ISO 27001:2022 — Complete Guide for SMEs
The international standard for Information Security Management Systems, explained with practical implementation steps and automated assessment through WarDek security scanning.
Cos'è ISO 27001:2022?
ISO 27001 è lo standard riconosciuto a livello mondiale per i Sistemi di Gestione della Sicurezza delle Informazioni (SGSI). Pubblicato da ISO e IEC, definisce come le organizzazioni dovrebbero gestire i rischi della sicurezza delle informazioni attraverso un approccio sistematico e basato sui processi. La revisione 2022 ha modernizzato l'insieme dei controlli per affrontare il cloud computing, la threat intelligence e la protezione dei dati.
La certificazione viene rilasciata da auditor terzi accreditati e deve essere rinnovata ogni tre anni con audit di sorveglianza annuali. Per le PMI, ISO 27001 è sempre più un requisito competitivo — i grandi clienti la richiedono frequentemente durante la valutazione dei fornitori.
Le 4 categorie di controlli (Allegato A)
ISO 27001:2022 organizza i suoi 93 controlli in quattro temi, sostituendo la precedente struttura a 14 domini:
| Categoria | Controlli | Focus |
|---|---|---|
| Organizzativi | 37 | Politiche, ruoli, responsabilità, threat intelligence, servizi cloud, relazioni con i fornitori |
| Persone | 8 | Verifica dei precedenti, formazione sulla consapevolezza, lavoro da remoto, accordi di riservatezza |
| Fisici | 14 | Sicurezza perimetrale, protezione delle apparecchiature, aree sicure, cablaggi, sorveglianza |
| Tecnologici | 34 | Controllo degli accessi, crittografia, sviluppo sicuro, gestione delle vulnerabilità, registrazione, sicurezza di rete |
Ogni controllo ha attributi associati — tipo di controllo (preventivo, investigativo, correttivo), proprietà di sicurezza delle informazioni (CIA) e concetti di cybersicurezza — facilitando la mappatura con altri framework.
12 controlli tecnici chiave automatizzati da WarDek
Gli scanner di sicurezza di WarDek valutano automaticamente i seguenti controlli dell'Allegato A tramite scansioni passive e attive:
| Controllo | Nome | Cosa verifica WarDek |
|---|---|---|
| A.5.7 | Threat intelligence | Database di vulnerabilità note, esposizione CVE, feed di minacce |
| A.5.23 | Sicurezza dei servizi cloud | Header del provider cloud, configurazione CDN, esposizione dello storage |
| A.8.9 | Gestione della configurazione | Header di sicurezza, configurazione del server, impostazioni predefinite |
| A.8.16 | Attività di monitoraggio | Header di registrazione, gestione degli errori, divulgazione di informazioni |
| A.8.20 | Sicurezza di rete | Configurazione TLS, suite di cifratura, versioni del protocollo, HSTS |
| A.8.24 | Uso della crittografia | Validità del certificato, robustezza delle chiavi, standard di crittografia |
| A.8.25 | Ciclo di sviluppo sicuro | Header di sicurezza indicanti pratiche SDLC, politiche CSP |
| A.8.26 | Requisiti di sicurezza delle applicazioni | Validazione degli input, politiche CORS, meccanismi di autenticazione |
| A.8.28 | Codifica sicura | Protezioni XSS, difese contro l'iniezione, codifica dell'output |
| A.8.8 | Gestione tecnica delle vulnerabilità | CVE note, versioni software obsolete, stato delle patch |
| A.8.12 | Prevenzione della fuga di dati | Metadati esposti, elenco delle directory, divulgazione di informazioni |
| A.8.22 | Filtraggio web | Politiche di sicurezza dei contenuti, politiche di referrer, permessi |
Roadmap di implementazione per le PMI
Un approccio pratico in 6 fasi per la certificazione ISO 27001 delle piccole e medie imprese:
Fase 1 — Analisi dei gap (Settimane 1–4)
- Valutare la postura di sicurezza attuale rispetto ai controlli dell'Allegato A
- Eseguire una scansione WarDek per stabilire una baseline dei controlli tecnici
- Identificare le vittorie rapide e le lacune principali
- Ottenere l'impegno della direzione e definire l'ambito del SGSI
Fase 2 — Valutazione dei rischi (Settimane 5–8)
- Identificare gli asset informativi e i loro proprietari
- Valutare minacce, vulnerabilità e impatti
- Calcolare i livelli di rischio e definire i piani di trattamento dei rischi
- Creare la Dichiarazione di Applicabilità (DdA)— documentando quali controlli dell'Allegato A si applicano e perché
Fase 3 — Politiche e documentazione (Settimane 9–16)
- Redigere i documenti obbligatori: politica SGSI, piano di trattamento dei rischi, DdA
- Sviluppare le procedure operative per i controlli applicabili
- Definire metriche e approcci di monitoraggio
- Istituire il controllo documentale e il versionamento
Fase 4 — Implementazione (Settimane 17–28)
- Implementare i controlli tecnici (regole firewall, crittografia, gestione degli accessi)
- Svolgere la formazione sulla consapevolezza della sicurezza per tutto il personale
- Implementare le procedure di risposta agli incidenti
- Configurare i sistemi di monitoraggio e registrazione
Fase 5 — Audit interno (Settimane 29–32)
- Eseguire un audit interno completo su tutti i controlli applicabili
- Documentare le non conformità e le azioni correttive
- Condurre il riesame della direzione
- Eseguire una scansione WarDek finale per verificare i controlli tecnici
Fase 6 — Audit di certificazione (Settimane 33–40)
- Fase 1: Revisione documentale — l'auditor verifica la completezza della documentazione del SGSI
- Fase 2: Audit di implementazione — l'auditor verifica che i controlli funzionino efficacemente
- Affrontare i rilievi dell'audit entro i tempi stabiliti
- Ottenere la certificazione (valida 3 anni, sorveglianza annuale)
Relazioni con NIS2, GDPR e SOC 2
ISO 27001 non esiste in modo isolato. Comprendere come si relaziona con altri framework di conformità aiuta a massimizzare il ritorno sull'investimento della certificazione:
| Framework | Relazione con ISO 27001 | Sovrapposizione |
|---|---|---|
| NIS2 | Le misure dell'articolo 21 si mappano direttamente su molti controlli dell'Allegato A. La certificazione ISO 27001 è considerata una prova solida di conformità NIS2. | ~70 % |
| GDPR | L'articolo 32 (sicurezza del trattamento) si allinea con gli obiettivi di ISO 27001. I controlli dell'Allegato A per la classificazione dei dati, il controllo degli accessi e la crittografia supportano direttamente i requisiti del GDPR. | ~50 % |
| SOC 2 | I Trust Service Criteria (sicurezza, disponibilità, integrità del trattamento, riservatezza, privacy) si sovrappongono significativamente ai controlli dell'Allegato A. Molte organizzazioni perseguono entrambe le certificazioni. | ~60 % |
Implementando ISO 27001 per primo, le organizzazioni coprono tipicamente dal 50 al 70 % dei requisiti di NIS2, delle misure tecniche del GDPR e di SOC 2 — rendendo le certificazioni successive significativamente più rapide e convenienti.
Valutate la vostra preparazione ISO 27001
WarDek valuta automaticamente 12 controlli tecnici dell'Annex A in una singola scansione di sicurezza. Ottenete la vostra valutazione di base in meno di 2 minuti.