Il Sistema di gestione della sicurezza delle informazioni ISO 27001 è di grande importanza per le attività della vostra organizzazione e forse per la sua continuazione.
Cambiamenti significativi nella ISO 27002:2022
Con la revisione della ISO 27002:2022, è stato fornito un set di riferimento per i controlli di sicurezza delle informazioni da utilizzare in base alla gestione del rischio di sicurezza delle informazioni, con l’obiettivo di migliorare gli altri standard della famiglia 27000.
Quali sono le fasi di implementazione della ISO/IEC 27701?
Sono tre le fasi che consentono di ottenere un’introduzione ai requisiti ISO/IEC 27701 e alla certificazione della gestione delle informazioni sulla privacy.
Il primo passo è la comprensione dei requisiti;
Se la vostra organizzazione dispone già dell’ISMS ISO 27001, potete iniziare con l’ISO 27701. In caso contrario, è necessario iniziare a implementare l’ISMS.
Le linee guida e i requisiti della norma ISO/IEC 27701 Privacy Information Management System (PIMS) si articolano in 8 diverse clausole e 6 allegati, compresi i controlli sulle informazioni di identificazione personale (PII) e le mappature degli standard correlati e del GDPR.
È fondamentale comprendere tutte le linee guida, i requisiti e i controlli e assicurarsi che siano implementati in modo appropriato in tutta l’organizzazione.
Una volta ottenuto lo standard e compresi i requisiti, siete pronti a passare alla fase 2 dell’implementazione della norma ISO/IEC 27701 e a dimostrare che prendete sul serio la protezione delle informazioni personali.
Ecco alcuni consigli per un’implementazione di successo della norma ISO/IEC 27701:
- Stabilire un team di progetto per implementare il PIMS e ottenere i migliori risultati,
- Assicuratevi l’impegno di tutta l’organizzazione, compresi il team dirigenziale, i dipendenti e la catena di fornitura,
- Impegnatevi regolarmente con il vostro team di leadership e con i principali stakeholder,
- Definite chiaramente il ruolo della vostra organizzazione come incaricato del trattamento dei dati, responsabile del trattamento o di entrambi,
- Confrontate i vostri processi e controlli sulla privacy con i requisiti ISO/IEC 27701,
- Ottenete il feedback della catena di fornitura e degli stakeholder sui vostri attuali processi e controlli sulla privacy,
- Adattare i principi di base dello standard ISO/IEC 27701 alla vostra organizzazione.
- Motivate e sostenete il vostro personale con corsi di formazione,
- Creare un approccio più coerente in tutta la catena di fornitura dell’elaborazione dei dati, incoraggiando gli altri a implementare la norma ISO/IEC 27701,
- Rivedere regolarmente il proprio sistema ISO/IEC 27701 per assicurarsi che rimanga efficace e che venga continuamente migliorato.
Fase 3 Certificazione
Una volta implementati i requisiti, si è pronti per iniziare il processo di certificazione ISO/IEC 27701.
In primo luogo, è necessario trovare un organismo di certificazione accreditato dall’UKAS o da qualsiasi altro organismo di accreditamento nazionale nel vostro Paese.
Ci sono due fasi in cui valutiamo l’implementazione del vostro sistema di gestione delle informazioni sulla privacy. Verificheremo le procedure e i controlli all’interno della vostra organizzazione per assicurarci che funzionino efficacemente come richiesto per la certificazione ISO/IEC 27701 in queste due fasi.
Quando il vostro PIMS otterrà la certificazione, riceverete il certificato ISO/IEC 27701, valido per tre anni.
Verremo a trovarvi regolarmente per assicurarci che il vostro sistema non solo rimanga conforme, ma che migliori continuamente e aggiunga valore alla vostra organizzazione.
Siamo pronti a rispondere a qualsiasi domanda e saremo lieti di aiutarvi a iniziare il vostro percorso di certificazione. Quindi, contattateci per discutere i vostri requisiti di consulenza o certificazione ISO/IEC 27701.
Certificazione ISO 27001: Cos’è e perché ne avete bisogno
Oggi le organizzazioni raccolgono, archiviano ed elaborano grandi quantità di dati. Informazioni sui dipendenti, sui fornitori, sui clienti, sulla proprietà intellettuale, sui dati finanziari, sulle comunicazioni: tutti tipi di dati comuni che normalmente esistono in quasi tutte le aziende.