Scritto da Claudio Marchesini

ISO 27001 - Riesame della direzione

Certificazione ISO27001

ISO 27001 Riesame della Direzione: Cosa Deve Comprendere e Come Gestirlo

Nel percorso di certificazione e mantenimento di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), il riesame della direzione rappresenta uno dei momenti più critici e, al contempo, di maggior valore strategico. Molte organizzazioni lo considerano un mero adempimento burocratico, ma in qualità di Lead Auditor posso affermare che un riesame condotto con rigore è il vero motore del miglioramento continuo richiesto dalla norma.

Ma nello specifico della norma ISO 27001 riesame della direzione cosa deve comprendere per essere considerato conforme e utile all'azienda? In questo articolo analizzeremo i requisiti del punto 9.3 della norma ISO/IEC 27001:2022, fornendo una guida pratica per preparare gli input e gestire gli output in modo eccellente.

L'importanza del punto 9.3 della ISO 27001

La norma ISO 27001 impone che l'Alta Direzione riesamini il SGSI a intervalli pianificati. L'obiettivo è assicurarne la continua idoneità, adeguatezza ed efficacia. Non si tratta solo di controllare se le password vengono cambiate, ma di verificare se la strategia di sicurezza delle informazioni è ancora allineata con gli obiettivi di business dell'organizzazione.

ISO 27001 riesame della direzione cosa deve comprendere: Gli Input Obbligatori

Per rispondere alla domanda centrale su cosa debba comprendere il riesame, dobbiamo guardare alla lista di elementi in entrata (input) definiti dallo standard. Un verbale di riesame che omette uno di questi punti rischia di generare una non conformità durante l'audit di certificazione.

1. Stato delle azioni dei riesami precedenti

Il primo passo è verificare se quanto deciso nel precedente incontro è stato effettivamente attuato. La continuità è un elemento fondamentale per dimostrare che il sistema è "vivo".

2. Cambiamenti nei fattori interni ed esterni

Il contesto aziendale evolve. Nuove leggi (come l'evoluzione del GDPR o la Direttiva NIS2), nuove tecnologie o cambiamenti nella struttura organizzativa devono essere analizzati per capire se influenzano il SGSI.

3. Feedback sulle prestazioni della sicurezza delle informazioni

Questa è la sezione più corposa e deve includere dati relativi a:

  • Risultati degli audit: Analisi degli esiti degli audit interni ed esterni effettuati nel periodo.
  • Feedback delle parti interessate: Richieste dei clienti, segnalazioni di partner o autorità di regolamentazione.
  • Stato delle azioni correttive: Come l'azienda ha reagito alle non conformità rilevate.
  • Monitoraggio e misurazione: Analisi dei KPI (Key Performance Indicators) stabiliti per misurare l'efficacia dei controlli.
  • Obiettivi di sicurezza: Verifica del grado di raggiungimento degli obiettivi prefissati.

4. Risultati della valutazione del rischio e stato del piano di trattamento

La direzione deve confermare di essere consapevole dei rischi residui e che il piano di trattamento dei rischi (Risk Treatment Plan) stia procedendo secondo i tempi stabiliti.

5. Opportunità di miglioramento continuo

Suggerimenti provenienti dal CISO, dai responsabili di funzione o dai dipendenti per rendere il sistema più efficiente e sicuro.

Gli Output del Riesame: Le Decisioni della Direzione

Un errore comune è limitarsi a elencare i dati senza prendere decisioni. Gli output del riesame della direzione devono comprendere decisioni relative a:

  • Azioni per il miglioramento continuo del sistema.
  • Eventuali modifiche necessarie al Sistema di Gestione per la Sicurezza delle Informazioni.
  • Fabbisogno di risorse: Stanziamento di budget, acquisto di strumenti tecnologici o necessità di nuovo personale/formazione.

Consigli pratici per un Lead Auditor

Durante le mie verifiche ispettive, valuto la qualità del riesame non dalla lunghezza del documento, ma dalla sua capacità di dimostrare l'impegno della Leadership. Ecco alcuni suggerimenti:

  • Non farlo da soli: Il CISO prepara i dati, ma la Direzione deve discuterli. Un riesame "firmato per presa visione" senza discussione è un segnale di debolezza del sistema.
  • Basarsi sui dati: Utilizzate grafici e tabelle per mostrare l'andamento degli incidenti e l'efficacia dei controlli nel tempo.
  • Verbalizzare tutto: La norma richiede esplicitamente di conservare informazioni documentate come prova dei riesami della direzione.

Frequenza e tempistiche del riesame

Sebbene la norma parli di "intervalli pianificati", la prassi consolidata per la ISO 27001 è di condurre un riesame completo almeno una volta all'anno. Tuttavia, in contesti ad alto dinamismo tecnologico o in presenza di gravi incidenti di sicurezza, è consigliabile prevedere riesami parziali o straordinari per ritarare tempestivamente la strategia di difesa.

Riesame della direzione e integrazione con altre norme

Se la vostra azienda è già certificata ISO 9001 o ISO 14001, è possibile effettuare un riesame integrato. In questo caso, assicuratevi che i punti specifici relativi alla sicurezza delle informazioni (come la valutazione del rischio cyber e i risultati dei test di vulnerabilità) abbiano lo spazio e l'approfondimento necessario, evitando che vengano diluiti in una discussione troppo generica sulla qualità.

Claudio Marchesini

Auditor 27001

Contattaci

Pronto a fare il prossimo passo?

Compila il form per una consulenza gratuita di 30 minuti. Analizzeremo il tuo stato di conformità attuale e ti forniremo una roadmap personalizzata.

Chiamaci

+39 045 245 7616