Cos'è l'ISMS, come è fatta la norma, i 93 controlli dell'Annex A, il processo di certificazione, i tempi reali e le voci di costo. Una guida informativa, non un pitch di vendita.
La ISO/IEC 27001 è lo standard internazionale per la gestione della sicurezza delle informazioni. Non certifica un prodotto o un singolo controllo tecnico: certifica un sistema di gestione, l'ISMS (Information Security Management System), cioè il modo in cui un'organizzazione individua i rischi sulle proprie informazioni e li tiene sotto controllo nel tempo.
La versione vigente è la ISO/IEC 27001:2022. È affiancata dalla ISO/IEC 27002:2022, che non è certificabile ma fornisce le linee guida di dettaglio sui controlli di sicurezza richiamati nella 27001.
Il punto chiave, spesso frainteso: la 27001 non chiede di essere “sicuri al 100%” (cosa che non esiste), ma di avere un processo documentato e funzionante per valutare il rischio, decidere come trattarlo, applicare i controlli e migliorare di continuo. È un sistema vivo, non un documento da mettere in un cassetto.
La 27001 è volontaria: nessuna legge italiana o europea la impone in modo generalizzato. Nella pratica diventa “obbligatoria di fatto” in alcuni casi: SaaS e fornitori B2B a cui un cliente enterprise chiede la certificazione come condizione per firmare il contratto (il classico “deal bloccato dal questionario di sicurezza”); startup che vogliono presentarsi a investitori o a clienti grandi con una postura di sicurezza credibile; aziende che trattano dati di terzi (fornitori IT, gestionali, payroll, sanità) per cui la fiducia è parte del prodotto; aziende estere che entrano nel mercato italiano/UE e devono dimostrare conformità a partner e clienti locali.
Se nessuno te la sta chiedendo e non hai un obiettivo concreto (un deal, un fundraise, un mercato), può non essere la priorità del momento: meglio capire prima perché ti serve.
La 27001 si divide in due parti. Le clausole 4-10 sono i requisiti del sistema di gestione, obbligatori e non negoziabili: Clausola 4, Contesto (capire l'organizzazione e le parti interessate, definire lo scope dell'ISMS); Clausola 5, Leadership (impegno della direzione, politica di sicurezza, ruoli e responsabilità); Clausola 6, Pianificazione (valutazione e trattamento del rischio, obiettivi di sicurezza); Clausola 7, Supporto (risorse, competenze, consapevolezza, gestione documentale); Clausola 8, Operatività (mettere in atto i piani di trattamento del rischio); Clausola 9, Valutazione delle prestazioni (monitoraggio, audit interno, riesame della direzione); Clausola 10, Miglioramento (gestione delle non conformità e azioni correttive).
L'Annex A è il catalogo dei controlli: 93 controlli nella versione 2022, organizzati in 4 temi secondo la ISO/IEC 27002:2022: Organizzativi (37: politiche, gestione fornitori, classificazione informazioni), Persone (8: onboarding/offboarding, consapevolezza, NDA), Fisici (14: accessi ai locali, sicurezza delle apparecchiature) e Tecnologici (34: controllo accessi, crittografia, logging, backup, gestione vulnerabilità).
Non devi applicarli tutti e 93 a prescindere: applichi quelli pertinenti al tuo rischio, e giustifichi inclusioni ed esclusioni in un documento chiave, lo Statement of Applicability (SoA).
Tradotto in deliverable concreti che un auditor si aspetta di vedere: uno scope chiaro dell'ISMS (cosa è dentro, cosa è fuori); una metodologia di risk assessment documentata, un registro dei rischi e un piano di trattamento del rischio; lo Statement of Applicability (SoA) sui 93 controlli dell'Annex A; un set di policy e procedure (sicurezza delle informazioni, controllo accessi, crittografia, fornitori, gestione incidenti, continuità operativa…); evidenze operative che i controlli girano davvero (log, backup testati, gestione delle vulnerabilità, registro accessi, formazione del personale); un audit interno e un riesame della direzione svolti almeno una volta prima dell'audit di certificazione.
Il principio che fa la differenza: gli auditor non valutano se hai “bei documenti”, ma se il sistema funziona davvero e produce evidenze coerenti.
1) Gap analysis / readiness: fotografia dello stato attuale vs i requisiti dello standard, con priorità. 2) Scoping e risk assessment: perimetro dell'ISMS, registro dei rischi, piano di trattamento, SoA. 3) Policy e documentazione: il set documentale del sistema di gestione. 4) Implementazione dei controlli: controllo accessi, MFA/SSO, logging, backup, crittografia, gestione vulnerabilità, gestione fornitori. 5) Audit interno e riesame della direzione: verifiche obbligatorie prima di chiamare l'ente. 6) Audit di certificazione, condotto da un organismo accreditato terzo: Stage 1 (revisione documentale e verifica della readiness) e Stage 2 (audit vero e proprio, con gestione delle non conformità maggiori e minori). 7) Certificazione e mantenimento: il certificato dura 3 anni, con audit di sorveglianza annuali e ricertificazione al 3° anno.
Confine fermo: chi prepara l'azienda (consulente/facilitatore) non può essere lo stesso che la certifica. La certificazione è rilasciata da un organismo di certificazione accreditato indipendente. È una regola degli schemi di accreditamento (ISO/IEC 17021), non una formalità.
Preparazione: tipicamente 3-6 mesi, e dipende molto dalla maturità di partenza. Un'azienda che parte da zero impiega di più; una con processi già discreti, meno. Audit dell'ente: Stage 1 e Stage 2, spesso a distanza di alcune settimane. Validità: 3 anni, con sorveglianza annuale e ricertificazione al terzo.
Diffida di chi promette “ISO 27001 in 3 mesi” a tappeto: i 3 mesi sono realistici solo a fronte di una readiness già adeguata. La 27001 è un sistema che deve girare e produrre evidenze: il tempo serve.
I costi variano molto con dimensione, scope e maturità. Le voci da mettere a budget sono però sempre le stesse: preparazione/consulenza (gap analysis, documentazione, implementazione, accompagnamento all'audit); audit dell'organismo di certificazione (Stage 1 + Stage 2), fatturato dall'ente e separato dalla consulenza; sorveglianza annuale (anni 2 e 3), costo ricorrente dell'ente; costi interni (tempo del team, eventuali strumenti per logging, MFA/SSO, gestione vulnerabilità); ricertificazione al 3° anno.
Non pubblichiamo qui un prezzo “secco”: dipende dal tuo scope. La spesa dell'ente è sempre a parte ed è giusto così, perché è indipendente.
ISO 27001 vs SOC 2: la 27001 è una certificazione (schema certificabile, ente accreditato, valida 3 anni, riconosciuta a livello globale, forte in UE). SOC 2 è un'attestazione (report di una CPA secondo gli standard AICPA, richiede un periodo di osservazione, dominante negli USA). Molte aziende fanno entrambe per coprire UE e USA.
ISO 27001 e ISO 42001: la 42001 (gestione dell'AI, AIMS) ha la stessa struttura ad alto livello della 27001 e si integra bene se gestisci sistemi di intelligenza artificiale. ISO 27001 e GDPR: complementari ma distinti. La 27001 dà l'infrastruttura di sicurezza, il GDPR ha requisiti legali propri (basi giuridiche, diritti degli interessati, ecc.).
È una certificazione: la rilascia un organismo accreditato indipendente, non un consulente. Chi prepara l'azienda non può certificarla.
3 anni, con audit di sorveglianza annuali e ricertificazione al 3° anno.
93 controlli, organizzati in 4 temi (Organizzativi, Persone, Fisici, Tecnologici) secondo la ISO/IEC 27002:2022. Si applicano in base alla valutazione del rischio, documentata nello Statement of Applicability.
No. Aiuta molto sulle misure di sicurezza, ma il GDPR ha requisiti legali propri. Sono cose distinte.
No: chi prepara non può certificare. Lo impone l'indipendenza dell'ente accreditato (ISO/IEC 17021).
Scopri il nostro servizio di accompagnamento: gap analysis, ISMS, audit interno e gestione dell'audit con l'ente.