8 aprile 2026 • ISO 27001
Le norme ISO 27001 e ISO 27002 vengono spesso citate insieme, ma non sono la stessa cosa. Una è uno standard di certificazione, l’altra una guida pratica. Chiunque prenda sul serio la sicurezza delle informazioni trae vantaggio da entrambe, ma in modi diversi.
Che cos'è la norma ISO 27001?
La norma ISO 27001 è lo standard internazionale per la sicurezza delle informazioni. Essa definisce i requisiti di un Sistema di gestione della sicurezza delle informazioni (SGSI): un insieme coerente di politiche, processi e misure volte a proteggere le informazioni. Le organizzazioni possono ottenere la certificazione ISO 27001, il che significa che un revisore indipendente verifica la conformità ai requisiti della norma.
La norma definisce cosa è necessario predisporre, non come farlo. Si pensi, ad esempio, alle valutazioni dei rischi, agli audit interni, al coinvolgimento della direzione e alla formazione dei dipendenti in materia di sensibilizzazione alla sicurezza. Quest'ultimo aspetto è esplicitamente indicato nell'Allegato A della norma.
Che cos'è la norma ISO 27002?
La norma ISO 27002 costituisce l'elaborazione pratica dei controlli di sicurezza richiesti dalla norma ISO 27001. Mentre la norma 27001 stabilisce che è necessario adottare determinate misure, la norma 27002 spiega come attuarle. Non è possibile ottenere una certificazione secondo la norma ISO 27002: si tratta infatti di una linea guida, non di uno standard di certificazione.
Nel 2022, la norma ISO 27002 è stata sottoposta a una revisione approfondita. Il numero di controlli è sceso da 114 a 93, suddivisi in quattro categorie: organizzativa, umana, fisica e tecnologica. La formazione sulla sensibilizzazione alla sicurezza rientra nella categoria "umana".
La differenza in sintesi
| ISO 27001 | ISO 27002 | |
|---|---|---|
| Tipo | Standard di certificazione | Linee guida |
| Scopo | Requisiti per un SGSI | Linee guida sull'attuazione dei controlli |
| È possibile ottenere la certificazione? | Sì | No |
| Numero di controlli | 93 (cfr. allegato A) | 93 (calcolato per controllo) |
| È obbligatorio? | Per la certificazione: sì | Consigliato come riferimento |
| Destinatari | Direzione, revisori | Team di sicurezza, responsabili dell'implementazione |
Di quale standard hai bisogno?
Se volete dimostrare ai clienti, ai partner o alle autorità di regolamentazione che prendete sul serio la sicurezza delle informazioni, la certificazione ISO 27001 è l'obiettivo da perseguire. La norma ISO 27002 funge da riferimento durante l'implementazione: vi aiuta a capire quali misure di controllo sono più appropriate e come metterle in pratica.
I due standard si completano a vicenda. L'ISO 27001 senza l'ISO 27002 è come costruire senza un progetto. L'ISO 27002 senza l'ISO 27001 è come sapere come fare, ma non sapere perché.
Il ruolo della formazione security awareness
Sia la norma ISO 27001 che la norma ISO 27002 richiedono che i dipendenti ricevano una formazione in materia di sicurezza delle informazioni. La norma ISO 27001 lo stabilisce come requisito (Allegato A, controllo 6.3), mentre la norma ISO 27002 spiega come rendere tale formazione efficace: regolare, specifica per ogni ruolo e misurabile.
Nella pratica, i corsi di e-learning sporadici o i workshop annuali raramente soddisfano tali requisiti. Guardey aiuta le organizzazioni a soddisfare i requisiti della norma ISO 27001 in materia di sensibilizzazione alla sicurezza, grazie a microformazioni settimanali, simulazioni di phishing e report pronti per gli audit.
Formazione sulla sensibilizzazione alla sicurezza conforme alla norma ISO 27001
Guardey aiuta le organizzazioni a soddisfare i requisiti formativi della norma ISO 27001 senza alcuna difficoltà. Richiedi una demo e scopri tu stesso cosa può offrire la piattaforma alla tua organizzazione.
Pianificare una demo