Quando hai completato l’implementazione della tua ISO 27001 (tipicamente quando tutti gli elementi del sistema di gestione sono stati eseguiti almeno una volta), dovresti essere pronto per la certificazione. La certificazione avviene tramite un organismo di certificazione accreditato (a volte chiamato registratore).

Audit di fase 1

Chiamato anche revisione della documentazione, l’auditor esamina la documentazione (analisi del rischiopolitiche e procedure) per valutare se sei pronto per affrontare la fase successiva.

Audit di fase 2

Questa parte è talvolta chiamata audit di implementazione. Consiste in una serie di interviste con i rappresentanti dei diversi reparti (gestione, risorse umane, IT, sviluppo, operazioni) per verificare se comprendono le proprie responsabilità e stanno seguendo le politiche e le procedure definite.

Il miglioramento continuo

Un certificato ISO 27001, come qualsiasi sistema di gestione ISO, ha una validità di tre anni. Alla fine del primo e del secondo anno, l’auditor tornerà per un audit di sorveglianza. Questo prende tipicamente 1/3 del tempo (e del costo) rispetto all’audit iniziale.

Durante questo audit, l’auditor seguirà gli sviluppi dei risultati dell’audit precedente e controllerà se il sistema di gestione è ancora funzionante:

  • Stai rispettando il piano di monitoraggio?

  • Hai condotto un audit interno e una revisione della gestione?

  • Stai seguendo correttamente gli incidenti?

Alcuni mesi prima della scadenza del certificato, si terrà un audit di ricertificazione. Questo implica un audit completo dell’ISMS, simile all’audit iniziale. Puoi trasferirti a un altro organismo di certificazione, ma se resti con lo stesso, di solito la fase 1 può essere saltata.

Altre domande frequenti

Supera l’audit al primo colpo con Easy 27001!

Facile, rapido, garantito.

Iscriviti ora
Demo gratuita