Elenco dei documenti obbligatori richiesti dalla ISO 27001 (revisione 2013)

Con la nuova revisione della ISO/IEC 27001 pubblicata solo un paio di giorni fa, molte persone si chiedono quali documenti siano obbligatori in questa nuova revisione del 2013. Sono richiesti più o meno documenti?

Quindi ecco l’elenco: di seguito vedrai non solo i documenti obbligatori, ma anche i documenti più comunemente usati per l’implementazione della ISO 27001.

Documenti e registrazioni obbligatori richiesti dalla ISO 27001:2013

Ecco i documenti che devi produrre se vuoi essere conforme alla ISO 27001: (Tieni presente che i documenti dell’allegato A sono obbligatori solo se ci sono rischi che richiedono la loro implementazione.)

  • Campo di applicazione dell’SGSI (punto 4.3)
  • Politica e obiettivi di sicurezza delle informazioni (punto 5.2 e 6.2)
  • Metodologia di valutazione e trattamento del rischio (punto 6.1.2)
  • Dichiarazione di applicabilità (punto 6.1.3 d)
  • Piano di trattamento del rischio (punti 6.1.3 e, 6.2 e 8.3)
  • Rapporto di valutazione del rischio (punti 8.2 e 8.3)
  • Definizione di ruoli e responsabilità per la sicurezza (punti A.7.1.2 e A.13.2.4)
  • Inventario delle risorse (punto A.8.1.1)
  • Utilizzo accettabile delle risorse (punto A.8.1.3)
  • Politica di controllo degli accessi (punto A.9.1.1)
  • Procedure operative per la gestione informatica (punto A.12.1.1)
  • Principi di ingegneria del sistema sicuro (punto A.14.2.5)
  • Politica di sicurezza del fornitore (clausola A.15.1.1)
  • Procedura di gestione dell’incidente (punto A.16.1.5)
  • Procedure di continuità operativa (punto A.17.1.2)
  • Requisiti statutari, regolamentari e contrattuali (clausola A.18.1.1)

Ed ecco le registrazioni obbligatorie:

  • Registri di formazione, competenze, esperienza e qualifiche (punto 7.2)
  • Risultati del monitoraggio e della misurazione (punto 9.1)
  • Programma di audit interno (punto 9.2)
  • Risultati degli audit interni (punto 9.2)
  • Risultati del riesame della direzione (punto 9.3)
  • Risultati delle azioni correttive (punto 10.1)
  • Registri delle attività degli utenti, eccezioni ed eventi di sicurezza (punti A.12.4.1 e A.12.4.3)

Documenti non obbligatori

Esistono numerosi documenti non obbligatori che possono essere utilizzati per l’implementazione della ISO 27001, in particolare per i controlli di sicurezza dell’allegato A. Tuttavia, trovo che questi documenti non obbligatori siano i più comunemente utilizzati:

  • Procedura per il controllo dei documenti (punto 7.5)
  • Controlli per la gestione delle registrazioni (punto 7.5)
  • Procedura per il controllo interno (punto 9.2)
  • Procedura per le azioni correttive (punto 10.1)
  • Criterio Bring Your Own Device (BYOD) (punto A.6.2.1)
  • Politica sui dispositivi mobili e sul telelavoro (punto A.6.2.1)
  • Politica di classificazione delle informazioni (punti A.8.2.1, A.8.2.2 e A.8.2.3)
  • Politica delle password (punti A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 e A.9.4.3)
  • Politica di smaltimento e distruzione (punti A.8.3.2 e A.11.2.7)
  • Procedure per lavorare in aree sicure (punto A.11.1.5)
  • Criteri di Clear desk e Clear screen (punto A.11.2.9)
  • Politica di gestione del cambiamento (punti A.12.1.2 e A.14.2.4)
  • Politica di backup (punti A.12.3.1)
  • Politica di trasferimento delle informazioni (punti A.13.2.1, A.13.2.2 e A.13.2.3)
  • Analisi dell’impatto aziendale (punto A.17.1.1)
  • Piano delle esercitazioni e prove (punto A.17.1.3)
  • Piano della manutenzione e revisione (punto A.17.1.3)
  • Strategia per la continuità operativa (punto A.17.2.1)

Ecco qua – cosa ne pensi? È troppo da scrivere? Questi documenti coprono tutti gli aspetti della sicurezza delle informazioni?

Per ottenere i modelli per tutti i documenti obbligatori e per i documenti non obbligatori più comuni, insieme alla procedura guidata che ti aiuta a compilare tali modelli, registrati per una prova gratuita di 14 giorni di Conformio, il principale software per la conformità alla ISO 27001.

Advisera Dejan Kosutic
Autore
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.