Tuesday, 31 May 2016 11:57 Written by Ufficio Stampa TB
Published in TB_NEWS

La Technis si certifica ISO 27001:2013

Di seguito l'articolo pubblicato sulla Rivista QUALITA' di AICQ n.4-2015

www.qualitaonline.it

Technis Blu è una società del Gruppo Infordata che svolge le sue operazioni sul territorio nazionale, se richiesto anche all’estero, ed opera principalmente nei settori: Servizi, Pubblica Amministrazione, Spazio, Trasporti, Industria, Sanità e Finanza.La sua missione è dare supporto al Cliente nel governare la complessità delle nuove architetture informatiche, controllando la dinamica dell’innovazione tecnologica, razionalizzando le metodologie di analisi, progettazione, realizzazione e test del software, erogando servizi di gestione delle infrastrutture e servizi di valutazione della sicurezza informatica.

La scelta strategica della Direzione per il raggiungimento della Certificazione del Sistema di Gestione della Sicurezza delle Informazioni secondo la Norma ISO 27001:2013

La Direzione Generale prima di decidere se implementare un SGSI secondo la Norma ISO 27001:2013 ha considerato i seguenti aspetti: Perché dotarsi di un SGSI secondo la ISO 27001:2013; Quali sono le necessità del business; Quali possono essere i benefici; Quante risorse (personale, strutture) sono necessarie; Quale è l’impatto sulle attività operative aziendali; Quali sono i costi.

Benefici previsti La valutazione dei benefici previsti da parte della Direzione sono stati: Definire e migliorare i Processi e la struttura relativa alla Sicurezza delle informazioni; Focalizzarsi sugli obiettivi dell’azienda; Migliorare la formazione del personale; Migliorare la comunicazione; Migliorare l’efficienza dei processi di sicurezza; Riconoscimento da parte di un Ente di Certificazione (Parte Terza); Valore aggiunto rispetto ai concorrenti (mercato); Possibilità di partecipazione a Gare. La valutazione dei benefici previsti per i Clienti di Technis Blu sono stati valutati: Organizzazione orientata alla sicurezza per il Cliente; Migliore processo di comunicazione; Catena di fiducia Cliente – fornitore; Organizzazione orientata al miglioramento continuo.

Costi Per quanto riguarda i Costi, sono stati definiti in un documento di dettaglio economico, in cui sono presenti le valutazioni coerenti con la scelta di Technis Blu di eseguire il Progetto con risorse interne, utilizzando un Consulente esterno, mantenendo la Responsabilità del Progetto del SGSI: I Costi valutati sono stati Costi del Progetto e Costi di Certificazione: Costi del personale interno per la progettazione del SGSI; Cosi di Formazione del personale interno su: Normativa, sicurezza, Audit, ecc; Costi di Certificazione e mantenimento con l’Ente di Certificazione; Costi del Consulente esterno; Costi di adeguamento di infrastrutture e logistica.

Rischi I Rischi relativi all’implementazione del SGSI sono stati identificati e: Se l’attività non è supportata da un coinvolgimento del Personale a tutti i livelli, l’obiettivo potrebbe non essere raggiunto; Cambiamento di cultura aziendale; Resistenza al cambiamento; Tempi di implementazioni più lunghi del previsto; Aumento dei costi previsti.

Le misure per contrastare i rischi identificati sono state: un forte e continuo impegno della Direzione, l’attuazione di un Piano di coinvolgimento del personale e aumento della consapevolezza, la definizione di responsabilità del progetto con la pianificazione e controllo delle attività per tenere sotto controllo i tempi, le attività e i costi.

Il Progetto di Certificazione fino al rilascio del Certificato Le attività relative al Progetto di Certificazione di Technis Blu si sono svolte nell’anno 2014. Technis Blu a seguito di quanto valutato relativamente al contesto e valutando i fattori esterni ed interni, i requisiti, le interfacce e le interdipendenze tra le attività svolte e quelle svolte da altri, ha definito per il suo Sistema di Gestione per la Sicurezza delle Informazioni il seguente Campo di Applicazione: “Laboratorio di Valutazione della Sicurezza Software (LVS). Progettazione e sviluppo di prodotti e/o soluzioni software. Consulenza ed assistenza sistemistica in ambito ICT, sicurezza informatica e cyber security. Erogazione di servizi di service desk.” Le tempistiche sono di seguito descritte nel piano di attività del SGSI.

Documentazione del SGSI - La Documentazione del SGSI di Technis Blu prevede: Manuale del SGSI, Politica per la Sicurezza delle Informazioni, Campo di Applicazione, Obiettivi per la Sicurezza delle Informazioni, Dichiarazione di Applicabilità, Inventario Asset, Matrice della Comunicazione, Ruoli e Responsabilità del SGSI; Valutazione e Trattamento dei Rischi, Procedure Documentate sui vari Controlli dell’Appendice A della Norma ISO 27001:2013. Monitoraggio del SGSI – Technis Blu per la valutazione delle prestazioni della sicurezza delle informazioni e per l’efficacia del SGSI ha deciso cosa era necessario monitorare e misurare, e periodicamente valutare quanto misurato ed emerso, ha messo in atto una serie di Indicatori relativi al SGSI che vengono raccolti e riesaminati periodicamente. Audit Interni – Technis Blu ha condotto prima dell’Audit di Terza parte eseguito da CSQA Certificazioni, una serie di Audit Interni per fornire informazioni se il SGSI era conforme ai requisiti della Norma ISO 27001, ai requisiti di Technis Blu ed era efficacemente gestito ed attuato. Riesame di Direzione - Technis Blu ha condotto prima dell’Audit di Terza parte eseguito da CSQA Certificazioni, il Riesame del SGSI per verificare se risultava idoneo, adeguato ed efficace.

Certificazione secondo la ISO 27001:2013 Secondo quanto previsto dagli Organismi di Certificazione (Vedi UNI CEI ISO/IEC 17021:2011: Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione) l’Audit di Certificazione del SGSI di Technis Blu è stato condotto in due fasi : Fase 1 e Fase 2.

Audit FASE 1 : (Data 15/10/2014)

L’audit di fase 1 previsto per: sottoporre ad audit la documentazione del SGSI di Technis Blu; valutare la localizzazione e le condizioni particolari del sito del SGSI di Technis Blu; intraprendere uno scambio d’informazioni con il personale di Technis Blu al fine di stabilire il grado di preparazione per l’audit di fase 2; riesaminare lo stato e la comprensione di Technis Blu riguardo i requisiti della norma ISO 27001:2013, con particolare riferimento alla identificazione di prestazioni chiave o di aspetti, processi, obiettivi e funzionamento significativi del SGSI; raccogliere le informazioni necessarie riguardanti il campo di applicazione del sistema di gestione, i processi e la(e) localizzazione(i) del Cliente, compresi i relativi aspetti legali e regolamentati e la conformità ad essi, rischi associati, ecc.; riesaminare l’assegnazione di risorse per l’audit di fase 2 e concordare con Technis Blu i dettagli dell’audit di fase 2; valutare degli audit interni e il riesame da parte della direzione e che il livello di attuazione del sistema di gestione fornisca l’evidenza che l’ Organizzazione è pronta per l’audit di fase 2. Nella valutazione della Documentazione del SGSI di Technis Blu gli elementi che sono stati esaminati sono stati: Politica/e per la Sicurezza delle informazioni di Technis Blu; Campo di Applicazione del SGSI di Technis Blu; Obiettivi per la sicurezza delle informazioni; Metodologia di valutazione dei rischi (Processo); Processo e Piano di Trattamento dei rischi; Dichiarazione di Applicabilità; Organigramma Aziendale; Ruoli e Responsabilità per il SGSI; Mansionario; Elenco (raccolta) delle Leggi, Regolamenti, obblighi contrattuali pertinenti al SGSI che l’Organizzazione deve soddisfare; Informazioni documentate (procedure) del SGSI sulle attività operative: Classificazione delle informazioni, Uso delle Apparecchiature, Smaltimento dei Supporti, Backup, Gestione Vulnerabilità tecniche, Continuità della sicurezza delle informazioni, Norme Comportamentali del Personale, ecc. Informazioni documentate quali registrazioni: Organigramma aziendale; Ruoli e responsabilità per il SGSI; Competenze del Personale; Attività di Valutazione dei rischi; Risultati del Trattamento dei rischi; Attività di Monitoraggio e misurazioni; Attività di Audit interni; Riesame della Direzione; Gestione Non Conformità e Azioni Correttive; Registrazioni sui Processi Operativi eseguiti. Alcuni dei documenti riportati sopra sono contenuti in un Manuale relativo alla sicurezza delle informazioni di Technis Blu.

Audit FASE 2 (Data: 19-21/11/2014) Lo scopo dell’audit di fase 2 è stato la valutazione della completa attuazione del SGSI di Technis Blu, compresa la sua efficacia. L’audit di fase 2 è avvenuto presso: Via Riccardo Gigante, 4 – 00143 Roma Viale Luigi Schiavonetti 290/B – 00173 Roma Viale Luigi Schiavonetti 282/D – 00173 Roma e ha riguardato quanto segue: le informazioni e le evidenze circa la conformità a tutti i requisiti della norma del SGSI di Technis Blu applicabile o di altro documento normativo; Il monitoraggio, la misurazione, la rendicontazione e il riesame delle prestazioni, con riferimento agli obiettivi delle prestazioni stesse; il SGSI di Technis Blu e le prestazioni con riferimento al rispetto delle prescrizioni legali; la tenuta sotto controllo dei processi di Technis Blu; gli audit interni e il riesame da parte della direzione; la responsabilità della direzione; la consapevolezza del personale.

4. Conclusioni dell’audit di Certificazione da parte di CSQA A seguito di tali attività l’Ente di Certificazione CSQA analizzate tutte le informazioni e le evidenze dell’audit raccolte durante gli audit di fase 1 e fase 2, al fine di riesaminare le risultanze dell’audit e stabilito le conclusioni dell’audit ha rilasciato in data 05/12/2014 la Certificazione secondo la ISO 27001:2013 a Technis Blu Srl.