La maggior parte delle organizzazioni non fallisce i progetti ISO per colpa dei controlli o della documentazione. Falliscono perché non comprendono la relazione tra gli standard.
ISO 27001, 27002, 27005, 31000 e ora 42001 sembrano tutti correlati; ma ognuno svolge un ruolo diverso. Confonderli significa far crollare la governance. Mapparli correttamente rende tutto semplice.
Ecco la mappa precisa e testata sul campo della giungla ISO.
Gli standard ISO non sono libri in competizione tra loro. Formano un sistema di governance, ciascuno dedicato a un livello diverso:
- 27001 → i requisiti
- 27002 → la guida operativa
- 27005 → la metodologia di rischio
- 31000 → la filosofia di rischio aziendale
- 42001 → i requisiti di governance dell'AI
Una volta compresa questa gerarchia, ISO smette di essere burocrazia e diventa un modello di riferimento per la sicurezza, il rischio e la governance dell'AI.
1. ISO 27001: i requisiti fondamentali (il "Cosa")
ISO 27001 è il vostro punto di ancoraggio. Definisce cosa deve raggiungere il vostro Information Security Management System (ISMS).
Fornisce:
- Clausole (4–10) = requisiti di governance
- Annex A = insieme di controlli di riferimento
- Criteri di certificazione
- La struttura obbligatoria del sistema di gestione
Cosa NON fornisce:
- Come implementare i controlli
- Quanto deve essere approfondito ciascun controllo
- Una metodologia di rischio
- Indicazioni tecniche
Per questo esistono altri standard attorno ad esso.
Pensate a 27001 come allo scheletro.
2. ISO 27002: il manuale di implementazione (il "Come")
ISO 27002 non è uno standard di certificazione. È la guida dettagliata sui controlli a supporto dell'Annex A di 27001.
Ogni controllo di 27001 → spiegato in 27002.
Cosa fornisce 27002:
- Obiettivi di controllo
- Indicazioni di implementazione
- Aspettative di maturità
- Esempi
- Allineamento con altri framework (NIST, CIS, cloud, SaaS)
Cosa NON fornisce 27002:
- Requisiti di governance
- Metodologia di rischio
- Criteri di conformità
27002 è la vostra cassetta degli attrezzi.27001 è il vostro regolamento.
3. ISO 27005: il motore del rischio (il "Come ragionare sul rischio")
ISO 27001 richiede di eseguire valutazioni del rischio; ma non dice come farlo.
ISO 27005 colma questa lacuna.
27005 fornisce:
- Una metodologia completa di gestione del rischio
- Passaggi per l'identificazione del rischio
- Modelli di impatto e probabilità
- Opzioni di trattamento
- Monitoraggio continuo del rischio
- Allineamento con la Clausola 6 e la Clausola 8 di 27001
Perché è importante nella pratica:
Se la valutazione del rischio è debole, l'intero ISMS crolla durante l'audit.
27005 = il cervello dell'ISMS.
4. ISO 31000: la filosofia di governance del rischio (il "Perché")
ISO 31000 non è specifico per la cybersecurity. È lo standard globale per la gestione del rischio aziendale.
Le organizzazioni utilizzano 31000 per:
- allineare il rischio cyber al rischio aziendale
- costruire una tassonomia del rischio coerente
- standardizzare la governance
- definire l'appetito e la tolleranza al rischio
- collegare rischio di business → rischio ICT → rischio operativo
In termini semplici:
27005 = metodo di rischio operativo 31000 = cultura del rischio aziendale
27005 è il vostro metodo. 31000 è la vostra mentalità.
5. ISO 42001: il nuovo sistema di governance dell'AI (l'"AI ISMS")
ISO 42001 è il primo standard globale per i sistemi di gestione dell'AI. Funziona come ISO 27001, ma per la governance dell'AI.
Cosa introduce 42001:
- Metodi di valutazione del rischio AI
- Governance dei dati e qualità dei dataset
- Controlli sul ciclo di vita dei modelli
- Requisiti di supervisione umana
- Monitoraggio di bias e drift
- Governance per i fornitori di AI
- Gestione degli incidenti legati a malfunzionamenti AI
- Documentazione per la spiegabilità
- Allineamento con l'EU AI Act
42001 è il ponte tra GRC e sviluppo AI.
Come 42001 si inserisce nella giungla ISO:
- 27001 → sicurezza delle informazioni
- 42001 → governance dell'intelligenza
Insieme: l'organizzazione diventa sicura, resiliente E responsabile in materia di AI.
6. La mappa reale: come interagisce ciascuno standard
Ecco il modello mentale utilizzato dai migliori leader GRC:
Livello 1: Framework di governance
ISO 27001 → Sicurezza delle informazioni ISO 42001 → Governance dell'AI
Questi definiscono i requisiti e costituiscono la spina dorsale certificabile.
Livello 2: Guida all'implementazione
ISO 27002 → Come implementare i controlli dell'Annex A (sicurezza) Annessi ISO 42001 → Come operare la governance dell'AI
Questi sono i manuali.
Livello 3: Metodologia di rischio
ISO 27005 → Metodo di rischio operativo per la sicurezza ISO 31000 → Principi di rischio a livello aziendale
Questi sono i motori del rischio.
Livello 4: Controlli, evidenze e assurance
Tutti gli standard confluiscono in:
- policy
- procedure
- evidenze
- registri dei rischi
- audit trail
- monitoraggio continuo
Questo è il sistema operativo.
7. Il punto pratico: cosa dovete realmente applicare
Ecco come i team GRC dovrebbero utilizzare gli standard nella pratica:
- Usate 27001 come modello di governance
- Usate 27002 per definire i vostri controlli
- Usate 27005 per condurre le valutazioni del rischio
- Usate 31000 per allineare il rischio cyber al rischio aziendale
- Usate 42001 per prepararvi agli obblighi dell'AI Act
Questo vi offre un modello di governance unificato efficace per gli audit ISO, NIS2, DORA, GDPR e l'AI Act.
Considerazione finale
La giungla ISO sembra complicata finché non si comprende una verità:
27001 e 42001 dicono cosa costruire.27002 e 27005 dicono come costruirlo.31000 dice perché è importante.
Padroneggiare questa mappa trasforma ISO da labirinto in motore di governance, capace di scalare con il vostro business, i vostri rischi e le vostre ambizioni in ambito AI.
Se volete padroneggiare ISO 27001, 27002, 27005, 31000 e 42001, e costruire un sistema di governance unificato pronto per NIS2, DORA, GDPR e l'AI Act, è esattamente ciò che insegniamo nei programmi di certificazione PECB di Cyber Academy.