Certificare che i tuoi fornitori aderiscano agli standard ISO 27001 è fondamentale per salvaguardare i tuoi dati. Verifica la loro certificazione per assicurarti che le tue informazioni sensibili rimangano sicure e protette.

Sicurezza e privacy sono le parole d’ordine dell’era moderna. Con ogni nuova violazione di alto profilo e con l’aumento delle leggi sulla protezione dei dati a livello globale, ogni azienda e organizzazione ha l’obbligo di dimostrare che sta adottando misure ragionevoli per proteggere le informazioni personali che utilizza. È qui che gli standard di sicurezza, come la ISO 27001, hanno un ruolo importante.

Cos’è la ISO 27001?

La ISO 27001 ti permette di dimostrare che hai analizzato le tue attività, identificato i rischi, agito per ridurre al minimo la probabilità e/o l’impatto di questi rischi e che hai fatto verificare a un ente esterno indipendente che tutto ciò che stai facendo è ragionevole. Poiché questo controllo viene effettuato ogni anno, si tratta di un impegno costante verso la conformità.

Nella scelta dei fornitori, sia che si tratti di un
outsourcer che elaborerà il tuo lavoro cartaceo, sia che si tratti di un fornitore SaaS che elaborerà
le informazioni nel cloud, sia che si tratti di qualsiasi altro servizio per il quale ti affiderai ai
loro standard di sicurezza per proteggere i tuoi dati e la tua reputazione, la ISO 27001 è una
certificazione preziosa. Ma come puoi essere sicuro che l’azienda con cui stai
trattando abbia una certificazione valida?

ISO 27001 conforme vs. ISO 27001 certificata

La prima cosa da fare è chiedere una copia del certificato ISO. È comune trovare fornitori che affermano con orgoglio di essere “allineati alla norma ISO 27001”, ma pensa a cosa significa. Allineato e certificato sono cose molto diverse. Se un’azienda sta facendo tutto il duro lavoro per “allinearsi” allo standard ISO, perché non fare il passo finale e ottenere la certificazione? Oppure, ha ottenuto la certificazione in precedenza e l’ha revocata per non aver rispettato gli standard richiesti?

Il campo di applicazione della ISO 27001

Una volta ricevuto il certificato, la cosa successiva da verificare è che sia valido e che copra le aree per le quali intendi utilizzare il fornitore. Quindi, il primo passo da fare è controllare la data di scadenza del certificato. Se è scaduto, non è valido. Poi, controlla che l’ente che ha rilasciato il certificato sia accreditato. L’elenco dei membri IAF documenta chiaramente chi è autorizzato ad accreditare gli enti di certificazione. Ad esempio, nel Regno Unito è UKAS. Verifica poi che l’ente che ha accreditato il certificato del venditore sia elencato nel sito del paese specifico.

Ora sappiamo che il certificato è valido,
ma non abbiamo ancora finito. Dobbiamo verificare che il certificato copra le
attività che vogliamo che il fornitore intraprenda nei siti in cui
si svolgerà il lavoro. L’ISO 27001 ti permette di selezionare le attività per le quali
sarà certificata e i siti specifici a cui si applica. Questo è l’ambito della certificazione.

Ad esempio, supponiamo che un’azienda che si occupa dello smaltimento sicuro di documenti cartacei espanda le sue attività in una nuova sede. Ha una certificazione ISO per la sede originaria. La certificazione non copre il nuovo sito finché non viene completato il processo di certificazione. Ora, una certificazione può coprire più siti, ma solo se è esplicitamente indicato. E se la stessa azienda decidesse di acquistare un fornitore di buste paga SaaS? Il certificato ISO riguarda solo lo smaltimento sicuro dei documenti, non copre l’operazione SaaS.

Infine, una volta accertato che il certificato
copre il campo di applicazione richiesto, devi verificare i controlli che il
fornitore ha messo in atto per assicurarti che soddisfino i tuoi requisiti e le tue aspettative.
La certificazione ISO è un processo continuo e in evoluzione. Man mano che la natura dei rischi
e i requisiti dei clienti cambiano, cambiano anche i controlli. Quindi, controlla i controlli del tuo
fornitore e, se non soddisfano i tuoi requisiti, insisti affinché vengano messi in atto ulteriori
controlli. Questo ti darà la tranquillità di cui hai bisogno,
e allo stesso tempo renderà più facile la ri-certificazione per il fornitore, che
potrà dimostrare di valutare attivamente i controlli che utilizza e di aggiornarli
se necessario.

Il modo in cui selezioni i fornitori e li valuti è un aspetto importante per mantenere la tua certificazione ISO 27001, quindi ricorda questi tre passaggi:

Per prima cosa , controlla che il certificato del venditore sia valido.

In secondo luogo , verifica che l’ambito sia applicabile.

Infine , verifica che i controlli soddisfino le tue esigenze e aspettative.

MetaCompliance è orgogliosa di essere conforme alla norma ISO 27001. MetaCompliance si è sempre impegnata a fornire ai propri clienti la più solida infrastruttura di sicurezza informatica. Questa certificazione garantisce che i nostri prodotti sono impostati secondo gli standard più elevati grazie a processi approvati e documentati e che ci impegniamo a garantire i più alti standard di sicurezza delle informazioni. Per maggiori informazioni, contattaci.