Come verificare la validità del Certificato ISO 27001: guida alla ISO 27006-1

Nello scenario attuale, la crescita senza precedenti degli attacchi informatici ha reso la protezione dei dati una necessità strategica fondamentale. Sempre più aziende trovano rifugio nella Certificazione ISO/IEC 27001, lo standard internazionale per i Sistemi di Gestione della Sicurezza delle Informazioni (ISMS). Esiste, tuttavia, una criticità che spesso viene sottovalutata: la validità effettiva del certificato ottenuto. Il livello di consapevolezza delle aziende è generalmente e, comprensibilmente, basso; ciò potrebbe portare a investire in certificazioni che mancano di riconoscimento internazionale.

Questa guida nasce per colmare questa lacuna, spiegando come verificare un Certificato ISO 27001 e analizzando il ruolo della norma ISO/IEC 27006-1:2024, il pilastro che garantisce l’autorevolezza degli Organismi di Certificazione.

Quando la validità potrebbe essere un problema

Ottenere un certificato non coincide necessariamente con l’essere conformi agli occhi di partner commerciali o pubbliche amministrazioni. Un Certificato ISO 27001 può avere valore legale e commerciale solo se emesso da un Organismo di Certificazione (OdC) a sua volta accreditato da un ente nazionale (IAS, Accredia, ecc..).

Senza il rispetto della norma ISO/IEC 27006-1, l’audit subìto dall’azienda potrebbe non essere sufficientemente rigoroso. Ciò potrebbe esporre l’azienda a rischi di sicurezza delle informazioni non rilevati o al mancato riconoscimento del titolo in sede di gara o di analisi del rischio da parte dei fornitori.

Guida alla ISO/IEC 27006-1

La norma ISO/IEC 27006-1 specifica i requisiti che gli OdC devono soddisfare per poter erogare servizi di audit e di certificazione ISMS (Information Security Management System).

Requisiti fondamentali per gli Organismi di Certificazione

Un OdC, per essere conforme deve garantire:

1. Competenza del Team di Audit (7.1.3): gli auditor devono conoscere le tecniche di audit e possedere competenze specifiche in materia di sicurezza delle informazioni, gestione dei rischi e terminologia ISMS.
2. Determinazione del tempo di audit (Annex C e D): la norma determina e stabilisce criteri matematici e qualitativi per calcolare le giornate/uomo necessarie per lo svolgimento dell’audit. Un audit ‘troppo breve’ potrebbe essere segnale immediato di non conformità rispetto alla ISO 27006-1.
3. Gestione del multi-sito e audit remoti: la norma riporta linee guida precise su come gestire organizzazioni con sedi virtuali o con personale distribuito, garantendo che la sicurezza sia verificata anche oltre i confini fisici dell’azienda.

Audit e Certificazione dei Sistemi di Gestione per la Sicurezza delle Informazioni ISO 27001

Il processo di Audit e Certificazione dei Sistemi di Gestione per la Sicurezza delle Informazioni segue l’iter codificato dalla ISO 27006-1 che si articola in:

• Fase 1 (Stage 1): revisione documentale e verifica dello stato di preparazione dell’azienda. Sostanzialmente, l’auditor valuta se il perimetro (campo di applicazione/scopo) è definito correttamente. Tale perimetro coincide con la definizione dell’attività o delle attività svolte dall’azienda che saranno oggetto di certificazione.
• Fase 2 (Stage 2): viene valutata l’implementazione del sistema e l’efficacia dei controlli. In questa fase l’auditor raccoglie le evidenze oggettive.
• Sorveglianza e rinnovo: la certificazione ha validità triennale e pertanto prevede visite di sorveglianza annuali per garantire il miglioramento continuo e il mantenimento della conformità.

Rispetto alla norma ISO 27001, un passaggio critico è l’analisi dell’efficacia del trattamento dei rischi. Qualora un auditor non dovesse entrare nel merito tecnico dei controlli (come previsto dalla ISO 27002), l’audit non potrebbe considerarsi conforme alle linee guida degli standard internazionali.

Come verificare la validità del Certificato ISO 27001

Per assicurarsi che il proprio investimento sia tutelato, l’azienda può seguire alcuni passaggi tecnici per verificare il certificato ISO 27001:

1. Verifica del logo dell’Ente di Accreditamento: il certificato deve recare sia il logo dell’Organismo di Certificazione, sia quello dell’Ente di Accreditamento di riferimento (IAS, Accredia, UKAS, ecc..).
2. Consultazione del database IAF CertSearch: IAF (International Accreditation Forum) mette a disposizione un portale globale per la verifica in tempo reale della validità dei certificati e se l’OdC che lo ha rilasciato è accreditato per lo schema specifico (in questo caso per la ISO 27001).

È consultabile gratuitamente: IAF CertSearch

3. Verifica della conformità alla ISO 27006-1: è possibile chiedere all’Ente Certificatore di dimostrare il calcolo dei tempi di audit. Qualora i tempi dovessero risultare drasticamente inferiori a quelli previsti dalle tabelle dell’Annex C della ISO 27006-1, la validità del certificato potrebbe essere contestabile.
4. Verifica dello scopo: è fondamentale accertarsi che il certificato copra effettivamente i servizi e le sedi interessate dal business. Un certificato potrebbe essere valido ma con uno scopo limitato, manchevole quindi della certificazione di conformità dei processi strategici.

Acquisire e consultare le norme ISO ufficiali

Le norme internazionali, incluse la ISO/IEC 27001 o la ISO/IEC 27006-1, sono protette da copyright e non liberamente scaricabili gratuitamente. Per consultare il testo integrale è necessario procedere all’acquisto tramite canali ufficiali.

Il punto di riferimento principale è lo store ufficiale iso.org, dove è possibile acquistare le norme. Il regolamento ISO prevede una licenza d’uso nominale o per singolo utente: il file non può essere diffuso, riprodotto o caricato senza una specifica licenza.

Link utili:

• Download norma ISO 27001
• Download norma ISO 27006-1
• Inviare richiesta di Certificazione
• Consultare corsi di formazione Auditor/Lead Auditor ISO 27001