Elenco misure di sicurezza ISO 27001:2022: guida completa
In breve:
- L’elenco ufficiale della ISO 27001:2022 presenta 93 controlli organizzati in quattro categorie principali. La selezione di queste misure si basa sul rischio, documentata nella Statement of Applicability, e sulle esigenze specifiche dell’organizzazione.
L’elenco ufficiale delle misure di sicurezza ISO 27001:2022 comprende 93 controlli organizzati in quattro categorie: organizzativi, persone, fisici e tecnologici. Questi controlli, raccolti nell’Annex A dello standard, costituiscono il riferimento principale per qualsiasi responsabile della sicurezza informatica che voglia strutturare un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme. La versione 2022 ha ridotto i controlli da 114 a 93 e ne ha introdotti 11 nuovi, rendendo lo standard più allineato a normative come il GDPR e la direttiva NIS2. Conoscere questo elenco non è un esercizio teorico: è il punto di partenza per ogni decisione di sicurezza aziendale documentata e verificabile.
Quali sono le categorie principali delle misure di sicurezza ISO 27001:2022?
La struttura dell’Annex A della ISO 27001:2022 si articola in quattro temi distinti, ciascuno con un numero preciso di controlli e un focus specifico.
- Controlli organizzativi (37 controlli): riguardano la governance della sicurezza, la gestione del rischio, le politiche aziendali, la gestione degli incidenti e la sicurezza nella catena di fornitura. Costituiscono la base strutturale del SGSI.
- Controlli sulle persone (8 controlli): coprono l’intero ciclo di vita del personale, dalla selezione e screening pre-assunzione fino alla cessazione del rapporto di lavoro, inclusa la formazione continua sulla sicurezza.
- Controlli fisici (14 controlli): si occupano della protezione degli ambienti fisici, del controllo degli accessi alle aree sensibili, della videosorveglianza e della protezione delle apparecchiature da minacce ambientali.
- Controlli tecnologici (34 controlli): comprendono cifratura, gestione delle identità e degli accessi, backup, logging, segmentazione della rete, prevenzione della perdita di dati (DLP) e i nuovi controlli introdotti nel 2022 come il data masking e la sicurezza del cloud.
I quattro temi sono complementari. Un’organizzazione che presidia solo l’area tecnologica, trascurando quella organizzativa o quella relativa alle persone, presenta lacune che nessuna tecnologia può colmare da sola. La struttura a quattro temi della versione 2022 riflette questa visione integrata della sicurezza.
Misure organizzative e sulle persone: elenco e spiegazione

Controlli organizzativi
I 37 controlli organizzativi definiscono come un’organizzazione governa la propria sicurezza. Tra i più rilevanti:
- Politiche di sicurezza delle informazioni: definiscono le regole di base e devono essere approvate dalla direzione.
- Gestione del rischio: processo formale per identificare, valutare e trattare i rischi informatici. La valutazione dei rischi informatici è il motore dell’intero SGSI.
- Gestione degli incidenti di sicurezza: procedure per rilevare, segnalare e rispondere agli incidenti in modo tracciabile.
- Sicurezza nella catena di fornitura: valutazione e monitoraggio dei fornitori che trattano dati o sistemi aziendali.
- Threat intelligence (nuovo nel 2022): raccolta e analisi di informazioni sulle minacce per anticipare gli attacchi.
- Sicurezza del cloud (nuovo nel 2022): controlli specifici per i servizi cloud adottati dall’organizzazione.
- Continuità operativa: piani per garantire la disponibilità dei servizi critici in caso di interruzione.
- Conformità legale e contrattuale: verifica periodica del rispetto di leggi, regolamenti e obblighi contrattuali.
Questi controlli non riguardano la tecnologia in senso stretto. Riguardano le decisioni, i processi e le responsabilità che rendono la sicurezza gestibile nel tempo.
Controlli sulle persone
Gli 8 controlli sulle persone affrontano il fattore umano, che rimane la principale causa di incidenti di sicurezza nelle organizzazioni.
- Screening pre-assunzione: verifica dei precedenti e delle referenze prima di assegnare accessi a sistemi sensibili.
- Termini e condizioni di impiego: obbligo contrattuale di rispettare le politiche di sicurezza.
- Consapevolezza, formazione e addestramento: programmi strutturati di formazione sulla sicurezza per tutto il personale.
- Processo disciplinare: procedure formali per gestire le violazioni delle politiche di sicurezza.
- Responsabilità dopo la cessazione del rapporto: gestione degli accessi e restituzione degli asset al termine del contratto.
Un consiglio: non limitare la formazione al momento dell’assunzione. Un programma annuale con simulazioni di phishing e aggiornamenti sulle minacce attuali riduce significativamente il rischio di incidenti causati da errori umani.
Misure fisiche e tecnologiche: elenco e spiegazione
Controlli fisici
I 14 controlli fisici proteggono gli ambienti in cui risiedono le informazioni e le infrastrutture critiche.
- Perimetri di sicurezza fisica: definizione di aree protette con accesso controllato.
- Controllo degli accessi fisici: sistemi di badge, tornelli o serrature elettroniche per limitare l’ingresso alle aree sensibili.
- Protezione di uffici, locali e strutture: misure per prevenire accessi non autorizzati agli spazi di lavoro.
- Monitoraggio fisico (nuovo nel 2022): sistemi di videosorveglianza e rilevamento delle intrusioni negli ambienti fisici.
- Protezione dalle minacce fisiche e ambientali: protezione da incendi, alluvioni, interruzioni di corrente e altri eventi ambientali.
- Sicurezza delle apparecchiature: procedure per la manutenzione, lo smaltimento sicuro e il trasporto degli asset fisici.
- Scrivania pulita e schermo pulito: politiche per evitare che documenti o schermi con dati sensibili siano visibili a persone non autorizzate.
Un consiglio: il monitoraggio fisico introdotto nel 2022 non richiede necessariamente sistemi costosi. Anche un registro degli accessi cartaceo, se compilato con rigore, soddisfa il requisito minimo e fornisce evidenza per l’audit.
Controlli tecnologici
I 34 controlli tecnologici coprono l’intera superficie di attacco digitale. Tra i principali:
- Gestione delle identità e degli accessi: autenticazione a più fattori, gestione dei privilegi e revisione periodica degli accessi.
- Cifratura: protezione dei dati in transito e a riposo con algoritmi adeguati al livello di rischio.
- Backup e ripristino: procedure documentate per la copia e il recupero dei dati critici.
- Logging e monitoraggio: registrazione degli eventi di sicurezza e analisi per rilevare anomalie.
- Segmentazione della rete: separazione dei segmenti di rete per limitare la propagazione di un attacco.
- Prevenzione della perdita di dati (DLP): strumenti per rilevare e bloccare la trasmissione non autorizzata di dati sensibili.
- Data masking (nuovo nel 2022): tecniche per oscurare i dati sensibili negli ambienti di test o sviluppo.
- Sicurezza del cloud: controlli specifici per la configurazione e il monitoraggio dei servizi cloud. Le pratiche di sicurezza cloud per PMI rappresentano un’area in rapida evoluzione che richiede aggiornamento continuo.
- Gestione delle vulnerabilità: scansioni periodiche e patch management strutturato.
La revisione 2022 ha introdotto 11 nuovi controlli che richiedono competenze aggiornate. Le organizzazioni certificate con la versione 2013 devono adeguare le proprie misure per mantenere la conformità.
Come selezionare e documentare le misure di sicurezza ISO più adatte
Non tutti i 93 controlli devono essere implementati da ogni organizzazione. La selezione si basa sul profilo di rischio specifico e sul contesto operativo.
Il documento centrale di questo processo è la Statement of Applicability (SoA). La SoA collega la valutazione del rischio alle scelte di sicurezza, elencando per ogni controllo se è applicabile, perché è stato incluso o escluso e come è stato implementato. Questo documento è il primo che un auditor esamina durante la verifica di conformità.
Il processo di selezione segue questi passaggi:
- Analisi del contesto: identificare il perimetro del SGSI, gli asset critici e le parti interessate.
- Valutazione del rischio: per ogni asset, valutare le minacce, le vulnerabilità e l’impatto potenziale.
- Selezione dei controlli: scegliere i controlli dell’Annex A che trattano i rischi identificati, aggiungendo eventuali controlli aggiuntivi se necessario.
- Compilazione della SoA: documentare ogni scelta con la relativa giustificazione.
- Implementazione e documentazione: per ogni controllo applicabile, produrre le evidenze richieste.
Per superare la verifica di conformità, sono tipicamente necessari 14–15 documenti chiave, tra cui la politica di sicurezza, il registro dei rischi, il piano di trattamento del rischio e la SoA stessa. La guida agli step di implementazione di Securityhub fornisce un percorso dettagliato per strutturare questa documentazione.
Implicazioni pratiche e normative dell’adozione delle misure ISO 27001 nel 2026
L’adozione delle misure di sicurezza ISO 27001 produce benefici che vanno oltre la certificazione. Sul piano normativo, circa il 78% dei requisiti NIS2 è già coperto dalla ISO 27001:2022. Questo significa che un’organizzazione certificata affronta la conformità alla direttiva NIS2 con un vantaggio strutturale concreto.
«La certificazione ISO 27001 non punta alla perfezione ma alla trasparenza nella gestione della sicurezza, dimostrando un processo strutturato e documentato. L’audit valuta la struttura decisionale, non l’assenza totale di rischi.»
Questa distinzione è rilevante per i responsabili della sicurezza che devono rendicontare alla direzione o alle autorità di vigilanza. La sicurezza dimostrabile è un concetto che il mercato e le autorità riconoscono come valore concreto, non come adempimento formale.
| Aspetto | ISO 27001:2022 | Solo conformità GDPR |
|---|---|---|
| Copertura normativa | ISO 27001, GDPR, NIS2 | Solo GDPR |
| Struttura documentale | SGSI completo con SoA | Registro trattamenti |
| Gestione del rischio | Processo formale e continuo | Valutazione d’impatto (DPIA) |
| Audit e miglioramento | Cicli interni ed esterni | Non obbligatori |
| Riconoscimento internazionale | Certificazione accreditata | Non applicabile |
L’implementazione in una PMI italiana richiede tipicamente 4–6 mesi, con fasi che includono analisi del rischio, compilazione della SoA, implementazione dei controlli, formazione del personale e audit interni. La sfida più comune non è tecnica: è la mancanza di audit interni adeguati e condotti con la necessaria indipendenza. Un audit interno strutturato non è una formalità. È lo strumento che consente di rilevare le non conformità prima che le rilevi l’auditor esterno.
Punti chiave
L’elenco delle misure di sicurezza ISO 27001:2022 è uno strumento operativo che richiede selezione basata sul rischio, documentazione rigorosa e audit continui per produrre risultati concreti.
| Punto | Dettagli |
|---|---|
| Struttura a 93 controlli | La ISO 27001:2022 organizza le misure in 4 temi: organizzativi, persone, fisici e tecnologici. |
| Selezione basata sul rischio | Non tutti i controlli sono obbligatori: la SoA documenta le scelte e le relative giustificazioni. |
| Copertura normativa | La ISO 27001:2022 copre circa il 78% dei requisiti NIS2 e si allinea al GDPR. |
| Nuovi controlli 2022 | Threat intelligence, sicurezza cloud e data masking richiedono competenze e processi aggiornati. |
| Audit interno continuo | L’audit interno regolare è la misura preventiva più efficace per mantenere la certificazione. |
Il valore reale di un elenco controlli ben applicato
Dopo anni di lavoro con aziende italiane sul percorso ISO 27001, ho osservato un errore ricorrente: trattare l’elenco dei controlli come una checklist da spuntare. Il risultato è documentazione formalmente corretta e sicurezza sostanzialmente invariata.
La differenza tra un’organizzazione che ottiene la certificazione e una che ne trae vantaggio reale sta nel modo in cui i controlli vengono integrati nei processi esistenti. Un controllo sulla gestione degli incidenti, per esempio, non serve a nulla se il personale non sa come attivarlo o se la procedura non è mai stata testata. La formazione continua non è un controllo tra i tanti: è la condizione che rende efficaci tutti gli altri.
Un altro aspetto spesso sottovalutato riguarda i fornitori. I controlli sulla sicurezza della catena di fornitura sono tra i più difficili da implementare, ma anche tra i più critici. Un attacco che entra attraverso un fornitore non certificato vanifica ogni misura interna.
Il consiglio che mi sento di dare a ogni responsabile della sicurezza è questo: iniziate dalla valutazione del rischio con rigore, costruite la SoA come un documento vivo che si aggiorna con il contesto aziendale, e trattate l’audit interno come un’opportunità di miglioramento, non come un ostacolo burocratico. La certificazione arriva come conseguenza naturale di un SGSI che funziona davvero.
— Valerio
Securityhub supporta la sua azienda nella conformità ISO 27001
Securityhub è una società di consulenza italiana specializzata nelle certificazioni ISO 27001, ISO 27017 e ISO 27018. Supporta le aziende italiane in ogni fase del percorso: dall’analisi del rischio alla compilazione della SoA, dall’implementazione dei controlli alla preparazione per l’audit di certificazione.

Per i responsabili della sicurezza che vogliono strutturare un SGSI conforme senza dispersioni, Securityhub offre documentazione personalizzata e affiancamento operativo. La pagina dedicata ai sistemi di gestione della sicurezza fornisce una panoramica completa dell’approccio. Per chi è pronto ad avviare il percorso, la guida ai passaggi per la certificazione ISO 27001 illustra ogni fase con dettaglio operativo.
Domande frequenti
Quanti controlli contiene l’Annex A della ISO 27001:2022?
L’Annex A della ISO 27001:2022 contiene 93 controlli, ridotti rispetto ai 114 della versione 2013, organizzati in quattro temi: organizzativi, persone, fisici e tecnologici.
Quali sono i nuovi controlli introdotti dalla ISO 27001:2022?
La versione 2022 ha introdotto 11 nuovi controlli, tra cui threat intelligence, sicurezza del cloud, data masking e monitoraggio fisico. Questi controlli richiedono competenze aggiornate rispetto alla versione precedente.
È obbligatorio implementare tutti i 93 controlli?
No. La selezione dei controlli si basa sulla valutazione del rischio specifica dell’organizzazione. La Statement of Applicability documenta quali controlli sono applicabili e perché, giustificando anche le eventuali esclusioni.
Cos’è la Statement of Applicability e perché è importante?
La Statement of Applicability è il documento che elenca tutti i controlli dell’Annex A, indicando per ciascuno se è applicabile, come è implementato e la relativa giustificazione. È il documento principale che l’auditor esamina durante la verifica di conformità.
Quanto tempo richiede l’implementazione della ISO 27001 in una PMI?
L’implementazione in una PMI italiana richiede tipicamente 4–6 mesi, con fasi che includono analisi del rischio, compilazione della SoA, implementazione dei controlli, formazione del personale e audit interni preparatori.






