ISO 27001, in pratica.
Standard volontario, certificabile da ente accreditato (DNV, BSI, RINA). In piattaforma trovi NIS2; per il percorso ISO 27001 ti accompagniamo con il nostro Lead Auditor BSI come consulenza founder-led — gap analysis, preparazione, audit interno. La maggior parte dei controlli è condivisa con NIS2: quello che costruisci oggi sulla piattaforma vale anche domani per ISO.
Cos'è
Sistema di gestione della sicurezza delle informazioni.
ISO/IEC 27001:2022 è lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni (Information Security Management System, ISMS). Pubblicato da ISO/IEC, non è un obbligo di legge: si sceglie di certificarsi.
La struttura dello standard è in due parti. La prima — clausole 4-10 — descrive il sistema di gestione: contesto dell'organizzazione, leadership, pianificazione, supporto, operatività, valutazione delle prestazioni, miglioramento continuo. La seconda — l'Annex A — elenca 93 controlli di sicurezza distribuiti su quattro aree (Organizzazione, Persone, Fisico, Tecnologico).
Per ottenere la certificazione, l'azienda deve dimostrare all'ente accreditato — durante un audit di terza parte — che il proprio ISMS è progettato, implementato e mantenuto in modo coerente con lo standard. Le evidenze documentali sono il materiale principale di quell'audit.
Annex A → Comprova
Le quattro aree di controlli, e cosa copre la piattaforma.
L'Annex A è organizzato in quattro aree per un totale di 93 controlli. Qui sotto, per ogni area, cosa chiede ISO 27001 e quale impianto Comprova mette a disposizione per costruire le evidenze.
| Area | Cosa chiede | In Comprova |
|---|---|---|
A.5 Organizzazione 37 controlli | Politiche di sicurezza, ruoli e responsabilità, gestione fornitori, gestione incidenti, continuità operativa, conformità. | Policy template editabili, Audit Trail tamper-evident, modulo Fornitori (DPA, criticality), Incident Register, BC plan come scheda evidenza. Copertura ampia. |
A.6 Persone 8 controlli | Selezione del personale, condizioni di impiego, formazione e sensibilizzazione, processo disciplinare, riservatezza, lavoro a distanza. | Modulo Formazione personale con quiz, attestati, EvidenceFile annuali. Schede evidenza per condizioni di impiego, NDA, processi disciplinari. |
A.7 Fisico 14 controlli | Aree sicure, controllo accessi fisici, sicurezza apparecchiature e cablaggi, smaltimento sicuro, postazioni di lavoro. | Schede evidenza dove caricare procedure di accesso fisico, registri visitatori, log apparecchiature. La fisica resta competenza del cliente — Comprova archivia le prove. |
A.8 Tecnologico 34 controlli | Gestione asset, controllo accessi, crittografia, sicurezza operativa (backup, log, malware), sviluppo sicuro, gestione vulnerabilità. | Hash SHA-256 sugli Audit Pack, log accessi tracciati, MFA obbligatoria, schede vulnerability scan, policy crittografia, BC plan, separation of duties enforced. |
La sovrapposizione con i controlli NIS2 (Art. 21) è alta: in pratica chi prepara il dossier NIS2 con Comprova ha già coperto la parte più consistente dei requisiti ISO 27001 — soprattutto su organizzazione, persone e tecnologia. La parte fisica (A.7) resta da documentare con schede evidenza dedicate, ma l'impianto operativo è già lì.
Audit interno con il founder
Per i gap che la piattaforma non copre.
Per i controlli che la piattaforma non copre direttamente — soprattutto la parte fisica (A.7) e l'adeguatezza organizzativa specifica del tuo contesto — il founder Lead Auditor ISO 27001 può condurre un audit interno (prima parte) in azienda, prima di chiamare l'ente accreditato. Stesso principio per gli audit di filiera sui tuoi fornitori (seconda parte).
Stai pensando a una certificazione ISO 27001?
Scrivici: capiamo insieme dove sei messo, cosa hai già coperto col lavoro NIS2, e cosa servirebbe ancora prima di chiamare l'ente di certificazione.