Documentare il sistema di gestione della sicurezza delle informazioni (ISMS) per la prova della conformità allo standard ISO 27001: 2022 può essere fonte di confusione in quanto non è chiaro quali documenti sono obbligatori e quali sono discrezionali. Di conseguenza, la maggior parte di noi compensa eccessivamente e produce molte più pratiche burocratiche del necessario, causando politiche ridondanti e conflittuali per confondere le parti interessate, il personale e, naturalmente, i revisori.
Ecco un promemoria sui documenti che sono specificamente richiesti dallo standard – dove un auditor si aspetterebbe di trovarli – e quali sono opzionali. Di seguito è riportato un elenco completo di controllo della conformità ISO 27001 necessario per iniziare oggi.
Elenco di controllo della conformità ISO 27001 – La documentazione ISO 27001 richiesta
| ELENCO DI CONTROLLO PER LA CONFORMITÀ ISO 27001 | L’AUDITOR SI ASPETTERÀ DI TROVARLO QUI |
|---|---|
| L’ambito del tuo ISMS | Documento manuale ISMS |
| Leadership, prova dell’impegno del management | Leadership, prova del documento di impegno della gestione |
| Le tue politiche di sicurezza delle informazioni | Documento sulla politica di sicurezza delle informazioni |
| I tuoi obiettivi di sicurezza delle informazioni | Documento sugli obiettivi della sicurezza delle informazioni |
| Il processo di valutazione dei rischi per la sicurezza delle informazioni | Documento del piano di trattamento dei rischi |
| Un piano di trattamento del rischio | Documento del piano di trattamento dei rischi |
| Una dichiarazione di applicabilità | Documento della Dichiarazione di applicabilità |
| Monitoraggio della sicurezza e misurazione dei risultati | Documento sugli obiettivi della sicurezza delle informazioni |
| Definizioni dei ruoli e delle responsabilità di sicurezza | Documento manuale ISMS |
| Registri di formazione, competenze e qualifiche | Record HR aziendali |
| Le tue procedure operative | Documento individuale di ogni procedura |
| Il tuo programma di audit interno | Documento di pianificazione dell’audit interno e documenti di relazione di audit interno |
| I vostri programmi di audit delle evidenze e i risultati dell’audit | Ordine del giorno e verbali delle riunioni di riesame della direzione |
| Le vostre prove e risultati dei riesami della direzione | Ordine del giorno e verbali delle riunioni di riesame della direzione |
| Non conformità e azioni correttive | Registro degli eventi imprevisti di sicurezza |
Politiche ISO 27001 richieste per la conformità secondo ISO 27001 Annex A
Di seguito è riportato un elenco di alcune politiche ISO 27001 richieste per essere conformi. È un’aggiunta essenziale alla tua documentazione.
- Criteri di controllo degli accessi
- Politica sull’uso accettabile delle risorse
- Criteri dei controlli crittografici
- Politica di gestione delle chiavi
- Politica Clear Desk & Clear Screen
- Politica di backup
- Politiche (e procedure) di trasferimento delle informazioni
- Politica di sviluppo sicuro
- Rischi dei prodotti o servizi del fornitore
Sebbene queste politiche siano imposte dai requisiti di controllo riportati nell’Allegato A dello standard, se decidi che non sono rilevanti per la tua organizzazione (ad esempio la crittografia), non sono necessarie, ma sii pronto a giustificarlo al tuo auditor.
A seconda dell’organizzazione, potrebbe essere necessario integrare l’elenco richiesto di politiche di cui sopra con altre politiche per fornire un ambiente completo di sicurezza delle informazioni. Esempi tipici sono le politiche che regolano i visitatori esterni o una politica sulla lunghezza e la composizione delle password. Queste politiche aggiuntive rientrerebbero nella categoria “buono da avere”. Vediamone altri.
Quali sono i documenti facoltativi ISO 27001 “buoni da avere” ?
Ci possono essere diversi documenti opzionali a seconda del tipo e delle dimensioni dell’organizzazione, ma i seguenti documenti che sono buoni da avere – sono rilevanti per quasi tutti:
- Procedura scritta per il controllo dei documenti
- Procedura documentata per l’Internal Audit
- Politica di classificazione delle informazioni documentate
- Piano di continuità aziendale documentato
Un’ultima osservazione. Mentre lo standard ISO 27001 richiede una documentazione specifica che descriva in dettaglio le politiche e le procedure, è anche una buona idea documentare azioni e attività specifiche che possono servire come prova di conformità. I verbali delle riunioni, ad esempio, forniscono al revisore dei conti la prova documentale che le attività si stanno svolgendo.
Altre attività tipiche che vale la pena documentare includono:
- Il team di sicurezza delle informazioni valuta le non conformità o gli incidenti segnalati
- Il Comitato Rischi Sviluppo del Piano di Trattamento dei Rischi
- Pianificazione e report di audit interni
- Riesame della direzione del sistema di gestione della sicurezza delle informazioni
