Vai al contenuto principale

Audit stage 1 / stage 2.

La certificazione ISO iniziale si articola in stage 1 (verifica della documentazione e della prontezza operativa, di norma 1-2 giorni) e stage 2 (audit delle evidenze operative, 2-5 giorni). Lo stage 1 conferma che il sistema di gestione esiste sulla carta; lo stage 2 verifica che funzioni concretamente. La maggior parte degli audit stage 2 "falliti" sono problemi di stage 1 che nessuno ha corretto nel frattempo.

Di Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit e conformitàTutte le voci

Il punto di vista di Cyber Academy

La certificazione ISO iniziale si articola in stage 1 (verifica della documentazione e della prontezza operativa, di norma 1-2 giorni) e stage 2 (audit delle evidenze operative, 2-5 giorni). Lo stage 1 conferma che il sistema di gestione esiste sulla carta; lo stage 2 verifica che funzioni concretamente. La maggior parte degli audit stage 2 "falliti" sono problemi di stage 1 che nessuno ha corretto nel frattempo.

Una certificazione accreditata rispetto a una norma di sistema di gestione come ISO/IEC 27001 non è una singola visita. L'organismo di certificazione conduce un audit iniziale in due fasi distinte, che rispondono a due domande diverse. La fase 1 chiede se il sistema di gestione esiste ed è pronto per essere sottoposto ad audit. La fase 2 chiede se funziona davvero nella pratica. Trattarle come un unico esame continuo è il modo più comune in cui i team si fanno cogliere di sorpresa, perché le due fasi premiano tipi di preparazione completamente diversi.

Cosa verifica realmente la fase 1

La fase 1 è un riesame dello stato di preparazione e della documentazione, di solito la più breve delle due. L'auditor legge i vostri documenti fondamentali, conferma che il campo di applicazione è coerente e cerca gli artefatti obbligatori richiesti dalla norma. Per un SGSI ciò significa la Dichiarazione di Applicabilità, il processo di valutazione e trattamento del rischio, la politica di sicurezza, le registrazioni di audit interno e di riesame della direzione, e l'evidenza che il sistema è operativo da abbastanza tempo da produrre dati. Il deliverable non è un certificato. È una sintesi scritta dei rilievi e delle aree di preoccupazione che vi si chiede di chiudere prima della fase 2.

In pratica la fase 1 è il vostro sistema di allerta precoce. L'auditor segnala le lacune mentre c'è ancora tempo per correggerle. I team che leggono questi rilievi come un elenco di attività arrivano preparati alla fase 2. I team che li archiviano e tirano avanti sono quelli che poi faticano.

Cosa verifica la fase 2

La fase 2 è l'audit delle evidenze operative, ed è solitamente più lunga. L'auditor passa dal «la politica dice che» al «mostratemi che è accaduto». Campiona registrazioni, intervista le persone che gestiscono i controlli, traccia gli incidenti e i riesami degli accessi fino alla chiusura, e verifica se il processo documentato corrisponde alla realtà quotidiana. È qui che la Dichiarazione di Applicabilità viene riscontrata con evidenze operative reali, ed è qui che i controlli deboli che sembravano a posto sulla carta si sgretolano.

Fase 1 e fase 2 a colpo d'occhio

Come differiscono le due fasi per focus ed esito
DimensioneFase 1Fase 2
Domanda centraleIl sistema esiste ed è pronto?Il sistema opera davvero?
Input principaleDocumentazione e riesame della progettazioneRegistrazioni operative, interviste, campionamento
Durata tipicaPiù breve (focalizzata sulla documentazione)Più lunga (focalizzata sulle evidenze)
Output principaleRilievi e aree di preoccupazione da chiudereNon conformità e decisione di certificazione
Cosa premiaDocumentazione completa e coerenteDisciplina ed evidenze tracciabili nel tempo

Cosa fanno i professionisti tra le due visite

La finestra tra la fase 1 e la fase 2 è il vero lavoro. I rilievi della fase 1 non sono ancora non conformità, quindi non c'è un piano formale di azioni correttive, ma sono l'auditor che vi dice esattamente dove indagherà la fase 2. I team solidi convertono ogni osservazione della fase 1 in un responsabile, un'azione e una scadenza, poi si assicurano che l'evidenza che la chiude risieda nelle registrazioni che l'auditor campionerà. Mantengono inoltre il sistema in funzione normalmente anziché allestire una pulizia una tantum, perché la fase 2 cerca un'operatività sostenuta, non un'istantanea ordinata.

Laddove la fase 2 sollevi effettivamente una non conformità, la risposta è la stessa disciplina che si attende da un audit di sorveglianza: classificarla onestamente come maggiore o minore, pianificare l'azione correttiva con una scadenza, e affrontare la causa radice anziché il sintomo. La decisione di certificazione segue una volta che l'organismo di certificazione è convinto che tali azioni tengano.

Domande frequenti

01Si può essere bocciati alla fase 1 di un audit ISO?

La fase 1 di solito non produce un esito di superamento o bocciatura come fa la fase 2. Produce invece rilievi e aree di preoccupazione. Se vengono riscontrate lacune gravi, l'auditor può rinviare la fase 2 finché non sono risolte, perciò i problemi irrisolti della fase 1 di fatto posticipano la certificazione.

02Quanto tempo intercorre tra la fase 1 e la fase 2?

L'intervallo è fissato dall'organismo di certificazione ed è inteso a darvi tempo sufficiente per chiudere i rilievi della fase 1, ma non così tanto da far andare il sistema alla deriva. Usate l'intera finestra per agire sui rilievi anziché aspettare appena prima della seconda visita.

03Qual è la differenza tra la fase 1 e la fase 2?

La fase 1 è un riesame della documentazione e dello stato di preparazione che conferma che il sistema di gestione esiste sulla carta. La fase 2 è un audit operativo che verifica che il sistema funzioni davvero, mediante registrazioni, interviste e campionamento.

04Le non conformità derivano solo dalla fase 2?

Le non conformità formali che incidono sulla decisione di certificazione vengono normalmente sollevate alla fase 2. La fase 1 produce rilievi e aree di preoccupazione, che sono avvertimenti da correggere prima della fase 2. Ignorarli è il modo in cui i problemi della fase 1 si trasformano in non conformità della fase 2.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.