Vai al contenuto
ISO 27001

La struttura della norma ISO 27001

·
6 minuti di lettura
HR da una parte, IT dall’altra?
Gestisci dispositivi, licenze e sicurezza da un unico posto. Sincronizzato con le assunzioni e le uscite del tuo team. Scopri Factorial IT
Scritto da

Chi apre la ISO 27001 per la prima volta resta spiazzato. Il documento non parte da un elenco di misure di sicurezza. Parte da un’introduzione, prosegue con una sezione di definizioni e solo dopo arrivano i requisiti. Come se non bastasse, quei requisiti sono numerati dal 4 al 10, come se qualcuno avesse strappato le prime pagine.

Non manca nulla. La norma è costruita così di proposito, e capirne l’architettura è il modo più rapido per smettere di vederla come un mattone e cominciare a usarla come una mappa.

In questo articolo percorriamo la norma dall’inizio alla fine. Cosa contiene ogni parte, quali sono obbligatorie, quali sono orientative e perché la numerazione comincia dove comincia.

Che cos'è la ISO 27001 e perché la sua struttura è importante?

La ISO 27001 è la norma internazionale che descrive come costruire e mantenere un sistema di gestione della sicurezza delle informazioni, o SGSI. Se cerchi il dettaglio su cosa serve, a quali aziende si applica e quali vantaggi porta, trovi tutto nella nostra guida completa alla ISO 27001.

Qui ci concentriamo sulla sua architettura, e quell’architettura poggia su due blocchi che funzionano in modo molto diverso:

  • Il primo sono i punti. Sono i requisiti. Dicono cosa l’organizzazione deve fare, senza margini, per potersi certificare. Un auditor arriva, li legge e verifica uno per uno se li rispetti.
  • Il secondo è l’Allegato A. È un catalogo di controlli di sicurezza. Non sei obbligato ad applicarli tutti. Sei obbligato a guardarli tutti, a decidere quali ti servono in base ai tuoi rischi e a giustificare per iscritto quelli che scarti.

Questa separazione tra ciò che è obbligatorio e ciò che è selezionabile è la chiave dell’intera norma. Chi confonde i due blocchi finisce per credere che certificarsi significhi implementare novantatré misure di sicurezza, ma la realtà è un’altra.

Perché la ISO 27001 comincia dal punto 4?

Perché i primi punti esistono, ma non sono verificabili in audit.

Dietro c’è una decisione dell’ISO. Per evitare che le sue norme sui sistemi di gestione venissero scritte ognuna per conto proprio, l’organizzazione ha creato un modello interno chiamato Annex SL. Non è una norma che si compra né che si certifica. È lo stampo che i comitati tecnici seguono quando redigono qualsiasi norma di gestione, ed è da lì che escono l’indice comune in dieci punti, i requisiti condivisi e un vocabolario unico per parole come rischio o non conformità.

Ogni comitato aggiunge poi il proprio contenuto sopra quella base. Nella ISO 27001, la parte specifica è tutto ciò che riguarda la sicurezza delle informazioni, la valutazione dei rischi e l’Allegato A. Per questo, se la tua azienda è già certificata ISO 9001, i punti su leadership, supporto e valutazione delle prestazioni ti suoneranno familiari. Sono scritti quasi allo stesso modo.

Una nota di vocabolario. Questa struttura comune si è chiamata per anni High Level Structure, o HLS. Dalla revisione del 2021 il suo nome ufficiale è struttura armonizzata, e vedrai i due termini usati come sinonimi. La versione 2022 della ISO 27001 la recepisce già.

Punti da 0 a 3 della ISO 27001: la parte introduttiva

Questi quattro punti occupano poche pagine e nessun auditor ti chiederà evidenze al riguardo. Saltarli, però, è un errore, perché contengono le regole del gioco:

  • Punto 0, introduzione: spiega a cosa serve la norma e cosa ci si aspetta da un’organizzazione che la adotta. Qui compare l’idea che il SGSI debba essere integrato nei processi aziendali e non essere un’appendice che vive in una cartella condivisa. È una dichiarazione d’intenti, non un requisito.
  • Punto 1, scopo e campo di applicazione: da non confondere con il campo di applicazione del tuo SGSI, che è un’altra cosa e compare al punto 4. Questo punto indica a quale tipo di organizzazioni si applica la ISO 27001, e la risposta è a tutte. Qualsiasi dimensione, qualsiasi settore. Chiarisce anche che i punti da 4 a 10 non sono negoziabili se vuoi certificarti.
  • Punto 2, riferimenti normativi: rimanda alla ISO 27000, un documento gratuito che raccoglie il vocabolario comune a tutta la famiglia 27000. Se a un certo punto hai dubbi sul significato esatto di un termine, la risposta è lì.
  • Punto 3, termini e definizioni: fissa il significato delle parole che la norma utilizza. Sembra una formalità, ma non lo è. Parole come rischio, controllo, informazioni documentate o parte interessata hanno un senso preciso all’interno della norma che non sempre coincide con l’uso comune. Molte discussioni sterili in un progetto di implementazione si risolvono aprendo questo punto.

Punti da 4 a 10 della ISO 27001: i requisiti certificabili

Qui c’è la norma vera. Questi sette punti sono ciò che un auditor verifica, e l’ordine in cui compaiono non è casuale. Raccontano una storia che va dal capire la tua organizzazione al migliorarla in modo continuo.

  • Punto 4, contesto dell’organizzazione: il punto di partenza. Devi individuare quali fattori interni ed esterni incidono sulla tua sicurezza delle informazioni, chi sono le parti interessate e cosa si aspettano da te. Clienti, dipendenti, autorità di controllo, fornitori. Con questo definisci il campo di applicazione del tuo SGSI, ossia quali processi, quali sedi e quali sistemi restano dentro.
  • Punto 5, leadership: la direzione deve esporsi davvero. Non basta firmare un documento. Qui si richiede che l’alta direzione approvi una politica di sicurezza delle informazioni, assegni responsabilità chiare e metta a disposizione le risorse necessarie.
  • Punto 6, pianificazione: il cuore della norma. Qui definisci come individui e valuti i tuoi rischi di sicurezza, quali accetti, quali tratti e quali controlli applichi. Ne escono due documenti, il piano di trattamento dei rischi e la Dichiarazione di Applicabilità, dove giustifichi controllo per controllo perché lo applichi o perché no.
  • Punto 7, supporto: tutto ciò che serve perché il sistema funzioni. Persone con le competenze adeguate, formazione, consapevolezza del personale, canali di comunicazione interni ed esterni e controllo della documentazione.
  • Punto 8, attività operative: mettere in pratica quanto pianificato. Esegui i processi, applichi il piano di trattamento dei rischi e ripeti la valutazione dei rischi a intervalli regolari o quando cambiano le circostanze. Ti obbliga anche a tenere sotto controllo i processi che affidi all’esterno, perché esternalizzare un servizio non esternalizza la tua responsabilità.
  • Punto 9, valutazione delle prestazioni: verificare che il sistema funzioni. Poggia su tre pilastri, il monitoraggio e la misurazione degli indicatori che hai definito, l’audit interno svolto da qualcuno che sia obiettivo, e il riesame della direzione, una riunione formale e documentata in cui l’alta direzione analizza i risultati e prende decisioni.
  • Punto 10, miglioramento: chiudere il cerchio. Quando qualcosa va storto, e prima o poi qualcosa andrà storto, bisogna registrare la non conformità, correggerla, analizzare perché è successo e agire sulla causa affinché non si ripeta.

L'Allegato A e i 93 controlli di sicurezza

L’Allegato A è la lista della spesa. Novantatré controlli di sicurezza che la norma mette sul tavolo perché tu scelga quelli che ti servono.

È qui che sbaglia il maggior numero di persone, quindi conviene essere netti. Non devi implementarli tutti e novantatré. Devi passarli tutti in rassegna, confrontarli con i rischi individuati al punto 6, applicare quelli che hanno senso e giustificare per iscritto quelli che scarti. Quella giustificazione è la Dichiarazione di Applicabilità.

Un esempio. Se la tua azienda non sviluppa software, i controlli sullo sviluppo sicuro non ti riguardano e lo scrivi. Se non hai un ufficio fisico perché tutto il team lavora da remoto, alcuni controlli fisici decadono. L’auditor non si aspetta che tu li abbia tutti. Si aspetta che le tue decisioni siano coerenti con i tuoi rischi.

Fino alla versione del 2013 i controlli erano centoquattordici, distribuiti su quattordici sezioni. La revisione del 2022 li ha raggruppati, ha eliminato le sovrapposizioni, ha introdotto undici controlli nuovi legati al cloud, alla threat intelligence e alla sicurezza nello sviluppo, e li ha ridotti a novantatré organizzati in quattro grandi famiglie.

  • Controlli organizzativi: sono trentasette e formano la famiglia più numerosa. Coprono politiche, ruoli e responsabilità, gestione dei fornitori, classificazione delle informazioni, risposta agli incidenti e continuità operativa. È la parte più gestionale e meno tecnologica.
  • Controlli relativi alle persone: sono otto. Vanno dalla verifica dei precedenti prima dell’assunzione agli accordi di riservatezza, passando per la formazione sulla sicurezza, il procedimento disciplinare e cosa succede quando qualcuno lascia l’azienda. Il fattore umano concentrato in un unico blocco.
  • Controlli fisici: sono quattordici. Perimetri di sicurezza, controllo degli accessi ai locali, protezione dalle minacce ambientali, sicurezza del cablaggio, politica della scrivania pulita e dello schermo bloccato, smaltimento sicuro di apparecchiature e supporti.
  • Controlli tecnologici: sono trentaquattro. Quello che la maggior parte delle persone immagina sentendo parlare di sicurezza delle informazioni. Gestione delle identità, autenticazione, cifratura, backup, registrazione e monitoraggio, protezione dal malware, gestione delle vulnerabilità e sicurezza nello sviluppo software.

La versione del 2022 ha aggiunto anche uno strato utile. Ogni controllo porta con sé cinque attributi che permettono di filtrarlo e classificarlo. Tipo di controllo, proprietà di sicurezza protetta, concetto di cybersecurity, capacità operativa e dominio di sicurezza.

Relazione tra l'Allegato A e la ISO 27002

Leggendo l’Allegato A noterai che ogni controllo viene liquidato in due o tre righe. Ti dice cosa bisogna ottenere, non come ottenerlo. È voluto, perché l’Allegato A è un indice di riferimento, non un manuale.

Le istruzioni stanno nella ISO 27002, una norma distinta che si acquista a parte e non si certifica. Contiene gli stessi novantatré controlli con la stessa numerazione, ma dedica a ciascuno diverse pagine spiegandone la finalità e come implementarlo. In breve, la ISO 27001 dice cosa fare e ti certifica, la ISO 27002 spiega come e nessuno ti farà un audit su di essa. Se vuoi il dettaglio, mettiamo a confronto le due norme in questo articolo.

Il flusso di lavoro è semplice. Individui i tuoi rischi al punto 6, percorri l’Allegato A per selezionare i controlli che rispondono a quei rischi, documenti la selezione nella Dichiarazione di Applicabilità e apri la ISO 27002 allo stesso numero per implementare ciascuno di essi.

Con questo hai la mappa completa. Quattro punti introduttivi che fissano il vocabolario, sette punti certificabili che raccontano il ciclo di vita del sistema, un catalogo di novantatré controlli da cui scegli ciò che ti serve e una norma gemella che ti spiega come applicarli.