Information Security (ISO/IEC 27001) e
IT Service Management (ISO/IEC 20000-1)
Analisi delle interdipendenze e delle opportunità di integrazione dei due
standard secondo la ISO/IEC FDIS 27013
17/09/2012 1 F. Cirilli per AICQ set-ott 2012
Relatore
• Fabrizio Cirilli – 30 anni di esperienza nell’ambito dell’ICT ricoprendo vari ruoli e mansioni all’interno di
aziende di rilevanza nazionale ed internazionale . – Dal 1995 Lead Auditor certificato per i Sistemi di Gestione (prima Qualità, poi Sicurezza delle
Informazioni e Servizi IT) nei registri CEPAS, IRCA, RICEC, SICEV. – Progettista e docente dei corsi per la qualifica degli auditor/lead auditor in Italia ed all’estero
per gli schemi ISO 9001, ISO/IEC 27001 e ISO/IEC 20000. Dal 2007 docente presso master universitari per le tematiche legate all’audit della sicurezza delle informazioni e l’IT service management.
– Membro del ISO JCT1/SC27 dal 2005 e di altre iniziative nazionali (UNINFO Gdl 27000) ed internazionali sui temi della sicurezza delle informazioni, dei servizi IT e della business continuity (progetto Domino).
– Aderisce e partecipa alle associazioni AIEA, AIIC, AIPSI, CLUSIT, ICT Academy, ITSMF e ad alcuni programmi internazionali tra i quali il Risk Awareness di ENISA.
– Amm. unico della Project Development Consulting & Auditing Srl dal 2001 è consulente di aziende private ed organizzazioni pubbliche in Italia ed all’estero sui temi dell’Information Security, IT Service Management, Incident Handling, Business Continuity, Disaster Recovery, Risk Management ecc.
17/09/2012 2 F. Cirilli per AICQ set-ott 2012
Modelli per l’IT e standard ISO per l’IT
17/09/2012 F. Cirilli per AICQ set-ott 2012 3
Governance (COBIT)
Delivery & Support
(ITIL)
ISO 9001
ISO
/IEC
20
00
0-1
ISO
/IEC
27
00
1 Sistema di gestione
del servizio
Sistema di gestione per la sicurezza
delle informazioni
Ad oggi non esiste una tabella di correlazione ufficiale ISO/IEC
tra le tre norme
Contenuti
ISO/IEC 20000-1:11 4. Requisiti generali del sistema di gestione del servizio
4.1 Responsabilità della direzione
4.2 Governo dei processi condotti da terzi
4.3. Gestione della documentazione
4.4 Gestione delle risorse
4.5 Stabilire e migliorare il SGS
5. Progettazione e transizione di servizi nuovi o modificati 5.1 Generalità
5.2 Pianificazione dei servizi nuovi o modificati
5.3 Progettazione e sviluppo di servizi nuovi o modificati
5.4 Transizione di servizi nuovi o modificati
6. Processi per l’erogazione del servizio 6.1 Gestione dei livelli di servizio
6.2 Reporting del servizio
6.3 Gestione della continuità e disponibilità del servizio
6.4 Previsione e consuntivazione economica dei servizi
6.5 Gestione della capacità
6.6 Gestione della sicurezza delle informazioni
7. Processi di Relazione 7.1 Gestione della relazione con il business
7.2 Gestione dei Fornitori
8. Processi di Risoluzione 8.1 Gestione dell’Incidente e della Richiesta di Servizio
8.2 Gestione del Problema
9. Processi di controllo 9.1 Gestione della configurazione
9.2 Gestione del cambiamento
9.3 Gestione del rilascio e messa in funzione
ISO/IEC 27001:05 4. Sistema di gestione per la sicurezza delle informazioni
4.1 Requisiti generali
4.2 Stabilire e gestire il SGSI
4.3 Requisiti relativi alla documentazione
5. Responsabilità della direzione 5.1 Impegno della direzione
5.2 Gestione delle risorse
6. Audit interni del SGSI
7. Riesame del SGSI da parte della direzione 7.1 Generalità
7.2 Elementi in ingresso per il riesame
7.3 Elementi in uscita dal riesame
8. Miglioramento del SGSI 8.1 Miglioramento continuo
8.2 Azioni correttive
8.3 Azioni preventive
17/09/2012 F. Cirilli per AICQ set-ott 2012 4
Focal points
ISO/IEC 20000-1:11
• Portfolio servizi
• Service Level Agreement
• End-to-end
• …
ISO/IEC 27001:05
• Risk management
• Incident handling
• Efficacia contromisure
• …
17/09/2012 F. Cirilli per AICQ set-ott 2012 5
La famiglia ISO/IEC 20000
20000-1:2011 ITSMS requirements
20000-3:2009 scope definition and applicability
20000-4:2010 process reference model
20000-5:2010 Exemplar implementation
plan
20000-2:2012 Guidance to ITSMS
17/09/2012 6 F. Cirilli per AICQ set-ott 2012
In via di revisione
La famiglia ISO/IEC 27000
27001:2005 ISMS requirements
27002:2005 Code of practice
27003:2010 Implementation
guidance
27004:2009 Measurements
27005:2011 Risk Management
27006:2011 Requirements for
audit & cert. bodies
27007:2011 ISMS auditing
27010 Inter-sector
communications
27011:2008 Telecommunications
27013 ISO/IEC 20000-1 and
ISO/IEC 27001
27014 Security governance
27015 Financial and
insurance
27016 ISM Economics
27000:2009 Vocabulary
27008:2011 Audit on ISMS controls
27017 Cloud computing
27031:2011 Incident management
27035:2011 Business continuity
27032 Cyber Security
27033:2009 Network Security
27034:2011 Application Security
27036 Security for suppliers
27037 Digital evidences
2704x Investigation
270xx …………….
17/09/2012 7 F. Cirilli per AICQ set-ott 2012
Le relazioni tra gli standard
17/09/2012 F. Cirilli per AICQ set-ott 2012 8
Fonte ISO/IEC FDIS 27000:12
Considerazioni preliminari
• L’information security è uno dei processi della ISO/IEC 20000-1 (req. 6.6 – gestione della sicurezza delle informazioni)
• Esistono da almeno 5 anni (anche in Italia) alcune aziende con un sistema integrato: Qualità, Sicurezza delle Informazioni, Gestione dei Servizi IT ecc.
• La ISO/IEC 27001 subirà una significativa revisione
17/09/2012 F. Cirilli per AICQ set-ott 2012 9
Il confronto
17/09/2012 F. Cirilli per AICQ set-ott 2012 10
27001:2005 ISMS requirements
20000-1:2011 ITSMS requirements
Aspetti specifici • Classification of
information • Information asset
management
Aspetti specifici • Budgeting and
accounting for services • Business relationship
management • Design and transition of
new and changed services
• Service level management
Parziale condivisione • Capacity management • Change management • Configuration management • Incident & service management • Problem Management • Release and deployment
management • Resource management • Risk management • Roles and responsibilities • Information Security
management • Service continuity and availability
management • Supplier management
Parti identiche Continual improvement, PDCA, Legal and regulatory compliance, training
and awareness, management review, documentation management
Vantaggi del sistema integrato
• Servizi IT sicuri ed efficaci • Costo inferiore nella realizzazione (se le strategie
dell’organizzazione includono sia qualità del servizio sia sicurezza delle informazioni)
• Riduzione del tempo di implementazione complessivo per effetto dei processi comuni ai due standard
• Eliminazione delle duplicazioni e delle ridondanze • Maggior comprensione da parte del personale
disponendo di due punti di vista (gestione dei servizi e sicurezza delle informazioni)
• La complementarietà favorisce la certificazione in entrambi gli schemi
17/09/2012 F. Cirilli per AICQ set-ott 2012 11
Possibili scenari
• Un sistema basato su un solo standard
• Un sistema integrato basato su entrambi gli standard
• Due sistemi ciascuno basato su uno standard
Incluse le considerazioni sullo “scope” del sistema integrato
17/09/2012 F. Cirilli per AICQ set-ott 2012 12
Le potenziali criticità
• Asset (CI / informazioni)
• Design and transition of services (processi / controlli)
• Risk assessment and management (servizi / organizzazione)
• Risk acceptance levels (terze parti & cliente)
• Incident management (servizi / informazioni)
• Problem management (analisi cause / controlli)
• Change management (processo / controlli)
17/09/2012 F. Cirilli per AICQ set-ott 2012 13
Miglioramenti indotti
• PDCA
• Service level management
• Management committment
• Capacity management
• Management of third party risk
• Continuity and availability
• Supplier management
• Configuration management
• Release and deployment management
• Budgeting and accounting
17/09/2012 F. Cirilli per AICQ set-ott 2012 14
Audit
• Le recenti modifiche al sistema normativo degli audit hanno ridisegnato le modalità e gli standard applicabili ai Sistemi di Gestione
• In particolare la famiglia della ISO/IEC 27001 ha beneficiato della revisione/introduzione di alcuni standard dedicati al tema degli audit
• È auspicabile un estensione/applicazione anche alla ISO/IEC 20000-1
17/09/2012 F. Cirilli per AICQ set-ott 2012 15
Audit e standard di riferimento
Prima parte
• ISO 19011:11 (UNI EN ISO 19011:12)
• ISO/IEC 27007:11
• ISO/IEC TR 2008:11
17/09/2012 F. Cirilli per AICQ set-ott 2012 16
Seconda parte
• ISO 19011:11 (UNI EN ISO 19011:12)
• ISO/IEC 27007:11
• ISO/IEC TR 2008:11
Terza parte
• ISO/IEC 27006:11
• ISO/IEC 17021:11
• ISO 19011:11 (UNI EN ISO 19011:12)
• ISO/IEC 27006 – specifica i requisiti e fornisce una guida per gli organismi che forniscono audit e certificazione dei SGSI, in aggiunta ai requisiti contenuti all'interno della ISO/IEC 17021 e della ISO/IEC 27001
• ISO/IEC 27007 – declina la ISO 19011:11 per l’applicazione nei SGSI
• ISO/IEC TR 27008 – definisce metodi ed attività per una efficace verifica delle contromisure (o controlli) attuate a fronte della valutazione dei rischi
Qualche dato in materia di certificazioni
• Certificazioni accreditate e non – Per la ISO/IEC 20000 esiste un canale “parallelo” costituito
da APM Group (UK) sia per gli auditor sia per le organizzazioni
• Certificati vs siti certificati – La correlazione dei Sistemi di Gestione ai servizi/processi
legati a siti specifici produce spesso certificazioni multi site: • Nella ISO/IEC 27001 determina differenze a livello di valutazione
dei rischi e quindi di aspetti funzionali ed operativi della sicurezza a livello di sito.
• Nella ISO/IEC 20000-1 determina una certificazione correlata al servizio erogato da una determinata sede verso specifici clienti.
17/09/2012 F. Cirilli per AICQ set-ott 2012 17
Certificazione ed accreditamento per la ISO/IEC 20000
17/09/2012 F. Cirilli per AICQ set-ott 2012 18
La “visione” APM Group
Qualche dato in materia di certificazioni (APMG)
17/09/2012 F. Cirilli per AICQ set-ott 2012 19
Qualche dato in materia di certificazioni (ACCREDIA)
17/09/2012 F. Cirilli per AICQ set-ott 2012 20
Qualche riflessione
• La situazione tra i due schemi di accreditamento sulla ISO/IEC 20000-1 appare abbastanza equilibrata in Italia
• Diverso se valutiamo la situazione mondiale:
– APM Group (ISO/IEC 20000)
• Organizzazioni certificate: 660
• Organismi registrati: 50
17/09/2012 F. Cirilli per AICQ set-ott 2012 21
Qualche riflessione
• Diverso se valutiamo la situazione mondiale: – IAF/EA (ISO/IEC 20000 e ISO/IEC 27001)
• Organizzazioni certificate: – ISO/IEC 20000: stima approssimativa > 1.000 – ISO/IEC 27001: stima approssimativa > 7.000
• Organismi accreditati (dati IAF laddove verificabili): – ISO/IEC 20000: 35
» Australia e Nuova Zelanda (1), Repubblica Ceca (12), Germania (1), Italia (1), Olanda (2), UK (4), USA (4), Giappone (10)
– ISO/IEC 27001: 137 » Australia e Nuova Zelanda (8), Colombia (4), Repubblica Ceca
(22), Finlandia (1), Germania (13), Grecia (4), India (1), Italia (10), Giappone (28), Malesia (1), Mauritius (1), Olanda (11), Norvegia (3), Romania (7), Svezia (2), UK (20), USA (4)
17/09/2012 F. Cirilli per AICQ set-ott 2012 22
Qualche riflessione
• Rispetto al numero di certificati ISO 9001 nel mondo ci troviamo di fronte ad un numero veramente esiguo di certificazioni
• Motivi: – Costi e tempi maggiori delle altre certificazioni – Settoriali – Culturalmente più complesse – Pluri dimensionali (non solo processi) – Legate a leggi e regolamenti – Meno percepite (come in genere tutte le tematiche IT) – ….
17/09/2012 F. Cirilli per AICQ set-ott 2012 23
Certificazione degli auditor ISO/IEC 20000
17/09/2012 F. Cirilli per AICQ set-ott 2012 24
“circuito” non ISO/IEC 17021 e/o ISO 19011 “circuito” ISO/IEC 17021 e/o ISO 19011
• CEPAS (I) - 5 • SICEV (I) - ?
• RICEC (CH) - 1
• IRCA (UK) - 1 LA in Italia
• …
La certificazione degli auditor ISO/IEC 27001
17/09/2012 F. Cirilli per AICQ set-ott 2012 25
“circuito” non ISO/IEC 17021 e/o ISO 19011 “circuito” ISO/IEC 17021 e/o ISO 19011
• CEPAS (I) – 8 • SICEV (I) - 8 • RICEC (CH) - 1
• KHC (I) – 5 • IRCA (UK) – 2 LA in Italia
• …
• dati non disponibili
accreditati