SISTEMI DI GESTIONE AZIENDALE

QUALITA' AMBIENTE E SICUREZZA : ISO 9001 - ISO 14001 - EMAS - ISO 45001
INFORMATION TECHNOLOGY: ISO 27001 - ISO 20000 - ISO 22301

 

 

 
 

ISO 27001

 

 

C- Il ciclo di Deming : le Fasi dell'ISMS

 

Lo standard ISO 27001, come gli altri standard per la gestione dei sistemi aziendali, ha adottato lo schema delineato dal ciclo di Deming per il raggiungimento del miglioramento continuo, attraverso le fasi della Pianificazione, Implenentazione, Controllo ed Azione (Plan-Do-Check-Act).

 

 

1- PIANIFICAZIONE

 

Nella fase di pianificazione lo standard prevede le seguenti attività:

  • la definizione di una Policy della sicurezza (Information security policy)
  • l'individuazione di un ambito (lo scopo dell’ISMS)
  • l'identificazione e la valutazione dei rischi
  • la predisposizione di un Piano di gestione dei rischi

Tali attività devono essere rigorosamente documentate.

 

 

2- IMPLEMENTAZIONE

 

In tale fase le attività previste sono:

  • l'allocazione delle risorse (persone, tempo, denaro)
  • la definizione di programmi di sensibilizzazione
  • la predisposizione di specifici programmi di formazione
  • la gestione dei rischi: se il management ha preso la decisione di ridurre i rischi, si devono implementare i controlli che si sono selezionati

 

 

3- CONTROLLO

 

La fase di controllo del sistema di gestione prevede l'effettuazione periodica di :

  • Controlli di routine
  • Audit interne dell’ISMS
  • Controlli con riguardo alla policy

Per quanto attiene ai controlli relativi alla Policy aziendali in materia di sicurezza delle informazioni è bene ricordare che l'ISMS deve sempre rispecchiare le decisioni del management in materia di sicurezza, e che pertanto è necessario porre in essere i controlli verificando periodicamente che questi siano in linea con quanto previsto dal management attraverso la policy (ad es. verificando che questa non sia mutata).

 

 

4- AZIONE

 

L'obiettivo di tale ultima fase è quello di mirare al miglioramento del sistema attraverso:

  • Rilevazione di Non Conformità : una Non Conformità può essere costituita dalla assenza di uno o più requisiti dell’ISMS, o dal fallimento nell’implementare e mantenere tali requisiti, o da una situazione che faccia sorgere dubbi significativi sulla capacità dell’ISMS a rispecchiare la politica e gli obiettivi di sicurezza dell’organizzazione
  • Azioni preventive : dirette ad eliminare la causa di potenziali Non Conformità
  • Azioni correttive : dirette ad eliminare la causa della Non Conformità che si è verificata