L’Organizzazione viene ispezionata al fine di fotografare la situazione in essere in merito alla sicurezza delle informazioni e di cybersecurity secondo le quattro dimensioni della “Piramide della Cybersecurity”:
L’Ispezione può essere effettuata su uno specifico perimetro della propria organizzazione o presso un’organizzazione terza (ad esempio un fornitore) e verrà effettuata secondo criteri di:
- – Obiettività, misurando lo stato dell’arte secondo parametri predefiniti,
- – Neutralità rispetto alle convinzioni di parte,
- – Imparzialità e assenza di conflitti di interesse.
L’Organismo di Ispezione rilascia all’Organizzazione due documenti:
- – Rapporto di Ispezione, che riporta le valutazioni e le misurazioni dei livelli attuali di Cybersecurity dell’Organizzazione
- – Certificato di Ispezione, ovvero una sintesi che può essere usata per dimostrare a soggetti terzi (clienti, assicurazioni per determinare le polizze cyber, Enti regolatori, Pubblica Amministrazione) la propria maturità in termini di Cybersecurity.
Il Certificato di Ispezione viene firmato digitalmente, quindi se l’Organizzazione lo fornisce volontariamente a soggetti terzi (un cliente ad esempio), questo può chiedere a Gerico Security di attestarne l’autenticità ricevendo un riscontro formale inviando una richiesta motivata e copia in possesso a: OdI@gerico-sec.it
Cosa intendiamo per ispezione?
Con Ispezione si intende “l’esame della sicurezza delle informazioni nei processi e servizi in perimetro finalizzate a determinare il grado di conformità e maturità rispetto a best practice internazionali relative alla information security, cybersecurity & data protection” in particolare secondo il CSF – Cyber Security Framework e il Framework Nazionale per la Cybersecurity e la Data Protection.
Perché affidarsi ad un Organismo di Ispezione conforme alla ISO/IEC 17020?
La norma ISO/IEC 17020 definisce i criteri generali per il funzionamento degli Organismi di Ispezione ed i requisiti di competenza a cui devono conformarsi per garantire l’affidabilità dei servizi di valutazione della conformità forniti ai clienti e alle autorità di supervisione.
Un Organismo di Ispezione ISO/IEC17020 risponde quindi a specifiche caratteristiche formali che ne impongono:
- – Imparzialità
- – Indipendenza
- – Correttezza
- – Competenza
Gli Organismi di Ispezione, operanti secondo stringenti criteri formali, effettuano valutazioni per conto di clienti privati, di organizzazioni ad essi collegate, o di autorità, con l’obiettivo di fornire un giudizio di conformità rispetto ai requisiti di carattere tecnico e normativo definiti nelle diverse norme e pratiche di Cyber security presenti sul mercato.
