SlideShare une entreprise Scribd logo

Audit ISO 19011:2011 e ISO 27001:2013

Sylvio Verrecchia - IT Security Engineer
Sylvio Verrecchia - IT Security Engineer

Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.

Technologie
1  sur  29
Télécharger pour lire hors ligne
ISO 19011:2011 ISO 27001:2013
2 Sylvio Verrecchia – IT Security Engineer https://www.linkedin.com/in/sylvioverrecchia/ sylvio.verrecchia@peritoinformatico.it
3 Atto mediante il quale una terza parte indipendente dichiara che, con ragionevole attendibilità, un determinato prodotto, processo o servizio è conforme ad una specifica norma o ad altro documento normativo Certificazione
4 fornisce le linee guida sugli audit di sistemi di gestione (Rappresenta lo strumento di lavoro per gli auditor) ISO 19011:2012
5 Processo sistematico, indipendente e documentato per ottenere evidenze dell’audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti. Evidenze dell’audit: registrazioni, dichiarazioni di fatti o altre informazioni, che sono pertinenti ai criteri dell’audit e verificabili. Criteri dell’audit: insieme di politiche, procedure o requisiti. Cosa è un Audit?
6 • Valutare il grado di conformità del sistema ai requisiti di riferimento. • Valutare l'efficacia del sistema e la capacità di conseguire gli obiettivi stabiliti. • Valutare se i criteri dell’audit sono stati soddisfatti. Lo scopo dell’Audit
7 Tipologie di Audit AUDIT AUDIT INTERNO AUDIT ESTERNO RUOLO 1° PARTE 2° PARTE 3° PARTE Committente Organizzazione Cliente Ente Certificatore (che richiede l'audit) Valutando se stessa Fornitore Azienda (chi verificare) Valutatore Personale qualificato per eseguire l'audit Effettuato
8 Programma di Audit terza parte Stage 1 1° Anno 2° Anno scadenzaStage 2 Riesame documentazione Attività in campo Certificazione Sorveglianza Sorveglianza Rinnovo
9 Struttura ISO 19011:2012 1 SCOPO E CAMPO DI APPLICAZIONE (SG Qualità ISO9001, SG Servizi IT ISO20000, SGSI ISO27001 , SG Continuità Operativa ISO 22301) 2 RIFERIMENTI NORMATIVI 3 TERMINI E DEFINIZIONI 4 PRINCIPI DELL’ATTIVITÀ DI AUDIT 5 GESTIONE D UN PROGRAMMA DI AUDIT (obiettivi del programma e coordinamento attività di audit) 6 SVOLGIMENTO DI UN AUDIT (pianificazione e conduzione di un audit sui SG) > APP. B 7 COMPETENZA E VALUTAZONE DEGLI AUDITOR (guida per la valutazione della competenza) > APP. A APP A - GUIDA ED ESEMPI ILLUSTRATIVI DI CONOSCENZE E ABILITÀ DEGLI AUDITOR PER SPECIFICHE DISCIPLINE APP B - GUIDA AGGIUNTIVA DESTINATA AGLI AUDITOR PER PIANIFICARE E CONDURRE AUDIT
10 Svolgimento di un audit 6.1 Generalità 6.2 Avvio dell’audit (presa contatto, fattibilità audit) 6.3 Preparazione delle attività di audit (riesame documenti, preparazione piano audit, assegnazione compiti, preparazione documenti di lavoro) 6.4 Conduzione delle attività di audit (riunione apertura, assegnazione ruoli e responsabilità ai componenti del gruppo, raccolte e verifiche delle informazioni, produzione risultanze, preparazione conclusioni, riunione chiusura) 6.5 Preparazione e distribuzione del rapporto di audit 6.6 Chiusura dell’audit (tutte le attività del piano di audit sono state attuate ed il rapporto approvato e distribuito) 6.7 Conduzione di azioni conseguenti all’audit (eventuali consigli per mettersi a norma oppure azioni correttive e di miglioramento del SGSI)
11 Raccolta di informazioni Le fonti di informazioni possono variare con il campo dell’audit: • Interviste con impiegati o altre persone; • Osservazioni delle attività; • Riesame dei documenti (politica, procedure, obiettivi, …); • Registrazioni vari (resoconti riunioni, rapporto di audit, ispezioni, risultati di misurazioni, …); • Riassunti di dati, analisi ed indicatori di prestazioni; • Solo le informazioni verificabili possono costituire evidenze dell’audit ed essere registrate. Fonti d’informazioni Raccolta a campione Evidenze Valutazione rispetto ai criteri Risultanze Riesame Conclusione
12 • Sottoporre a verifiche la documentazione del SG del cliente; • Riesaminare lo stato e comprensione del Cliente riguardo i requisiti (processi, obiettivi e funzionamento del Sistema di Gestione); • Raccogliere informazioni riguardanti il campo di applicazione del SG, i processi, le sedi, gli aspetti legali; • Riesaminare l’assegnazione delle risorse e concordare con il Cliente i dettagli della fase 2; • Valutare se gli audit interni siano stati pianificati ed eseguiti e che il livello di attuazione del SG fornisca l’evidenza che il Cliente è pronto per la fase 2. Il riesame è svolto, prima dello svolgimento dell’audit, per verificare che la documentazione sia adeguata agli obiettivi ed al campo dell’audit. Le risultanze devono essere documentate e comunicate al Cliente. Eventuale inadeguatezza potrebbe essere classificata, nella fase 2, come una “NON CONFORMITA’”. Il Responsabile del Gruppo di Audit potrebbe decidere se continuare o sospendere l’audit fino a che le perplessità sulla documentazione siano state risolte. Stage 1
13 Valutare l’attuazione e l’efficacia del Sistema di Gestione del Cliente. Nel Sistema di Gestione per la Sicurezza delle Informazioni, si andrà a focalizzarsi: • Informazioni ed evidenze circa la conformità dei requisiti; • Valutazione dei rischi riferiti alla sicurezza delle informazioni; • Selezione di Controlli e degli Obiettivi di Controllo basati sui processi di valutazione e trattamento del rischio; • Riesame delle prestazioni del SGSI e delle misure delle stesse; • Verifiche interne dell’SGSI e riesame della direzione; • Responsabilità (Risk Owner) e competenza del personale; • La corrispondenza fra i Controlli applicabili ed applicati, la Dichiarazione di Applicabilità (SOA), i risultati del processo di valutazione e trattamento del rischio, la Politica e gli Obiettivi dell’SGSI. Stage 2
14 “L’informazione è una risorsa che, al pari di altri beni che costituiscono il patrimonio di un’azienda, rappresenta un valore per l’organizzazione e necessita pertanto di essere adeguatamente protetto” ISO/IEC 27002:2005 ISO 27001:2013
15 • La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali; • Sono norme emesse dalla ISO (International Organisation for Standardization); • Specificano un modello di sistema di gestione valido per tutte le organizzazioni, indipendentemente dal tipo e dimensione delle stesse e dei prodotti/servizi forniti. Va quindi adattato alla specifica realtà; • Approccio ciclico (PDCA), rivolto al miglioramento continuo; • Possono essere utilizzate per uso interno, per scopi contrattuali e di certificazione; • Dicono cosa fare, non come farlo. Ambito definibile a piacimento. Struttura ad alto livello. • Forniscono i requisiti minimi per attuare un Sistema di Gestione per la Sicurezza delle Informazioni. ISO 27001:2013 ISO/IEC 27001:2013 (Sistemi di gestione per la sicurezza delle informazioni - Requisiti ) ISO/IEC 27002:2013 (Raccolta di prassi sui controlli per la sicurezza delle informazioni ) ISO/IEC 27005:2011 (Information Security Risk Management)
16 Obiettivi della ISO 27001:2013
17 Obiettivi della ISO 27001:2013
18 Struttura ISO 27001:2013 vs 2005
19 Ciclo di Deming - PDCA Il modello PDCA (Plan, Do, Check, Act) è una metodologia tale da garantire il miglioramento continuo dei processi:  PLAN = la pianificazione, dire ciò che si fa;  DO = la realizzazione, fare ciò che si è detto;  CHECK = il controllo e la misurazione, registrare ciò che si è fatto;  ACT = l’applicazione delle migliorie individuate, verificare e mettere a sistema. Questo ciclo prescrive una fase di consolidamento per ogni miglioramento affinché l'organizzazione possa assimilare le nuove procedure.
20 Struttura ISO 27001:2013 + PDCA
21 ISO 27001:2013 - Documenti Richiesta la comprensione del contesto interno ed esterno dell’organizzazione, nonché l’identificazione degli stakeholder e delle loro aspettative . • Campo di applicazione Assicurare le risorse necessarie; Integrare SGSI nell’Organizzazione; Supportare il personale interno; Definire gli obiettivi ; Definizione della politica di sicurezza delle informazioni; La politica deve essere comunicata e resa disponibile; Promuovere il miglioramento continuo; Definire ruoli e responsabilità. • Politica di sicurezza (Information Security Policy)
22 ISO 27001:2013 - Documenti Risk assessment non più esplicitamente legato ad asset, minacce e vulnerabilità. – Si chiede di identificare i rischi relativi alla sicurezza delle informazioni e associati alla perdita di riservatezza, integrità e disponibilità; – Identificazione, analisi, valutazione e trattamento del rischio sono nel planning perché contribuiscono alla pianificazione del sistema di gestione per la sicurezza delle informazioni; – Il metodo deve sempre garantire la coerenza, validità e comparabilità dei risultati; – Approvazione del rischio accettabile; Si chiede di identificare i “risk owner”. Rimangono l’Annex A e lo SoA (inclusione ed esclusione dei controlli). Più dettagli su come stabilire gli obiettivi del sistema di gestione (in accordo con la sec. policy, misurabili, basati sul rischio, comunicati e aggiornati). • Metodologia Valutazione del rischio (Risk assessment process) • Piano trattamento del rischio (Risk treatment process) • Stato di applicabilità (SOA) • Obiettivi di sicurezza (Security objectives)
23 ISO 27001:2013 - Documenti Riguarda le risorse, le risorse umane, la comunicazione e le informazioni documentate. - Maggiore rilievo alla preparazione ed alla consapevolezza del personale (education, training, expertise) - Più dettagli su come devono essere affrontate le comunicazioni - Rimangono le modalità di gestione dei documenti (available, suitable, updated, protected, external documents) • Competenze del personale coinvolto (Evidence of competence) Si richiama il punto 6 per la pianificazione, implementazione e controllo dei processi necessari al raggiungimento degli obiettivi di sicurezza (6.1 e 6.2) • Risultati valutazione del rischio (Risk assessment results) • Risultati trattamento del rischio (Result of information security risk treatment )
24 ISO 27001:2013 - Documenti Tratta il: – monitoraggio, misurazioni, analisi e valutazione delle perforrmances – audit interni – riesame di Direzione • Attività di monitoraggio e misurazione (Evidence of monitoring and measurements) • Attività audit interni (Evidence of audit programme and results) • Riesame della direzione (Evidence of results of management reviews) Riguarda: non conformità, azioni correttive e miglioramento continuo • Gestione delle Non Conformità (Nature and actions resulting from NC) • Gestione delle Azioni Correttive (Results of corrective actions)
25 ISO 27001:2013 - Annex A
26 ISO 27001:2013 - Annex A La ISO 27001 definisce ed elenca una serie di 114 controlli da attuare per limitare il rischio, divisi in famiglie: • La politica e l'organizzazione per la sicurezza delle informazioni • La sicurezza delle risorse umane • La gestione dei beni • Il controllo degli accessi fisici e logici • La crittografia • La sicurezza fisica e ambientale • La sicurezza delle attività operative e delle comunicazioni • Sicurezza dei sistemi informativi • Relazioni con i fornitori • La gestione del monitoraggio e trattamento degli incidenti • La gestione della Business Continuity e il rispetto normativo
27 Analisi del rischio ISO 27001:2013 Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni. Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può essere considerata come un esteso catalogo.
28 Fornisce linee guida generali per la per la gestione del rischio in una organizzazione, con particolare attenzione a quelle che hanno realizzato un SGSI conforme ai requisiti della 27001. Definisce gli step da seguire per una corretta gestione del rischio inerente la sicurezza delle informazioni. ISO 27005:2011 -Identificazione del Rischio - individuazione degli assets da proteggere; - minacce; - vulnerabilità; - impatti in termini di perdita di Riservatezza, Integrità e Disponibilità delle informazioni. - Valutazione del Rischio - danni; - probabilità; - stima del livello dei rischi. - Trattamento del Rischio - accettare il rischio; - ridurre il rischio utilizzando contromisure; - trasferire il rischio; - evitare il rischio.
29 Via Adriano Olivetti, 24/26 00131 Roma (Italia) email: info@gyala.it

Recommandé

LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Fabrizio Di Crosta
 
Privacy in the Cloud- Introduction to ISO 27018
Privacy in the Cloud- Introduction to ISO 27018Privacy in the Cloud- Introduction to ISO 27018
Privacy in the Cloud- Introduction to ISO 27018Schellman & Company
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 
Sistema_ISO TS 16949 - Formazione 26 maggio 2016
Sistema_ISO TS 16949 - Formazione 26 maggio 2016Sistema_ISO TS 16949 - Formazione 26 maggio 2016
Sistema_ISO TS 16949 - Formazione 26 maggio 2016Business Resiliente
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?PECB
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 

Recommandé

LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Fabrizio Di Crosta
 
Privacy in the Cloud- Introduction to ISO 27018
Privacy in the Cloud- Introduction to ISO 27018Privacy in the Cloud- Introduction to ISO 27018
Privacy in the Cloud- Introduction to ISO 27018Schellman & Company
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 
Sistema_ISO TS 16949 - Formazione 26 maggio 2016
Sistema_ISO TS 16949 - Formazione 26 maggio 2016Sistema_ISO TS 16949 - Formazione 26 maggio 2016
Sistema_ISO TS 16949 - Formazione 26 maggio 2016Business Resiliente
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?PECB
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGArul Nambi
 
Project plan for ISO 27001
Project plan for ISO 27001Project plan for ISO 27001
Project plan for ISO 27001technakama
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awarenessÃsħâr Ãâlâm
 
ISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISONIKELtd
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureUppala Anand
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness TrainingDr Madhu Aman Sharma
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyControlCase
 
ISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedJisc
 
GDPR and ISO27001 mapping EL
GDPR and ISO27001 mapping ELGDPR and ISO27001 mapping EL
GDPR and ISO27001 mapping ELEugene Lee
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsUppala Anand
 
PECB Webinar: ISO Internal Audits - A signpost to ISO compliance
PECB Webinar: ISO Internal Audits - A signpost to ISO compliancePECB Webinar: ISO Internal Audits - A signpost to ISO compliance
PECB Webinar: ISO Internal Audits - A signpost to ISO compliancePECB
 
IC-ISO-27001-Checklist-10838_PDF.pdf
IC-ISO-27001-Checklist-10838_PDF.pdfIC-ISO-27001-Checklist-10838_PDF.pdf
IC-ISO-27001-Checklist-10838_PDF.pdfNapoleon NV
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementationRalf Braga
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNA Putra
 
Overview of ISO 27001 ISMS
Overview of ISO 27001 ISMSOverview of ISO 27001 ISMS
Overview of ISO 27001 ISMSAkhil Garg
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxDr Madhu Aman Sharma
 
27001.pptx
27001.pptx27001.pptx
27001.pptxAvniJain836319
 
I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012Mario Gentili
 
Linea guida 20121 rev.4
Linea guida 20121 rev.4Linea guida 20121 rev.4
Linea guida 20121 rev.4Certification Europe Italia
 

Contenu connexe

Tendances

ISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGArul Nambi
 
Project plan for ISO 27001
Project plan for ISO 27001Project plan for ISO 27001
Project plan for ISO 27001technakama
 
ISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISONIKELtd
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureUppala Anand
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyControlCase
 
ISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedJisc
 
GDPR and ISO27001 mapping EL
GDPR and ISO27001 mapping ELGDPR and ISO27001 mapping EL
GDPR and ISO27001 mapping ELEugene Lee
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsUppala Anand
 
PECB Webinar: ISO Internal Audits - A signpost to ISO compliance
PECB Webinar: ISO Internal Audits - A signpost to ISO compliancePECB Webinar: ISO Internal Audits - A signpost to ISO compliance
PECB Webinar: ISO Internal Audits - A signpost to ISO compliancePECB
 
IC-ISO-27001-Checklist-10838_PDF.pdf
IC-ISO-27001-Checklist-10838_PDF.pdfIC-ISO-27001-Checklist-10838_PDF.pdf
IC-ISO-27001-Checklist-10838_PDF.pdfNapoleon NV
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementationRalf Braga
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNA Putra
 
Overview of ISO 27001 ISMS
Overview of ISO 27001 ISMSOverview of ISO 27001 ISMS
Overview of ISO 27001 ISMSAkhil Garg
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxDr Madhu Aman Sharma
 

Tendances (20)

ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTING
 
Project plan for ISO 27001
Project plan for ISO 27001Project plan for ISO 27001
Project plan for ISO 27001
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
 
ISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition Arragements
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
 
ISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learnedISO 27001 - three years of lessons learned
ISO 27001 - three years of lessons learned
 
GDPR and ISO27001 mapping EL
GDPR and ISO27001 mapping ELGDPR and ISO27001 mapping EL
GDPR and ISO27001 mapping EL
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard Requirements
 
PECB Webinar: ISO Internal Audits - A signpost to ISO compliance
PECB Webinar: ISO Internal Audits - A signpost to ISO compliancePECB Webinar: ISO Internal Audits - A signpost to ISO compliance
PECB Webinar: ISO Internal Audits - A signpost to ISO compliance
 
IC-ISO-27001-Checklist-10838_PDF.pdf
IC-ISO-27001-Checklist-10838_PDF.pdfIC-ISO-27001-Checklist-10838_PDF.pdf
IC-ISO-27001-Checklist-10838_PDF.pdf
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementation
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation Guide
 
Overview of ISO 27001 ISMS
Overview of ISO 27001 ISMSOverview of ISO 27001 ISMS
Overview of ISO 27001 ISMS
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
 
27001.pptx
27001.pptx27001.pptx
27001.pptx
 

Similaire à Audit ISO 19011:2011 e ISO 27001:2013

I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012Mario Gentili
 
03A quadro normativo di riferimento
03A quadro normativo di riferimento03A quadro normativo di riferimento
03A quadro normativo di riferimentoMaurilio Savoldi
 
Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneFabio Rosito
 
Corso sicurezza e indicatori di prestazione
Corso sicurezza e indicatori di prestazioneCorso sicurezza e indicatori di prestazione
Corso sicurezza e indicatori di prestazioneCarlo Bisio (1000 +)
 
Fse 15 lezione - iso9001
Fse 15 lezione - iso9001Fse 15 lezione - iso9001
Fse 15 lezione - iso9001ANAPIA FSE 2010
 
Continual service improvement tutorial
Continual service improvement tutorialContinual service improvement tutorial
Continual service improvement tutorialAndrea Praitano
 
Sgs auditor iso 50001 4 iso 19011
Sgs auditor iso 50001 4 iso 19011Sgs auditor iso 50001 4 iso 19011
Sgs auditor iso 50001 4 iso 19011Luca Vecchiato
 
00 la qualità demistificata (premesse)
00 la qualità demistificata (premesse)00 la qualità demistificata (premesse)
00 la qualità demistificata (premesse)Andrea Saviano
 
9 - Norme Tecniche e Risk Management
9 - Norme Tecniche e Risk Management9 - Norme Tecniche e Risk Management
9 - Norme Tecniche e Risk ManagementPiero Mignardi
 
Uni en iso 9001 2015
Uni en iso 9001 2015Uni en iso 9001 2015
Uni en iso 9001 2015Silvio Marzo
 
Gestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
Gestione sistema integrato Qualità Ambiente Sicurezza con QualibusGestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
Gestione sistema integrato Qualità Ambiente Sicurezza con QualibusSogesi
 
Uni en iso 19011 2012
Uni en iso 19011 2012Uni en iso 19011 2012
Uni en iso 19011 2012Mario Gentili
 

Similaire à Audit ISO 19011:2011 e ISO 27001:2013 (20)

I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012
 
Linea guida 20121 rev.4
Linea guida 20121 rev.4Linea guida 20121 rev.4
Linea guida 20121 rev.4
 
03A quadro normativo di riferimento
03A quadro normativo di riferimento03A quadro normativo di riferimento
03A quadro normativo di riferimento
 
Il processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestioneIl processo di certificazione dei sistemi di gestione
Il processo di certificazione dei sistemi di gestione
 
Corso sicurezza e indicatori di prestazione
Corso sicurezza e indicatori di prestazioneCorso sicurezza e indicatori di prestazione
Corso sicurezza e indicatori di prestazione
 
2 Iso9001
2 Iso90012 Iso9001
2 Iso9001
 
Fse 08 - iso9001
Fse 08 - iso9001Fse 08 - iso9001
Fse 08 - iso9001
 
Fse 15 lezione - iso9001
Fse 15 lezione - iso9001Fse 15 lezione - iso9001
Fse 15 lezione - iso9001
 
Continual service improvement tutorial
Continual service improvement tutorialContinual service improvement tutorial
Continual service improvement tutorial
 
Sgs auditor iso 50001 4 iso 19011
Sgs auditor iso 50001 4 iso 19011Sgs auditor iso 50001 4 iso 19011
Sgs auditor iso 50001 4 iso 19011
 
00 la qualità demistificata (premesse)
00 la qualità demistificata (premesse)00 la qualità demistificata (premesse)
00 la qualità demistificata (premesse)
 
9 - Norme Tecniche e Risk Management
9 - Norme Tecniche e Risk Management9 - Norme Tecniche e Risk Management
9 - Norme Tecniche e Risk Management
 
Uni en iso 9001 2015
Uni en iso 9001 2015Uni en iso 9001 2015
Uni en iso 9001 2015
 
Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...
Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...
Giovanna Raffaella Stumpo - Metodi, modelli e strumenti per il controllo di g...
 
Gestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
Gestione sistema integrato Qualità Ambiente Sicurezza con QualibusGestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
Gestione sistema integrato Qualità Ambiente Sicurezza con Qualibus
 
56 asl fi-sgsl_verifica_efficacia_novelli
56 asl fi-sgsl_verifica_efficacia_novelli56 asl fi-sgsl_verifica_efficacia_novelli
56 asl fi-sgsl_verifica_efficacia_novelli
 
Uni en iso 19011 2012
Uni en iso 19011 2012Uni en iso 19011 2012
Uni en iso 19011 2012
 
Sistemi di gestione
Sistemi di gestioneSistemi di gestione
Sistemi di gestione
 
Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...
Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...
Un modello organizzativo per l'efficacia e l'efficienza dello Studio - Alessa...
 
Implementazione del modello Qualità - Alessandra Damiani
Implementazione del modello Qualità - Alessandra DamianiImplementazione del modello Qualità - Alessandra Damiani
Implementazione del modello Qualità - Alessandra Damiani
 

Plus de Sylvio Verrecchia - IT Security Engineer

Plus de Sylvio Verrecchia - IT Security Engineer (7)

Security Awareness Training Course
Security Awareness Training CourseSecurity Awareness Training Course
Security Awareness Training Course
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
ECSM 2015 - Video Awareness Security
ECSM 2015 - Video Awareness SecurityECSM 2015 - Video Awareness Security
ECSM 2015 - Video Awareness Security
 
Linux Day 2015 - La Sicurezza dei Siti Web PA
Linux Day 2015 - La Sicurezza dei Siti Web PALinux Day 2015 - La Sicurezza dei Siti Web PA
Linux Day 2015 - La Sicurezza dei Siti Web PA
 
Clusit - Pillole di Sicurezza Informatica
Clusit - Pillole di Sicurezza InformaticaClusit - Pillole di Sicurezza Informatica
Clusit - Pillole di Sicurezza Informatica
 
Sicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica AmministrazioneSicurezza informatica nella Pubblica Amministrazione
Sicurezza informatica nella Pubblica Amministrazione
 
Sicurezza informatica nelle Scuole
Sicurezza informatica nelle ScuoleSicurezza informatica nelle Scuole
Sicurezza informatica nelle Scuole
 

Audit ISO 19011:2011 e ISO 27001:2013

  • 2. 2 Sylvio Verrecchia – IT Security Engineer https://www.linkedin.com/in/sylvioverrecchia/ sylvio.verrecchia@peritoinformatico.it
  • 3. 3 Atto mediante il quale una terza parte indipendente dichiara che, con ragionevole attendibilità, un determinato prodotto, processo o servizio è conforme ad una specifica norma o ad altro documento normativo Certificazione
  • 4. 4 fornisce le linee guida sugli audit di sistemi di gestione (Rappresenta lo strumento di lavoro per gli auditor) ISO 19011:2012
  • 5. 5 Processo sistematico, indipendente e documentato per ottenere evidenze dell’audit e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti. Evidenze dell’audit: registrazioni, dichiarazioni di fatti o altre informazioni, che sono pertinenti ai criteri dell’audit e verificabili. Criteri dell’audit: insieme di politiche, procedure o requisiti. Cosa è un Audit?
  • 6. 6 • Valutare il grado di conformità del sistema ai requisiti di riferimento. • Valutare l'efficacia del sistema e la capacità di conseguire gli obiettivi stabiliti. • Valutare se i criteri dell’audit sono stati soddisfatti. Lo scopo dell’Audit
  • 7. 7 Tipologie di Audit AUDIT AUDIT INTERNO AUDIT ESTERNO RUOLO 1° PARTE 2° PARTE 3° PARTE Committente Organizzazione Cliente Ente Certificatore (che richiede l'audit) Valutando se stessa Fornitore Azienda (chi verificare) Valutatore Personale qualificato per eseguire l'audit Effettuato
  • 8. 8 Programma di Audit terza parte Stage 1 1° Anno 2° Anno scadenzaStage 2 Riesame documentazione Attività in campo Certificazione Sorveglianza Sorveglianza Rinnovo
  • 9. 9 Struttura ISO 19011:2012 1 SCOPO E CAMPO DI APPLICAZIONE (SG Qualità ISO9001, SG Servizi IT ISO20000, SGSI ISO27001 , SG Continuità Operativa ISO 22301) 2 RIFERIMENTI NORMATIVI 3 TERMINI E DEFINIZIONI 4 PRINCIPI DELL’ATTIVITÀ DI AUDIT 5 GESTIONE D UN PROGRAMMA DI AUDIT (obiettivi del programma e coordinamento attività di audit) 6 SVOLGIMENTO DI UN AUDIT (pianificazione e conduzione di un audit sui SG) > APP. B 7 COMPETENZA E VALUTAZONE DEGLI AUDITOR (guida per la valutazione della competenza) > APP. A APP A - GUIDA ED ESEMPI ILLUSTRATIVI DI CONOSCENZE E ABILITÀ DEGLI AUDITOR PER SPECIFICHE DISCIPLINE APP B - GUIDA AGGIUNTIVA DESTINATA AGLI AUDITOR PER PIANIFICARE E CONDURRE AUDIT
  • 10. 10 Svolgimento di un audit 6.1 Generalità 6.2 Avvio dell’audit (presa contatto, fattibilità audit) 6.3 Preparazione delle attività di audit (riesame documenti, preparazione piano audit, assegnazione compiti, preparazione documenti di lavoro) 6.4 Conduzione delle attività di audit (riunione apertura, assegnazione ruoli e responsabilità ai componenti del gruppo, raccolte e verifiche delle informazioni, produzione risultanze, preparazione conclusioni, riunione chiusura) 6.5 Preparazione e distribuzione del rapporto di audit 6.6 Chiusura dell’audit (tutte le attività del piano di audit sono state attuate ed il rapporto approvato e distribuito) 6.7 Conduzione di azioni conseguenti all’audit (eventuali consigli per mettersi a norma oppure azioni correttive e di miglioramento del SGSI)
  • 11. 11 Raccolta di informazioni Le fonti di informazioni possono variare con il campo dell’audit: • Interviste con impiegati o altre persone; • Osservazioni delle attività; • Riesame dei documenti (politica, procedure, obiettivi, …); • Registrazioni vari (resoconti riunioni, rapporto di audit, ispezioni, risultati di misurazioni, …); • Riassunti di dati, analisi ed indicatori di prestazioni; • Solo le informazioni verificabili possono costituire evidenze dell’audit ed essere registrate. Fonti d’informazioni Raccolta a campione Evidenze Valutazione rispetto ai criteri Risultanze Riesame Conclusione
  • 12. 12 • Sottoporre a verifiche la documentazione del SG del cliente; • Riesaminare lo stato e comprensione del Cliente riguardo i requisiti (processi, obiettivi e funzionamento del Sistema di Gestione); • Raccogliere informazioni riguardanti il campo di applicazione del SG, i processi, le sedi, gli aspetti legali; • Riesaminare l’assegnazione delle risorse e concordare con il Cliente i dettagli della fase 2; • Valutare se gli audit interni siano stati pianificati ed eseguiti e che il livello di attuazione del SG fornisca l’evidenza che il Cliente è pronto per la fase 2. Il riesame è svolto, prima dello svolgimento dell’audit, per verificare che la documentazione sia adeguata agli obiettivi ed al campo dell’audit. Le risultanze devono essere documentate e comunicate al Cliente. Eventuale inadeguatezza potrebbe essere classificata, nella fase 2, come una “NON CONFORMITA’”. Il Responsabile del Gruppo di Audit potrebbe decidere se continuare o sospendere l’audit fino a che le perplessità sulla documentazione siano state risolte. Stage 1
  • 13. 13 Valutare l’attuazione e l’efficacia del Sistema di Gestione del Cliente. Nel Sistema di Gestione per la Sicurezza delle Informazioni, si andrà a focalizzarsi: • Informazioni ed evidenze circa la conformità dei requisiti; • Valutazione dei rischi riferiti alla sicurezza delle informazioni; • Selezione di Controlli e degli Obiettivi di Controllo basati sui processi di valutazione e trattamento del rischio; • Riesame delle prestazioni del SGSI e delle misure delle stesse; • Verifiche interne dell’SGSI e riesame della direzione; • Responsabilità (Risk Owner) e competenza del personale; • La corrispondenza fra i Controlli applicabili ed applicati, la Dichiarazione di Applicabilità (SOA), i risultati del processo di valutazione e trattamento del rischio, la Politica e gli Obiettivi dell’SGSI. Stage 2
  • 14. 14 “L’informazione è una risorsa che, al pari di altri beni che costituiscono il patrimonio di un’azienda, rappresenta un valore per l’organizzazione e necessita pertanto di essere adeguatamente protetto” ISO/IEC 27002:2005 ISO 27001:2013
  • 15. 15 • La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali; • Sono norme emesse dalla ISO (International Organisation for Standardization); • Specificano un modello di sistema di gestione valido per tutte le organizzazioni, indipendentemente dal tipo e dimensione delle stesse e dei prodotti/servizi forniti. Va quindi adattato alla specifica realtà; • Approccio ciclico (PDCA), rivolto al miglioramento continuo; • Possono essere utilizzate per uso interno, per scopi contrattuali e di certificazione; • Dicono cosa fare, non come farlo. Ambito definibile a piacimento. Struttura ad alto livello. • Forniscono i requisiti minimi per attuare un Sistema di Gestione per la Sicurezza delle Informazioni. ISO 27001:2013 ISO/IEC 27001:2013 (Sistemi di gestione per la sicurezza delle informazioni - Requisiti ) ISO/IEC 27002:2013 (Raccolta di prassi sui controlli per la sicurezza delle informazioni ) ISO/IEC 27005:2011 (Information Security Risk Management)
  • 19. 19 Ciclo di Deming - PDCA Il modello PDCA (Plan, Do, Check, Act) è una metodologia tale da garantire il miglioramento continuo dei processi:  PLAN = la pianificazione, dire ciò che si fa;  DO = la realizzazione, fare ciò che si è detto;  CHECK = il controllo e la misurazione, registrare ciò che si è fatto;  ACT = l’applicazione delle migliorie individuate, verificare e mettere a sistema. Questo ciclo prescrive una fase di consolidamento per ogni miglioramento affinché l'organizzazione possa assimilare le nuove procedure.
  • 21. 21 ISO 27001:2013 - Documenti Richiesta la comprensione del contesto interno ed esterno dell’organizzazione, nonché l’identificazione degli stakeholder e delle loro aspettative . • Campo di applicazione Assicurare le risorse necessarie; Integrare SGSI nell’Organizzazione; Supportare il personale interno; Definire gli obiettivi ; Definizione della politica di sicurezza delle informazioni; La politica deve essere comunicata e resa disponibile; Promuovere il miglioramento continuo; Definire ruoli e responsabilità. • Politica di sicurezza (Information Security Policy)
  • 22. 22 ISO 27001:2013 - Documenti Risk assessment non più esplicitamente legato ad asset, minacce e vulnerabilità. – Si chiede di identificare i rischi relativi alla sicurezza delle informazioni e associati alla perdita di riservatezza, integrità e disponibilità; – Identificazione, analisi, valutazione e trattamento del rischio sono nel planning perché contribuiscono alla pianificazione del sistema di gestione per la sicurezza delle informazioni; – Il metodo deve sempre garantire la coerenza, validità e comparabilità dei risultati; – Approvazione del rischio accettabile; Si chiede di identificare i “risk owner”. Rimangono l’Annex A e lo SoA (inclusione ed esclusione dei controlli). Più dettagli su come stabilire gli obiettivi del sistema di gestione (in accordo con la sec. policy, misurabili, basati sul rischio, comunicati e aggiornati). • Metodologia Valutazione del rischio (Risk assessment process) • Piano trattamento del rischio (Risk treatment process) • Stato di applicabilità (SOA) • Obiettivi di sicurezza (Security objectives)
  • 23. 23 ISO 27001:2013 - Documenti Riguarda le risorse, le risorse umane, la comunicazione e le informazioni documentate. - Maggiore rilievo alla preparazione ed alla consapevolezza del personale (education, training, expertise) - Più dettagli su come devono essere affrontate le comunicazioni - Rimangono le modalità di gestione dei documenti (available, suitable, updated, protected, external documents) • Competenze del personale coinvolto (Evidence of competence) Si richiama il punto 6 per la pianificazione, implementazione e controllo dei processi necessari al raggiungimento degli obiettivi di sicurezza (6.1 e 6.2) • Risultati valutazione del rischio (Risk assessment results) • Risultati trattamento del rischio (Result of information security risk treatment )
  • 24. 24 ISO 27001:2013 - Documenti Tratta il: – monitoraggio, misurazioni, analisi e valutazione delle perforrmances – audit interni – riesame di Direzione • Attività di monitoraggio e misurazione (Evidence of monitoring and measurements) • Attività audit interni (Evidence of audit programme and results) • Riesame della direzione (Evidence of results of management reviews) Riguarda: non conformità, azioni correttive e miglioramento continuo • Gestione delle Non Conformità (Nature and actions resulting from NC) • Gestione delle Azioni Correttive (Results of corrective actions)
  • 26. 26 ISO 27001:2013 - Annex A La ISO 27001 definisce ed elenca una serie di 114 controlli da attuare per limitare il rischio, divisi in famiglie: • La politica e l'organizzazione per la sicurezza delle informazioni • La sicurezza delle risorse umane • La gestione dei beni • Il controllo degli accessi fisici e logici • La crittografia • La sicurezza fisica e ambientale • La sicurezza delle attività operative e delle comunicazioni • Sicurezza dei sistemi informativi • Relazioni con i fornitori • La gestione del monitoraggio e trattamento degli incidenti • La gestione della Business Continuity e il rispetto normativo
  • 27. 27 Analisi del rischio ISO 27001:2013 Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni. Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può essere considerata come un esteso catalogo.
  • 28. 28 Fornisce linee guida generali per la per la gestione del rischio in una organizzazione, con particolare attenzione a quelle che hanno realizzato un SGSI conforme ai requisiti della 27001. Definisce gli step da seguire per una corretta gestione del rischio inerente la sicurezza delle informazioni. ISO 27005:2011 -Identificazione del Rischio - individuazione degli assets da proteggere; - minacce; - vulnerabilità; - impatti in termini di perdita di Riservatezza, Integrità e Disponibilità delle informazioni. - Valutazione del Rischio - danni; - probabilità; - stima del livello dei rischi. - Trattamento del Rischio - accettare il rischio; - ridurre il rischio utilizzando contromisure; - trasferire il rischio; - evitare il rischio.
  • 29. 29 Via Adriano Olivetti, 24/26 00131 Roma (Italia) email: info@gyala.it