ISO/IEC 27001 — Gestione della Sicurezza delle Informazioni

Che cos'è ISO/IEC 27001?

ISO/IEC 27001 è il principale standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS), pubblicato dall'Organizzazione Internazionale per la Normazione (ISO). La revisione 2022 (ISO 27001:2022) ha introdotto un set di controlli rivisto nell'Annex A, allineato alla ISO 27002:2022, riducendo da 114 a 93 controlli suddivisi in 4 temi.

La certificazione dimostra che un'organizzazione ha valutato i propri rischi per la sicurezza delle informazioni e ha implementato controlli adeguati all'interno di un framework di gestione sistematico, soggetto ad audit indipendente di terza parte.

Chi ha bisogno della ISO 27001?

• Aziende tecnologiche e SaaS con clienti enterprise B2B
• Servizi finanziari, banche e organizzazioni di elaborazione pagamenti
• Aziende sanitarie e MedTech che gestiscono dati dei pazienti
• Appaltatori governativi e del settore pubblico
• Data centre, provider cloud e managed service provider
• Qualsiasi organizzazione che risponde a questionari di sicurezza per clienti o fornitori

ISO 27001:2022 — Principali modifiche rispetto al 2013

Le organizzazioni certificate secondo ISO 27001:2013 devono effettuare la transizione alla versione 2022. Le principali modifiche includono:

• Annex A ristrutturato in 4 temi: Organizzativi, Persone, Fisici, Tecnologici
• 11 nuovi controlli aggiunti, tra cui threat intelligence, sicurezza cloud e data masking
• Riduzione dei controlli totali da 114 a 93 (alcuni accorpati)
• Maggiore allineamento con gli altri standard di sistemi di gestione ISO (High Level Structure)

Ambito di una certificazione ISO 27001

La definizione dell'ambito è una fase critica del processo di certificazione. L'ambito determina quali asset informativi, processi, sedi e unità organizzative rientrano nel perimetro dell'ISMS. La fase di gap analysis di BALTUM include una guida dettagliata per la definizione dell'ambito, al fine di garantire che sia significativo per gli stakeholder e realizzabile entro i tempi previsti.

L'impegno BALTUM: fase per fase

• Fase 1 — Gap Analysis e Definizione dell'ambito: Valutazione dello stato attuale rispetto ai requisiti ISO 27001:2022. Registro dei gap. Documento di ambito. Roadmap del progetto.
• Fase 2 — Documentazione ISMS: Politica di Sicurezza delle Informazioni, Metodologia di Valutazione e Trattamento del Rischio, Dichiarazione di Applicabilità, procedure e documentazione dei controlli.
• Fase 3 — Supporto all'implementazione: Guida all'implementazione dei controlli, audit interno e facilitazione della revisione della direzione.
• Fase 4 — Audit di certificazione: Revisione documentale Stage 1 e audit operativo Stage 2 in sede/da remoto da parte di un organismo di certificazione accreditato.
• Fase 5 — Sorveglianza: Audit di sorveglianza annuali e pianificazione del rinnovo triennale della certificazione.

Tempistiche tipiche

Per un'organizzazione di medie dimensioni (50-500 dipendenti) che persegue la prima certificazione: da 3 a 6 mesi dal kick-off all'emissione del certificato. Le tempistiche dipendono dalle dimensioni dell'organizzazione, dal livello di maturità attuale e dalla disponibilità di risorse interne. BALTUM fornisce un piano di progetto basato su milestone all'inizio di ogni incarico.

Integrazione con altri standard

La ISO 27001 viene frequentemente implementata insieme a standard complementari. BALTUM offre programmi integrati che condividono documentazione, controlli e attività di audit:

• ISO 27001 + ISO 27701 (Gestione delle Informazioni sulla Privacy)
• ISO 27001 + ISO 22301 (Continuità Operativa)
• ISO 27001 + ISO 42001 (Sistema di Gestione dell'IA)
• ISO 27001 + SOC 2 (framework unificato di evidenze)
• ISO 27001 + PCI DSS (settore finanziario)