ISO/IEC 27001

Voci di Glossario Sicurezza Informatica
Indice dei contenuti

    ISO/IEC 27001 è lo standard internazionale che specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un ISMS (Information Security Management System, sistema di gestione della sicurezza delle informazioni). Pubblicato congiuntamente dall’ISO (International Organization for Standardization) e dall’IEC (International Electrotechnical Commission), è la base della certificazione riconosciuta a livello globale che attesta che un’organizzazione gestisce la sicurezza delle informazioni in modo sistematico e documentato. La versione corrente è ISO/IEC 27001: 2022.

    Struttura dello standard

    ISO/IEC 27001 segue la struttura HLS (High Level Structure, ora denominata Harmonized Structure) comune a tutti gli standard ISO di management system (ISO 9001, ISO 14001, ecc.), facilitando l’integrazione tra più sistemi di gestione:

    • Clausole 4–10: requisiti del sistema di gestione (contesto dell’organizzazione, leadership, pianificazione, supporto, operatività, valutazione delle prestazioni, miglioramento)
    • Allegato A: 93 controlli di sicurezza organizzati in 4 categorie (organizzativi, persone, fisici, tecnologici)

    L’allegato A è normativo ma non tutti i controlli sono obbligatori: l’organizzazione seleziona i controlli applicabili tramite la dichiarazione di applicabilità (SoA, Statement of Applicability), documentando le ragioni di inclusione o esclusione.

    Il ciclo PDCA applicato alla sicurezza

    Come tutti gli standard ISO di management, 27001 si basa sul ciclo PDCA (Plan-Do-Check-Act):

    • Plan: definire lo scope dell’ISMS, identificare i rischi, selezionare i controlli
    • Do: implementare i controlli e le procedure
    • Check: monitorare, misurare, auditare e riesaminare
    • Act: intraprendere azioni correttive e di miglioramento

    Il miglioramento continuo non è opzionale: è un requisito esplicito dello standard.

    Risk assessment e risk treatment

    Il cuore metodologico di ISO/IEC 27001 è il processo di gestione del rischio:

    1. Identificare gli asset informativi e i loro proprietari
    2. Identificare le minacce applicabili e le vulnerabilità che potrebbero sfruttare
    3. Stimare la probabilità e l’impatto di ogni scenario di rischio
    4. Determinare il livello di rischio accettabile (risk appetite)
    5. Selezionare il trattamento: accettare, mitigare, trasferire (assicurazione) o eliminare il rischio
    6. Implementare i controlli scelti e documentarne l’efficacia

    Lo standard non prescrive una metodologia specifica di risk assessment — l’organizzazione può usare ISO/IEC 27005, NIST SP 800-30, OCTAVE o qualsiasi approccio documentato e ripetibile.

    Relazione con ISO/IEC 27002

    ISO/IEC 27002 è il codice di pratica complementare: fornisce le linee guida di implementazione per i 93 controlli dell’Allegato A. Mentre 27001 definisce i requisiti (cosa fare), 27002 fornisce le linee guida (come farlo). Non è certificabile — è uno strumento di supporto.

    Processo di certificazione

    La certificazione ISO/IEC 27001 è rilasciata da un ente di certificazione accreditato (in Italia: Accredia) dopo un audit in due fasi: audit documentale (verifica del sistema documentale) e audit sul campo (verifica dell’implementazione). La certificazione ha durata triennale con audit di sorveglianza annuali.

    Ottenere la certificazione dimostra a clienti, partner e autorità di regolamentazione che l’organizzazione gestisce la sicurezza delle informazioni in modo strutturato — rilevante per contratti con PA, compliance GDPR e settori regolamentati (bancario, sanitario, difesa).

    Ultimo aggiornamento: