Molte aziende danno per scontato che implementare il Sistema di Gestione della Sicurezza delle Informazioni sia la parte difficile della ISO 27001, e che certificarsi sia solo burocrazia. La sorpresa arriva con l’audit. L’ente di certificazione non valuta le tue buone intenzioni né quanto sono ben scritte le tue policy: verifica se puoi dimostrare, con prove concrete, che il tuo SGSI funziona esattamente come dice la carta.
In questo articolo ti spieghiamo come funziona il processo di certificazione ISO 27001 dall’inizio alla fine, dai requisiti preliminari fino a come mantenere il certificato una volta ottenuto.
Cosa significa essere certificati ISO 27001?
Essere certificati ISO 27001 significa che un ente di certificazione accreditato ha sottoposto ad audit il tuo Sistema di Gestione della Sicurezza delle Informazioni (SGSI) e ha confermato che soddisfa i requisiti della norma. Implementare la norma e certificarsi non sono la stessa cosa. L’implementazione è il lavoro interno di progettare policy, valutare i rischi e applicare i controlli. La certificazione è il riconoscimento esterno che convalida quel lavoro.
Il certificato viene rilasciato da un ente indipendente, mai dall’ISO stessa, e ha una validità di tre anni, subordinata ad audit di sorveglianza. Senza quel marchio, per quanto solido sia il tuo SGSI, non puoi dimostrare a clienti, partner o pubbliche amministrazioni di rispettare la norma.
I requisiti preliminari
Prima di contattare un ente di certificazione, la tua organizzazione deve soddisfare una serie di condizioni minime. Richiedere l’audit senza rispettarle si traduce quasi sempre in non conformità che rallentano l’intero processo.
- SGSI implementato e operativo: non basta avere le policy scritte, il sistema deve essere attivo, con prove che venga seguito ogni giorno.
- Dichiarazione di Applicabilità (SoA) e Piano di Trattamento dei Rischi: sono i primi documenti che l’auditor esamina. Devono indicare i controlli dell’Allegato A che applichi e perché.
- Audit interno preliminare: la norma richiede che tu abbia esaminato il tuo SGSI prima che lo faccia un auditor esterno.
- Riesame di direzione: l’alta direzione deve aver valutato formalmente le prestazioni del SGSI e averlo messo agli atti.
- Uno storico minimo di prove: la maggior parte degli enti consiglia almeno tre mesi di registrazioni (accessi, incidenti, formazione) per poter sottoporre ad audit il sistema in condizioni reali e non solo sulla carta.
Come scegliere un ente di certificazione?
Non tutte le aziende possono rilasciare un certificato ISO 27001 valido. L’ente di certificazione deve essere accreditato da un organismo nazionale di accreditamento — in Italia ACCREDIA — o dal suo equivalente in altri Paesi, all’interno del quadro di mutuo riconoscimento dell’IAF. Un certificato rilasciato da un ente non accreditato non ha alcun valore davanti a clienti o pubbliche amministrazioni.
Oltre all’accreditamento, conviene confrontare diversi criteri prima di firmare con un ente.
- Esperienza nel tuo settore: un auditor che conosce i rischi tipici del tuo comparto interpreta meglio il tuo ambito e i tuoi controlli.
- Riconoscimento internazionale: se lavori con clienti fuori dall’Italia, verifica che il certificato sia riconosciuto in quei mercati.
- Trasparenza sui costi: chiedi il dettaglio delle fasi di audit, non solo un prezzo forfettario, per evitare sorprese nella sorveglianza annuale.
- Tempi di disponibilità: gli enti più richiesti possono impiegare settimane ad assegnare un auditor, un aspetto da prevedere se hai una scadenza commerciale.
- Indipendenza: l’auditor non può aver partecipato alla consulenza o all’implementazione del tuo SGSI. La norma impone la separazione tra chi ti aiuta a implementare e chi ti certifica.
- Referenze verificabili: chiedi di parlare con aziende del tuo settore già certificate da quell’ente. L’esperienza concreta di altri clienti dice più di una brochure commerciale.
Le fasi dell'audit di certificazione
L’audit di certificazione ISO 27001 non è un unico esame, ma un processo in due fasi che valuta prima la progettazione del tuo SGSI e poi il suo funzionamento reale. Capire cosa esamina l’auditor in ciascuna fase aiuta ad arrivare preparati e a non confondere «avere la documentazione pronta» con «essere pronti per la Fase 2».
Audit di Fase 1: la revisione documentale
In questa prima fase, l’auditor esamina la documentazione del tuo SGSI senza ancora valutare come viene applicata nel quotidiano. L’obiettivo è verificare che il sistema sia progettato in conformità con la norma prima di passare alla parte operativa.
I documenti più esaminati in questa fase sono la Dichiarazione di Applicabilità, il Piano di Trattamento dei Rischi, la politica di sicurezza delle informazioni e l’ambito definito per il SGSI. Per esempio, se la tua Dichiarazione di Applicabilità indica che applichi il controllo A.8.10 sull’eliminazione sicura delle informazioni, l’auditor cercherà la procedura documentata che descrive come viene eseguito quel controllo, anche se non verifica ancora se venga seguito nella pratica.
Se la Fase 1 rileva lacune importanti, come un ambito mal definito o documenti che non rispecchiano i controlli reali dell’organizzazione, l’auditor può chiederne la correzione prima di fissare la data della Fase 2. Anticipare questa revisione con un audit interno riduce il rischio di sorprese a questo punto.
Audit di Fase 2: l’audit in loco
Qui si valuta se ciò che dice la documentazione trova riscontro nella pratica. L’auditor intervista personale di diverse aree, non solo il team IT o il responsabile della sicurezza, ed esamina i registri di accesso, gli incidenti e la formazione per confrontare la teoria con l’operatività reale.
L’offboarding è un esempio tipico. Se la tua policy prevede che gli accessi vengano revocati lo stesso giorno in cui un dipendente lascia l’azienda, l’auditor può chiedere la registrazione di un’uscita recente e verificare la data e l’ora esatte in cui gli account sono stati disattivati. La gestione dei dispositivi è un altro caso classico. L’auditor può richiedere l’inventario dei dispositivi aziendali per verificare che corrisponda ai dispositivi fisicamente presenti, oppure chiedere a un dipendente a caso come gestisce la crittografia del suo portatile.
Questa fase si basa di solito su campionamenti: l’auditor non controlla il 100% dei casi, ma una selezione rappresentativa. Per questo la costanza conta più di un singolo caso ben risolto. Se un processo funziona solo quando qualcuno lo prepara apposta per l’audit, il campione tende a smascherarlo.
La gestione delle non conformità
Se l’auditor rileva scostamenti tra ciò che è documentato e ciò che viene applicato, li classifica in base alla gravità.
- Non conformità minore: un’anomalia puntuale o isolata, per esempio una registrazione di formazione incompleta per un dipendente. Si risolve di solito con un piano d’azione in poche settimane, senza ripetere l’audit.
- Non conformità maggiore: un’anomalia sistematica o che compromette l’efficacia del SGSI, per esempio un controllo chiave dell’Allegato A del tutto assente o la totale mancanza di prove su un processo obbligatorio. Questo tipo di rilievo può imporre una visita aggiuntiva dell’auditor prima del rilascio del certificato.
- Opportunità di miglioramento: non è una non conformità, ma una raccomandazione dell’auditor per rafforzare il sistema nei cicli successivi.
Il rilascio del certificato
Una volta chiuse le non conformità rilevate, l’ente rilascia il certificato ISO 27001 con una validità di tre anni. Questa validità è subordinata ad audit di sorveglianza annuali, che verificano se il SGSI resta attivo e se le non conformità precedenti sono state risolte in modo efficace.
Il certificato riporta di solito l’ambito esatto sottoposto ad audit, quindi conviene rileggerlo con attenzione prima di comunicarlo ai clienti o di allegarlo a una gara: un ambito formulato male può sollevare domande scomode durante un processo d’acquisto.
Quanto tempo ci vuole?
Non esiste una tempistica standard. Una piccola organizzazione con un ambito ristretto e processi già digitalizzati può completare l’intero percorso, dalla diagnosi iniziale al rilascio del certificato, in pochi mesi. Le organizzazioni più grandi, con più sedi o sistemi legacy, possono aver bisogno da sei mesi a oltre un anno.
I fattori che pesano di più sui tempi sono il livello di maturità già raggiunto nella sicurezza delle informazioni, l’ampiezza dell’ambito definito per il SGSI, la disponibilità di prove già centralizzate rispetto a quelle da ricostruire a mano e l’agenda dell’ente scelto. Il consiglio più ricorrente tra chi ha già affrontato il processo è trattarlo come un progetto con risorse dedicate fin dall’inizio, non come un compito aggiunto al lavoro quotidiano dell’IT.
Come mantenere la certificazione?
Ottenere il certificato sembra spesso il traguardo, ma in realtà è il punto di partenza di un ciclo di tre anni. L’ente di certificazione non sparisce dopo averti consegnato il marchio: torna a intervalli regolari per verificare che il tuo SGSI sia ancora vivo e non si sia cristallizzato nello stato in cui è stato sottoposto ad audit.
- Gli audit di sorveglianza annuali: sono visite più brevi della certificazione iniziale, di solito incentrate su un campione di controlli invece che sull’intero sistema. L’auditor verifica che le non conformità rilevate durante la certificazione siano state corrette davvero e non solo sulla carta, e tende a ruotare le aree esaminate di anno in anno per non controllare sempre le stesse.
- L’audit di ricertificazione: si svolge prima che scadano i tre anni di validità e ha un’ampiezza più simile alla Fase 2 originale. Se durante le sorveglianze annuali il SGSI si è mantenuto attivo, questo audit è più una conferma che una sorpresa. Se si sono accumulate toppe irrisolte, è il momento in cui vengono tutte a galla.
- Il miglioramento continuo del SGSI: la norma non consente di lasciare il sistema com’era al momento della certificazione. Ogni incidente di sicurezza, ogni nuovo strumento introdotto o ogni cambiamento nell’organizzazione dovrebbe tradursi in una revisione di rischi e controlli. Un SGSI che non si aggiorna è una delle cause più frequenti di non conformità nelle sorveglianze.
- La continuità delle prove: mantenere la certificazione dipende dalla capacità di dimostrare, in qualsiasi momento e non solo prima di una visita, che i controlli continuano a funzionare. I registri di accessi, incidenti e formazione devono essere generati con continuità, per evitare lo stesso problema dell’ultimo minuto che complica già la certificazione iniziale.
I principali errori
La maggior parte dei processi di certificazione non fallisce per mancanza di competenza tecnica. Fallisce per scelte gestionali che sul momento sembrano marginali e che poi costano settimane di ritardo. Ecco gli errori più ricorrenti.
- Trattare la certificazione come un adempimento una tantum: quando l’obiettivo è solo ottenere il marchio, il SGSI viene documentato per superare l’audit, non per funzionare ogni giorno. Il risultato è un sistema che supera la Fase 2 per il rotto della cuffia e che inizia ad accumulare non conformità già alla prima sorveglianza annuale.
- Lasciare le prove all’ultimo: i registri di accessi, incidenti e formazione non si ricostruiscono a memoria due settimane prima dell’audit. Se non vengono generati con continuità, compaiono lacune che l’auditor rileva subito e che sono molto più difficili da giustificare di un controllo semplicemente applicato male.
- Sottovalutare tempi e risorse: certificarsi non è un compito che si può assorbire tra le altre responsabilità del team IT. Senza tempo dedicato né un sostegno esplicito della direzione, il progetto si dilata, perde priorità rispetto alle urgenze quotidiane e arriva all’audit meno preparato del previsto.
- Scegliere l’ente solo in base al prezzo: una tariffa più bassa che non include esperienza nel tuo settore o buona disponibilità di agenda si rivela spesso cara in altro modo, in tempi che si allungano o in un audit più oneroso da gestire internamente.
- Ripetere la stessa non conformità a ogni audit: un rilievo puntuale non mette a rischio la certificazione, ma uno scostamento che riappare audit dopo audit sì, perché indica che il controllo non è mai stato corretto alla radice, solo ritoccato in vista della visita successiva.
- Non coinvolgere il personale fuori dall’IT: la Fase 2 comprende interviste a dipendenti di diverse aree, non solo al team tecnico. Se nessun altro in azienda conosce le policy del SGSI, quel divario tra ciò che è documentato e ciò che le persone sanno davvero tende a emergere proprio in quel momento.
Come ti aiuta Factorial IT?
La parte del processo che richiede più tempo di solito non è progettare le policy, ma dimostrare che vengono rispettate. Factorial IT centralizza la gestione di dispositivi, accessi e sicurezza della tua organizzazione e trasforma quella gestione in prove pronte per l’audit.

- Inventario degli asset in tempo reale. L’MDM mantiene un registro aggiornato di tutti i dispositivi aziendali, uno dei primi elementi che qualsiasi auditor esamina nella Fase 1.
- Gestione centralizzata degli accessi SaaS. Ogni attivazione, disattivazione e modifica dei permessi viene registrata, il che facilita la giustificazione del controllo degli accessi durante la Fase 2.
- Offboarding automatico e documentato. Quando un dipendente lascia l’azienda, i suoi accessi vengono revocati e il suo dispositivo bloccato in automatico, con data e ora, un controllo che gli auditor esaminano di frequente.
- Rilevamento e risposta sugli endpoint (EDR). Fornisce la prova che i dispositivi sono protetti e monitorati, non solo inventariati.
- Log esportabili in qualsiasi momento. Invece di ricostruire le prove a mano prima di ogni audit, i registri di attività, accessi e incidenti restano disponibili con continuità, riducendo il lavoro di preparazione sia nella certificazione iniziale sia nelle sorveglianze annuali.
Su questa base, il tuo team arriva all’audit con prove reali e verificabili, invece di raccoglierle in corsa nelle settimane che precedono la visita dell’auditor.

