ISO 27001
ISO/IEC 27001 – Sicurezza delle Informazioni
ISMS. Versione 2022 con 93 controlli Annex A. Implementabile, certificabile.
Che cos'è ISO 27001
ISO/IEC 27001 è la norma internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS). La versione attuale, pubblicata nel 2022, contiene 93 controlli di sicurezza (Annex A) raggruppati in quattro temi: organizzativi, persone, fisici, tecnologici.
L'obiettivo
Proteggere la riservatezza, l'integrità e la disponibilità delle informazioni, comprese quelle ricevute da terzi. Approccio basato sul rischio: prima si identifica cosa proteggere e da cosa, poi si scelgono i controlli proporzionati. Non è un manuale tecnico, è governance.
I vantaggi concreti
Perché ISO 27001 conviene davvero.
Marketplace ACN
Prerequisito (con 27017 e 27018) per fornire software e cloud alla PA italiana.
Requisito clienti enterprise
Banche, big tech, sanità: spesso non si può offrire senza ISO 27001.
Prevenzione data breach
Risk assessment strutturato, controlli sistematici.
Conformità GDPR e NIS2
Buona parte degli adempimenti GDPR Art. 32 e NIS2 Art. 21 coperti.
Riduzione premi assicurativi
Cyber insurance: aliquote più favorevoli.
Differenziazione
In settori dove la sicurezza è critica, vantaggio competitivo concreto.
Come lavoriamo
Il nostro approccio.
01
Gap analysis
Audit iniziale per fotografare lo stato attuale e identificare i gap rispetto alla norma.
02
Implementazione
Progettazione del sistema, redazione documentale, formazione del personale.
03
Audit interno + Riesame
Verifica interna di funzionamento del sistema prima dell'audit di certificazione.
04
Mantenimento
Assistenza continua, audit annuali, aggiornamenti normativi.
Domande frequenti
Tutto quello che vuoi sapere su ISO 27001 .
Le domande che ci fanno più spesso. Non trovi la tua? Scrivici.
Quanto costa ISO 27001 per una software house?
Per una software house di 10-30 persone, range tipico 12.000-25.000€ tra consulenza e ente (anno 1). Negli anni successivi 4.000-7.000€/anno per i mantenimenti. Il costo è giustificato dall’apertura del mercato enterprise: spesso un singolo cliente assicurato vale molte volte la spesa.
ISO 27001 è obbligatoria per essere nel Marketplace ACN?
Sì. Per essere iscritti al Marketplace dell’Agenzia per la Cybersicurezza Nazionale (condizione per fornire software e servizi cloud alla Pubblica Amministrazione italiana) è richiesta la tripletta ISO 27001 + 27017 + 27018. Senza, non si può partecipare. È il principale driver di certificazione per molte PMI tecnologiche italiane.
Quanto tempo serve per certificarsi ISO 27001?
Da zero alla certificazione, indicativamente 6-9 mesi. Aziende già strutturate (con processi IT documentati e qualche framework di controllo) possono farcela in 4-5 mesi. Il fattore principale è la velocità di implementazione dei controlli tecnici (cifratura, controllo accessi, logging, BCP) dove si trovano i gap principali.
Quanti controlli devo implementare con ISO 27001:2022?
La nuova versione 2022 ha 93 controlli nell’Annex A, raggruppati in 4 temi (organizzativi, persone, fisici, tecnologici). Non sono tutti obbligatori: il principio è la ‘applicabilità giustificata’. Si parte dal risk assessment, si scelgono i controlli pertinenti, si motiva l’esclusione di quelli non applicabili nella SoA (Statement of Applicability).
ISO 27001 sostituisce il GDPR?
No, sono complementari. ISO 27001 è un framework di sicurezza delle informazioni, GDPR è la normativa sulla protezione dei dati personali. Avere ISO 27001 copre buona parte degli obblighi tecnici dell’Art. 32 GDPR (‘misure adeguate al rischio’) ma non sostituisce gli adempimenti formali GDPR (informative, registro trattamenti, DPIA, DPO se obbligatorio).
La transizione alla versione 2022 è obbligatoria?
Sì. La versione 2013 cessa di essere valida e tutti i certificati devono migrare alla 2022 entro le scadenze fissate da Accredia. Aziende ancora con certificato 2013 devono pianificare la transizione entro il prossimo audit di sorveglianza, pena la perdita del certificato.
Esistono contributi pubblici per coprire i costi del percorso di certificazione?
Sì, ci sono diverse linee di finanziamento che spesso coprono una quota significativa della spesa (consulenza + ente di certificazione). I principali per le aziende altoatesine:
- Provincia Autonoma di Bolzano – Legge Provinciale 14/2006 e direttive collegate sull’innovazione, digitalizzazione e sostenibilità, con contributi a fondo perduto fino al 40-50% delle spese di consulenza e certificazione per PMI.
- IDM Südtirol – bandi specifici per innovazione, transizione digitale e sostenibilità (anche per processi di certificazione).
- Camera di Commercio di Bolzano – voucher digitalizzazione PID (Punto Impresa Digitale), contributi per formazione 4.0, bandi periodici per certificazioni qualità, ambiente, sicurezza e cyber.
- PNRR e fondi europei – bandi periodici (Transizione 5.0, ISI INAIL, GOL, ecc.) a seconda della norma e del settore.
PL Consulting assiste le aziende nella ricerca dei contributi pubblici più appropriati e delle migliori pratiche di finanziamento tramite propri partner specializzati, dall’analisi di ammissibilità fino alla predisposizione e rendicontazione della domanda.
Strumenti correlati
Provali in 2 minuti.
Contatti
Parliamone.
Risposta entro 24 ore lavorative. Oppure chiamaci direttamente – preferiamo le voci ai form.