Allegato A della ISO 27001

da | Dic 15, 2025 | Normative | 0 commenti

Allegato A ISO 27001: rappresentazione concettuale della sicurezza delle informazioni, scudi e lucchetti su circuiti digitali che simboleggiano i controlli di sicurezza dell'Annex A.

Allegato A della ISO/IEC 27001

Nel panorama digitale attuale, le organizzazioni si trovano esposte a minacce informatiche in costante evoluzione, rendendo cruciale l’adozione di un approccio strutturato alla sicurezza delle informazioni. La norma ISO/IEC 27001, standard di riferimento globale per i Sistemi di Gestione per la Sicurezza delle Informazioni (ISMS), fornisce il framework utile a proteggere i dati sensibili e garantire la conformità normativa.

Il fulcro operativo di questo standard è rappresentato dall’Allegato A ISO 27001 (Annex A), un set di controlli di sicurezza che le organizzazioni sono chiamate ad implementare per mitigare i rischi in modo efficace.

Comprendere i controlli dell’Allegato A è imprescindibile per la certificazione, il miglioramento delle difese esistenti e l’adempimento degli obblighi legali, inclusi quelli derivanti dal GDPR e dalla Direttiva NIS 2.

 

Fondamenti dello standard ISO 27001 e dell’Allegato A

La ISO/IEC 27001:2022 definisce i requisiti per l’istituzione e il miglioramento continuo di un ISMS (Information Security Management System).

Parliamo nel dettaglio di ISO 27001 in questa pagina.

L’Allegato A funge da catalogo di riferimento per le misure di sicurezza (più precisamente ‘controlli’) che devono essere selezionate in base ai risultati della Valutazione del Rischio specifico dell’organizzazione.

La versione più recente, del 2022, ha razionalizzato e semplificato in parte il set di controlli per allinearlo alle sfide contemporanee della cybersecurity, riducendo il numero totale dei controlli da 114 a 93.

I 93 controlli sono stati riorganizzati in quattro categorie principali che sostituiscono la precedente suddivisione in domini:

  1. Controlli Organizzativi.
  2. Controlli sulle Persone.
  3. Controlli Fisici.
  4. Controlli Tecnologici.

Ogni controllo nell’Allegato A è associato a uno specifico obiettivo di sicurezza per garantire che le misure implementate contribuiscano direttamente alla tutela dei principi di Riservatezza, Integrità e Disponibilità delle informazioni.

    Hai bisogno di supporto?

    I nostri esperti hanno le competenze necessarie per aiutarti a superare le sfide più comuni attraverso i servizi di certificazione dei sistemi di gestione.

    CONTATTACI

    1.     Controlli Organizzativi: Governance e Allineamento Strategico

    I controlli organizzativi costituiscono la base strategica dell’ISMS e definiscono il quadro di governance della sicurezza. Questi si concentrano sulla garanzia che le politiche di sicurezza siano allineate agli obiettivi aziendali, che i requisiti legali siano soddisfatti e che i rischi siano gestiti in modo proattivo.

    I controlli organizzativi aiutano infatti le organizzazioni a:

    • Stabilire politiche di sicurezza e procedure chiare per assicurare governance e responsabilità;
    • Garantire la compliance, ad esempio a GDPR e Direttiva NIS 2;
    • Integrare quanto previsto per la sicurezza nei processi aziendali e nei rapporti con i fornitori;
    • Migliorare la risposta agli incidenti di sicurezza e la business continuity dimostrando capacità di resilienza.

    Nome del controllo

    Obiettivo del controllo

    A.5.1 – Politiche per la sicurezza delle informazioni

    Stabilire un quadro per la gestione della sicurezza delle informazioni

    A.5.2 – Ruoli e responsabilità in materia di sicurezza delle informazioni

    Garantire la responsabilità per le attività legate alla sicurezza

    A.5.3 – Separazione dei compiti

    Ridurre il rischio di frode o azioni non autorizzate

    A.5.4 – Responsabilità gestionali

    Garantire il supporto della leadership per le iniziative di sicurezza delle informazioni

    A.5.5 – Contatto con le autorità

    Facilitare la collaborazione con le autorità di regolamentazione e le forze dell’ordine

    A.5.6 – Contatto con gruppi di interesse particolari

    Rimanere informati sulle minacce emergenti e sulle migliori pratiche del settore

    A.5.7 – Intelligenza sulle minacce

    Identificare e mitigare in modo proattivo le minacce alla sicurezza

    A.5.8 – La sicurezza delle informazioni nella gestione dei progetti

    Identificare e mitigare in modo proattivo le minacce alla sicurezza

    A.5.9 – Inventario delle informazioni e delle risorse

    Mantenere un registro aggiornato delle risorse critiche

    A.5.10 -Uso accettabile del patrimonio informativo

    Definire regole per l’uso responsabile dei dati e dei sistemi aziendali

    A.5.11 – Restituzione dei beni

    Garantire che i beni di proprietà dell’azienda vengano recuperati quando i dipendenti lasciano l’azienda

    A.5.12 – Classificazione delle informazioni

    Garantire che i dati siano classificati e protetti in base alla loro sensibilità

    A.5.13 – Etichettatura delle informazioni

    Migliorare la sicurezza contrassegnando visibilmente i dati sensibili

    A.5.14 – Trasferimento di informazioni

    Proteggere lo scambio di dati all’interno e all’esterno dell’organizzazione

    A.5.15 – Controllo degli accessi

    Prevenire l’accesso non autorizzato a sistemi e dati

    A.5.16 – Gestione dell’identità

    Assicurarsi che solo le persone autorizzate abbiano accesso al sistema

    A.5.17 – Informazioni di autenticazione

    Proteggere credenziali e meccanismi di autenticazione

    A.5.18 – Diritti di accesso

    Esaminare e gestire le autorizzazioni degli utenti per mantenere la sicurezza

    A.5.19 – Sicurezza delle informazioni nei rapporti con i fornitori

    Estendere i controlli di sicurezza a fornitori e partner di terze parti

    A.5.20 – Gestire la sicurezza delle informazioni nella catena di fornitura ICT

    Mitigare i rischi associati ai fornitori di servizi esterni

    A.5.21 – Monitoraggio, revisione e gestione delle modifiche dei servizi dei fornitori

    Garantire servizi di terze parti sicuri nel tempo

    A.5.22 – Sicurezza delle informazioni per i servizi cloud

    Gestire in modo sicuro applicazioni e dati basati su cloud

    A.5.23 – Gestione degli incidenti di sicurezza delle informazioni

    Stabilire un approccio strutturato per la gestione degli incidenti di sicurezza

    A.5.24 – Imparare degli incidenti di sicurezza

    Migliorare le misure di sicurezza in base alle violazioni e alle minacce passate

    A.5.25 – Continuità aziendale e ripristino di emergenza

    Garantire che le operazioni aziendali critiche possano continuare durante le interruzioni

    A.5.26 – Conformità legale, normativa e contrattuale

    Rispettare gli standard di settore e gli obblighi legali

    Diventa Lead Auditor ISO 27001

    Clicca sul banner per scoprire i corsi di formazione in programma.

    Corsi lead Auditor di AS&C Academy banner pagina corsi con scena academy e frase evocativa

    2. Controlli sulle Persone per la mitigazione del rischio umano

    Il fattore umano rappresenta spesso una vulnerabilità critica. I controlli sulle persone sono per questo volti a garantire che dipendenti, appaltatori e terze parti comprendano e rispettino le responsabilità di sicurezza.

    Gli obiettivi principali includono:

    • Selezione e assunzione per garantire che solo le persone ‘fidate’ abbiano accesso alle informazioni sensibili;
    • Formazione e consapevolezza per educare i dipendenti sulle minacce come phising e sicurezza delle password;
    • Responsabilità e applicazione: definire responsabilità e misure disciplinari per le violazioni della sicurezza;
    • Controllo degli accessi e sicurezza del lavoro da remoto per proteggere gli ambienti di lavoro da casa.

    Nome del controllo

    Obiettivo del controllo

    A.6.1 – Screening

    Impedire a persone non autorizzate di accedere a informazioni sensibili

    A.6.2 – Termini e condizioni di lavoro

    Assicurarsi che i dipendenti comprendano le proprie responsabilità in materia di sicurezza

    A.6.3 – Consapevolezza, istruzione e formazione sulla sicurezza

    Fornire ai dipendenti le conoscenze necessarie per riconoscere e mitigare le minacce alla sicurezza

    A.6.4 – Procedimento disciplinare

    Scoraggiare le violazioni della sicurezza attraverso conseguenze formali

    A.6.5 – Responsabilità dopo la cessazione

    Impedire agli ex dipendenti di mantenere l’accesso ai sistemi critici

    A.6.6 – Accordi di riservatezza

    Garantire che i dipendenti e appaltatori proteggano le informazioni sensibili

    A.6.7 – Sicurezza del lavoro a distanza

    Mitigare i rischi associati all’accesso remoto ai sistemi aziendali

    A.6.8 – Utilizzo sicuro degli account privilegiati

    Prevenire l’uso improprio dei diritti di accesso privilegiati

    3. Controlli fisici: protezione strutture, attrezzature e accesso fisico

    Sebbene la sicurezza informatica si concentri spesso sulle minacce digitali, la sicurezza fisica rimane una componente fondamentale dei controlli previsti dall’Allegato A della ISO 27001. L’accesso fisico non autorizzato a uffici, data center o infrastrutture IT può provocare violazioni dei dati, interruzioni del sistema o il furto di risorse sensibili. I controlli fisici garantiscono che le misure di sicurezza proteggano sia gli aspetti digitali che fisici.

    Gli obiettivi di controllo si concentrano su:

    • Prevenire l’accesso non autorizzato a edifici, aree sicure e infrastrutture IT;
    • Protezione dalle minacce ambientali (incendi, allagamenti, interruzioni di corrente, ecc..);
    • Smaltimento sicuro delle apparecchiature per prevenire fughe di dati;
    • Applicazione delle policy di sicurezza dello spazio di lavoro.

    Nome del controllo

    Obiettivo del controllo

    A.7.1 – Perimetro di sicurezza fisica

    Prevenire l’accesso fisico non autorizzato alle strutture aziendali

    A.7.2 – Controlli sugli ingressi fisici

    Controllare e monitorare l’accesso a edifici, uffici e data center

    A.7.3 – Messa in sicurezza di uffici, stanze e strutture

    Assicurarsi che solo il personale autorizzato possa accedere alle aree sensibili

    A.7.4 – Protezione dalle minacce ambientali

    Ridurre i rischi derivanti da disastri naturali, incendi e interruzioni di corrente

    A.7.5 – Lavorare in aree sicure

    Mantenere la sicurezza nelle aree operative ad alto rischio

    A.7.6 – Sicurezza delle apparecchiature

    Proteggere le apparecchiature IT da accessi non autorizzati o danni

    A.7.7 – Smaltimento o riutilizzo sicuro delle apparecchiature

    Impedire il recupero non autorizzato di dati sensibili dalle risorse dismesse

    A.7.8 – Attrezzatura utente non presidiata

    Impedire l’accesso non autorizzato ai dispositivi lasciati incustoditi

    A.7.9 – Politica sulla scrivania e sullo schermo chiari

    Ridurre il rischio di esposizione delle informazioni negli spazi condivisi

    Servizi di Certificazione e Formazione secondo gli Standard ISO

    Audit Service & Certification (AS&C) è un Organismo di Certificazione internazionale accreditato per il rilascio delle Certificazioni ISO. Contattaci per saperne di più sui servizi di Certificazione e sui Corsi di  Formazione Auditor/Lead Auditor ISO 27001 dedicati a professionisti, risorse aziendali, consulenti e studenti.

    INVIA RICHIESTA DI CERTIFICAZIONE  |  VAI ALL’ACADEMY

    4. Controlli tecnologici: difesa informatica e protezione dei dati

    I controlli tecnologici dell’Allegato A della ISO 27001 forniscono le basi per proteggere i sistemi IT, le reti, le applicazioni e i dati da attacchi, violazioni e accessi non autorizzati. Questi controlli si concentrano sull’implementazione, il monitoraggio e il mantenimento delle tecnologie di sicurezza informatica che salvaguardano le risorse digitali di un’azienda.

    Gli obiettivi di controllo ISO 27001 per la sicurezza tecnologica riguardano:

    • Protezione dell’infrastruttura IT dalle minacce informatiche come malware, pirateria informatica e accessi non autorizzati;
    • Protezione dei dati sensibili attraverso crittografia, controllo degli accessi e autenticazione sicura;
    • Disponibilità del sistema con strategie di backup e disaster recovery;
    • Monitoraggio e rilevamento minacce e intrusioni;
    • Conformità alle migliori pratiche di sicurezza.

    Nome del controllo

    Obiettivo del controllo

    A.8.1 – Protezione dell’endpoint utente

    Proteggere i dispositivi dei dipendenti da malware e accessi non autorizzati

    A.8.2 – Sicurezza della rete

    Prevenire accesso non autorizzato e mitigare le minacce basate sulla 

    A.8.3 – Sicurezza dell’applicazione

    Proteggere le applicazioni software da vulnerabilità e attacchi 

    A.8.4 – Configurazione sicura del sistema

    Ridurre le vulnerabilità del sistema attraverso impostazioni di sicurezza standardizzate

    A.8.5 – Protezione antimalware

    Rilevare e prevenire le infezioni da malware negli ambienti IT

    A.8.6 – Crittografia dei dati

    Garantire che i dati sensibili rimangano protetti da accessi non autorizzati

    A.8.7 – Registrazione e monitoraggio

    Rilevare gli incidenti di sicurezza attraverso il monitoraggio in tempo reale

    A.8.8 – Backup e ripristino

    Garantire la disponibilità dei dati in caso di attacchi informatici o guasti del sistema

    A.8.9 – Gestione dell’identità e degli accessi

    Controllare l’accesso degli utenti ai sistemi e alle informazioni sensibili

    A.8.10 – Autenticazione sicura

    Prevenire accessi non autorizzati e furti di credenziali

    A.8.11 – Sicurezza nel cloud

    Proteggi i dati archiviati ed elaborati in ambienti cloud

    A.8.12 – Test di sicurezza e gastione delle vulnerabilità

    Identificare e correggere i punti deboli della sicurezza nei sistemi IT

    Integrare i controlli dell’Allegato A ISO 27001

    L’implementazione dei controlli dell’Allegato A ISO 27001 non deve essere intesa come un elenco rigido, uguale per tutti, ma come una selezione mirata e proporzionata all’attività e alla realtà aziendale. Questa dovrà essere documentata attraverso la Dichiarazione di Applicabilità (SOA, Statement of Applicability).

    Il successo dell’ISMS risiede nell’integrazione di questi controlli nei processi aziendali e nell’aderenza costante al ciclo PDCA atto a garantire il miglioramento continuo.

     

    Allegato A ISO 27001 e Dichiarazione di Applicabilità (SOA)

    La Dichiarazione di Applicabiità (SOA), acronimo dell’inglese Statement of Applicability, costituisce uno degli output documentali più critici e richiesti nell’implementazione dell’ISMS conforme alla norma ISO/IEC 27001.

    Questo documento è il risultato formale e la sintesi decisionale del processo di Risk Management condotto dall’organizzazione. Il suo scopo primario è dimostrare che l’impresa ha esaminato sistematicamente l’intero set di controlli di sicurezza proposto nell’Allegato A della norma e ha selezionato, giustificato e documentato le misure ritenute necessarie per trattare i rischi specifici identificati.

    Una volta completata, la SOA rappresenta un impegno formale della Direzione verso la Sicurezza delle Informazioni e funge da mappa operativa per l’ISMS per tutto il ciclo di vita della certificazione.

    Richiedi supporto a professionisti esperti

    Contattaci per ricevere maggiori informazioni.

    INVIA RICHIESTA DI CERTIFICAZIONE  |  VAI ALL’ACADEMY