Checklist di preparazione alla certificazione ISO 27001

Cos'è la preparazione ISO 27001?

La preparazione ISO 27001 significa che il tuo Sistema di Gestione della Sicurezza delle Informazioni (SGSI) è completamente implementato, documentato e supportato da prove concrete — non solo progettato sulla carta. La preparazione alla certificazione richiede che le tue policy, il trattamento del rischio, i controlli ISO 27001 e il ciclo di audit interno siano tutti operativi prima di invitare un auditor esterno a valutarli.

Molte organizzazioni confondono l'implementazione del SGSI con la preparazione alla certificazione. L'implementazione consiste nel costruire il sistema; la preparazione consiste nel dimostrare che funziona. Gli auditor, sia nell'Audit di Fase 1 che nell'Audit di Fase 2, cercano prove di operatività, non di intenzioni. Una policy che esiste ma non viene seguita genererà una non conformità indipendentemente da quanto sia ben scritta.

Questa lista di controllo copre le otto aree che gli auditor esterni esaminano sistematicamente. Lavora sezione per sezione, valuta il tuo stato attuale, assegna responsabili alle voci aperte e consolida le tue prove prima della prima data di audit.

Lista di controllo completa per la preparazione ISO 27001

Valuta ogni voce: completata, parziale o non iniziata. Le voci parziali e mancanti costituiscono il tuo backlog di remediation.

1 Ambito e Contesto

La dichiarazione di ambito del SGSI definisce i confini organizzativi, geografici e di sistema
L'analisi del contesto interno ed esterno (clausola 4.1) è documentata
Le parti interessate e i loro requisiti rilevanti (clausola 4.2) sono identificati
Le esclusioni dall'ambito sono giustificate, documentate e difendibili di fronte a un auditor

2 Leadership e Governance

L'impegno del top management è documentato — verbali di riunione, approvazioni via e-mail o firma delle policy
La policy sulla sicurezza delle informazioni è approvata, datata e comunicata a tutto il personale
I ruoli e le responsabilità in materia di sicurezza sono assegnati con nominativi specifici, non solo titoli di ruolo
Gli obiettivi di sicurezza delle informazioni sono misurabili e collegati al contesto di rischio dell'organizzazione

3 Valutazione del Rischio

La metodologia di valutazione del rischio è documentata con criteri definiti per probabilità, impatto e accettazione
Il registro dei rischi copre tutti gli asset, i processi o gli scenari nell'ambito del SGSI
A ogni rischio identificato è assegnato un responsabile del rischio
Il piano di trattamento del rischio seleziona le opzioni (trattare, tollerare, trasferire, eliminare) per ogni rischio superiore alla soglia di accettazione
Il piano di trattamento del rischio è riesaminato e formalmente accettato dalla direzione

4 Dichiarazione di Applicabilità

Tutti i 93 controlli dell'Allegato A sono valutati — nessuno escluso senza giustificazione documentata
Ogni controllo applicabile mostra il suo stato di implementazione: implementato, parzialmente implementato o pianificato
I controlli esclusi includono una giustificazione verificabile che fa riferimento all'ambito, al rischio o alla base legale
La Dichiarazione di Applicabilità è sottoposta a controllo versione, datata e firmata dalla direzione autorizzata
La DdA è allineata con il piano di trattamento del rischio — i controlli selezionati affrontano i rischi identificati

5 Controlli dell'Allegato A

Tutti i controlli ISO 27001 selezionati nella DdA sono implementati e dispongono di policy o procedure di supporto
I controlli tecnici — gestione degli accessi, cifratura, logging, gestione delle vulnerabilità — sono operativi
I requisiti di sicurezza per fornitori e terze parti sono inclusi nei contratti e valutati periodicamente
La formazione sulla consapevolezza della sicurezza è completata e i relativi registri sono conservati
I piani di risposta agli incidenti e di continuità operativa sono testati e i risultati documentati

6 Audit Interno

Un programma di audit interno copre l'intero ambito del SGSI e tutti i controlli ISO 27001 applicabili
Almeno un ciclo completo di audit interno è concluso prima dell'Audit di Fase 1
I risultati dell'audit e le non conformità sono formalmente registrati in un rapporto
L'audit è stato condotto da una persona indipendente dall'area sottoposta ad audit

7 Riesame della Direzione

Una riunione di riesame della direzione si è tenuta ed è stata formalmente verbalizzata
L'ordine del giorno ha coperto i risultati dell'audit interno, lo stato dei rischi, le prestazioni degli obiettivi di sicurezza e le opportunità di miglioramento
Gli output del riesame documentano le decisioni riguardanti le modifiche al SGSI, le esigenze di risorse e le azioni di miglioramento
I verbali sono conservati come informazioni documentate e disponibili per il riesame da parte dell'auditor

8 Azioni Correttive

Tutte le non conformità degli audit interni hanno un'analisi delle cause radice e un'azione correttiva registrata
Ogni azione correttiva ha un responsabile nominato e una data di chiusura prevista
Le azioni completate sono verificate per la loro efficacia prima di essere chiuse
Il registro delle azioni correttive è aggiornato e disponibile per l'ispezione dell'auditor

Errori comuni nella preparazione

Queste sono le lacune più frequentemente riscontrate come non conformità durante la preparazione all'audit ISO 27001.

Trattare la Dichiarazione di Applicabilità come un mero esercizio burocratico

La DdA deve riflettere lo stato reale dei tuoi controlli ISO 27001. Gli auditor la confrontano con le implementazioni effettive e rileveranno una non conformità se i controlli contrassegnati come implementati non possono essere dimostrati.

Nessun audit interno completato o riesame della direzione prima della Fase 1

Entrambi sono requisiti obbligatori. Arrivare all'Audit di Fase 1 senza i relativi verbali completati significa che l'auditor non può confermare che il SGSI è operativo, e la certificazione verrà ritardata.

Controlli documentati nelle policy ma non operativi nella pratica

È il riscontro più comune nell'Audit di Fase 2. Una policy che afferma "gli accessi vengono riesaminati trimestralmente" deve essere supportata da registri di riesame degli accessi datati. L'intenzione senza prove costituisce una non conformità.

Piano di trattamento del rischio non formalmente accettato dalla direzione

Completare una valutazione del rischio non è sufficiente. ISO 27001 richiede che la direzione accetti formalmente il rischio residuo e approvi il piano di trattamento. Senza un'accettazione firmata o verbalizzata, la clausola 6.1 risulta incompleta.

Non conformità dell'audit interno lasciate aperte alla Fase 2

Le azioni correttive aperte segnalano che il ciclo di miglioramento del SGSI non funziona. Gli auditor verificano se i riscontri sono stati chiusi e verificati, non solo registrati.

Ambito del SGSI troppo ampio rispetto alle prove disponibili

Le organizzazioni a volte definiscono un ambito molto esteso per apparire complete, per poi faticare a produrre prove coerenti in tutte le aree. Un ambito ben definito e ben documentato ottiene la certificazione in modo più affidabile rispetto a un ambito ampio con lacune nelle prove.

Preparazione all'Audit di Fase 1 vs Fase 2

La certificazione ISO 27001 prevede un processo di audit in due fasi. Comprendere cosa testa ogni fase consente di concentrare la preparazione nell'ordine corretto.

Fase 1 — Revisione documentale

Generalmente condotto da remoto, l'Audit di Fase 1 (revisione documentale) verifica che la documentazione del SGSI sia completa e che l'organizzazione sia pronta a procedere all'audit di efficacia. I riscontri della Fase 1 devono essere risolti prima di programmare la Fase 2.

Gli auditor si concentrano su

L'ambito del SGSI è chiaramente definito e appropriato
La Dichiarazione di Applicabilità è finalizzata e firmata
La valutazione del rischio e il piano di trattamento del rischio sono documentati
L'audit interno e il riesame della direzione sono stati completati
Tutte le informazioni documentate obbligatorie ISO 27001 sono presenti

Fase 2 — Efficacia dei controlli

L'Audit di Fase 2 (efficacia dei controlli) verifica se i controlli ISO 27001 funzionano come previsto attraverso interviste al personale, walkthrough dei processi e campionamento delle prove. È qui che viene concessa la certificazione o vengono rilevate non conformità maggiori.

Gli auditor si concentrano su

I controlli ISO 27001 funzionano come descritto nelle policy e nella DdA
Le prove sono aggiornate, coerenti e tracciabili ai controlli
Il personale dimostra consapevolezza delle proprie responsabilità nell'ambito del SGSI
Le non conformità della Fase 1 sono completamente chiuse
Il registro delle azioni correttive mostra un ciclo di miglioramento efficace

FAQ

Cos'è un Sistema di Gestione della Sicurezza delle Informazioni (SGSI)?

Un Sistema di Gestione della Sicurezza delle Informazioni è l'insieme di policy, procedure e controlli che gestisce sistematicamente i rischi per la sicurezza delle informazioni all'interno di un'organizzazione. ISO 27001 è lo standard internazionale che definisce i requisiti per stabilire, implementare, mantenere e migliorare continuamente un SGSI. La certificazione dimostra a clienti e autorità di regolamentazione che il tuo sistema di gestione della sicurezza delle informazioni soddisfa tale standard.

Quanto tempo richiede l'implementazione del SGSI?

La maggior parte dei programmi di implementazione del SGSI richiede da 8 a 20 settimane dal kick-off alla preparazione per l'Audit di Fase 1, a seconda della complessità dell'ambito, della maturità della documentazione esistente e della disponibilità di risorse dedicate. Prevedere ulteriori quattro-otto settimane tra la Fase 1 e la Fase 2 per il consolidamento delle prove e la remediation dei riscontri della Fase 1.

Cos'è la Dichiarazione di Applicabilità e perché è importante?

La Dichiarazione di Applicabilità è il documento che mappa tutti i 93 controlli dell'Allegato A alla tua organizzazione, registrando quali sono applicabili e implementati, e perché eventuali controlli sono esclusi. È uno dei primi documenti richiesti all'Audit di Fase 1 perché mostra all'auditor il panorama dei tuoi controlli ISO 27001. Deve essere sottoposta a controllo versione, aggiornata e firmata dalla direzione.

Dobbiamo implementare tutti i 93 controlli dell'Allegato A?

No, ma è necessario valutare tutti i 93 controlli ISO 27001 e documentare una giustificazione per quelli esclusi. I controlli vengono selezionati in base ai rischi della valutazione, agli obblighi legali e contrattuali e al contesto operativo. Le esclusioni non giustificate sono un riscontro comune all'Audit di Fase 1.

Cosa succede se non superiamo l'Audit di Fase 1?

Un Audit di Fase 1 non superato significa che l'auditor ha rilevato riscontri che devono essere risolti prima che la Fase 2 possa procedere. I riscontri possono essere osservazioni minori, opportunità di miglioramento o non conformità maggiori. Le questioni minori vengono chiuse nel periodo tra la Fase 1 e la Fase 2; le non conformità maggiori possono richiedere un riesame completo dell'area interessata e ritarderanno il tuo cronoprogramma di certificazione.

L'implementazione del SGSI ISO 27001 può supportare la conformità al DORA?

Sì. La governance delle policy, il trattamento del rischio, la supervisione dei fornitori e le prove di gestione degli incidenti sviluppate durante l'implementazione del SGSI possono supportare direttamente gli obblighi DORA. I framework sono complementari: ISO 27001 stabilisce la baseline dei controlli di sicurezza delle informazioni, mentre DORA aggiunge requisiti di resilienza operativa digitale, segnalazione degli incidenti ICT e supervisione di terze parti specifici per le entità finanziarie.

Lista di controllo per la preparazione ISO 27001