ISMS Copilot
Compliance Strategy

La dichiarazione di ambito è il certificato

"ISO 27001 certificato" non è un'affermazione sì-o-no su un'azienda. La vera rivendicazione è la dichiarazione di ambito presente nel certificato, ed è verificabile.

di ISMS Copilot··10 min read
La dichiarazione di ambito è il certificato

"Siamo certificati ISO 27001" viene spesso trattato come un'affermazione booleana, sia dai fornitori che la dichiarano sia dalla maggior parte degli acquirenti che la sentono. Non lo è. Un certificato non certifica un'azienda; certifica un sistema di gestione i cui confini sono stati definiti autonomamente dall'azienda stessa, e la dichiarazione autorevole di tali confini, che un acquirente vedrà mai, è l'ambito riportato nei documenti di certificazione, la frase che, dalla nostra esperienza, pochi acquirenti si prendono la briga di leggere. Due organizzazioni possono detenere certificati dello stesso organismo di accreditamento, esporre lo stesso badge e avanzare rivendicazioni completamente diverse: una ha certificato il sistema che sviluppa e gestisce il prodotto acquistato dai suoi clienti, l'altra ha certificato la funzione IT aziendale presso un indirizzo di sede che il cliente non interagirà mai. Entrambe sono "certificate ISO 27001". Solo uno di questi certificati stabilisce direttamente che ciò che viene venduto rientra nell'ambito.

La nostra posizione: la dichiarazione di ambito è il certificato, nel senso che contiene la rivendicazione sostanziale che il documento presenta, e i team che definiscono l'ambito chiedendosi "qual è il sistema più piccolo che possiamo difendere davanti a un auditor" stanno ottimizzando la variabile sbagliata. L'ambito è una decisione di fiducia del cliente che, per caso, ha un audit allegato, non una decisione di riduzione dei costi di audit che, per caso, è visibile ai clienti.

Lo standard è deliberatamente permissivo

ISO/IEC 27001:2022 (terza edizione, pubblicata il 25 ottobre 2022; l'emendamento per l'azione climatica Amd 1:2024, pubblicato il 23 febbraio 2024, non modifica la clausola in questione) gestisce la definizione dell'ambito nella clausola 4.3. L'organizzazione determina "i confini e l'applicabilità" del SGSI per stabilire il proprio ambito, e nel farlo deve considerare le questioni esterne e interne della clausola 4.1, i requisiti delle parti interessate della clausola 4.2 e "le interfacce e le dipendenze tra le attività svolte dall'organizzazione e quelle svolte da altre organizzazioni". L'ambito deve essere disponibile come informazione documentata. Questa è l'intera clausola.

Notiamo cosa non dice. Nulla richiede che l'ambito copra l'intera entità giuridica, ogni sede o il prodotto principale. Lo standard consente deliberatamente a un ospedale di certificare il proprio reparto cartelle cliniche, a un conglomerato di certificare una controllata e a un'azienda software di certificare una singola piattaforma. Questa permissività è una caratteristica: rende la certificazione raggiungibile per fasi e consente alle organizzazioni di concentrare l'assicurazione dove risiede effettivamente il rischio.

Il lato certificazione del sistema poi fa qualcosa di importante con questa libertà. ISO/IEC 17021-1:2015 (pubblicato l'8 giugno 2015), lo standard che gli organismi di certificazione accreditati devono rispettare, richiede al punto 8.2.2(f) che i documenti di certificazione identifichino "l'ambito della certificazione con riferimento al tipo di attività, prodotti e servizi applicabili in ogni sede senza essere fuorvianti o ambigui". ISO/IEC 27006-1:2024 (prima edizione, pubblicata l'1 marzo 2024) aggiunge le regole specifiche per i SGSI per tali organismi. L'intento progettuale è chiaro: l'organizzazione può tracciare il confine ovunque possa giustificarlo, e in cambio i documenti di certificazione devono indicare, in modo preciso e leggibile, dove si trova il confine.

L'integrità di questo accordo dipende dal fatto che la rivendicazione viaggi con il confine allegato, e la macchina ci prova: la clausola 8.3 di ISO/IEC 17021-1 richiede agli organismi di certificazione di governare come i loro clienti si riferiscono alla loro certificazione e all'uso dei marchi, e un organismo di certificazione può agire contro un uso fuorviante. Tuttavia, la dichiarazione di ambito risiede nei documenti di certificazione, mentre la rivendicazione operativa risiede nelle presentazioni commerciali, nelle pagine di fiducia e nei campi dei questionari a risposta singola, dove spesso viene abbreviata in "certificato". Dalla nostra esperienza, questo divario viene gestito in modo disomogeneo, e la parte più probabile a notarlo per prima è l'acquirente che legge effettivamente il certificato.

Perché definire l'ambito per passare è razionale, e dove fallisce

La tentazione di definire un ambito ristretto non è pigrizia; è aritmetica. Il modello di tempo di audit in ISO/IEC 27006-1:2024 (Allegato C) parte dal numero di persone che lavorano sotto il controllo dell'organizzazione e poi si adatta a fattori come complessità, sedi e outsourcing, quindi un ambito più ristretto può ridurre lo sforzo di audit, anche se non garantisce una riduzione particolare dei giorni o dei costi di audit. Meno persone e processi in ambito generalmente significano meno interviste, meno documenti e una bolletta di implementazione più piccola, e le parti più complesse dell'organizzazione, il gruppo di ingegneria con i suoi strumenti, la controllata recentemente acquisita, il team di supporto in un'altra giurisdizione, sono proprio le parti costose da includere. Dalla nostra esperienza, l'ambito è tra i lever più efficaci dell'intero progetto, e spesso viene azionato proprio per questo motivo.

E può funzionare, nel senso stretto: un SGSI con un ambito ristretto può superare il suo audit secondo i propri termini. L'organismo di certificazione valuta la conformità del sistema che hai definito, non l'ambizione della definizione. Un certificato per "il SGSI che supporta la funzione IT aziendale" può essere emesso in perfetta buona fede da un auditor competente, perché è una dichiarazione vera su un sistema reale.

Tuttavia, la clausola spinge più forte di quanto le squadre si aspettino. La clausola 4.3 non ti permette di tracciare il confine nel vuoto. Secondo la clausola 4.2, i clienti saranno comunemente parti interessate rilevanti, e i loro requisiti di sicurezza applicabili possono incidere direttamente su dove si trova il confine; il punto (c) poi ti costringe a tenere conto delle interfacce e delle dipendenze, quindi una funzione certificata che dipende da un'organizzazione di ingegneria esclusa ha un'interfaccia che la documentazione deve affrontare. Un ambito che esclude il prodotto che i clienti acquistano effettivamente non è automaticamente illegittimo. Ma è una posizione che necessita di difesa: l'analisi delle parti interessate deve stabilire, con una base documentata, che i requisiti dei clienti non sono applicabili o sono affrontati al di fuori del SGSI, e, dalla nostra esperienza, quanto duramente gli auditor premano sui punti 4.3(b) e (c) varia. La difesa viene messa alla prova nel momento in cui qualcuno legge la frase.

Ora la frase è verificabile

Leggere la frase sta diventando più facile. Il database IAF CertSearch, sviluppato e gestito da Quality Trade come partner congiunto di ISO e IAF, supporta la verifica dei certificati accreditati partecipanti, inclusi il loro stato e l'ambito, soggetto a limitazioni di copertura e riservatezza: non ogni certificato viene caricato, e i record possono essere contrassegnati come riservati. (Separatamente, IAF e ILAC sono stati sostituiti da un'unica organizzazione, Global Accreditation Cooperation Incorporated, che ha avviato le operazioni complete il 1° gennaio 2026.) I dati di certificazione si stanno comunque consolidando: il ISO Survey, il conteggio annuale dei certificati di ISO, è passato a compilare i suoi risultati dai dati di CertSearch con la sua edizione 2024 (pubblicata nel 2025), che ha riportato 96.709 certificati validi ISO/IEC 27001 rispetto ai 48.671 dell'edizione 2023. Queste due cifre non sono direttamente confrontabili, e la differenza non è una prova che le certificazioni siano raddoppiate: il risultato del 2023 è stato influenzato dalla mancata partecipazione dell'organismo di accreditamento cinese, e la metodologia di raccolta è cambiata tra le edizioni. Il consolidamento è il cambiamento metodologico stesso, un singolo database condiviso che sta sempre più dietro sia la verifica che il conteggio ufficiale.

Nel frattempo, il lato della domanda si sta professionalizzando. Dalla nostra esperienza, i questionari di sicurezza chiedono sempre più spesso il certificato stesso invece di una attestazione sì/no, e la dichiarazione di ambito è presente. Un analista degli acquisti che lo legge non ha bisogno di molto tempo per notare che la piattaforma SaaS in valutazione non è ragionevolmente coperta dalle attività, servizi e confini dichiarati.

Ecco l'asimmetria che trasforma questa in una decisione di fiducia piuttosto che di conformità. Un fornitore senza certificato e con un onesto "stiamo lavorando alla certificazione della piattaforma" si trova in una posizione recuperabile. Un fornitore che ha dichiarato "siamo certificati ISO 27001" e il cui certificato, all'ispezione, copre una funzione di back-office in un altro edificio, si trova in una posizione molto più debole, perché gli acquirenti raramente classificano questa scoperta come una sfumatura. Può essere letto come una sicurezza prestata, un tentativo di far coprire il badge a più di quanto i documenti di certificazione supportino, e una volta che un acquirente lo legge in questo modo, ogni altra risposta nel questionario eredita il dubbio. L'ambito ristretto era legittimo. L'impressione aziendale costruita sopra di esso era la parte che non poteva sopravvivere a un lettore, e lo ha appena incontrato.

Definire un ambito significativo

La soluzione è invertire la direzione dell'esercizio. Definire l'ambito per passare parte dall'organigramma e chiede cosa può essere tagliato. Definire l'ambito per significare qualcosa parte dalla frase che devi poter consegnare a un cliente, qualcosa come "il SGSI che copre lo sviluppo, la gestione e il supporto di [il prodotto che stanno acquistando]", e lavora a ritroso verso le persone, i processi, le sedi e i fornitori che questa frase ti impegna a includere. La clausola 4.3(c) allora fa un lavoro utile per te invece che contro di te: tracciare le interfacce e le dipendenze verso l'esterno dal servizio rivolto al cliente è esattamente come trovi ciò che appartiene all'interno del confine.

Questo non è un argomento a favore del fatto che ogni ambito debba inghiottire l'intera azienda. Linee di business genuinamente separate, con segregazione organizzativa e tecnica reale, sono esclusioni legittime, e la certificazione per fasi rimane sensata. Il test che proporremmo per qualsiasi esclusione è simmetrico con il problema di fiducia: potresti spiegare l'esclusione, in un paragrafo, al cliente i cui dati si trovano più vicino al confine, e la spiegazione sopravviverebbe alle sue domande di follow-up? Un'esclusione che supera questo test ("la divisione prodotti industriali non condivide sistemi, personale o dati con la piattaforma") è stata tracciata per motivi strutturali. Un'esclusione che fallisce ("l'ingegneria era fuori ambito in questo ciclo") punta a un ambito guidato dal superamento, e il paragrafo che non puoi scrivere ti sta dicendo per cosa serviva davvero l'esclusione.

La certificazione per fasi, fatta onestamente, segue la stessa regola: la prima fase dovrebbe già coprire il servizio rivolto al cliente, perché questa è la rivendicazione che il mercato sentirà. Dalla nostra esperienza, ampliare un ambito significativo nei cicli successivi è la direzione di viaggio meno disruttiva, e viene letta come maturità. Riparare un ambito vuoto è più difficile: secondo ISO/IEC 17021-1:2015 (clausola 9.6.4.1), l'organismo di certificazione esamina la domanda e determina quale attività di audit richiede l'estensione, che può essere combinata con un audit di sorveglianza, e la documentazione di certificazione viene aggiornata solo se l'estensione viene concessa. Il periodo intermedio, in cui il certificato dice una cosa e i clienti ne hanno creduto un'altra, è il più costoso.

La regola da mantenere

Un certificato certifica il suo ambito e nient'altro. Lo standard concede una reale libertà su dove tracciare il confine, e l'unica cosa non negoziabile della macchina di certificazione che conta qui, dalla clausola 8.2.2 di ISO/IEC 17021-1, è che il confine sia dichiarato senza essere fuorviante o ambiguo. Applicare le tue stesse rivendicazioni sul certificato a questo stesso test non è un obbligo normativo. È semplicemente l'unica strategia di definizione dell'ambito che continua a sembrare valida dopo che un prospect legge il certificato, e la lettura sta diventando sempre più facile.

Tracciare un confine che puoi difendere in entrambe le stanze, l'audit e la chiamata di vendita, è il lavoro della clausola 4.3: parti interessate, dipendenze e la frase documentata che sopravvive a entrambe le letture. Questo è il tipo di domanda di definizione dell'ambito per cui ISMS Copilot è stato progettato per lavorare con te, requisito per requisito. Il badge è identico su ogni certificato. La frase sotto di esso è il prodotto.

Articoli correlati