Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Risk  assessmentLa norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni. Leggi tutto

La norma ISO 19011 sugli audit nei sistemi di gestione

AuditChecklistLa UNI EN ISO 19011:2012 – Linee guida per audit di sistemi di gestione pubblicata lo scorso anno, presenta alcune interessanti novità rispetto alla versione precedente del 2003, anche se nella sostanza i cambiamenti non impattano in modo significativo sul processo di audit.

Anzitutto già dal titolo si capisce che la norma è valida per qualsiasi tipo di audit su sistemi di gestione, non solo per quelli relativi a qualità ed ambiente (ISO 9001 e ISO 14001), ma – come era ovvio supporre – si adatta anche alla gestione degli audit per i sistemi di gestione sulla sicurezza delle informazioni ISO 27001, sulla sicurezza e salute sul lavoro, ecc. Leggi tutto

La documentazione del sistema qualità nell’era del web 2.0

Documenti sistemaOggi la documentazione del sistema di gestione per la qualità ISO 9001 (o altra certificazione) può essere gestita in modo molto più efficiente che un tempo, grazie soprattutto agli strumenti informatici per la gestione dei documenti in formato elettronico ed alle possibilità offerte dalle applicazioni web per la collaborazione tramite internet. Leggi tutto

Con la riforma del condominio quale organizzazione per gli Amministratori condominiali?

La riforma del condominio
La riforma del condominio

Con la Legge 11 dicembre 2012 n. 220 “Modifica alla disciplina del condominio negli edifici”, la c.d. “Riforma del Condominio” sono state introdotte numerose novità nella gestione condominiale ed alcune di esse richiedono agli Amministratori di Condomini, siano essi piccoli studi professionali o società di capitali, di dotarsi di una struttura organizzativa idonea.

Se da un lato gli adempimenti e le responsabilità per gli Studi di Amministrazione Condominiale sono cresciute negli ultimi anni, dall’altro i compensi riconosciuti dai condòmini e dal mercato sono troppo bassi per gestire in modo efficace ed efficiente un certo numero di condomini. Leggi tutto

Le novità sulla privacy passate e future

ecsnzu1q[1]Dall’introduzione del D.lgs 196/2003, noto come Codice sulla Privacy, sono state introdotte e modificate numerose norme nel settore della protezione dei dati personali e non. Anche il Codice Civile ed il Codice Penale hanno visto numerosi aggiornamenti, per così dire “tecnologici”, relativi a comportamenti illeciti e reati perpetrati attraverso gli strumenti informatici e soprattutto via internet. Leggi tutto

Un uso efficiente della posta elettronica

EmailIn molte organizzazioni, soprattutto di piccole e medie dimensioni, è frequente notare un impiego poco efficiente  delle email, sia verso l’interno dell’organizzazione, sia verso l’esterno (clienti, fornitori,ecc.). Viceversa un uso più efficiente della posta elettronica potrebbe contribuire ad un risparmio di costi, grazie ad un impiego di minori risorse (minor tempo del personale per la gestione delle email, minori costi per risorse IT) ed ad una riduzione di rischi operativi nei processi interni (sicurezza delle informazioni in termini di perdita di riservatezza dei documenti, indisponibilità di dati e perdita di integrità oppure utilizzo errato di versioni obsolete dei documenti e così via). Leggi tutto

La nuova versione della ISO 27001 arriverà a fine 2013

Computer Monitor and Keyboard on Desk La ISO/IEC 27001, norma contenente i requisiti per un sistema di gestione della sicurezza delle informazioni, è in corso di revisione e la sua pubblicazione è prevista per l’autunno del 2013. La revisione riguardeà essenzialmente l’armonizzazione della norma alla ISO Guide 83 che prevede uno schema univoco per tutte le norme sui sistemi di gestione, a cui si stanno man mano adeguando gli standard di recente e futura pubblicazione.

Leggi tutto

Rinnovate le Autorizzazioni Generali del Garante della Privacy per l’anno 2013

Il Garante ha rinnovato le autorizzazioni al trattamento dei dati sensibili e giudiziari che varranno daldal 01/01/2013 al 31/12/2013.

I provvedimenti riguardano i rapporti di lavoro, i dati sulla salute e la vita sessuale, associazioni e fondazioni, liberi professionisti, attività creditizie, assicurative, il settore turistico, l’elaborazione dei dati per conto terzi, gli investigatori privati e il trattamento dei dati di carattere giudiziario.

Tutte le nuove autorizzazioni sono reperibili al sito http://www.garanteprivacy.it/home/provvedimenti-normativa/provvedimenti/autorizzazioni

Si precisa che tali autorizzazioni dovranno essere recepite e valutate da imprese  estudi professionali nelle loro procedure interne (non sussistendo più l’obbligo di aggiornare il DPS non dovranno essere ivi richiamate).

Qui alleghiamo le autorizzazioni più interessanti per le attività di imprese  e liberi professionisti:

 

 

 

Modifiche al Codice della privacy: niente più DPS!

Con il Decreto Legge n. 5 del 9 febbraio 2012 (il c.d. Decreto “semplificazioni e sviluppo”), all’art. 45, il Governo Monti ha abrogato la lettera g) del comma 1 dell’articolo 44 del D.Lgs 196/2003 e s.m.i. (il c.d. “Codice della Privacy”), eliminando di fatto la necessità di redazione (od aggiornamento) del Documento Programmatico sulla Sicurezza (D.P.S.) da parte di tutti i tipi di imprese e liberi professionisti, indipendentemente dal tipo di dati trattati.

Leggi tutto