Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Risk assessmentLa norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni. Leggi tutto

Pagine: 1 2

La norma ISO 19011 sugli audit nei sistemi di gestione

AuditChecklistLa UNI EN ISO 19011:2012 – Linee guida per audit di sistemi di gestione pubblicata lo scorso anno, presenta alcune interessanti novità rispetto alla versione precedente del 2003, anche se nella sostanza i cambiamenti non impattano in modo significativo sul processo di audit.

Anzitutto già dal titolo si capisce che la norma è valida per qualsiasi tipo di audit su sistemi di gestione, non solo per quelli relativi a qualità ed ambiente (ISO 9001 e ISO 14001), ma – come era ovvio supporre – si adatta anche alla gestione degli audit per i sistemi di gestione sulla sicurezza delle informazioni ISO 27001, sulla sicurezza e salute sul lavoro, ecc. Leggi tutto

Pagine: 1 2

AVCpass: il nuovo sistema per la gestione dei documenti per le gare di appalto

EmailL’art. 6 bis del D.lgs 163/2006, introdotto dall’art. 20, comma 1, lettera a), legge n. 35 del 2012 dispone che dal 1 gennaio 2013 le Stazioni Appaltanti ed Enti aggiudicatori possano verificare il possesso dei requisiti degli Operatori che partecipano alle gare pubbliche, esclusivamente tramite BDNCP (Banca dati nazionale dei contratti  pubblici, istituita dall’art. 62 bis del Codice dell’Amministrazione Digitale  di cui al decreto legislativo 7 marzo 2005, n. 82). La Delibera attuativa n.111 del 20/12/2012 dell’Autorità di Vigilanza dei Contratti Pubblici (AVCP) ha, tra l’altro, istituito il nuovo sistema di verifica dei  requisiti attraverso la BDNCP, denominato AVCPASS, dotato di  apposite aree dedicate ad operatori economici e a stazioni appaltanti/enti  aggiudicatori. Leggi tutto

Pagine: 1 2

La nuova versione della ISO 27001 arriverà a fine 2013

Computer Monitor and Keyboard on Desk La ISO/IEC 27001, norma contenente i requisiti per un sistema di gestione della sicurezza delle informazioni, è in corso di revisione e la sua pubblicazione è prevista per l’autunno del 2013. La revisione riguardeà essenzialmente l’armonizzazione della norma alla ISO Guide 83 che prevede uno schema univoco per tutte le norme sui sistemi di gestione, a cui si stanno man mano adeguando gli standard di recente e futura pubblicazione.

Leggi tutto

Aggiornamento del Codice dell’Amministrazione Digitale

EmailIl 18 dicembre 2012 è stata emanata la legge n. 221/2012 di conversione del  D.L. 179/2012 (noto anche come Decreto crescita 2.0 ). Molte sono le modifiche apportate al testo del Decreto, tra le quali diverse che aggiornano, ancora una volta, il Codice dell’Amministrazione digitale (D.Lgs. n. 82/2005).

Alcune rilevanti modifiche sono state introdotte negli articoli 21 e 23 ter del CAD.

Al comma 2 dell’art. 21 è stato specificato che l’utilizzo del dispositivo che si presume riconducibile al titolare è precisamente il dispositivo di firma elettronica qualificata o digitale; mentre al comma 2 bis dello stesso articolo è stato aggiunto il periodo con il quale si stabilisce che “gli atti di cui all’articolo 1350, numero 13), del codice civile soddisfano comunque il requisito della forma scritta se sottoscritti con firma elettronica avanzata, qualificata o digitale”.

Consulta il testo aggiornato del Nuovo CAD.

 

Modifiche al Codice della privacy: niente più DPS!

Con il Decreto Legge n. 5 del 9 febbraio 2012 (il c.d. Decreto “semplificazioni e sviluppo”), all’art. 45, il Governo Monti ha abrogato la lettera g) del comma 1 dell’articolo 44 del D.Lgs 196/2003 e s.m.i. (il c.d. “Codice della Privacy”), eliminando di fatto la necessità di redazione (od aggiornamento) del Documento Programmatico sulla Sicurezza (D.P.S.) da parte di tutti i tipi di imprese e liberi professionisti, indipendentemente dal tipo di dati trattati.

Leggi tutto

Pagine: 1 2 3