Compliance · Normative · N°05

Consulenza ISO/IEC 27001

La certificazione non è un traguardo. È il punto da cui si comincia a gestire la sicurezza per davvero.

Richiedi informazioni → Scopri come lavoro

Che cos’è

La consulenza ISO/IEC 27001 è l’accompagnamento all’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme allo standard. Non è compilare moduli. È costruire — insieme al cliente — un sistema vivente di:

  • identificazione e gestione dei rischi informativi,
  • definizione di policy e procedure realmente applicate,
  • implementazione dei 93 controlli dell’Allegato A nella misura appropriata al contesto,
  • monitoraggio, revisione, miglioramento continuo (PDCA).

Un SGSI ben fatto non frena il business: lo rende auditabile e più resiliente.

Cosa ottieni

  • Analisi del contesto (clausola 4) — parti interessate, perimetro, interfacce, dipendenze tecnologiche.
  • Statement of Applicability (SoA) motivato controllo per controllo — documento cardine dell’audit di certificazione.
  • Metodologia di risk assessment coerente con ISO/IEC 27005, con risk register operativo.
  • Set completo di policy e procedure — access control, cryptography, supplier management, incident response, business continuity, secure development, gestione delle vulnerabilità, gestione dei log.
  • Piano di trattamento del rischio con responsabilità, scadenze, KPI.
  • Metriche e KPI del SGSI — perché ciò che non si misura non si gestisce.
  • Supporto all’audit di certificazione fino al rilascio del certificato, inclusi pre-audit simulati.

A chi si rivolge

  • PMI e aziende medio-grandi che rispondono a clienti enterprise/PA che richiedono ISO 27001 come requisito contrattuale.
  • Software vendor e SaaS che gestiscono dati di terzi.
  • Managed Service Provider ed hosting che vogliono elevare la credibilità commerciale.
  • Organizzazioni in perimetro NIS2 o DORA — ISO 27001 è un ottimo scheletro su cui appendere i requisiti settoriali.
  • Enti certificatori stessi che richiedono supporto tecnico su audit complessi.

Metodologia

Un SGSI implementato bene si costruisce in fasi:

  1. Gap analysis iniziale (4–6 settimane) — per sapere da dove si parte e quanto costerà arrivare.
  2. Analisi del contesto e del rischio — metodologia concordata, asset classification, valutazione.
  3. Definizione dei controlli — il SoA nasce qui, da una negoziazione consapevole fra norma, rischio e fattibilità.
  4. Redazione documentale partecipata — le policy le scrivo con il cliente, non per il cliente. Devono essere applicate, non archiviate.
  5. Implementazione tecnica e organizzativa — training, gestione del cambiamento, rollout dei controlli tecnici.
  6. Audit interno simulatodry run della certificazione con identificazione delle non conformità.
  7. Accompagnamento all’audit di terza parte — presenza on-site durante le giornate dell’organismo.

Perché con me

Sono Lead Auditor ISO/IEC 27001 certificato, ma ho cominciato come ethical hacker. Questa doppia prospettiva — chi attacca e chi certifica — mi permette di costruire SGSI che passano l’audit e reggono alle minacce reali. Ho supportato organizzazioni in Italia, Albania e Malta. Il SGSI che ti aiuto a costruire non finisce in un armadio: diventa la spina dorsale della tua sicurezza.

Letture correlate

Dall'archivio — compliance · normative.

Vedi la categoria
Normative

Totem nelle stazioni: no all'occhio occulto della pubblicità

Leggi
Normative

Petizione: Inserire l'Educazione Digitale nei programmi scolastici

Leggi
Normative

Blog Clandestini e libertà d'informazione on line

Leggi
Normative

PEC al Registro Imprese

Leggi

Interessa questo servizio? Apriamo un canale.

Risposta entro 48h lavorative · Primo incontro conoscitivo gratuito · profilo completo