Sicurezza delle informazioni. Sul serio.
Certificazione ISO 27001
ISO/IEC 27001 è lo standard internazionale per la sicurezza delle informazioni. Ottenerla non significa firmare moduli: significa progettare e far funzionare i controlli giusti. AtWorkStudio è l’implementatore tecnico che mette in piedi il sistema di gestione — on-prem e in cloud — a fianco dei tuoi consulenti, dimensionandolo sul contesto reale della tua azienda. Lo conosciamo perché siamo certificati ISO/IEC 27001, 27017, 27018 e ISO 9001.
A che punto sei con la sicurezza delle informazioni?
Scoprilo in 15 minuti con il nostro assessment basato sul NIST Cybersecurity Framework 2.0. È un punto di partenza concreto per capire quanto sei vicino ai requisiti di un sistema di gestione ISO 27001 e dove stanno i gap da chiudere.
106 domande · Report immediato · Nessun impegno
Lo standard, in parole chiare
Un sistema di gestione (ISMS)
Rischio, scope e Annex A
Conformità vs certificazione
A chi serve davvero
La famiglia 27017 e 27018
Un asset, non un costo
L’iter di certificazione, passo per passo
1. Gap analysis e scope
2. Implementazione dei controlli
3. ISMS in esercizio ed evidenze
4. Audit Stage 1 e Stage 2
5. Certificato e sorveglianza
Cosa incide sul costo
Il nostro ruolo
Compliance tecnica, non burocratica
Il consulente per la compliance ti dice cosa serve. Noi progettiamo e realizziamo il come: i controlli che soddisfano quel requisito in modo sensato e sostenibile, adatti alla tua struttura, ai tuoi processi, alla tua infrastruttura e al tuo budget — sia on-prem presso di te sia erogando servizi cloud. Lavoriamo a fianco dei tuoi consulenti, traducendo i requisiti in soluzioni che funzionano davvero.
Dal requisito alla soluzione che regge
Un requisito di sicurezza può essere soddisfatto bene o male. «Serve l’autenticazione forte» non si risolve imponendo di cambiare password ogni giorno: si risolve con MFA e Conditional Access proporzionati al rischio, che le persone usano senza combattere lo strumento.
Backup che ripartono davvero
«Servono copie di sicurezza» non è un disco USB portato in cassaforte: è un backup immutabile, con regola 3-2-1, ripristino testato e tempi di recupero misurati. La differenza si vede il giorno dell’incidente, non sulla carta.
On-prem e cloud, secondo le esigenze
Implementiamo i controlli dove ha senso per te: presso la tua sede, in cloud, o in modello ibrido. È la soluzione tecnica a seguire i requisiti e il contesto — non il contrario.
Un ottimo punto di partenza, non il traguardo
Dove la ISO 27001 copre
Dove la NIS2 chiede di più
Come ti accompagniamo
Pratichiamo ciò che implementiamo
AtWorkStudio è certificata ISO/IEC 27001, 27017, 27018 e ISO 9001 (ente CSQA). Non ti facciamo firmare moduli: costruiamo l’infrastruttura e le evidenze che la certificazione richiede, perché è lo stesso lavoro che facciamo su noi stessi ogni giorno.
Domande frequenti sulla certificazione ISO 27001
Le risposte alle domande più comuni su cos’è, come si ottiene e cosa serve davvero.
ISO/IEC 27001 è lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS, Information Security Management System). La certificazione è il riconoscimento, rilasciato da un ente accreditato dopo un audit, che l’organizzazione ha definito un perimetro, valutato i rischi, implementato i controlli dell’Annex A applicabili e li gestisce con continuità. La versione vigente è la ISO/IEC 27001:2022.
La conformità significa operare secondo i requisiti dello standard; la certificazione è la verifica indipendente di un ente terzo accreditato che la attesta con un certificato. Si può essere conformi senza essere certificati, ma è la certificazione che fornisce la prova spendibile verso clienti, gare e autorità. In entrambi i casi il lavoro vero è lo stesso: progettare e far funzionare i controlli.
Il percorso tipico è: gap analysis, definizione di scope e analisi del rischio, Statement of Applicability, implementazione dei controlli, un periodo di funzionamento dell’ISMS con raccolta di evidenze, quindi l’audit di certificazione in due fasi (Stage 1 documentale, Stage 2 sul campo) e gli audit di sorveglianza annuali. La durata dipende dalla maturità di partenza: per un’organizzazione già strutturata si parla di mesi, partendo da zero serve più tempo.
Il costo dipende da fattori oggettivi: ampiezza del perimetro, numero di sedi e di persone, complessità dell’infrastruttura, maturità dei controlli già in essere. Vanno distinte due voci: il costo dell’ente di certificazione (che rilascia il certificato) e il costo dell’implementazione tecnico-organizzativa per arrivare pronti all’audit. Su quest’ultima parte interveniamo noi, dimensionandola sul contesto reale dell’azienda.
No. La certificazione la rilascia un ente accreditato e indipendente — non chi implementa i controlli, per terzietà. Noi siamo l’implementatore tecnico: progettiamo e mettiamo in piedi l’ISMS e i controlli, on-prem e in cloud, e prepariamo le evidenze per l’audit. AtWorkStudio è a sua volta certificata ISO/IEC 27001, 27017, 27018 e ISO 9001 (ente CSQA).
No: è una base solida ma non sufficiente. Copre gran parte dei controlli richiesti dalla NIS2, ma restano scoperti diversi obblighi del D.Lgs. 138/2024 — responsabilità personale dei vertici, tempi di notifica degli incidenti al CSIRT, registrazione e categorizzazione sulla piattaforma ACN. Lo spieghiamo in dettaglio nell’ approfondimento sui sette gap tra ISO 27001 e NIS2.
Vuoi certificarti ISO 27001? Partiamo dai fatti
Contattaci per una consulenza dedicata: gap analysis, piano di implementazione con priorità e tempi, e i controlli messi in piedi sul campo — on-prem e in cloud — per arrivare pronti all’audit.