Le evidenze che un auditor ISO 27001 vuole vedere
Cosa conta come evidenza in una verifica ISO 27001: esempi concreti controllo per controllo e come preparare il fascicolo.
Quando preparo un sistema di gestione a una verifica ISO 27001, la domanda decisiva è una sola: "me lo fai vedere?". Non "avete una politica di controllo accessi", ma "dov'è l'ultimo riesame degli accessi, con la data e chi l'ha fatto?". La differenza tra arrivare preparati e collezionare rilievi sta quasi sempre lì: nella capacità di mostrare, non di dichiarare. Questa guida spiega cosa conta come evidenza e come arrivare alla verifica con il fascicolo pronto.
Politica ed evidenza non sono la stessa cosa
Una politica descrive un'intenzione: "gli accessi vengono riesaminati periodicamente". È necessaria, ma da sola non dimostra nulla. L'evidenza è la prova che quella politica si traduce in pratica: il file del riesame di marzo, con l'elenco degli account, le decisioni prese e la firma di chi l'ha condotto.
Molte aziende arrivano all'audit con politiche curate e zero evidenze. È l'errore di fondo. Una politica senza evidenza è una promessa; l'auditor non valuta le promesse.
Le tre prove che un auditor incrocia
Per ogni controllo dell'Annex A, la verifica segue sempre lo stesso schema a tre livelli:
- La politica - esiste una regola scritta e approvata?
- L'attuazione - c'è la prova che la regola venga applicata?
- La coerenza nel tempo - quella prova ha una storia, o è nata ieri?
È il terzo livello a smascherare i controlli finti. Un registro con un'unica voce datata la settimana dell'audit racconta tutto: il controllo non esisteva, è stato inventato per l'occasione. Le evidenze valide hanno una cadenza riconoscibile.
Esempi concreti, controllo per controllo
Vediamo cosa portare, in pratica, per alcuni controlli che vengono verificati quasi sempre.
Controllo degli accessi
L'evidenza più richiesta è il riesame periodico degli accessi. Un artefatto concreto è una tabella, prodotta a cadenza fissa (trimestrale è ragionevole):
| Account | Ruolo | Ultimo accesso | Esito riesame | Azione |
|---|---|---|---|---|
| m.rossi | Sistemista | 2026-04-28 | Confermato | - |
| ex.fornitore | Accesso temporaneo | 2026-01-12 | Non più necessario | Disabilitato |
| svc-backup | Service account | n/d | Confermato | - |
Conta che ci sia una data, un esito per ogni riga e una conseguenza dove serve. Quattro riesami nell'arco dell'anno, archiviati, valgono più di qualunque politica.
Registrazione e monitoraggio degli eventi
Per i controlli su log e monitoraggio (8.15 e 8.16), l'evidenza non è "abbiamo i log": è la prova che i log vengono guardati. Un breve verbale di revisione periodica:
Revisione log del 2026-04-30. Esaminati gli alert di autenticazione fallita della settimana. Rilevati 14 tentativi falliti sull'account
adminda un IP esterno il 28/04; IP bloccato sul firewall, account verificato. Nessun'altra anomalia.
Poche righe, ma dimostrano un processo vivo: c'è una data, un'analisi, un'azione conseguente.
Backup delle informazioni
Per il controllo 8.13 non basta che i backup esistano. L'auditor chiede la prova del ripristino: il log di un test di restore, eseguito a cadenza definita, che mostra un recupero riuscito e il tempo impiegato. Un backup mai ripristinato è, sul piano dell'audit, un backup non dimostrato. Il tema è approfondito nell'articolo sui backup a prova di ransomware.
Threat intelligence e gestione delle vulnerabilità
Per la threat intelligence (5.7) e per la gestione delle vulnerabilità, l'evidenza è un registro che cresce. Per le vulnerabilità, una riga per ciascuna:
| Data | Vulnerabilità | Sistemi | Gravità | Azione | Chiusura |
|---|---|---|---|---|---|
| 2026-03-04 | CVE rilevata su libreria web | 3 server | Alta | Patch applicata | 2026-03-06 |
Il valore non è nella singola voce: è nella continuità. Un registro con dodici voci sull'arco dell'anno dimostra un processo. Uno con due voci di marzo dimostra il contrario.
Come organizzare il fascicolo di evidenze
Un auditor che deve cercare le evidenze trova più rilievi. Un fascicolo ordinato accorcia la verifica e trasmette controllo. La struttura che consiglio è una cartella per tema dell'Annex A:
evidenze-2026/
├── A5-organizzativi/
│ ├── 5.7-threat-intelligence/
│ └── 5.30-continuita-ict/
├── A6-persone/
│ └── 6.3-formazione/
├── A7-fisici/
└── A8-tecnologici/
├── 8.9-gestione-configurazione/
├── 8.13-backup/
├── 8.15-logging/
└── 8.16-monitoraggio/
Dentro ogni cartella, file datati nel nome (riesame-accessi-2026-Q1.pdf), così l'ordine cronologico è immediato. Il riferimento incrociato con lo Statement of Applicability chiude il cerchio: per ogni controllo applicabile, il SoA punta alla cartella che lo dimostra.
Un modo semplice per capire se l'evidenza è matura è confrontare la versione debole con quella forte:
| Area | Evidenza debole | Evidenza forte |
|---|---|---|
| Accessi | Policy di controllo accessi | Riesame trimestrale con account, esito, azione e data |
| Logging | Screenshot del SIEM acceso | Verbale di revisione log con anomalia, analisi e azione correttiva |
| Backup | Elenco dei job configurati | Test di restore con esito, tempo impiegato e dati ripristinati |
| Vulnerabilità | Scanner installato | Registro vulnerabilità con gravità, owner, decisione e chiusura |
| Configurazioni | Procedura di hardening | Baseline, verifica di conformità e registro eccezioni |
| Formazione | Slide del corso | Elenco partecipanti, test o attestazione e contenuto erogato |
Gli errori che fanno fallire la verifica
I segnali di un controllo finto sono sempre gli stessi:
- Tutto datato la stessa settimana. Le evidenze nate insieme, pochi giorni prima dell'audit, dichiarano che prima non c'erano.
- Registri con una sola voce. Un processo periodico produce più voci. Una sola significa che la cadenza non esiste.
- Politiche senza attuazione. La cartella contiene la procedura ma nessun artefatto che la applichi.
- Date che non tornano. Un riesame "trimestrale" con buchi di otto mesi racconta che la cadenza è teorica.
Nessuno di questi problemi si risolve la settimana prima. Si risolvono in un solo modo: iniziando a produrre le evidenze mesi prima, lasciando che il fascicolo si riempia da solo, voce dopo voce.
Fonti principali
In sintesi
Prepararsi a un audit ISO 27001 non è un esercizio di scrittura di documenti: è far sì che il sistema di gestione lasci tracce. Ogni controllo deve generare un artefatto concreto, datato e ripetuto. Se la tua azienda è anche soggetta a NIS2, buona parte di questo fascicolo serve a entrambe le norme: la sovrapposizione fra i due impianti è ampia, come spiego nella checklist di adeguamento NIS2. La regola finale, valida sempre: un controllo che non lascia evidenze, per un auditor, non esiste.
Altri insights
ISO/IEC 27001:2022: i controlli dell'Annex A che le PMI italiane sbagliano
Annex A 2022: controlli nuovi e fragili nelle PMI, errori ricorrenti e checklist per arrivare alla verifica con evidenze solide.
LeggiBackup a prova di ransomware e conformi alla ISO 27001
Il ransomware moderno cerca backup, snapshot e console di gestione prima di cifrare la produzione. Come progettare copie isolate, immutabili e dimostrabili in audit.
LeggiNIS2 oltre il firewall: la checklist di adeguamento per una PMI
La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, chiede misure tecniche e organizzative, governance e notifica degli incidenti. Una guida operativa per leggere obblighi, tempi ACN e checklist.
Leggi