Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

NUOVA ISO 27001:13

No description
by

Andrea Castello

on 24 February 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of NUOVA ISO 27001:13

Nuova ISO/IEC 27001:13
cosa cambia
La nuova norma pone maggiore enfasi sulla definizione degli obiettivi, sul monitoraggio delle prestazioni, sulla definizione delle metriche e sulla
comunicazione interna ed esterna;
I requisiti per la
gestione del rischio
sono maggiormente allineati con la ISO 31000 ("Gestione del rischio - Principi e linee guida");
I requisiti della
SoA
sono simili ma più chiari nella determinazione dei controlli dei processi per il trattamento del rischio;
Viene enfatizzata l’attività di identificazione delle esigenze e delle aspettative delle
parti interessate.
nuova Annex A
La nuova versione prevede:
14
Aree
35
Obiettivi di controllo
113
controlli

Alcuni controlli molto tecnici sono stati eliminati (per esempio, quello sulla limitazione della connessione, visto che praticamente è incorporato in altri sulla sicurezza della rete)

Si sono migliorate alcune dizioni (per esempio, non si parla più di mobile computing, ma di Mobile device policy)

I nuovi controlli con impatto sostanziale sono: Information security in project management, Restrictions on software installation, Secure development policy, System security testing (che sostituisce un controllo precedentemente meno orientato alla sicurezza), ICT Supply chain, Redundancies



Chi siamo
Soluzioni 24 sas è un team di professionisti, con esperienza e referenze, qualificati in:
Lead Auditor ISO 9001 - Settori EA 33 (Tecnologia dell'informazione) e 35 (Servizi professionali d'impresa)
Lead Auditor ISO/IEC 27001 - Registro AICQ SICEV
Docenza di corsi riconosciuti per Lead Auditor ISO/IEC 27001
ITIL V3 Foundation - Registro Exin
Cobit 5 Foundation
Lead Auditor ISO/IEC 20000 ItSMF
Lead Audito ISO 22301
Lead Auditor ISO 14001
Mistery Auditor
CISA© - Certified Information Systems Auditor (ISACA)
CRISC© - Certified Risk & Information Systems Control (ISACA)
CCNA©- Cisco Certified Network Associate

Saremmo lieti di conoscere la vostra realtà, di fornirvi le necessarie informazioni affinché possiate valutare noi, la nostra attività e i vantaggi che potrete trarne, sempre con disponibilità, integrità e riservatezza.

www.soluzioni24.it
Organizzativi
Politiche di Sicurezza (2)
Organizzazione della Sicurezza delle Informazioni (7)
Sicurezza delle risorse umane (6)

Fisici
Sicurezza Fisica ed
Ambientale (15)

Tecnici
Gestione dei Beni (10)
Controllo degli accessi (13)
Crittografia (2)
Sicurezza Operativa (14)
Sicurezza delle comunicazioni (7)
Acquisizione, sviluppo e manutenzione dei sistemi (13)
Relazioni con i fornitori (15)
Gestione degli incidenti relativi alla sicurezza delle informazioni (7)
Aspetti relativi alla sicurezza delle Informazioni nella gestione della Continuità Operativa (4)
Legali
Conformità (8)
Nuova struttura
La nuova ISO/IEC 27001:2013, segue le nuove direttive definite dalla ISO e descritte nell’Annex SL.





COSA CAMBIA?
Viene enfatizzata la comprensione del “
contesto
” nel quale opera l’organizzazione ed alle aspettative delle parti interessate, che dello stesso sistema possono essere le promotrici;
Il termine “owner della risorsa” non viene più utilizzato; viene introdotto il termine “
owner del rischio
”;
La nuova norma si riferisce a "
informazioni documentate
" piuttosto che "la documentazione e le registrazioni";
Le “azioni preventive” sono state sostituite con “actions to address, risks and opportunities” (azioni per affrontare rischi e opportunità);
periodo di transizione
01/10/13
01/10/14
01/10/15
Le aziende possono certificarsi secondo la versione 2013
Le aziende possono certificarsi ISO 27001:05
Le aziende già certificate ISO 27001:05 devono passare alla versione 2013
1 Anno
2 Anni
Maggior allineamento con gli agli Sistemi di Gestione (ISO9001, ISO 20000, ISO 22301, ISO 14001,...)
Full transcript