Come ottenere la certificazione ISO 27001

Se stai utilizzando la ISO 27001:2013 per creare un sistema di gestione della sicurezza delle informazioni (SGSI) per la tua azienda, probabilmente prenderai in considerazione la certificazione in conformità a questa norma. La certificazione da parte di un registrar indipendente di terza parte è un buon modo per dimostrare la conformità della tua azienda, ma puoi anche certificare le persone per acquisire le competenze appropriate.

Quindi, come puoi ottenere la certificazione ISO 27001, potresti chiedere?

Che cos’è la certificazione ISO 27001?

La certificazione ISO 27001 può riferirsi sia alla certificazione del sistema di gestione della sicurezza delle informazioni di un’azienda rispetto ai requisiti della ISO 27001, sia alla certificazione delle persone per essere in grado di implementare la ISO 27001 o eseguire audit a fronte dei requisiti ISO 27001.

La certificazione ISO 27001 per aziende a confronto con la certificazione per le persone

La ISO 27001 è una norma di gestione inizialmente concepita per la certificazione delle organizzazioni. Il sistema funziona in questo modo: un’azienda (o qualsiasi altro tipo di organizzazione) sviluppa il proprio Sistema di Gestione della Sicurezza delle Informazioni (SGSI), che consiste in politiche (ad es. la Politica per la Sicurezza delle Informazioni), procedure (ad es. la Valutazione del rischio), persone (ad es. l’auditor interno), tecnologia (ad es. crittografia), ecc., quindi invita un organismo di certificazione a verificare se il proprio SGSI è conforme alla norma. Se l’audit di certificazione ha esito positivo, il loro SGSI è certificato secondo la ISO 27001.

Tuttavia, l’intero settore legato alle norme ISO (enti di certificazione, consulenti, istituti di formazione, ecc.) si è presto reso conto che senza persone qualificate in grado di sviluppare e mantenere il sistema di gestione, l’intero concetto sarebbe fallito. Pertanto, sono stati sviluppati vari corsi di formazione per le persone che hanno bisogno di ottenere una formazione relativa alla ISO 27001. In questo modo, le persone che frequentano il corso e superano l’esame di certificazione ISO 27001 ottengono un certificato personale che viene rilasciato a loro nome.

Certificazione ISO 27001: come ottenerla?

La certificazione delle organizzazioni

Cosa è richiesto per la certificazione ISO IEC 27001 2013? La documentazione e l’implementazione dei requisiti relativi alla sicurezza delle informazioni (ad es. requisiti di valutazione del rischio) sono solo una parte del lavoro se un’organizzazione desidera ottenere la certificazione. La ISO 27001 richiede inoltre alle organizzazioni di eseguire il riesame della direzione, l’audit interno e il trattamento delle non conformità e delle azioni correttive.



Quanto tempo ci vuole per ottenere la certificazione ISO IEC 27001? La tempistica del processo di certificazione ISO 27001, tra l’inizio dell’implementazione e il completamento dell’audit di certificazione, cambia in base a molte variabili (es. risorse disponibili, esperienza con i requisiti della norma, coinvolgimento dell’alta direzione ecc.), ma l’intero processo generalmente richiede tra i 3 e i 12 mesi. Alcune organizzazioni eseguono una gap analysis a fronte dei requisiti della norma per avere un’idea di quanto tempo impiegheranno per implementarla.

Quante aziende sono certificate ISO? La ISO 27001 è diventata la norma per la sicurezza delle informazioni più popolare al mondo e molte aziende si sono certificate in conformità a questa norma: qui puoi vedere il numero di certificati negli ultimi due anni:

Numero di aziende certificate ISO 27001

Fonte: L’indagine sulle Certificazioni dei Sistemi di Gestione in conformità alle norme ISO

Quali aziende sono certificate ISO 27001? Non esiste un elenco centrale ufficiale delle organizzazioni certificate ISO 27001, quindi le informazioni su quali aziende siano certificate ISO 27001 devono essere raccolte direttamente dalle società di certificazione ISO 27001.

La certificazione delle persone

Una persona può essere certificata ISO? Sì, un individuo può ottenere la certificazione ISO 27001 frequentando uno o più dei seguenti corsi di formazione:

Come posso ottenere la certificazione ISO? Per ottenere la certificazione ISO 27001, devi frequentare un corso e superarne l’esame finale. L’esame di certificazione ISO 27001 copre sia domande teoriche che domande situazionali, in cui il candidato deve dimostrare come applicare i concetti appresi.

Quanto costa ottenere la certificazione ISO 27001?

Il costo della certificazione ISO/IEC 27001 per le organizzazioni dipende da un numero significativo di variabili, quindi ogni azienda dovrà preparare un budget molto diverso. I costi dell’implementazione e della certificazione dell’SGSI dipenderanno dalle dimensioni e dalla complessità del campo di applicazione dell’SGSI, che varia da organizzazione a organizzazione. Il costo dipenderà anche dai prezzi locali dei vari servizi che utilizzerai per l’implementazione.

In linea di massima, i principali costi sono relativi a:

  • Formazione e letteratura
  • Assistenza esterna
  • Tecnologie da aggiornare/implementare
  • Impegno e tempo del dipendente
  • L’audit di certificazione

Una buona prassi prima di iniziare tale impresa è svolgere una gap analysis, per identificare lo stato attuale della sicurezza delle informazioni e un’aspettativa iniziale dell’impegno richiesto. Per una spiegazione più dettagliata dei costi di certificazione, scarica il libro bianco gratuito How to Budget an ISO 27001 Implementation Project.

Per quanto riguarda la certificazione delle persone, il costo dei corsi di formazione e degli esami è diverso nei vari paesi, ma di solito questi costi vengono visualizzati in modo molto trasparente da ciascun ente di formazione. Oltre ai costi del corso e dell’esame finale relativi alla certificazione desiderata, una persona deve considerare anche i costi aggiuntivi per frequentare il corso e l’esame finale (es. spese di viaggio, alloggio e trasferimento), a meno che non si frequenti un corso online.

Per quanto tempo è valida la ISO 27001 una volta certificata?

Una volta che un ente di certificazione rilascia un certificato ISO 27001 a un’azienda, questo è valido per un periodo di tre anni, durante i quali l’ente di certificazione eseguirà audit di sorveglianza per valutare se l’organizzazione stia mantenendo correttamente l’SGSI e se vengano implementati i miglioramenti richiesti nei tempi stabiliti.

Quali aziende sono certificate ISO 27001?

Il sito web ISO.org fornisce una panoramica generale delle organizzazioni certificate, suddivise per settore, paese, numero di siti, ecc. Puoi trovare l’indagine ISO a questo link: https://www.iso.org/the-iso-survey.html

Per verificare se una determinata azienda è certificata ISO 27001, è necessario contattare l’ente di certificazione, poiché non esiste un database centralizzato ufficiale delle aziende certificate.

Chi rilascia la certificazione ISO?

Prima di tutto, le norme ISO sono pubblicate dall’Organizzazione internazionale per la standardizzazione (ISO), un organismo internazionale fondato dai governi di tutto il mondo. Il suo scopo è pubblicare le norme come un modo per fornire conoscenza e migliori pratiche, quindi la stessa ISO non rilascia certificazioni.

I certificati per le aziende sono emessi da organizzazioni chiamate enti di certificazione, che sono entità autorizzate dagli enti di accreditamento a svolgere audit di certificazione e valutare se il Sistema di Gestione della Sicurezza delle Informazioni di un’azienda è conforme alla norma ISO IEC 27001.

Le certificazioni per le persone sono rilasciate da organizzazioni chiamate enti di formazione e i corsi più rilevanti sono accreditati, il che garantisce che i certificati siano riconosciuti in tutto il mondo.

Per saperne di più su come si svolge l’audit di certificazione, scarica questo libro bianco gratuito: What to expect at the ISO certification audit: What the auditor can and cannot do.

Per sapere quale corso sia meglio per te, Lead Auditor Course or Lead Implementer Course, consulta questo articolo.

Per saperne di più sul corso per Lead Implementer ISO 27001, vedi questo articolo.

Qui troverai ulteriori informazioni sulle certificazioni CISA and ISO 27001 Lead Auditor certifications and how they can be used together to help improve the effectiveness of the ISMS audit.

Advisera Rhand Leal
Autore
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.