Guida

ISO/IEC 27001: cos’è e come prepararsi

La guida pratica allo standard per la sicurezza delle informazioni: SGSI, controlli dell’Annex A, percorso di certificazione e relazione con la NIS2.

Cos’è la ISO/IEC 27001

La ISO/IEC 27001 è lo standard internazionale che definisce i requisiti per istituire, attuare, mantenere e migliorare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). L’obiettivo è proteggere la riservatezza, l’integrità e la disponibilità delle informazioni attraverso un approccio basato sulla gestione del rischio. La versione vigente è la ISO/IEC 27001:2022.

Il Sistema di Gestione (SGSI)

Il cuore della norma è il SGSI: un insieme di politiche, processi e responsabilità che l’organizzazione adotta e migliora nel tempo (ciclo Plan-Do-Check-Act). Le clausole 4–10 richiedono, tra l’altro: analisi del contesto, leadership, obiettivi di sicurezza, valutazione e trattamento del rischio, audit interni, riesame della direzione e gestione delle non conformità.

I controlli dell’Annex A

L’Annex A elenca i controlli di sicurezza (93 nella versione 2022), organizzati in quattro temi: organizzativi, relativi alle persone, fisici e tecnologici. L’organizzazione seleziona i controlli applicabili e li documenta nella Dichiarazione di Applicabilità (SoA).

Il percorso verso la certificazione

  1. Definire ambito e contesto del SGSI.
  2. Effettuare l’analisi e il trattamento del rischio.
  3. Implementare politiche, procedure e controlli (Annex A).
  4. Eseguire audit interno e riesame della direzione.
  5. Sostenere l’audit di certificazione con un ente accreditato.

ISO 27001 e NIS2

I due quadri sono complementari: la maggior parte dei controlli ISO 27001 si sovrappone alle misure richieste dalla NIS2. Allinearsi alla ISO 27001 semplifica la conformità NIS2 e prepara a un’eventuale certificazione. NormaAI genera un dossier che mappa entrambi i quadri e li distingue.

Quanto sei vicino alla conformità?

Fai l’assessment gratuito: scopri i gap e ottieni i documenti di base per ISO 27001 e NIS2.

Verifica la tua conformità

Domande frequenti

Che cos’è la ISO/IEC 27001?

È lo standard internazionale per il Sistema di Gestione della Sicurezza delle Informazioni (SGSI): definisce requisiti per gestire i rischi sulla riservatezza, integrità e disponibilità delle informazioni.

La ISO 27001 è obbligatoria?

No, è volontaria. Tuttavia è spesso richiesta da clienti e bandi, ed è un ottimo quadro per soddisfare obblighi di legge come la NIS2.

Quanto tempo serve per certificarsi?

Dipende dall’organizzazione: tipicamente da pochi mesi a un anno, tra implementazione del SGSI, audit interno e audit di certificazione da parte di un ente accreditato.

Che differenza c’è tra ISO 27001 e NIS2?

La ISO 27001 è uno standard certificabile e volontario; la NIS2 è un obbligo di legge. Molti controlli coincidono: un SGSI conforme alla ISO 27001 copre gran parte delle misure NIS2.

Guide correlate

Contenuto informativo. NormaAI prepara la documentazione ma non rilascia certificazioni, di competenza di enti terzi accreditati.