NORMA ISO/IEC 27001:2022 - SGSI

Preparate la vostra certificazione ISO 27001
senza perdere 6 mesi

ISO/IEC 27001 è la norma internazionale di riferimento per il Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Sempre più richiesta dai committenti, nei bandi di gara, dagli assicuratori cyber o per l'accesso a determinati mercati export, SYAGA vi accompagna dal gap assessment fino alla preparazione dell'audit di certificazione.

93
Misure Allegato A (ed. 2022)
4
Temi di sicurezza
7
Clausole di gestione (4 a 10)
1
Dichiarazione di Applicabilità consegnata

Il contesto

ISO 27001 non è un obbligo legale generale, ma sta diventando un prerequisito commerciale imprescindibile

📋

Una certificazione volontaria, ma sempre più richiesta

ISO/IEC 27001 resta un percorso volontario. Tuttavia è sempre più richiesta nei bandi di gara, dai grandi committenti, da alcuni assicuratori cyber, o come prerequisito per l'accesso a determinati mercati export.

🔒

Poche PMI hanno formalizzato il proprio SGSI

La maggior parte delle PMI e delle medie imprese non ha avviato alcun percorso strutturato di Sistema di Gestione della Sicurezza delle Informazioni. L'argomento è percepito come complesso, tecnico e lungo.

💰

Percorsi lunghi e costosi

Le missioni di certificazione classiche impegnano i vostri team per diversi mesi e rappresentano un investimento consistente, spesso fuori dalla portata di una PMI.

I vostri team IT sono già sovraccarichi

Impegnare il responsabile IT o della sicurezza per mesi per costruire un SGSI non è sostenibile in una PMI dove ognuno riveste già più ruoli.

Il metodo ISO27001-Express

Un percorso strutturato in 3 fasi, basato sulla stessa metodologia già collaudata da SYAGA su PSSI-Express

1
Fase 1 - Gap Assessment

Valutazione delle 93 misure dell'Allegato A

Colloquio di inquadramento con la direzione e il responsabile SI, poi valutazione sistematica di ciascuna delle 93 misure di sicurezza dell'Allegato A (edizione 2022), ripartite sui 4 temi organizzativo, umano, fisico e tecnologico. Restituzione di un rapporto di scostamenti fattuale.

2
Fase 2 - Documentazione del SGSI

Politica di sicurezza, Dichiarazione di Applicabilità e piano di rimedio

Redazione o aggiornamento della politica di sicurezza (SGSI), della Dichiarazione di Applicabilità (SoA) che giustifica l'applicazione o l'esclusione di ciascuna delle 93 misure, e di un piano di rimedio prioritizzato per colmare gli scostamenti identificati nella fase 1.

3
Fase 3 - Accompagnamento verso la certificazione

Preparazione dell'audit da parte dell'ente certificatore

Monitoraggio dell'attuazione del piano di rimedio, revisione documentale e preparazione del vostro team all'audit condotto da un ente certificatore accreditato indipendente. SYAGA vi prepara all'audit; la certificazione stessa è rilasciata da questo ente terzo.

Cosa ricevete

I documenti strutturanti del dossier di certificazione ISO 27001

📊

Rapporto di Gap Assessment

Valutazione fattuale del vostro livello di conformità rispetto alla norma.

  • Valutazione delle 93 misure Allegato A
  • Stato per misura: conforme / parziale / non conforme
  • Sintesi per tema (organizzativo, umano, fisico, tecnologico)
  • Riscontri fattuali, senza giudizio di valore
🔐

Dichiarazione di Applicabilità (SoA)

Documento normativo centrale del dossier di certificazione ISO 27001.

  • Stato applicabile/escluso per ciascuna delle 93 misure
  • Giustificazione di ogni esclusione
  • Riferimento ai documenti del SGSI
  • Pronto per essere presentato all'ente certificatore
📝

Politica di sicurezza (SGSI)

Il documento di governance richiesto dalle clausole 4 a 10 della norma.

  • Perimetro e contesto del SGSI
  • Ruoli e responsabilità di sicurezza
  • Processo di gestione del rischio
  • Ciclo di miglioramento continuo (PDCA)
🎯

Piano di rimedio prioritizzato

La roadmap per colmare gli scostamenti identificati.

  • Azioni classificate per priorità
  • Misure organizzative e tecniche
  • Monitoraggio dell'avanzamento
  • Preparazione progressiva all'audit
📄

Procedure operative

Documenti applicabili direttamente dai vostri team.

  • Gestione degli incidenti di sicurezza
  • Gestione degli accessi e delle identità
  • Gestione dei cambiamenti
  • Carta informatica
💻

File editabili

Tutti i documenti in formati che potete far evolvere.

  • HTML autonomo (apribile in qualsiasi browser)
  • PDF alta qualità (stampa A4)
  • DOCX editabile (Microsoft Word)
  • Aggiornamento a ogni revisione annuale

Una base documentale condivisibile

Il SGSI ISO 27001 si sovrappone naturalmente a più standard

ISO

ISO/IEC 27001:2022

Standard centrale: clausole 4 a 10 (requisiti di gestione) e Allegato A (93 misure di sicurezza ripartite in 4 temi).

N2

Ponte con NIS2

Le misure di gestione dei rischi cyber richieste dalla direttiva NIS2 si sovrappongono ampiamente alle misure dell'Allegato A ISO 27001. Un SGSI ISO 27001 facilita la messa in conformità NIS2 per le entità interessate.

AN

Guida ANSSI - Igiene informatica (Francia)

Le misure della guida di igiene informatica dell'ANSSI (l'agenzia francese per la cybersicurezza) si sovrappongono in modo significativo alle misure dell'Allegato A ISO 27001. Corrispondenza documentata nel piano di rimedio.

RG

GDPR (Art. 32)

Le misure tecniche e organizzative adeguate richieste dall'articolo 32 del GDPR si basano sulle stesse buone pratiche dell'Allegato A ISO 27001 (controllo degli accessi, cifratura, gestione degli incidenti).

Offerte adattate al vostro contesto

Ogni missione ISO 27001 è dimensionata secondo il vostro perimetro e la vostra maturità attuale. Preventivo personalizzato sistematico.

Gap Assessment

Fotografia iniziale dei vostri scostamenti

Su preventivo
secondo perimetro ed effettivi
  • Valutazione delle 93 misure Allegato A
  • Rapporto di riscontro fattuale
  • Sintesi per tema di sicurezza
  • Restituzione alla direzione
  • Formati HTML + PDF + DOCX
Richiedi un preventivo

Manutenzione annuale

Dopo la certificazione o in continuo

Su preventivo
secondo perimetro ed effettivi
  • Revisione annuale del SGSI
  • Aggiornamento della SoA
  • Aggiornamento del piano di rimedio
  • Preparazione agli audit di sorveglianza
Richiedi un preventivo

Domande frequenti

Cos'è la norma ISO/IEC 27001?
ISO/IEC 27001 è la norma internazionale di riferimento per la messa in atto di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Nella sua edizione 2022, è strutturata in clausole 4 a 10 (requisiti di gestione: contesto, leadership, pianificazione, supporto, funzionamento, valutazione, miglioramento) e un Allegato A di 93 misure di sicurezza ripartite in 4 temi: organizzativo, umano, fisico e tecnologico.
ISO 27001 è obbligatoria per la mia azienda?
No, ISO 27001 è una certificazione volontaria, a differenza di testi normativi come NIS2. Tuttavia è sempre più richiesta de facto: bandi di gara, esigenze di grandi committenti, condizioni assicurative cyber, o accesso a determinati mercati export. È una scelta strategica più che un obbligo legale generale.
SYAGA rilascia la certificazione?
No. La certificazione ISO 27001 è rilasciata esclusivamente da un ente certificatore accreditato indipendente, al termine di un audit esterno. SYAGA vi accompagna nella preparazione (gap assessment, documentazione del SGSI, piano di rimedio, preparazione dei vostri team), ma non rilascia essa stessa il certificato.
Cos'è la Dichiarazione di Applicabilità (SoA)?
La SoA è un documento normativo obbligatorio del dossier di certificazione. Elenca ciascuna delle 93 misure dell'Allegato A e precisa se è applicata o esclusa, con la relativa giustificazione. È uno dei documenti più esaminati durante l'audit di certificazione.
Quanto tempo devo impegnare i miei team?
La maggior parte del lavoro (valutazione, redazione documentale, piano di rimedio) è realizzata dai nostri auditor. I vostri team sono coinvolti principalmente durante il colloquio di inquadramento iniziale e i punti di restituzione. La durata totale di un percorso di certificazione dipende fortemente dal vostro perimetro e dalla vostra maturità di partenza; è stimata caso per caso nel preventivo.
In cosa SYAGA è legittimata ad accompagnarmi?
SYAGA Consulting realizza audit di sicurezza dei sistemi informativi dal 2009. I nostri auditor operano presso clienti di dimensioni diverse in più settori. La metodologia di gap assessment e generazione documentale utilizzata per ISO27001-Express si basa sullo stesso motore già utilizzato nei nostri altri accompagnamenti di conformità (PSSI-Express).
SYAGA vi accompagna nella preparazione del vostro SGSI e del vostro dossier di certificazione. La certificazione ISO/IEC 27001 stessa è rilasciata da un ente certificatore accreditato indipendente, non affiliato a SYAGA. Questo contenuto è uno strumento di accompagnamento e non costituisce un parere legale.

Pronti a strutturare il vostro percorso ISO 27001?

Contattateci per un preventivo personalizzato secondo il vostro perimetro e la vostra maturità attuale.