NIER Ingegneria è diventata Società Benefit →
it
EN
Ricerca
Ricerca
MERCATI
Automotive Centri di ricerca Costruzioni e infrastrutture Difesa e Aerospace Ferroviario Finanza e assicurazioni Food & Beverage GDO & Retail Life Sciences Logistica e Trasporti Manufacturing Oil & Gas - Chemicals Power & Utilities Pubblica Amministrazione
SERVIZI
Asset Management Big Data, Analytics & Business Intelligence Business Continuity & Emergency Management Corsi di formazione professionale Cybersecurity Design & Modelling Efficienza Energetica Health Safety & Environment Progettazione e Sicurezza nei Cantieri Project Risk Management RAMS Requirements Management & Verification Ricerca e Innovazione Risk Management Sistemi di Gestione Integrata Sostenibilità Tech Products Design & Development Verifica, Validazione e Testing Software Web Technology
TORNA AGLI ARTICOLI
14 Giugno 2023

ISO 27001:2022.

Parliamo di ISO IEC 27001:2022. Un progetto concreto che ci ha visti al fianco di una realtà finanziaria industriale negli ambiti: information security, cybersecurity and privacy protection, information security management systems e requirements.

A cura di Roberta Garulli
[Resp. Unità Qualità – Area Sostenibilità]

Il 25 ottobre 2022  è stata emessa la nuova edizione della norma ISO/IEC 27001 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”.

Alla data attuale, 13 giugno 2023, la norma non è stata ancora recepita dall’UNI e il periodo di transizione per il passaggio alla nuova edizione è fissato in 3 anni, pertanto le aziende dovranno adottare la nuova revisione entro ottobre 2025.

NIER Ingegneria ha supportato una delle prime aziende in Italia a ottenere la “nuova” certificazione.

Le sfide che abbiamo dovuto superare riguardavano soprattutto:

  • Impossibilità a reperire formazione accreditata e Case History sulla nuova norma;
  • Revisione tempestiva, in fase avanzata del progetto, del sistema di gestione, dell’analisi dei rischi e dello “Statement Of Applicability” rispetto al nuovo annex A completamente ristrutturato con l’inserimento di nuovi controlli e alcuni accorpamenti.

Il cliente ha richiesto di aggiornare il progetto rispetto ai nuovi requisiti senza prevedere un significativo slittamento dei tempi.

Per raggiungere l’obiettivo, abbiamo coinvolto i principali stakeholder e adottato un approccio di valorizzazione della cultura e degli strumenti già in essere.

In particolare, abbiamo agito con:

  • 3 risorse NIER dedicate al progetto fino al raggiungimento dell’obiettivo. Due con competenze tecniche e una con competenze sui sistemi di gestione;
  • Gruppo di lavoro interno scelto di comune accordo con il cliente e composto da IT interni, da terzi che operano con continuità sull’infrastruttura e da facilitatori interni del sistema di gestione;
  • Definizione di un calendario serrato di incontri che hanno convolto il cliente  per affiancarlo nel percorso.
ISO 27001:2022.

LE 10 FASI DEL PROGETTO SULLA ISO 27001:2022.

  • Kick-off e pianificazione delle attività

L’avvio delle attività di “start up” del progetto ha previsto:  presentazione della metodologia,  presentazione della squadra di lavoro esplicitando nel dettaglio ruoli e responsabilità, condivisione degli obiettivi e vicoli del progetto, attivazione dei canali di comunicazione tra i tecnici di NIER Ingegneria e la Committenza, compresa la creazione di un sito dedicato per la condivisione e organizzazione del materiale.

  • Conduzione di una Gap Analysis rispetto alla norma ISO/IEC 27001:2013 e all’Annex A
  • Analisi rischi e opportunità

Per ogni famiglia di asset sono state correlate minacce e vulnerabilità per ciascuno dei requisiti di Riservatezza, Integrità e Disponibilità (RID) e le frequenze di accadimento al fine di identificare i rischi e le opportunità più rilevanti sulle quali stabilire le azioni di mitigazione o di miglioramento.

  • Analisi delle prassi operative esistenti e dei controlli e progettazione della risposta organizzativa
  • Integrazione delle Procedure e degli Strumenti del sistema di gestione di Gruppo
  • Definizione della “Dichiarazione di Applicabilità”

Lo Statement of Applicability (Dichiarazione di Applicabilità) riporta i controlli che l’azienda ha assunto come applicabili e necessari, le giustificazioni per l’inclusione e le specifiche per la loro attuazione nonché le eventuali giustificazioni per l’esclusione dei controlli dell’Appendice A.

  • Implementazione dei nuovi controlli e procedure (impegno prevalente del cliente)
  • Revisione di tutte le fasi precedenti alla luce della nuova edizione della normativa  ISO/IEC27001:2022
  • Conduzione di un ciclo di Audit interni
  • Formazione sulla nuova edizione della norma ISO/IEC27001:2022

L’aspetto determinante della gestione del progetto è stato il capillare e sistematico coinvolgimento degli stakeholder interni e di gruppo. Questo ci ha permesso un veloce avanzamento delle attività senza tempi morti legati alla mancanza di informazione e un importante contribuito in termini di cultura e consapevolezza sui temi della sicurezza delle informazioni.

ISO 27001:2022.

I RISULTATI RAGGIUNTI AD OGGI.

Il cliente che abbiamo affiancato è stato tra i primi in Italia ad ottenere la certificazione rispetto alla ISO/IEC 27001:2022 – “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”.

Il progetto ha contribuito in modo rilevante seguenti i risultati:

  • Integrazione della sicurezza delle informazioni lungo tutto il ciclo di vita dei sistemi informativi.
  • Consolidamento e messa a sistema delle prassi già in uso
  • Capillare propagazione dei requisiti sugli utenti delle altre aziende del gruppo e sulla catena di fornitura.

DALLE PAROLE AI FATTI .

Contattaci per saperne di più sull’argomento dell’articolo.

    Condividi .