Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Risk  assessmentLa norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni. Continua a leggere

Crea PDFStampa

La norma ISO 19011 sugli audit nei sistemi di gestione

AuditChecklistLa UNI EN ISO 19011:2012 – Linee guida per audit di sistemi di gestione pubblicata lo scorso anno, presenta alcune interessanti novità rispetto alla versione precedente del 2003, anche se nella sostanza i cambiamenti non impattano in modo significativo sul processo di audit.

Anzitutto già dal titolo si capisce che la norma è valida per qualsiasi tipo di audit su sistemi di gestione, non solo per quelli relativi a qualità ed ambiente (ISO 9001 e ISO 14001), ma – come era ovvio supporre – si adatta anche alla gestione degli audit per i sistemi di gestione sulla sicurezza delle informazioni ISO 27001, sulla sicurezza e salute sul lavoro, ecc. Continua a leggere

Crea PDFStampa

La documentazione del sistema qualità nell’era del web 2.0

Documenti sistemaOggi la documentazione del sistema di gestione per la qualità ISO 9001 (o altra certificazione) può essere gestita in modo molto più efficiente che un tempo, grazie soprattutto agli strumenti informatici per la gestione dei documenti in formato elettronico ed alle possibilità offerte dalle applicazioni web per la collaborazione tramite internet. Continua a leggere

Crea PDFStampa

Affrontare la crisi economica riducendo i costi

Citazione

j0178401Vorrei riproporre un articolo del marzo 2009 pubblicato sul sito www.dicrosta.it che, purtroppo continua ad essere drammaticamente attuale. Ho apportato solo leggeri ritocchi ed aggiornamenti, ma nella sostanza la situazione conomica-finanziaria delle imprese del nostro Paese non è cambiata di molto, anzi è peggiorata.

In questo periodo la crisi economica globale sta affossando molte imprese e, soprattutto le piccole e medie imprese del settore manifatturiero, si trovano in grave difficoltà ormai da tempo: la stragrande maggioranza ricorre alla cassa integrazione, alcune chiudono, altre riducono il personale per quanto possibile. Continua a leggere

Crea PDFStampa