Consulenza ISO 27001
La certificazione ISO 27001 apre l'approvvigionamento enterprise, soddisfa gli obblighi di supply chain NIS2 e fornisce la prova più difendibile della conformità GDPR all'articolo 32. La preparazione richiede 4–9 mesi di progettazione ISMS, redazione delle policy, lavoro sul risk register e raccolta delle prove. Lo facciamo tutto — prezzo fisso, con piena readiness per l'audit ad ogni fase.
ISO 27001 fatto una volta, fatto bene
Strutturiamo gli engagement ISO 27001 per coprire l'intero ciclo di preparazione: scoping ISMS, valutazione del rischio, selezione dei controlli Annex A, redazione delle policy, implementazione dei controlli tecnici, raccolta delle prove, audit interno e coordinamento con i revisori per Fase 1 e Fase 2. La certificazione è il deliverable e ogni passo tra il kickoff e il certificato è incluso nello scope dell'engagement.
La consulenza ISO 27001 si integra naturalmente con il nostro retainer CISO Frazionale: il vCISO è proprietario dell'ISMS su base continuativa una volta rilasciato il certificato, gestisce gli audit di sorveglianza e mantiene il risk register. La maggior parte dei clienti combina la consulenza ISO 27001, il nostro servizio di penetration testing (richiesto dal controllo Annex A 8.8) e il retainer vCISO in un unico programma di sicurezza integrato.
Dall'analisi dei gap all'ISMS certificato
Progettazione ISMS
Scoping dell'Information Security Management System, contesto dell'organizzazione (clausola 4), requisiti di leadership (clausola 5) e struttura di pianificazione (clausola 6) — progettato per corrispondere alla dimensione, al settore e ai requisiti dell'ente di certificazione della tua azienda. Il confine ISMS è definito in modo da coprire ciò che i revisori testeranno e niente di superfluo.
Risk Register & Trattamento
Valutazione del rischio ai sensi della clausola 6.1 ISO 27001: identificazione degli asset informativi, analisi delle minacce e delle vulnerabilità, valutazione di probabilità e impatto e selezione del piano di trattamento (mitigare, accettare, trasferire, evitare). Dichiarazione di Applicabilità (SoA) redatta secondo l'Annex A ISO 27001:2022. Il risk register viene mantenuto come documento vivo durante tutto l'engagement.
Documentazione delle Policy
Suite completa di policy redatta per la tua azienda: policy di sicurezza delle informazioni, uso accettabile, gestione degli accessi, risposta agli incidenti, gestione dei fornitori, gestione delle modifiche, continuità operativa, disaster recovery e gestione degli asset. Scritta in italiano chiaro, revisionata dal tuo team, approvata al livello appropriato e mantenuta con una cadenza documentata.
Supporto all'Audit di Certificazione
Coordiniamo l'audit con il tuo ente di certificazione scelto: revisione documentale Fase 1 e audit in loco o remoto Fase 2. Prepariamo il tuo team per i colloqui con i revisori, gestiamo l'evidence room, rispondiamo ai rilievi durante la finestra dell'audit e tracciamo la remediation di eventuali non conformità fino alla chiusura.
Consulenza ISO 27001 — Domande Frequenti
Quanto dura la certificazione ISO 27001?
Dal kickoff alla decisione di certificazione, ISO 27001 richiede tipicamente 4–9 mesi. Le aziende senza precedenti controlli o documentazione di sicurezza richiedono più tempo; le organizzazioni con pratiche di sicurezza esistenti e una certa documentazione possono muoversi più velocemente. Le fasi principali sono: analisi dei gap e scoping ISMS (2–4 settimane), build delle policy e del risk register (6–12 settimane), implementazione dei controlli tecnici (parallela, 4–12 settimane), raccolta delle prove e audit interno (4–6 settimane), audit Fase 1 (2–4 settimane) e audit Fase 2 (2–4 settimane). La nostra analisi dei gap nella prima settimana ti fornisce una timeline accurata del progetto prima che inizi l'engagement principale.
ISO 27001 vs SOC 2 — di quale ho bisogno?
ISO 27001 è più comune nell'approvvigionamento enterprise europeo ed è sempre più richiesto sotto gli obblighi di supply chain NIS2. SOC 2 è lo standard per i buyer enterprise statunitensi e le aziende SaaS che vendono nel mercato USA. Se vendi in entrambi i mercati, o se i tuoi buyer sono grandi multinazionali, potresti aver bisogno di entrambi. Strutturiamo engagement combinati ISO 27001 + SOC 2 con una base di prove condivisa — circa il 70% dei controlli Annex A si mappano ai SOC 2 Trust Service Criteria, rendendo la doppia certificazione il 20–35% più economica di due programmi separati.
Quanto costa la consulenza ISO 27001?
Il nostro engagement a prezzo fisso di consulenza ISO 27001 parte da €12,000 per uno scope ISMS ben definito in un'azienda di 20–100 persone. Le organizzazioni più grandi, gli scope ISMS più ampi o i programmi combinati ISO 27001 + SOC 2 vengono quotati individualmente. L'engagement copre analisi dei gap, progettazione ISMS, risk register, redazione delle policy, implementazione dei controlli tecnici, raccolta delle prove, audit interno e coordinamento con i revisori per Fase 1 & Fase 2. La quota dell'ente di certificazione è separata (tipicamente €5,000–€15,000 a seconda del revisore e della dimensione dell'organizzazione).
Ho bisogno di ISO 27001 per la conformità GDPR?
ISO 27001 non è imposto dal GDPR, ma supporta sostanzialmente la conformità all'articolo 32 del GDPR — che richiede “misure tecniche e organizzative appropriate” per proteggere i dati personali. Un ISMS ISO 27001 è la prova più difendibile che quelle misure siano sistematiche, documentate e revisionate. Molte autorità di supervisione e DPA considerano la certificazione ISO 27001 come prova forte della conformità GDPR in materia di sicurezza. Se elabori volumi significativi di dati personali dell'UE, o se operi in un settore regolamentato, ISO 27001 vale la pena perseguirla per la sola gestione del rischio normativo — indipendentemente da qualsiasi requisito dei buyer enterprise.
Certificazione ISO 27001, senza la tassa delle società di consulenza
Dicci il tuo scope ISMS, la tua timeline di certificazione e quali prove hai già — ti risponderemo con una proposta a prezzo fisso.
Contattaci → ISO 27001 & SOC 2 →