La compliance e la governance IT sono fondamentali per garantire la sicurezza e la conformità delle organizzazioni alle normative e agli standard internazionali.
- Valutazione della conformità GDPR: audit per verificare se le politiche e le procedure aziendali rispettano le normative europee sulla protezione dei dati personali.
- Implementazione di misure di sicurezza ISO 27001: supporto per l’adozione delle migliori pratiche di sicurezza delle informazioni, conformemente agli standard della famiglia ISO 27000.
- Valutazione del rischio e gestione delle vulnerabilità: identificazione e mitigazione dei rischi legati alla sicurezza delle informazioni, inclusa la valutazione delle minacce e delle vulnerabilità.
- Sensibilizzazione e formazione del personale: programmi educativi per garantire che i dipendenti siano consapevoli delle politiche e delle procedure di sicurezza IT.
- Implementazione di controlli di accesso e autorizzazione: definizione di regole e restrizioni sull’accesso ai dati sensibili e ai sistemi informativi aziendali.
- Monitoraggio e risposta agli incidenti di sicurezza: implementazione di sistemi di monitoraggio continuo per rilevare e rispondere prontamente agli eventi di sicurezza informatica.
- Assistenza nella redazione di politiche e procedure di sicurezza: sviluppo di documentazione chiara e completa relativa alle politiche e alle procedure di sicurezza IT.
- Conformità normativa continua: monitoraggio costante per assicurare che l’organizzazione rimanga conforme alle leggi e ai regolamenti relativi alla sicurezza e alla protezione dei dati.
- Revisione e miglioramento continuo dei processi di sicurezza: analisi periodiche delle prestazioni e delle pratiche di sicurezza per identificare aree di miglioramento e implementare aggiornamenti.
- Supporto per la gestione del rischio di terze parti: valutazione delle pratiche di sicurezza dei fornitori e dei partner commerciali per mitigare il rischio di compromissione dei dati aziendali.
Riferimenti normativi adottati (elenco non esaustivo)
- Codice per la tutela dei dati Personali e Leggi correlate – Regolamento UE 679/2016, D.Lgs. 196/2003 e D.Lgs. 101/2018
- Sistemi di gestione degli Amministratori di Sistema – D.Lgs. 196/2003
- Disaster Recovery (Art.50/bis D.Lgs. 235/2010 del 25/01/2011)
- Direttiva UE 2022/2555 (cosiddetta Direttiva NIS 2 – Network and Information Security)
- Attuazione della direttiva NIS 2
Standard di riferimento adottati (elenco non esaustivo)
- Information Security Management System (ISMS) – ISO/IEC 27001 lo standard internazionale della sicurezza delle informazioni
- Information technology — Security techniques — Code of practice for information security controls – ISO/IEC 27002 raccolta di “best practices” che possono essere adottate per soddisfare i requisiti della norma ISO 27001
- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – ISO/IEC 27701 standard di riferimento per la protezione dei dati personali
- Risk Management ISO/IEC 31000 principi e linee guida per la gestione del rischio
- ENISA (European Network and Information Security Agency) guidelines
- Information Technology Service Management – ISO/IEC 20000 standard di riferimento per l’organizzazione dei servizi informatici che mira al miglioramento dell’erogazione/fruizione dei servizi IT
- Societal security — Business continuity management systems — Requirements ISO/IEC 22301 norma internazionale relativa alla gestione della continuità operativa (Business continuity)
- Information Security Incident Management ISO/IEC 18044 linee guida e principi per la gestione degli incidenti relativi alla sicurezza delle informazioni
- Information Technology – Security Techniques – Guidelines for information and communications technology Disaster Recovery Services ISO/IEC 24762 fornisce le linee guida per il Servizio di Disaster Recovery