Il punto di vista di Cyber Academy
ISO 27001 prevede tre livelli di certificazione: Foundation (2 giorni, vocabolario e struttura), Lead Implementer (5 giorni, costruire l'ISMS) e Lead Auditor (5 giorni, sottoporlo ad audit). Foundation è il prerequisito per le credenziali senior. Lead Implementer è adatto ai team di sicurezza e GRC che gestiscono l'ISMS; Lead Auditor è adatto agli auditor interni e ai professionisti degli organismi di certificazione.
TL;DR
- 1Foundation è il prerequisito. Fornisce il vocabolario e il modello mentale del sistema di gestione. Due giorni, esame di 1 ora.
- 2Lead Implementer (5 giorni) ti insegna a costruire l'ISMS, redigere la SoA, condurre il trattamento del rischio e gestire il ciclo del riesame della direzione.
- 3Lead Auditor (5 giorni) ti insegna a pianificare e guidare audit di terza parte o interni. Una mentalità diversa: evidenze, campionamento, tecnica di intervista, reportistica.
- 4La maggior parte dei CISO e dei responsabili della sicurezza segue Lead Implementer. Gli auditor interni e i consulenti delle Big Four seguono Lead Auditor. È comune fare entrambi nell'arco di 12-18 mesi.
- 5Tassi di superamento sulle nostre sessioni PECB con docente: 99,1% al primo tentativo nella nostra erogazione; la media di mercato è dell'80%-85% a seconda del partner.
La decisione che conta davvero: stai costruendo o facendo audit?
Le tre credenziali ISO 27001 non sono un'unica scala da salire in ordine. Foundation è la base condivisa, ma al di sopra di essa il percorso si biforca in due lavori diversi. Un lavoro consiste nel progettare e gestire un sistema di gestione della sicurezza delle informazioni (ISMS) all'interno di un'organizzazione. L'altro consiste nell'esaminare l'ISMS di qualcun altro rispetto allo standard e formulare un giudizio indipendente. I titoli lo segnalano: Lead Implementer è un costruttore, Lead Auditor è un esaminatore. Scegliere quello sbagliato spreca una settimana di formazione e ti dà un certificato che non corrisponde al lavoro che hai davanti.
Poniti una domanda prima di prenotare qualunque cosa: nei prossimi dodici mesi, sarai responsabile del fatto che un ISMS esista e funzioni, oppure responsabile di valutare se funziona? Se sei tu a possedere lo Statement of Applicability, il piano di trattamento del rischio e il riesame della direzione, stai costruendo. Se entri, campioni le evidenze e scrivi i rilievi, stai facendo audit. Il verbo che fai più spesso ogni giorno è l'intera decisione.
In entrambi i casi parti dallo stesso punto. Il corso ISO 27001 Foundation ti fornisce il vocabolario, la struttura dei controlli dell'Annex A e la logica del sistema di gestione che entrambi i percorsi senior danno per scontato tu già possieda.
Cosa valuta realmente ogni esame (oltre la brochure)
Le descrizioni dei livelli ti dicono la durata. Non ti dicono cosa premia la valutazione, ed è proprio questo a determinare come dovresti prepararti.
Foundation
Foundation è un esame sulle conoscenze. Verifica che tu sappia leggere lo standard senza perderti: i punti da 4 a 10, il ciclo Plan-Do-Check-Act, la differenza tra un controllo e un obiettivo di controllo, e dove si colloca l'Annex A rispetto ai requisiti principali. Non ti chiede di applicare nulla sotto pressione. Se sai spiegare perché la SoA deve giustificare sia le inclusioni sia le esclusioni, sei pronto.
Lead Implementer
Lead Implementer è un esame sulle competenze costruito attorno a scenari. Ti viene data un'organizzazione fittizia e ti si chiede cosa faresti: come definiresti il campo di applicazione dell'ISMS, come condurresti la valutazione del rischio, cosa metteresti nel piano di trattamento del rischio, come gestiresti un controllo non conforme. Le domande premiano il giudizio, non la memoria. Il corso Lead Implementer è strutturato attorno all'intero progetto di implementazione, così gli scenari d'esame sembrano un lavoro che hai già svolto.
Lead Auditor
Lead Auditor mette alla prova un muscolo diverso: la metodologia di audit ISO 19011 applicata a ISO 27001. Gli scenari ti collocano nella sala di audit. Decidi quali evidenze dimostrano che un punto è soddisfatto, come campionare, come formulare un rilievo e come classificarlo come non conformità maggiore o minore. La trappola in cui cadono i candidati è fare audit nel modo in cui implementerebbero, dicendo all'auditato come sistemare le cose invece di dichiarare cosa non è conforme. Il corso Lead Auditor allena la disciplina dell'evidenza-prima, del giudizio-non-del-consiglio, che sia l'esame sia gli audit reali richiedono.
I tre livelli a confronto
| Foundation | Lead Implementer | Lead Auditor | |
|---|---|---|---|
| Lavoro principale | Comprendere lo standard | Costruire e gestire l'ISMS | Sottoporre a audit un ISMS |
| Ruolo tipico | Chiunque sia nuovo a ISO 27001 | CISO, responsabile della sicurezza, owner GRC | Auditor interno, auditor di organismo di certificazione o di consulenza |
| Durata | 2 giorni | 5 giorni | 5 giorni |
| Tipo di esame | Conoscenze, esame breve | Basato su scenari, giudizio applicato | Metodologia di audit (ISO 19011), evidenze e rilievi |
| Deliverable chiave che puoi produrre al termine | Leggere e orientarti nello standard | Campo di applicazione, SoA, piano di trattamento del rischio, riesame della direzione | Piano di audit, programma di audit, report dei rilievi |
| Mentalità | Vocabolario e struttura | Progettare, gestire, migliorare | Evidenze, campionamento, giudizio indipendente |
| Prerequisito | Nessuno | Conoscenze di livello Foundation | Conoscenze di livello Foundation |
Prerequisiti e cosa ti offre realmente il passo successivo
Foundation è il prerequisito per le credenziali senior, ma leggilo con precisione: la maggior parte degli schemi di accreditamento richiede conoscenze di livello Foundation, non necessariamente un certificato Foundation separato conseguito in anticipo. In pratica i corsi senior si aprono con un ripasso compresso dei fondamentali, poi li danno per acquisiti. Se arrivi senza quella base, passi il primo giorno a recuperare invece di imparare il metodo, e il lavoro sugli scenari nel resto della settimana poggia su un terreno fragile. Sostenere prima Foundation non è una formalità burocratica; è ciò che permette al corso di cinque giorni di insegnare alla massima profondità.
Ciò che il passo successivo ti offre è leva, non solo una riga sul CV. Foundation ti dà la capacità di partecipare a una conversazione sull'ISMS senza perderti. Lead Implementer ti dà la capacità di essere responsabile dell'esistenza del sistema: sai definirne il campo di applicazione, difendere la SoA davanti a un auditor e gestire il ciclo. Lead Auditor ti dà l'indipendenza: puoi firmare rilievi su cui un organismo di certificazione o un consiglio di amministrazione faranno affidamento. Sono forme di autorità realmente diverse, ed è per questo che fare entrambi nell'arco di dodici-diciotto mesi è comune e utile. Un implementer che si è formato anche come auditor costruisce un ISMS che supera l'audit, perché sa cosa cercherà l'auditor.
Errori comuni che costano una settimana
Alcuni schemi ricorrono di frequente quando si scelgono o si sostengono questi corsi. Sono evitabili.
- Trattare Lead Auditor come la versione di status più elevato di Lead Implementer. Non è al di sopra di esso; è di fianco. Prenotarlo per prestigio quando il tuo lavoro è costruire l'ISMS ti dà una competenza che userai raramente.
- Saltare la base Foundation per risparmiare due giorni, poi perderne più di due all'interno del corso senior recuperando il vocabolario mentre tutti gli altri lo applicano.
- Implementer che fanno audit dando consigli, e auditor che fanno audit scrivendo piani di miglioramento. L'auditor dichiara cosa non è conforme e indica il punto; la correzione spetta all'auditato. Oltrepassare quella linea fa fallire gli scenari d'esame e compromette gli audit reali.
- Confondere lo standard con i controlli. L'Annex A è un insieme di riferimento da cui selezionare tramite la SoA. I requisiti certificabili risiedono nei punti da 4 a 10. I candidati che memorizzano i controlli ma non sanno spiegare i punti relativi al sistema di gestione faticano in entrambi gli esami senior.
La realtà della sala di audit, e perché plasma entrambi i percorsi
Per quale che sia il lato per cui ti formi, immagina l'audit di certificazione, perché è lì che i due ruoli si incontrano. L'auditor chiede le evidenze che un punto è soddisfatto e che un controllo selezionato opera come dichiara la SoA. L'implementer deve produrre quelle evidenze su richiesta: le registrazioni della valutazione del rischio, le decisioni di trattamento, i verbali del riesame della direzione, i risultati dell'audit interno, le azioni correttive. Nulla impressiona un auditor; solo le evidenze lo fanno. Un controllo che esiste ma non lascia traccia è, ai fini dell'audit, un controllo che non esiste.
Ecco perché i professionisti più solidi comprendono entrambe le prospettive anche quando svolgono un solo lavoro. L'implementer progetta l'ISMS in modo che svolgere il lavoro crei anche la traccia. L'auditor legge quella traccia senza che gli venga raccontata una storia. Se stai scegliendo il tuo primo corso, scegli il ruolo in cui vivrai, poi pianifica il secondo corso per quando vorrai l'altra metà del quadro. Lo standard è un unico sistema visto da due sedie, e la credenziale che scegli dovrebbe corrispondere alla sedia su cui ti siedi.
Frequently asked questions
01Dovrei seguire prima Lead Implementer o Lead Auditor?
Scegli in base al tuo ruolo. Se costruisci, gestisci o mantieni l'ISMS (security manager, analista GRC, CISO di un'organizzazione più piccola), prima Lead Implementer. Il corso ti insegna a redigere la SoA, condurre il trattamento del rischio, stilare le politiche e gestire il riesame della direzione.
Se fai audit (team di internal audit, consulente Big Four, auditor di organismo di certificazione), prima Lead Auditor. Il corso insegna il ciclo di audit, il campionamento delle evidenze, la tecnica di intervista e la disciplina nel redigere i rilievi.
Fare entrambi è comune. In questo caso l'ordine conta poco; alcuni professionisti scelgono LI poi LA per acquisire la profondità operativa prima della prospettiva di audit, altri scelgono LA poi LI per interiorizzare ciò che gli auditor cercano prima di costruire.
02Foundation è davvero obbligatorio?
Sì, formalmente. PECB richiede Foundation come prerequisito per l'ammissibilità agli esami Lead Implementer e Lead Auditor. La sessione in sé dura due giorni e copre il modello mentale del sistema di gestione, la struttura della ISO 27001:2022 e l'insieme dei controlli dell'Annex A.
Per i professionisti senior con precedente esperienza su ISO 27001 o un'altra credenziale su sistemi di gestione ISO, il requisito Foundation può talvolta essere esentato tramite il riconoscimento PECB di una formazione equivalente. Verificalo prima di prenotare; valutiamo il tuo caso durante la call di scoperta.
03Com'è l'esame Lead Implementer?
Tre ore, a libro aperto, online tramite la piattaforma PECB. Un mix di domande a scelta multipla e domande con scenario in stile saggio. È sulle domande con scenario che la maggior parte dei candidati perde punti: ricevi il contesto di un'organizzazione fittizia, poi devi applicare la metodologia ISMS dall'inizio alla fine, definire il campo di applicazione, identificare i rischi, proporre controlli, giustificare la struttura della SoA, pianificare il riesame della direzione. La preparazione sulla metodologia prima della sessione non è negoziabile.
04Quanto costa in Europa nel 2026?
Prezzi standard PECB con docente in Europa a inizio 2026: Foundation intorno a 1.200 euro, Lead Implementer da 2.800 a 3.200 euro, Lead Auditor da 2.800 a 3.200 euro. Include il corso, i materiali ufficiali PECB, la quota di certificazione, l'esame, una ripetizione e la validità a vita della credenziale.
La modalità self-paced costa in genere il 30%-40% in meno ma è più lenta nel completamento. Le sessioni in-house hanno un prezzo per team anziché per posto; aspettati da 12.000 a 18.000 euro per una sessione Lead Implementer di 5 giorni fino a 12 partecipanti, in presenza o virtuale.
05Le credenziali PECB e ISACA si sovrappongono?
Coprono ambiti correlati ma diversi. PECB rilascia credenziali sugli standard ISO (ISO 27001, 27005, 31000, 22301, 42001…) e sulle normative UE (NIS 2, DORA). ISACA rilascia credenziali sulle discipline professionali (audit, gestione della sicurezza, rischio, governance, privacy) basate su COBIT e sui framework ISACA.
La maggior parte dei professionisti senior possiede entrambe: un ISO 27001 Lead Implementer o Lead Auditor (PECB) più CISA o CISM (ISACA). Il percorso di audit (CISA → CRISC → ISO 27001 LA) è la sequenza canonica.


