HSE SERVICES

Obiettivi

• Tutelare il proprio capitale intellettuale
• Dotarsi di un sistema di gestione delle informazioni sicuro
• Assicurare la continuità aziendale tramite la salvaguardia delle informazioni
• Minimizzare i possibili danni legati ad una errata gestione delle informazioni o il loro furto
• Garantire l'affidabilità del dato raccolto, ossia essere protetto e garantito nella sua veridicità
• Garantire la riservatezza del dato raccolto, ossia essere protetto da utenti non autorizzati al suo trattamento e quindi, garantito nella sua segretezza
• Garantire la reperibilità del dato raccolto, ossia essere sempre disponibile e consultabile dagli operatori autorizzati
• La tutela del proprio investimento commerciale, inteso come patrimonio di informazioni sulle indagini di mercato, sull'attività di ricerca scientifica svolta, sulla progettazione e sviluppo dei propri prodotti o servizi e altro
• Dotarsi di uno strumento che faciliti il rispetto delle leggi in vigore in termini di tutela dei dati personali, in particolare se sensibili
• Integrare la gestione delle informazioni con gli aspetti legati alla qualità, all'ambiente e alla sicurezza sul lavoro (ISO 9001, ISO 14001, OHSAS 18001)
• Crescere di competitività e credibilità/visibilità sul mercato di riferimento
• Vantare una certificazione di validità mondiale su un tema all'avanguardia

Disciplina generale
La BS 7799:2 - Information Security Management System (ISMS) - è stata la principale norma di riferimento per l'applicazione di un sistema di gestione per la sicurezza delle informazioni, oggi evoluta nella UNI CEI ISO/IEC 27001:2006 (ISMS: Information technology - Security techniques - Information security management systems - Requirements). Tale norma introduce il concetto di "Sistema di Gestione", uno strumento che permette di tenere sotto controllo in modo sistematico e continuativo tutti i processi legati alla sicurezza delle informazioni tramite la definizione di ruoli, responsabilità e procedure formali sia per l'operatività aziendale, che per la gestione delle emergenze. Si parla quindi di Sistema di Gestione per la Sicurezza delle Informazioni (SGSI). In origine la BS 7799 era divisa in 2 parti: la parte 1 era la Linea Guida e la parte 2 era lo standard vero proprio. L'ISO ha adottato con una dichiarazione formale la parte 1 (Linea Guida) del documento BSI (British Standard Institute), che è pertanto diventata ISO 17999:1 (Information technology - Security techniques - Code of practice for information security management); e nell'ottobre 2005 ha recepito la seconda parte della BS 7799, che è così diventata la ISO 27001:2006. Se la ISO 17799:1 fornisce delle indicazioni non prescrittive per proteggere il patrimonio informativo di un'azienda, il documento normativo al quale un'organizzazione che intenda certificarsi deve far riferimento è la ISO 27001:2006.
In un contesto dove le violazioni dei sistemi di sicurezza (crimini ed attacchi informatici) sono in continuo aumento, è diventato necessario dotarsi di un sistema che garantisca una gestione "sicura" delle informazioni (rischi informatici).
Le informazioni custodite con mezzi informatici rappresentano ormai oltre il 60% del "capitale intellettuale" aziendale. Sono pertanto un "patrimonio aziendale" la cui gestione diventa strategica per la tutela e lo sviluppo aziendale.
Si tratta di garantire:

• Riservatezza
• Disponibilità
• Integrità

Campo di applicazione
Rientrano nell'ambito di applicazione delle norma tutte le imprese e organizzazioni di tutti i settori e di tutte le dimensioni.

Come adeguarsi ?
Secondo la norma ISO/IEC 27001 la sicurezza viene vista come un processo indipendente dalla tecnologia. Deve coprire tutti i processi che impattano sulle caratteristiche di security del prodotto o servizio immesso sul mercato. Per cui insiste molto sugli aspetti organizzativi e poco su quelli tecnologici. L'impostazione dello standard ISO/IEC 17799:2005 (destinata a diventare ISO/IEC 27002) è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2008 e il risk management: l'approccio per processi, la politica della sicurezza, l'identificazione ed analisi dei rischi, la valutazione e trattamento dei rischi, il modello PFCA (Plan, Do, Check, Act), utilizzo di procedure e di strumenti come audit interni, esterni di stage 1 e stage 2, non conformità, azioni correttive e preventive, sorveglianza, miglioramento continuo.

A chi rivolgersi ?
Adoperare per la propria organizzazione le misure necessarie per adottare un sistema di gestione certificato secondo una norma o uno standard di riferimento non è particolarmente difficoltoso se ci si affida ad un buon servizio di consulenza:

HSE SERVICES è una società di consulenza che offre i propri servizi mediante competenze di personale di diversa formazione, in modo da svolgere un'attività con standard qualitativi elevati e con costi commisurati al servizio grazie ad una efficiente organizzazione aziendale. Ricordiamo comunque che il servizio risulta essere estremamente impegnativo sul piano tecnico, pertanto vi sono comunque delle difficoltà legate alla complessità delle tematiche trattate.

HSE SERVICES offre un Check up iniziale gratuito, esso consiste in una visita presso la Vostra sede, durante la quale i nostri professionisti definiscono il quadro generale della Vostra situazione, individuando gli adeguamenti obbligatori per la norma o lo standard di riferimento. Sulla base del sopralluogo vengono offerti, con la consulenza alla progettazione del Sistema di Gestione i seguenti servizi:

• Redazione del Manuale del Sistema di Gestione
• Redazione delle Procedure del Sistema di Gestione
• Redazione delle Istruzioni Operative necessarie e della modulistica per le registrazioni richieste
• Corsi di Formazione e Addestramento al personale per l'applicazione del Sistema di Gestione
• Consulenza continuativa per la corretta applicazione dei dettami previsti dalla norma o dallo standard di riferimento e dal Sistema di Gestione adottato
• Audit per la verifica dell'applicazione del Sistema di Gestione
• Assistenza in occasione della visita ispettiva da parte dell'Ente di Certificazione