Hvordan sikre at dette tillitsforholdet fortsetter i begge? Først og fremst å tilby produkter og tjenester som er konkurransedyktige i kvalitet og pris, og som sørger for rettidig og personlig assistanse og støtte, før og etter anskaffelsen. Men et annet element blir ofte glemt: i en tid med digitale prosesser er det viktig for leverandørselskapet å garantere informasjons- og datasikkerhet traktater: et aspekt som blir avgjørende for de som jobber innen IT-tjenester.
Dette er grunnen til at styring av informasjonssikkerhet og normen knyttet til det: the UNI CEI ISO / IEC 27001, utarbeidet i 2005 og revidert i 2013 (den italienske versjonen er fra 2014).
Risikoen for å kompromittere informasjon og data er faktisk veldig høy i dag: bare tenk på de daglige nyhetene om hackinghandlinger, personvernbrudd og phishing-praksis. I følge en Clusit-rapport (kommentert her av Tech Economy), 2016 var det verste året noensinne når det gjelder økningen i cyberangrep, spesielt for de store distribusjonssektorene (+ 70% sammenlignet med året før) og bankene (+ 64%). Totale nettkriminalitetsaktiviteter ville ha økt med 9,8%. Videre rapporterer 22% av selskapene at de har mistet kunder på grunn av disse kriminelle aktivitetene, og 29% har mistet omsetningsandeler (nesten 3 av 10). Og ikke bare de ondsinnede handlingene skal vekke selskapets oppmerksomhet om cybersikkerhet. Faktisk, hvis vi vurderer noen mer vanlige hendelser i et selskaps liv, innser vi risikoen for at vår digitale informasjon kjører: strømstøt, funksjonsfeil i IT-strukturen, fysiske ulykker i lokalene ...
deretter, de som implementerer forebyggingsprosedyrer plasserer virksomheten sin i sikkerhet og organisasjonene hvis data det omhandler.
De mest forsiktige selskapene beskytter seg selv og sine kunder ved å sertifisere seg i henhold til standarden UNI CEIISO / IEC 27001: 2014: Hensikten er å gi kravene til "etablere, implementere, vedlikeholde og kontinuerlig forbedre a styringssystem for informasjonssikkerhet i sammenheng med en organisasjon ". 27001 er en del av UNI CEI ISO / IEC 27000-serien av standarder: et sett med standarder, publisert i fellesskap av International Organization of Standardization (ISO) og International Electrotechnical Commission (IEC), angående sikkerhetsstyringssystemet til informasjon.
Sertifisering i samsvar med UNI CEI ISO / IEC 27001 er ikke en forpliktelse, men selskapet som følger denne veien tilbyr absolutt et pluss sikkerhet for seg selv og sine kunder. De kan følge sertifiseringsprosessen organisasjoner fra alle produktsektorer og i alle størrelser.
UNI CEI ISO/IEC 27001 defiførst av alt en serie med krav som organisasjonen må ha for å oppnå sertifisering: dette er bevisst generelle parametere (som vi vil se i formuleringen deres) nettopp for å tillate alle sektorer å senke de overordnede prinsippene i deres forretningssammenheng.
Fokuset er påforhåndsidentifisering av potensielle risikoer relevant informasjon som holdes og brukes i organisasjonen og, senere, videre definisjon av en styringssystem for informasjonssikkerhet (Styringssystem for informasjonssikkerhet på engelsk, ISMS). Imidlertid opphører ikke selskapenes oppgave her.
Faktisk følger UNI CEI ISO / IEC 27001-standarden logikken PDCA (Plan - Do - Check - Act): derfor ikke lineær risikostyring, men syklisk, med tanke på kontinuerlig prosessforbedring. Dette betyr at på defidefinisjon av alvorlighetsgraden av risikoene og deres behandling, følger overvåkingen av effektiviteten til det angitte systemet og dets re-defigjennom analysen og gjennomgangen av de innhentede dataene. Og så videre.
Derfor, når det generelle prinsippet er forstått, og muligheten for å overvåke prosessen over tid er evaluert, gjennomgår selskapetårlig revisjon å få sertifisering eller å fornye den. Tilsynet utføres av et tredjeparts sertifiseringsorgan valgt av samme organisasjon, så lenge det er akkreditert og til stede i databasen over Accredia.
Med hvilken metode defifullfør og mål risikoen knyttet til sikkerheten til informasjon som kan være nødvendig for vårt selskap? For det første må informasjonsmengden opprettholde tre egenskaper for å være sikre: konfidensialitet, integritet, tilgjengelighet.
Gitt standardens alminnelighet, må hvert selskap vurdere risikoen med henvisning til sin egen organisatoriske forretningskontekst og bestemme hvordan de skal måles og behandles gjennom en risikostyringsprosess.
Vi har sett at i en tid med digitale prosesser er sertifisering i henhold til UNI CEI ISO / IEC 27001 en strategisk ressurs for selskapet og for sikkerheten til egen informasjon og enda mer av kundene. Vi har sett at prinsippene som er etablert av standarden er av generell karakter, for enkelt å tilpasse seg alle sektorer. Så hvordan være sikker på å overholde krav etablert av standarden? Selv om normen ikke er det defietablerer rigide og entydige kriterier for risikostyring, er kravene som må være gjeldende og anvendt i hvert selskap (som dekker tekstene 4-10):
En ytterligere referanse er daVedlegg A, Kontrollmål og referansekontroller. Denne delen lister opp sikkerhetskontrollene som skal implementeres, hentet direkte fra UNI CEI ISO/IEC 27002:2013 i kapittel 5-18, og som skal implementeres i et selskap som skal sertifiseres. Hver kontrollkategori inneholder: kontrollmålet som skal oppnås og kontrollene som kan brukes for å nå dette målet. Som eksempel: gi veiledning og ledelsesstøtte for informasjonssikkerhet; sikre at ansatte og samarbeidspartnere forstår deres ansvar for informasjonssikkerhet; inventar selskapets eiendeler knyttet til informasjonen e defiutnevne en leder; og så videre.
-
Mer informasjon om UNI CEN ISO / IEC 27001 finner du på nettsiden til Den internasjonale organisasjonen for standardisering: det ser ut til at informasjonssikkerhet representerer et grunnleggende element i selskapets produktivitet og at 27001 representerer en reell ressurs for å garantere Forretnings kontinuitet egne og kunder.
Forfatter Paolo Ravalli
Administrerende direktør Mainline srl
Prinsippet for grensesnittsegregering er ett av de fem SOLID prinsippene for objektorientert design. En klasse skal ha...
Microsoft Excel er referanseverktøyet for dataanalyse, fordi det tilbyr mange funksjoner for å organisere datasett,...
Walliance, SIM og plattform blant de ledende i Europa innen eiendoms Crowdfunding siden 2017, kunngjør fullføringen...
Filament er et "akselerert" Laravel-utviklingsrammeverk, som gir flere fullstack-komponenter. Den er designet for å forenkle prosessen med...
«Jeg må tilbake for å fullføre utviklingen min: Jeg vil projisere meg selv inne i datamaskinen og bli ren energi. En gang bosatt seg i…
Google DeepMind introduserer en forbedret versjon av sin kunstige intelligens-modell. Den nye forbedrede modellen gir ikke bare...
Laravel, kjent for sin elegante syntaks og kraftige funksjoner, gir også et solid grunnlag for modulær arkitektur. Der…
Cisco og Splunk hjelper kunder med å akselerere reisen til fremtidens Security Operations Center (SOC) med...