Consulenza per la Conformità ISO 27001 & SOC 2

I buyer enterprise chiedono sempre più spesso ISO 27001 o SOC 2 — soprattutto dopo l'inasprimento dell'applicazione della NIS2 nell'UE. La certificazione apre contratti per centinaia di migliaia di euro, ma la preparazione richiede mesi di redazione di policy, raccolta di prove e coordinamento con i revisori. Lo facciamo tutto noi.

Da “vogliamo la certificazione” a “abbiamo la certificazione”

Engagement a prezzo fisso che copre l'intero ciclo di preparazione. Il prezzo non cambia se ci vuole più tempo; ci prendiamo il rischio sulla durata.

Analisi dei Gap

Valutazione dettagliata di dove ti trovi oggi rispetto al framework dei controlli. Prioritizzata per gravità di blocco all'audit. Vedi l'elenco completo del lavoro prima di firmare.

Redazione delle Policy

L'intera suite di policy scritta per la tua azienda: sicurezza delle informazioni, uso accettabile, gestione degli accessi, risposta agli incidenti, gestione dei fornitori, gestione delle modifiche, continuità operativa, disaster recovery.

Implementazione dei Controlli

Controlli tecnici deployati: implementazione MFA, configurazione del logging, gestione delle vulnerabilità, crittografia a riposo, verifica dei backup, processi di valutazione del rischio dei vendor. Implementazione reale nel tuo ambiente, con prove raccolte man mano che procediamo.

Raccolta delle Prove

L'evidence room che ogni revisore chiede: revisioni degli accessi, log delle modifiche, cronologia delle scansioni di vulnerabilità, completamento della formazione, revisioni dei vendor, test di continuità operativa. Organizzata per controllo, pronta da consegnare.

Collegamento con i Revisori

Lavoriamo direttamente con il revisore scelto. Coordiniamo la timeline dell'audit, prepariamo il tuo team per i colloqui, rispondiamo alle richieste di prove e gestiamo la remediation dei rilievi tra la Fase 1 e la Fase 2 (o SOC 2 Type I / Type II).

Sorveglianza Annuale

Una volta certificati, il lavoro non è finito. Audit di sorveglianza annuali, raccolta continuativa di prove di monitoraggio, cadenza di revisione delle policy. Il retainer opzionale mantiene tutto in esecuzione.

Il processo di preparazione alla certificazione

Analisi dei Gap & Scoping

Valutiamo i tuoi controlli attuali rispetto al framework rilevante (ISO 27001 Annex A o SOC 2 Trust Services Criteria). Output: un elenco di gap prioritizzato, una timeline di remediation e un preventivo a prezzo fisso per l'intero engagement di preparazione.

Remediation & Costruzione delle Policy

Redigiamo la suite di policy, implementiamo i controlli tecnici, gestiamo il programma di vulnerability management e raccogliamo prove in parallelo. Aggiornamenti settimanali sullo stato ti tengono informato ad ogni fase.

Audit

Coordiniamo l'audit con il tuo ente di certificazione scelto o la società CPA, gestiamo l'evidence room, prepariamo il tuo team per i colloqui con i revisori e gestiamo i rilievi della Fase 2 o Type II. Rimaniamo disponibili fino alla chiusura dell'audit.

Pen testing + ISO/SOC 2 in un unico engagement

Il controllo ISO 27001 A.8.8 richiede la gestione delle vulnerabilità. SOC 2 CC7.1 richiede lo stesso. Entrambi richiedono prove di test esterni regolari — il che significa che il nostro servizio di penetration testing produce già l'artefatto che il tuo revisore vorrà. Bundolare i due significa che la cadenza di testing, il tracking della remediation e le prove dell'audit vengono gestiti in un unico flusso coordinato.

Il nostro retainer vCISO completa tipicamente l'engagement: qualcuno possiede il programma di sicurezza su base continuativa, partecipa all'audit e rappresenta la tua azienda di fronte al revisore. La maggior parte dei clienti gestisce pen testing, preparazione ISO/SOC 2 e il retainer vCISO come un unico programma integrato.

Domande frequenti

Quanto dura la certificazione ISO 27001?

Dal kickoff alla decisione di certificazione, ISO 27001 richiede tipicamente 4–9 mesi a seconda del tuo punto di partenza. Le aziende senza precedenti controlli di sicurezza richiedono più tempo; quelle con pratiche e documentazione di sicurezza esistenti possono muoversi più velocemente. La nostra analisi dei gap (settimana 1) ti fornisce una stima accurata della timeline prima che inizi l'engagement principale.

SOC 2 vs ISO 27001 — di quale ho bisogno?

SOC 2 è richiesto principalmente dai buyer enterprise statunitensi ed è diventato lo standard per le aziende SaaS che vendono nel mercato USA. ISO 27001 è più comune nell'approvvigionamento enterprise europeo ed è sempre più richiesto sotto gli obblighi di supply chain NIS2. Se vendi in entrambi i mercati, o se i tuoi buyer sono grandi multinazionali, potresti aver bisogno di entrambi. Strutturiamo engagement combinati che soddisfano entrambi i framework con una base di prove condivisa — tipicamente il 20–35% più economico di due programmi separati.

Quanto costa la conformità SOC 2 / ISO 27001?

Il nostro engagement a prezzo fisso per un singolo framework (ISO 27001 o SOC 2 Type I) parte da €25,000. SOC 2 Type II o un programma combinato ISO 27001 + SOC 2 viene quotato individualmente. Il prezzo dell'engagement copre analisi dei gap, redazione delle policy, implementazione dei controlli tecnici, raccolta delle prove e collegamento con i revisori. La quota dell'audit dell'ente di certificazione o della società CPA è separata (tipicamente €5,000–€20,000 a seconda della dimensione dell'organizzazione).

Qual è la differenza tra SOC 2 Type I e Type II?

SOC 2 Type I è una valutazione point-in-time: conferma che i tuoi controlli sono progettati correttamente a una data specifica. SOC 2 Type II copre un periodo di tempo (tipicamente 6–12 mesi) e conferma che i tuoi controlli hanno operato efficacemente durante tutto quel periodo. I buyer enterprise e i team di approvvigionamento preferiscono in modo schiacciante il Type II, poiché dimostra la coerenza operativa piuttosto che solo l'intento di progettazione. Consigliamo di puntare direttamente al Type II a meno che tu non abbia una scadenza imminente specifica che richiede un bridge Type I.

Ho bisogno di ISO 27001 per la conformità GDPR?

ISO 27001 non è richiesto dal GDPR, ma supporta sostanzialmente la conformità GDPR. L'articolo 32 del GDPR richiede “misure tecniche e organizzative appropriate” per proteggere i dati personali — e un ISMS ISO 27001 è la prova più difendibile che tali misure esistano. Molte DPA e autorità di regolamentazione considerano la certificazione ISO 27001 come prova forte della conformità GDPR per gli obblighi di sicurezza. Se elabori volumi significativi di dati personali dell'UE, ISO 27001 vale la pena perseguirla per la sola gestione del rischio normativo.

Potete gestire sia SOC 2 che ISO 27001 in un unico engagement?

Sì, e lo consigliamo se entrambi sono necessari. I framework dei controlli si sovrappongono significativamente: circa il 70% dei controlli ISO 27001 Annex A si mappano ai SOC 2 Trust Services Criteria. Gestiamo un programma unificato di raccolta delle prove che soddisfa entrambi, riducendo il costo totale e il tempo trascorso rispetto a due programmi separati in sequenza. Ti consiglieremo sul sequenziamento in base a quale certificazione i tuoi buyer richiedono prima.

Esplora i Servizi di Conformità Specifici

SOC 2 Readiness Assessment

Analisi dei gap, mappatura dei trust service criteria e guida alla raccolta delle prove prima del tuo audit SOC 2.

Consulenza ISO 27001

Progettazione ISMS, risk register, redazione delle policy e supporto all'audit di certificazione — prezzo fisso per ciclo.

Conformità, senza la tassa delle società di consulenza

Dicci per quale certificazione stai puntando e quali prove hai già — ti risponderemo con uno scope e un prezzo fisso.

Contattaci → Penetration Testing →