🚨 Il regolamento NIS2 è ora in vigore. La sensibilizzazione alla sicurezza è ora un obbligo di legge nell'UE.

Verifica della conformità
Iniziare la prova gratuita
Torna al Centro risorse

Differenza tra ISO 27001 e ISO 27002

Le norme ISO 27001 e ISO 27002 vengono spesso citate insieme, ma non sono la stessa cosa. Una è uno standard di certificazione, l’altra una guida pratica. Chiunque prenda sul serio la sicurezza delle informazioni trae vantaggio da entrambe, ma in modi diversi.

Che cos'è la norma ISO 27001?

La norma ISO 27001 è lo standard internazionale per la sicurezza delle informazioni. Essa definisce i requisiti di un Sistema di gestione della sicurezza delle informazioni (SGSI): un insieme coerente di politiche, processi e misure volte a proteggere le informazioni. Le organizzazioni possono ottenere la certificazione ISO 27001, il che significa che un revisore indipendente verifica la conformità ai requisiti della norma.

La norma definisce cosa è necessario predisporre, non come farlo. Si pensi, ad esempio, alle valutazioni dei rischi, agli audit interni, al coinvolgimento della direzione e alla formazione dei dipendenti in materia di sensibilizzazione alla sicurezza. Quest'ultimo aspetto è esplicitamente indicato nell'Allegato A della norma.

Che cos'è la norma ISO 27002?

La norma ISO 27002 costituisce l'elaborazione pratica dei controlli di sicurezza richiesti dalla norma ISO 27001. Mentre la norma 27001 stabilisce che è necessario adottare determinate misure, la norma 27002 spiega come attuarle. Non è possibile ottenere una certificazione secondo la norma ISO 27002: si tratta infatti di una linea guida, non di uno standard di certificazione.

Nel 2022, la norma ISO 27002 è stata sottoposta a una revisione approfondita. Il numero di controlli è sceso da 114 a 93, suddivisi in quattro categorie: organizzativa, umana, fisica e tecnologica. La formazione sulla sensibilizzazione alla sicurezza rientra nella categoria "umana".

La differenza in sintesi

ISO 27001 ISO 27002
Tipo Standard di certificazione Linee guida
Scopo Requisiti per un SGSI Linee guida sull'attuazione dei controlli
È possibile ottenere la certificazione? No
Numero di controlli 93 (cfr. allegato A) 93 (calcolato per controllo)
È obbligatorio? Per la certificazione: sì Consigliato come riferimento
Destinatari Direzione, revisori Team di sicurezza, responsabili dell'implementazione

Di quale standard hai bisogno?

Se volete dimostrare ai clienti, ai partner o alle autorità di regolamentazione che prendete sul serio la sicurezza delle informazioni, la certificazione ISO 27001 è l'obiettivo da perseguire. La norma ISO 27002 funge da riferimento durante l'implementazione: vi aiuta a capire quali misure di controllo sono più appropriate e come metterle in pratica.

I due standard si completano a vicenda. L'ISO 27001 senza l'ISO 27002 è come costruire senza un progetto. L'ISO 27002 senza l'ISO 27001 è come sapere come fare, ma non sapere perché.

Il ruolo della formazione security awareness

Sia la norma ISO 27001 che la norma ISO 27002 richiedono che i dipendenti ricevano una formazione in materia di sicurezza delle informazioni. La norma ISO 27001 lo stabilisce come requisito (Allegato A, controllo 6.3), mentre la norma ISO 27002 spiega come rendere tale formazione efficace: regolare, specifica per ogni ruolo e misurabile.

Nella pratica, i corsi di e-learning sporadici o i workshop annuali raramente soddisfano tali requisiti. Guardey aiuta le organizzazioni a soddisfare i requisiti della norma ISO 27001 in materia di sensibilizzazione alla sicurezza, grazie a microformazioni settimanali, simulazioni di phishing e report pronti per gli audit.

Formazione sulla sensibilizzazione alla sicurezza conforme alla norma ISO 27001

Guardey aiuta le organizzazioni a soddisfare i requisiti formativi della norma ISO 27001 senza alcuna difficoltà. Richiedi una demo e scopri tu stesso cosa può offrire la piattaforma alla tua organizzazione.

Pianificare una demo
Dinela Lokvancic
Dinela Lokvancic Specialista di marketing Dinela mantiene aggiornata la presenza online di Guardey. Crea contenuti che rendono accessibili argomenti complessi relativi alla sicurezza informatica e aiuta le organizzazioni a comprendere perché la formazione sulla consapevolezza della sicurezza è importante per i loro team.
PRONTO A INIZIARE?

Unisciti alle oltre 500 aziende che già proteggono i propri team con Guardey

Inizia la tua prova gratuita di 14 giorni
14 giorni gratis · Nessuna carta di credito richiesta · Accesso completo · Configurazione in 5 minuti
Oppure prenota una demo personalizzata