Le certificazioni Cineca

Certificazione del Sistema di gestione della sicurezza delle informazioni

Il Cineca ha scelto lo standard ISO 27001 (Information security, cybersecurity and privacy protection — Information security management systems), quale modello di riferimento per garantire un alto livello di protezione per le informazioni più sensibili e critiche. 

Perché il CINECA ha scelto tale standard, quale punto di riferimento per il governo dei processi connessi alla sicurezza dei dati? La risposta è insita nel titolo della norma, che richiama il concetto di sistema di gestione, mutato dal mondo della qualità, che impone all'organizzazione una visione della sicurezza delle informazioni come un insieme di processi da regolamentare tramite la definizione di ruoli, responsabilità, interfacce di comunicazione e procedure operative.

La sicurezza dunque non solo come insieme di contromisure di carattere tecnologico, ma anche di misure di carattere comportamentale ed organizzativo, da definire all'interno di procedure operative documentate. 

Il percorso di implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), secondo i requisiti di tale standard è iniziato nel Settembre del 2005, con il conseguimento della certificazione di conformità alla BS 7799:2002 (standard inglese precursore dello standard ISO 27001) 

Il sistema si è poi evoluto con l'adeguamento allo standard internazionale ISO 27001:2005 e quindi  allo standard ISO/IEC 27001:2013 nel Luglio del 2015. 

Dal 2005 ad oggi, il campo di applicazione del SGSI è stato esteso più volte, includendo ulteriori ambiti di attività rispetto al dominio originale del sistema.  

A Novembre 2018 il Cineca ha raggiunto un ulteriore importante traguardo in quanto ha integrato nel proprio SGSI i controlli previsti dalle Linee guida internazionali ISO/IEC 27017 e ISO/IEC 27018. 

La linea guida ISO/IEC 27018 fa riferimento in particolare agli ulteriori controlli di sicurezza che un cloud service provider dovrebbe applicare in veste di Responsabile del trattamento di dati personali (ISO/IEC 27018) mentre la ISO/IEC 27017 integra la linea guida ISO/IEC 27002 con ulteriori controlli e misure di sicurezza rivolti ai cloud service customers ed ai cloud service providers. 

La corretta applicazione di tali ulteriori Linee guida è stata certificata dal superamento della verifica ispettiva dell’ente di certificazione che ha portato all’ampliamento del campo di applicazione del certificato di conformità.

A novembre 2023 il consorzio ha infine ottenuto la certificazione di conformità alla nuova versione della standard ISO/IEC 27001:2022

La certificazione ISOIEC 27001:2022 di Cineca include le seguenti attività:

  • Progettazione, realizzazione, manutenzione e gestione operativa di infrastrutture tecnologiche e di soluzioni applicative;
  • Erogazione di servizi in cloud computing con l’applicazione dei controlli previsti dalle linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2019 di tipo public cloud (IAAS e PAAS) in qualità di cloud service provider;
  • Erogazione di servizi in cloud computing con l’applicazione dei controlli previsti dalle linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2019 in modalità SAAS;
  • Erogazione di servizi di supporto per gli utenti di soluzioni applicative e per il calcolo tecnico scientifico;
  • Progettazione ed erogazione di corsi di formazione, in presenza e a distanza;
  • Produzione, gestione e correzione dei test per gli accessi ai corsi universitari ed i concorsi, in modalità cartacea e computer based;
  • Conservazione a norma di documenti informatici;
  • Servizi informatici HPC in cloud per la ricerca in ambito life science.

Link al certificato 27001