Clause 6.1.2
Gestione del rischio
Identificare, valutare e trattare i rischi di sicurezza delle informazioni.
Scadenza: prima della certificazione
← Tutte le normative
ISOContinuoISO/IEC 27001:2022
ISO 27001
ISO 27001 è lo standard di certificazione per i sistemi di gestione della sicurezza delle informazioni. Richiede gestione del rischio, Statement of Applicability, controlli documentati, audit interno e miglioramento continuo.
Chi deve conformarsi
Impatto pratico per le PMI italiane.
- Aziende SaaS e tech che vendono a clienti enterprise.
- Fornitori che devono dimostrare maturità security in gare o vendor review.
- Team che preparano la certificazione ISO 27001 con un ente accreditato.
- Aziende che vogliono standardizzare processi security tra IT, HR, legal e operations.
Obblighi principali
Cosa deve essere dimostrabile.
Clause 6.1.3
Statement of Applicability
Selezionare i controlli Annex A rilevanti e giustificare inclusioni o esclusioni.
Scadenza: prima dell'audit
Annex A 5.15
Access control
Gestire accessi, MFA, privilegi e review periodiche.
Scadenza: continuo
Clause 9.2
Evidenze audit interno
Conservare piani audit, risultati, azioni correttive e input per management review.
Scadenza: a intervalli pianificati
Sanzioni
Il rischio si misura in denaro, contratti e fiducia persa.
Tipo violazioneSanzione massimaAutorità
Audit di certificazione non superatoCertificato non emesso o sospesoEnte di certificazione
Requisito security cliente non soddisfattoRischio contrattualeCliente
Evidenze audit insufficientiAudit ripetuto o remediationAuditor
Come aiuta Splnit.eu
Trasforma obblighi in controlli, evidenze e scadenze.
SoA e policy
Genera documenti operativi per controlli Annex A e trattamento del rischio.
Evidence vault
Raccoglie evidenze audit da Microsoft 365, GitHub e AWS.
Access review
Traccia review account, cambi ruolo ed eccezioni.