Il punto di vista di Cyber Academy
La certificazione ISO iniziale si articola in stage 1 (verifica della documentazione e della prontezza operativa, di norma 1-2 giorni) e stage 2 (audit delle evidenze operative, 2-5 giorni). Lo stage 1 conferma che il sistema di gestione esiste sulla carta; lo stage 2 verifica che funzioni concretamente. La maggior parte degli audit stage 2 "falliti" sono problemi di stage 1 che nessuno ha corretto nel frattempo.
Una certificazione accreditata rispetto a una norma di sistema di gestione come ISO/IEC 27001 non è una singola visita. L'organismo di certificazione conduce un audit iniziale in due fasi distinte, che rispondono a due domande diverse. La fase 1 chiede se il sistema di gestione esiste ed è pronto per essere sottoposto ad audit. La fase 2 chiede se funziona davvero nella pratica. Trattarle come un unico esame continuo è il modo più comune in cui i team si fanno cogliere di sorpresa, perché le due fasi premiano tipi di preparazione completamente diversi.
Cosa verifica realmente la fase 1
La fase 1 è un riesame dello stato di preparazione e della documentazione, di solito la più breve delle due. L'auditor legge i vostri documenti fondamentali, conferma che il campo di applicazione è coerente e cerca gli artefatti obbligatori richiesti dalla norma. Per un SGSI ciò significa la Dichiarazione di Applicabilità, il processo di valutazione e trattamento del rischio, la politica di sicurezza, le registrazioni di audit interno e di riesame della direzione, e l'evidenza che il sistema è operativo da abbastanza tempo da produrre dati. Il deliverable non è un certificato. È una sintesi scritta dei rilievi e delle aree di preoccupazione che vi si chiede di chiudere prima della fase 2.
In pratica la fase 1 è il vostro sistema di allerta precoce. L'auditor segnala le lacune mentre c'è ancora tempo per correggerle. I team che leggono questi rilievi come un elenco di attività arrivano preparati alla fase 2. I team che li archiviano e tirano avanti sono quelli che poi faticano.
Cosa verifica la fase 2
La fase 2 è l'audit delle evidenze operative, ed è solitamente più lunga. L'auditor passa dal «la politica dice che» al «mostratemi che è accaduto». Campiona registrazioni, intervista le persone che gestiscono i controlli, traccia gli incidenti e i riesami degli accessi fino alla chiusura, e verifica se il processo documentato corrisponde alla realtà quotidiana. È qui che la Dichiarazione di Applicabilità viene riscontrata con evidenze operative reali, ed è qui che i controlli deboli che sembravano a posto sulla carta si sgretolano.
Fase 1 e fase 2 a colpo d'occhio
| Dimensione | Fase 1 | Fase 2 |
|---|---|---|
| Domanda centrale | Il sistema esiste ed è pronto? | Il sistema opera davvero? |
| Input principale | Documentazione e riesame della progettazione | Registrazioni operative, interviste, campionamento |
| Durata tipica | Più breve (focalizzata sulla documentazione) | Più lunga (focalizzata sulle evidenze) |
| Output principale | Rilievi e aree di preoccupazione da chiudere | Non conformità e decisione di certificazione |
| Cosa premia | Documentazione completa e coerente | Disciplina ed evidenze tracciabili nel tempo |
Cosa fanno i professionisti tra le due visite
La finestra tra la fase 1 e la fase 2 è il vero lavoro. I rilievi della fase 1 non sono ancora non conformità, quindi non c'è un piano formale di azioni correttive, ma sono l'auditor che vi dice esattamente dove indagherà la fase 2. I team solidi convertono ogni osservazione della fase 1 in un responsabile, un'azione e una scadenza, poi si assicurano che l'evidenza che la chiude risieda nelle registrazioni che l'auditor campionerà. Mantengono inoltre il sistema in funzione normalmente anziché allestire una pulizia una tantum, perché la fase 2 cerca un'operatività sostenuta, non un'istantanea ordinata.
Laddove la fase 2 sollevi effettivamente una non conformità, la risposta è la stessa disciplina che si attende da un audit di sorveglianza: classificarla onestamente come maggiore o minore, pianificare l'azione correttiva con una scadenza, e affrontare la causa radice anziché il sintomo. La decisione di certificazione segue una volta che l'organismo di certificazione è convinto che tali azioni tengano.
Domande frequenti
01Si può essere bocciati alla fase 1 di un audit ISO?
La fase 1 di solito non produce un esito di superamento o bocciatura come fa la fase 2. Produce invece rilievi e aree di preoccupazione. Se vengono riscontrate lacune gravi, l'auditor può rinviare la fase 2 finché non sono risolte, perciò i problemi irrisolti della fase 1 di fatto posticipano la certificazione.
02Quanto tempo intercorre tra la fase 1 e la fase 2?
L'intervallo è fissato dall'organismo di certificazione ed è inteso a darvi tempo sufficiente per chiudere i rilievi della fase 1, ma non così tanto da far andare il sistema alla deriva. Usate l'intera finestra per agire sui rilievi anziché aspettare appena prima della seconda visita.
03Qual è la differenza tra la fase 1 e la fase 2?
La fase 1 è un riesame della documentazione e dello stato di preparazione che conferma che il sistema di gestione esiste sulla carta. La fase 2 è un audit operativo che verifica che il sistema funzioni davvero, mediante registrazioni, interviste e campionamento.
04Le non conformità derivano solo dalla fase 2?
Le non conformità formali che incidono sulla decisione di certificazione vengono normalmente sollevate alla fase 2. La fase 1 produce rilievi e aree di preoccupazione, che sono avvertimenti da correggere prima della fase 2. Ignorarli è il modo in cui i problemi della fase 1 si trasformano in non conformità della fase 2.