensibili circa i propri clienti, collaboratori, altre parti interessate e, in alcuni casi, anche il grande pubblico.
  • 4. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 4 16:30 - 16:45 "Presentazione di AIAS e AIAs Piemonte" Salvatore Fabbricatore, segretario regionale AIAS Piemonte 16:45 - 17:00 "La funzione della certificazione nell'ambito della sicurezza dei dati" Antonio Lucchini CEO dellEnte di Certificazione SQS ITALIA. 17:00 - 17:15 "Il processo di implementazione di un sistema di gestione per la sicurezza dei dati" Salvatore Fabbricatore Consulente sistemi di gestione 17:15 - 17:30 "Il processo di certificazione di un sistema di gestione per la sicurezza dei dati e principali non conformit rilevate" Alberto Rencurosi SQS ITALIA Area Manager Nord Ovest 17:30 - 17:45 "L'impatto sull'azienda dell'implementazione della ISO 27001" Alessandro Bellone Direttore di produzione Elipse srl. 17:45 - 18:00 Spazio per domande e risposte PROGRAMMA
  • 5. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 5
  • 6. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 6
  • 7. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 7
  • 8. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 8 Fonte: QNA AIAS n属 8/2020
  • 9. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 9 Fonte: QNA AIAS n属 8/2020
  • 10. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 10 Fonte: QNA AIAS n属 8/2020
  • 11. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 11 ANALISI DEI RISCHI
  • 12. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 12 ANALISI DEI RISCHI
  • 13. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 13 ANALISI DEI RISCHI
  • 14. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 14 ANALISI DEI RISCHI
  • 15. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 15 ANALISI DEI RISCHI
  • 16. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 16 ANALISI DEI RISCHI
  • 17. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 17 ANALISI DEI RISCHI
  • 18. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 18 ANALISI DEI RISCHI
  • 19. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 19 ANALISI DEI RISCHI
  • 20. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 20 Per quanto riguarda la politica per la sicurezza delle informazioni, lorganizzazione adotta due livelli di politica per la sicurezza delle informazioni. Il livello pi湛 alto, livello A, documenta la politica generale allinterno dellAll-05- 20-A Politica per la qualit e la sicurezza delle informazioni. Il livello inferiore, livello B, documenta le politiche specifiche per argomento. Le politiche specifiche sono riportate nella documentazione di sistema (es.: Istruzioni operative per la sicurezza (IOS) con riferimento agli specifici controlli dell'Annex A. POLITICA PER LA SICUREZZA DELLE INFORMAZIONI E STATEMENT OF APPLICABILITY DELLA NORMA
  • 21. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 21 La norma ISO/IEC 27001 specifica una serie di requisiti obbligatori che devono essere soddisfatti per implementare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme con lo standard certificabile. La norma richiede allOrganizzazione di determinare i rischi per la sicurezza delle informazioni e come tali rischi devono essere trattati. LAnnex (A) alla norma ISO/IEC 27001 delinea una serie di controlli che devono ovviamente essere applicabili allOrganizzazione (che 竪 comunque libera di scegliere strutture alternative e controlli che soddisfano le loro specifiche esigenze di sicurezza). In tal senso la Direzione definisce una Dichiarazione di Applicabilit (SOA) SOA Statement of Applicability
  • 22. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 22 SOA Statement of Applicability
  • 23. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 23 SOA Statement of Applicability
  • 24. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 24 SOA Statement of Applicability AREA 5 : POLITICA PER LA SICUREZZA DELLE INFORMAZIONI Obiettivo: Fornire gli indirizzi ed il supporto della direzione per la sicurezza delle informazioni in accordo con i requisiti di business, con le leggi e con i regolamenti pertinenti. AREA 6 : ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI Obiettivo 6.1 : Stabilire un quadro di riferimento gestionale per intraprendere e controllare lattuazione e lesercizio della sicurezza delle informazioni allinterno dellorganizzazione. Obiettivo 6.2 : AREA 7 : SICUREZZA DELLE RISORSE UMANE Obiettivo 7.1 : Assicurare che il personale e i collaboratori comprendano le proprie responsabilit e siano adatti a ricoprire i ruoli per i quali sono presi in considerazione. Obiettivo 7.2 : Obiettivo 7.3 : AREA 8 ..
  • 25. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 25 Esempio (1): controllo A.6.2.2 Telelavoro Obiettivo: assicurare la sicurezza del telelavoro nelluso di dispositivi portatili Controllo: devono essere attuate una politica e delle misure di sicurezza a suo supporto per proteggere le informazioni consultate, elaborate e memorizzate presso siti di telelavoro.
  • 26. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 26
  • 27. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 27 6.2.2 Telelavoro Previsione contrattuali del telelavoro La nostra organizzazione prevede che alcune attivit lavorative possano essere eseguite allesterno dei locali delle sue sedi ed in particolare in un ambiente idoneo a: eseguire la prestazione lavorativa in maniera sicura, efficace ed efficiente almeno tanto quanto sarebbe in ufficio; custodire i necessari dispositivi di lavoro in maniera sicura; preservare la sicurezza delle informazioni contenute negli asset; consentire al lavoratore di poter godere del comfort adeguato e della necessaria concentrazione (assenza di distrazioni). .. Il telelavoro 竪 disciplinato, ai sensi di legge e conformemente alle specifiche normative in merito, dal contratto di lavoro che lega lorganizzazione al lavoratore, sia tale contratto di natura individuale o collettiva. Responsabilit nel telelavoro RDP Produzione ha la responsabilit: della supervisione delle attivit lavorative compiute in regime di telelavoro; della sicurezza delle informazioni ad esse associate; della predisposizione dei controlli di sicurezza. ..
  • 28. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 28 Telelavoro come misura per la business continuity Lorganizzazione considera il Telelavoro uno strumento efficace da impiegare quando condizioni improvvise ed avverse dovessero rendere impossibile il proseguire delle attivit lavorative allinterno dei locali dellorganizzazione. Il telelavoro rappresenta, di conseguenza, anche una misura per la business continuity. Regole di prevenzione per il telelavoro Lorganizzazione, allo scopo di tenere sotto controllo i rischi per la sicurezza delle informazioni nellambito del telelavoro applica la politica di sicurezza basata sulle seguenti regole: rende consapevole il personale, attraverso interventi di formazione, dei pericoli che possono compromettere la riservatezza, lintegrit e la disponibilit delle informazioni e dei controlli di sicurezza da applicare; fornisce i dispositivi portatili e vieta limpiego di dispositivi personali; amministra il telelavoro con strumenti che permettono la pianificazione e la verifica delle attivit eseguite da remoto; rende disponibile lassistenza da parte dell'amministratore di sistema IT Manager per la soluzione di problemi tecnici; rende disponibile lassistenza da parte del RSGI per l'applicazione delle procedure di sicurezza; predispone apposite utility software per la rendicontazione del lavoro svolto da remoto; vieta limpiego di postazioni di lavoro occasionali. 6.2.2 Telelavoro
  • 29. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 29 Esempio (2): controllo A.16.1.1 Responsabilit e procedure Obiettivo: Assicurare un approccio coerente ed efficace per la gestione degli incidenti relativi alla sicurezza delle informazioni, incluse le comunicazioni relative agli eventi di sicurezza ed ai punti di debolezza Controllo: devono essere stabilite le responsabilit e le procedure di gestione per assicurare una risposta rapida, efficace ed ordinata agli incidenti relativi alla sicurezza delle informazioni.
  • 30. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 30
  • 31. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 31 Introduzione al disaster recovery plan dell'organizzazione A fronte dei rischi che incombono sulle informazioni, l'organizzazione ha gi stabilito i controlli di sicurezza interni che mantengono il rischio generale ad un livello basso. Tali controlli sono documentati all'interno del Mod-07-10-M- Inventario degli asset. La probabilit, tuttavia, che determinati incidenti possano accadere, ancorch辿 bassa, non rende impossibili tali eventi. Se i controlli applicati internamente alla struttura, finalizzati alla protezione delle informazioni dovessero risultare, in condizioni critiche, inefficaci, compromessi, o comunque non funzionanti, l'organizzazione mette in atto delle azioni la cui finalit 竪 quella di poter riacquisire, nel pi湛 breve tempo possibile, la disponibilit delle informazioni. Scopo La presente IOS ha lo scopo di disciplinare la modalit con cui l'organizzazione gestisce la sopravvenuta indisponibilit delle informazioni causata dalla distruzione dei supporti residenti nella sua struttura fisica (locali della sede: ufficio progettazione, ufficio amministrazione, ecc.). Le cause della distruzione dei supporti, come abbiamo visto nell'identificazione e la valutazione dei rischi, possono consistere in fenomeni fisici o atmosferici quali ad esempio: Allagamenti (a seguito di eventi atmosferici eccezionali o di guasti/rotture dellimpianto idrico) Terremoti Incendi 16.1.1 Responsabilit e procedure
  • 32. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 32 La presente procedura, che scaturisce dall'analisi e dalla valutazione dei rischi, rappresenta il DISASTER RECOVERY PLAN, ossia il Piano di recupero delle informazioni da attuare in caso di disastro. L'organizzazione, in generale, per il recupero delle informazioni non pi湛 disponibili, adotta il "backup" la cui politica ed il cui funzionamento sono disciplinati nella procedura di sicurezza IOS-12 Sicurezza delle attivit operative, nel paragrafo dedicato. L'organizzazione adotta una soluzione di disaster recovery (di cui il backup 竪 solo una componente) che 竪 stata progettata in relazione alle caratteristiche tecniche della struttura IT, tenendo conto della quantit di informazioni che potrebbe "andare persa" a causa di uno degli eventi precedentemente indicati. Per il "ricovero" delle informazioni, l'organizzazione ha optato per uninfrastruttura informatica completamente ridondante con dati replicati fuori sede. 16.1.1 Responsabilit e procedure
  • 33. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 33 SOA Statement of Applicability
  • 34. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 34 Nel mese di agosto del 2019 竪 stata pubblicata la Norma ISO/IEC 27701, che, basandosi sui requisiti della ISO/IEC 27001, fornisce la possibilit di estendere lo scopo di applicazione di questultima al perimetro della gestione della Privacy - GDPR - Regolamento generale sulla protezione dei dati (UE/2016/679). I due standard possono esser certificati in combinazione. ISO/IEC 27701 - Gestione delle informazioni sulla privacy
  • 35. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 35 Limplementazione di un Sistema di gestione conforme alle norme ISO/IEC 27701 e ISO 27001 consentir di soddisfare i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in materia di protezione dei dati e dimostrer che sono stati predisposte misure tecniche e organizzative appropriate (articolo 32) per proteggere i dati personali che vengono trattati, proteggendo i diritti degli interessati, in linea con il principio di accountability descritto nel Regolamento (articolo 5). Articolo 32 Sicurezza del trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonch辿 della natura, dell'oggetto, del contesto e delle finalit del trattamento, come anche del rischio di varia probabilit e gravit per i diritti e le libert delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso. ISO/IEC 27701 - Gestione delle informazioni sulla privacy
  • 36. Dott. Salvatore Fabbricatore ISO/IEC 27001 SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Studio Fabbricatore srl C.so Francia, 127/A 10098 RIVOLI (TO) Tel . 011 95 74 889 Fax 011 95 57 022 mobile 380 34 56 943 info@studiofabbricatore.it www.studiofabbricatore.it 36 Larticolo 42 del GDPR tratta dei meccanismi di certificazione della protezione dei dati. Anche se non 竪 ancora stata definita e riconosciuta ufficialmente come meccanismo valido in tal senso dalle autorit competenti (EDPB e Garante), tuttavia 竪 possibile ottenere la certificazione ISO 27001 e per estensione ISO 27701 accreditata in modo indipendente da un certification body riconosciuto, dimostrando cos狸 a tutti gli stakeholder che la vostra organizzazione segue le migliori pratiche internazionali in tema di protezione dei dati personali. Articolo 42 Certificazione 1. Gli Stati membri, le autorit di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonch辿 di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformit al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese. ISO/IEC 27701 - Gestione delle informazioni sulla privacy
AboutCopyright
息 2025 際際滷