Compliance & Certificazione
ISO 27001 è il passaporto della sicurezza informatica: richiesto sempre più spesso nelle gare pubbliche (CAM ICT) e dai clienti enterprise. Ti accompagniamo dall'analisi del gap iniziale fino alla certificazione, con un approccio pratico calibrato sulle risorse di una PMI.
Il servizio
ISO 27001 non è un progetto IT: è un cambiamento organizzativo che coinvolge persone, processi e tecnologia. Il punto di partenza è capire dove sei oggi rispetto allo standard (gap analysis), poi costruire l'ISMS — il Sistema di Gestione della Sicurezza delle Informazioni — con i controlli proporzionati al tuo rischio, e infine prepararti all'audit di certificazione con un ente accreditato.
Assessment strutturato del livello di conformità attuale rispetto all'Annex A e ai requisiti dei Capitoli 4-10. Output: report con percentuale di conformità per dominio, lista dei gap prioritari e piano di implementazione con stima delle risorse.
Definizione del perimetro ISMS, risk assessment secondo la metodologia ISO 27005, piano di trattamento del rischio (RTP) e Statement of Applicability (SoA). Implementazione dei controlli tecnici e organizzativi identificati come prioritari.
Redazione di tutti i documenti obbligatori: Information Security Policy, Asset Inventory, Risk Assessment & Treatment Report, Statement of Applicability, procedure operative e registri di conformità. Documentazione pronta per l'audit di certificazione.
Conduzione degli audit interni obbligatori come richiesto dalla norma (Capitolo 9.2), con report di non conformità e azioni correttive. Supporto alla management review con i dati richiesti dalla norma.
Preparazione all'audit Stage 1 (documentale) e Stage 2 (operativo) con l'ente certificatore scelto. Supporto durante l'audit per rispondere ai quesiti degli auditor. Gestione delle eventuali non conformità post-audit.
FAQ
ISO 27001 è lo standard internazionale per la gestione della sicurezza delle informazioni. La certificazione dimostra ai clienti, partner e autorità che l'azienda gestisce la sicurezza in modo sistematico e verificabile. Per una PMI è utile per differenziarsi nelle gare pubbliche (CAM ICT), accedere a clienti enterprise che la richiedono come prerequisito, e dimostrare conformità a NIS2.
Per una PMI tipicamente 6–12 mesi: 1–2 mesi per la gap analysis, 3–6 mesi per implementare i controlli e costruire l'ISMS, 1–2 mesi di audit interni e preparazione, poi l'audit di certificazione in due fasi (Stage 1 documentale e Stage 2 operativo). La durata dipende dalla maturità di partenza.
ISO 27001:2022 ha ridisegnato l'Annex A: da 114 a 93 controlli in 4 categorie (organizzativi, personale, fisici, tecnologici). Aggiunti 11 nuovi controlli tra cui threat intelligence, sicurezza cloud, data masking e filtraggio web. Le aziende certificate nella versione 2013 devono migrare.
Una certificazione ISO 27001 in scope completo è un forte indicatore di conformità NIS2, ma non automaticamente equivalente. NIS2 ha requisiti specifici (notifica ACN entro 24 ore, supply chain security) da gestire esplicitamente. Tuttavia, un'azienda certificata ha già implementato la grande maggioranza delle misure richieste da NIS2.
Una gap analysis iniziale gratuita per capire quanto sei lontano dalla certificazione ISO 27001 e cosa ti serve davvero per raggiungerla.
Richiedi una valutazione gratuita