Vai al contenuto
BastionSec
Contattaci
Certificazione · ISO/IEC 27001:2022

ISO 27001: la certificazione che ti chiedono i clienti UE. Te la facciamo ottenere davvero.

Ti accompagniamo dall'ISMS all'audit di certificazione. Il certificato lo rilascia un organismo accreditato, indipendente da noi, ed è proprio questo a renderlo valido davanti a clienti, investitori e auditor.

  • Accompagniamo, non certifichiamo: l'organismo accreditato valuta e rilascia.
  • ISMS, risk assessment e SoA sui 93 controlli dell'Annex A.
  • Tempi onesti: preparazione tipica 3-6 mesi secondo la tua readiness.
ContattaciCos'è ISO 27001

Per chi è ISO 27001

Auto-qualificazione rapida: ti riconosci in uno di questi?

SaaS B2B con un deal bloccato

Un cliente enterprise ferma il contratto perché chiede una certificazione di sicurezza. La affrontiamo per prima.

Vai al percorso

Startup verso una due diligence

Ti prepari a un round o a una due diligence e devi risultare credibile davanti a investitori e clienti.

Vai al percorso

Azienda estera che entra in UE

Vendi o operi in Italia/UE, dove ISO 27001 è il linguaggio comune della sicurezza.

Vai al percorso

Cos'è la certificazione ISO 27001

ISO/IEC 27001:2022 è lo standard internazionale certificabile per un ISMS: il sistema di gestione della sicurezza delle informazioni. Non è un documento: è un insieme di processi, controlli ed evidenze che dimostrano che gestisci il rischio in modo sistematico.

Il certificato è valido 3 anni, con audit di sorveglianza annuali e ricertificazione al 3° anno.

Vuoi prima capire requisiti e clausole? Leggi la guida completa a ISO 27001 nella nostra pagina standard.

Chi fa cosa: noi, tu, e l'organismo di certificazione

Trasparenza sui ruoli. Non certifichiamo noi, e non potremmo: chi implementa un ISMS non può auditarlo (principio di indipendenza, ISO/IEC 17021). Questa separazione è ciò che dà valore al tuo certificato.

Noi (BastionSec)

Gap analysis, scoping ISMS, risk assessment, SoA, policy/procedure, implementazione controlli, internal audit, preparazione allo Stage 1/2.

Tu (cliente)

Decisioni di business, accesso a sistemi e persone, adozione reale di policy e controlli, evidenze operative.

Organismo accreditato

Conduce l'audit di certificazione (Stage 1 + Stage 2), valuta in indipendenza e rilascia il certificato.

I deliverable del percorso

  • Gap analysis e perimetro dell'ISMS (clausole 4-6).
  • Risk assessment con metodologia documentata, registro dei rischi e risk treatment plan.
  • Statement of Applicability (SoA) sui 93 controlli dell'Annex A (4 temi: Organizational, People, Physical, Technological).
  • Set di policy e procedure (Information Security Policy, Access Control, Crypto, Supplier, Incident Management, Business Continuity…).
  • Implementazione dei controlli tecnici (accessi, MFA/SSO, logging, backup, vulnerability management).
  • Internal audit e management review pre-certificazione.
  • Accompagnamento allo Stage 1 (documentation review) e Stage 2 (audit) e gestione dei findings.

Come ci arriviamo

Un metodo in fasi. L'AI accelera la parte ripetitiva (produzione documentale, raccolta evidenze, prima analisi); le persone fanno l'analisi e validano ogni deliverable. I tuoi dati restano protetti: è il nostro mestiere.

  1. 1

    Gap analysis

    Fotografiamo dove sei rispetto allo standard.

  2. 2

    Risk assessment & SoA

    Rischi, trattamento e Statement of Applicability.

  3. 3

    Policy e documentazione

    Policy e procedure su misura, non template-and-go.

  4. 4

    Implementazione

    Mettiamo a terra i controlli tecnici e organizzativi.

  5. 5

    Internal audit

    Verifica interna e management review pre-certificazione.

  6. 6

    Audit dell'ente

    Stage 1 e Stage 2 dell'organismo accreditato.

  7. 7

    Certificazione e mantenimento

    Certificato, sorveglianza e ricertificazione.

Quanto ci vuole, davvero

  1. 1

    Preparazione : tipicamente 3-6 mesi

    Dipende dal tuo punto di partenza: un'azienda già strutturata va più veloce, una che parte da zero ha bisogno di più tempo.

  2. 2

    Audit dell'organismo : Stage 1 + Stage 2

    Documentation review (Stage 1) e audit di certificazione (Stage 2).

  3. 3

    Certificato valido 3 anni : con sorveglianza annuale

    Audit di sorveglianza annuali e ricertificazione al 3° anno.

Quando ci scrivi ti diciamo subito dove ti collochi. Niente promesse a scatola chiusa.

Quanto costa

Trasparenza graduata: ti diamo un 'a partire da' e un range per il percorso ISO 27001, definito con precisione dopo la gap analysis (lo scope cambia il prezzo).

Non siamo i più economici: siamo i più efficienti, perché l'AI ci fa lavorare più in fretta, e questo si riflette sul prezzo, senza tagliare sulla qualità. Vedi la pagina prezzi per le fasce.

La certificazione non è un evento: è uno stato

ISO 27001 richiede sorveglianza annuale e ricertificazione al 3° anno. Con il retainer di sicurezza continua manteniamo l'ISMS vivo, così arrivi a ogni sorveglianza pronto.

Sicurezza continua

Aggiornamento di policy ed evidenze, internal audit periodici e Trust Center mantenuto, per arrivare pronto a ogni sorveglianza.

Scopri il retainer

Audit & Pentest

Pentest periodici come evidenza concreta per la sorveglianza ISO e per i tuoi clienti enterprise.

Scopri

Domande frequenti

ISO 27001 e SOC 2 sono la stessa cosa?

No. ISO 27001 è una certificazione rilasciata da un organismo accreditato e valida 3 anni; SOC 2 è un'attestazione firmata da una CPA statunitense. In UE i clienti chiedono di solito ISO 27001; negli USA SOC 2. Scrivici e capiamo cosa ti serve.

Chi rilascia il certificato? Lo fate voi?

No, e non potremmo: chi implementa l'ISMS non può certificarlo (indipendenza, ISO/IEC 17021). Noi prepariamo e accompagniamo; un organismo di certificazione accreditato conduce l'audit e rilascia il certificato.

Quanto ci vuole davvero?

La preparazione tipica è 3-6 mesi a seconda della tua readiness, poi c'è l'audit dell'ente. Non promettiamo tempi fissi senza aver visto il tuo punto di partenza: per quello c'è la gap analysis.

Cosa devo avere già pronto per iniziare?

Niente di formale. Bastano accesso ai tuoi sistemi e alle persone giuste e la volontà di adottare davvero i controlli. La gap analysis fa la fotografia di dove sei.

Quanto dura il certificato?

3 anni, con audit di sorveglianza annuali e ricertificazione al 3° anno. La sicurezza va mantenuta nel tempo: per questo offriamo un retainer di sicurezza continua.

Mi basta ISO 27001 per vendere in tutta la UE?

È il linguaggio comune della sicurezza in UE e copre gran parte delle richieste dei clienti. A seconda del settore possono servire anche GDPR, NIS2 o DORA: scrivici e capiamo cosa ti serve.

Usate l'AI per scrivere le policy? Posso fidarmi?

L'AI accelera la produzione documentale e la prima analisi, ma ogni deliverable è rivisto e validato da un esperto. Niente policy 'generate e via'. E i tuoi dati restano protetti.

Garantite la certificazione?

No, e diffida di chi la garantisce: l'esito dipende dall'audit di un ente indipendente. Quello che facciamo è portarti realmente attraverso i controlli e massimizzare la probabilità di successo.

Approfondisci

Cos'è ISO 27001

La guida completa allo standard: requisiti, clausole, Annex A. Intento informativo, prima di decidere.

Leggi la guida

SOC 2

Confronto certificazione vs attestazione: quando ti serve SOC 2 invece (o oltre) a ISO 27001.

Scopri

Il nostro metodo

I passi del percorso e il modello con cui lavoriamo, dalla gap analysis al mantenimento.

Vedi il metodo

Scopri a che punto sei.

Raccontaci la tua esigenza: ti diciamo cosa ti serve davvero e quanto ci vuole, onestamente.

Contattaci