Come e perché effettuare il riesame delle politiche per la sicurezza delle informazioni

Il riesame della politica per la sicurezza delle informazioni verifica l’efficacia delle “regole” che l’organizzazione ha stabilito in riferimento all’applicazione dei controlli dell’Annex A della ISO 27001:2017.

Si parte dalle policy relative ai dispositivi portatili fino ad arrivare alla sicurezza delle informazioni relativa ai rapporti con i fornitori.

L’efficacia delle policy applicate, tra un riesame di direzione e l’altro, è continuamente sottoposta a monitoraggio grazie agli indicatori che sono stati scelti per tenere sotto controllo la sicurezza delle informazioni.

Le policy (politiche per la sicurezza delle informazioni) vanno da quella prevista per il telelavoro che parla di politica per i dispositivi portatili fino a l’ultima politica per la sicurezza delle informazioni nei rapporti con i fornitori. Le policy sono “espressamente” richieste dalla Norma 27001 nell’Annex A (allegato della Norma riservato ai controlli per la sicurezza delle informazioni).

Il riesame delle politiche per la sicurezza delle informazioni, essenzialmente basato sul livello di sicurezza relativo alle risorse che l’organizzazione ha reso disponibili nell’inventario degli asset, consiste in una verifica di efficacia rilevata dal monitoraggio del livello di sicurezza dei seguenti aspetti:

Reti e comunicazioni

Il livello della sicurezza per le informazioni trattate nella rete dipende da come vengono praticamente concepite ed applicate le singole policy ad asset quali:

  • Provider (Apparato di fornitura servizi Internet)
  • Cloud (Server remoto in cui le informazioni vengono duplicate e custodite)
  • LAN (Rete locale interna all’organizzazione)
  • Server (Computer che fornisce i servizi di rete interni all’organizzazione)
  • Router (Dispositivo che permette di interfacciare sottoreti che sono: Primaria, Supporto e Sicurezza)
  • Switch (Dispositivo di collegamento di altri dispositivi alla rete LAN)
  • Access point (Dispositivo per l’accesso wireless alla rete)
  • Client (Computer interni all’organizzazione collegati alla rete)
  • Cablaggio (cavi Ethernet e fibra ottica)

Software per impiegato

Il livello della sicurezza per le informazioni trattate attraverso gli applicativi software dipende da come vengono praticamente concepite ed applicate le singole policy ad asset quali:

  • Software applicativo
  • Software sistema informativo
  • Software di sistema
  • Software dei dispositivi di elaborazione
  • Software dei dispositivi di rete
  • Software degli impianti

Dispositivi per l’elaborazione

Il livello della sicurezza per le informazioni trattate attraverso i computer dipende da come vengono praticamente concepite ed applicate le singole policy ad asset quali:

  • Personal computer (anche portatili)
  • Smartphone
  • Tablet

Sedi e archivi

Il livello della sicurezza per le informazioni custodite nelle sedi fisiche e negli archivi dipende da come vengono praticamente concepite ed applicate le singole policy ad asset quali:

  • Fabbricato
  • Area uffici processi primari (Requisiti, progettazione, produzione, ecc.)
  • Area uffici processi di supporto (Amministrazione, organizzazione)
  • Area uffici sicurezza (Uffici di presidio per la gestione del sistema di sicurezza e i suoi controlli)
  • Sala server
  • Archivio cartaceo produzione (documenti afferenti ai processi primari)
  • Archivio cartaceo amministrativo (documenti afferenti ai processi di supporto)
  • Database del sistema informativo e database (Primario, supporto e sicurezza)
Banner ISO 27001-winple

Impianti e dispositivi di sicurezza 

Il livello della sicurezza per le informazioni gestite e protette dagli impianti e i dispositivi di sicurezza dipende da come vengono praticamente concepite ed applicate le singole policy ad asset quali:

  • Proxy (Dispositivo di difesa verso il web che filtra le connessioni in entrata e in uscita)
  • Cloud (Server remoto in cui le informazioni vengono duplicate e custodite)
  • Firewall di rete (Dispositivo di monitoraggio del traffico in entrata e in uscita dalla rete LAN)
  • VPN (Rete privata interna (sicura) creata per la connessione dei computer
  • Antivirus (Software di protezione da codice dannoso e malware, programmi cioè che disturbano il funzionamento dei pc)
  • Software per il log management (software che traccia tutte le operazioni compiute)
  • Software di gestione dei backup

Gli output del riesame di direzione per la sicurezza delle informazioni

Tra gli input del riesame di direzione, in riferimento alla politica per la sicurezza, l’organizzazione considera il livello di sicurezza espresso dagli indicatori di monitoraggio degli ambiti riportati sopra.

L’organizzazione, in occasione del riesame delle policy, paragona i differenti livelli di sicurezza raggiunti in ciascun ambito (reti, software, dispositivi, sedi, impianti), con i livelli di sicurezza stabiliti negli obiettivi per la sicurezza in base al punto 6.2 della ISO 27001:2017.

Al termine del riesame l’organizzazione, in riferimento a ciascuno scostamento rilevato, assumerà delle decisioni (output del riesame) che riguarderanno azioni da compiere per ridurre gli eventuali scostamenti rilevati.

Scarica elenco dei contenuti del Kit Procedure ISO 27001 | Edizione 2020 | in formato .PDF

Il prodotto è in promozione a 287€!

Kit Sistemi di gestione ISO 27001

Pacchetto completo di strumenti e modulistica comprendente manualeprocedure di businesssupportosicurezza delle informazioni e modulistica completamente modificabili e personalizzabili che consentono di implementare un sistema di gestione per la sicurezza delle informazioni partendo da una base di contenuti già pronti (stimata all’85%).

Acquista ora in promo a 287€