Livello A · supporto completo end-to-end
Gestione documentale ISO 27001 per la sicurezza delle informazioni
Documenti con accesso controllato e audit trail completo per la documentazione ISMS.
ISO 27001 richiede accesso controllato alle informazioni documentate, un audit trail difendibile di chi le ha lette o modificate, e un ciclo di vita documentato per ogni policy e procedura di sicurezza in perimetro. docs365.ai è progettato per supportare questi controlli end-to-end, e funziona all’interno del tuo tenant Microsoft 365 — i dati non escono dal tuo perimetro di sicurezza, nessun nuovo fornitore entra nel perimetro del tuo ISMS.
Prenota una valutazione gratuita
Cosa cerca un auditor ISO 27001 nel controllo documentale
L’Annex A di ISO 27001 include diversi controlli che riguardano direttamente le informazioni documentate: A.5 (policy), A.8 (gestione degli asset, inclusa la classificazione delle informazioni), A.7 (trasferimento delle informazioni), e i requisiti fondamentali delle clausole 7.5.1–7.5.3 (informazioni documentate).
Per la documentazione ISMS nello specifico — policy di sicurezza, procedure, piani di trattamento del rischio, runbook di risposta agli incidenti, SOP specifiche di sistema — l’auditor si aspetterà:
- Paternità controllata — il documento proviene da un autore noto, attraverso un processo noto.
- Approvazione da parte di persone autorizzate — e il registro di chi ha approvato.
- Accesso controllato — solo le persone che hanno bisogno del documento possono vederlo, al livello di granularità richiesto dalla classificazione.
- Disciplina delle versioni — la versione corrente è inequivocabile, le versioni precedenti sono preservate.
- Audit trail — ogni modifica, ogni decisione di accesso, ogni approvazione è registrata.
- Protezione dell’integrità — i documenti non possono essere alterati al di fuori del processo controllato.
Questi sono gli stessi fondamentali richiesti da ISO 9001, rafforzati intorno alle preoccupazioni di sicurezza delle informazioni.
Come il prodotto supporta il controllo documentale ISO 27001
Accesso basato sui ruoli. Il modello di permessi SharePoint offre granularità per documento e per libreria. L’area di editing e l’area pubblica hanno set di permessi separati. I tipi di documento sensibili possono avere un perimetro di accesso più ristretto. I gruppi Entra (Azure AD) e le policy di accesso condizionale esistenti del cliente si applicano senza modifiche.
Audit log completo. Ogni azione su ogni documento viene registrata — autore, timestamp, versione, commenti. Per la documentazione ISMS questo è il registro che dimostra che il controllo sulle informazioni documentate è stato esercitato in modo continuo, non solo nei momenti in cui un auditor stava osservando.
Versioning con cronologia preservata. Versioning minore e maggiore con completa preservazione della cronologia. Se un auditor chiede di vedere lo stato di una specifica policy di sicurezza in una data specifica, la versione esatta è recuperabile — non una ricostruzione.
Creazione guidata da template. Ogni documento ISMS parte da un template governato. I metadati di classificazione della sicurezza (se configurati) vivono nel documento come campo di primo livello, guidano il filtraggio e appaiono nel dashboard Power BI per il reporting ISMS.
Integrità durante l’approvazione. Il documento viene automaticamente estratto (checked out) durante il flusso di approvazione — non può essere alterato mentre le approvazioni sono in corso. I PDF approvati nell’area pubblica non sono modificabili.
Perché “all’interno del tuo tenant” è rilevante per il perimetro del tuo ISMS
Ogni nuovo fornitore che aggiungi al tuo stack tecnologico espande il perimetro del tuo ISMS. Ogni nuovo fornitore richiede valutazione, revisione contrattuale, assurance annuale del fornitore e inserimento nel registro dei rischi fornitori. È un lavoro reale, ed è per questo che la maggior parte dei CISO preferisce non aggiungere strumenti quando non è necessario.
docs365.ai funziona all’interno del tuo tenant Microsoft 365 esistente. I dati rimangono nell’infrastruttura Microsoft — la stessa infrastruttura che hai già valutato, contrattualizzato e incluso nel tuo ISMS. Non c’è un secondo confine di dati da valutare. Non c’è un nuovo sub-processor da elencare. La certificazione ISO 27001 di Microsoft, le attestazioni SOC 2 e gli impegni di residenza dei dati regionali si applicano senza variazioni.
Il codice del prodotto funziona come applicazione Azure nell’abbonamento Azure del cliente (vedi §11 della documentazione del prodotto per i dettagli sull’infrastruttura). I costi operativi continuativi rientrano nella spesa Azure esistente del cliente.
Una guida pratica — ciclo di vita documentale ISMS
Considera una procedura di sicurezza delle informazioni per la gestione delle evidenze di revisione degli accessi. In una tipica organizzazione certificata ISO 27001, questo documento è redatto dal Responsabile della Sicurezza delle Informazioni, approvato dal CISO, reso accessibile al personale IT Operations che esegue le revisioni degli accessi, e revisionato con una cadenza definita (di solito annuale).
Con docs365.ai:
- Creazione. Il Responsabile della Sicurezza apre un nuovo documento dal template “Procedura ISMS”. Versione 0.1. Codice di protocollo popolato automaticamente (es.
ISMS-PROC-0042). Metadati di classificazione impostati su “Interno”. Autore acquisito da Entra. - Bozza. Il Responsabile scrive la procedura in Word Online, con il CISO come revisore che lascia commenti e @mention.
- Approvazione. Il Responsabile avvia il flusso di approvazione. Sequenza: CISO come approvatore finale (configurato come approvatore fisso post-flusso su tutti i documenti Procedura ISMS). Il CISO riceve l’email, rivede, approva. La versione diventa 1.0.
- Pubblicazione. Il sistema converte il sorgente Word in PDF e sposta il documento nell’area pubblica della libreria ISMS. Il personale IT Operations — a cui è stato concesso l’accesso in lettura a questa libreria — vede la versione approvata corrente. L’area di editing rimane visibile solo al Responsabile.
- Governance. La data di scadenza è impostata a 12 mesi dalla pubblicazione. Nell’undicesimo mese, il sistema invia un’email al Responsabile per la revisione. Nel frattempo, ogni accesso al documento (nell’audit log di SharePoint Online) e ogni tentativo di modifica viene registrato.
Se il valutatore esterno del CISO chiede di vedere come le procedure di revisione degli accessi sono state controllate nell’ultimo anno, l’audit log produce direttamente quella evidenza.
Cosa possiede il cliente
Il prodotto supporta il controllo documentale ISO 27001 end-to-end per le informazioni documentate che risiedono in SharePoint. Non sostituisce l’ISMS più ampio — valutazione del rischio, gestione degli asset, risposta agli incidenti, audit interno, riesame della direzione, tutte le attività che costituiscono l’ISMS stesso. La certificazione dell’ISMS del cliente rimane tra il cliente e il suo ente di certificazione accreditato.
Stiamo dicendo: per la parte di controllo documentale di ISO 27001, un DMS nativo SharePoint configurato come descritto sopra ti fornisce una libreria difendibile, verificabile e aggiornata senza richiedere una piattaforma separata.
Si abbina bene con ISO 9001
Molte organizzazioni hanno una doppia certificazione — ISO 9001 per la gestione della qualità, ISO 9001 + ISO 27001 insieme quando gestiscono dati dei clienti o operano servizi IT critici. Poiché entrambi gli standard condividono i fondamentali del controllo documentale, la stessa struttura di libreria governata e gli stessi pattern di approvazione servono entrambi. Nessuna duplicazione degli strumenti, nessun secondo perimetro di audit, nessun sistema parallelo.
Vedi la pagina companion Controllo documentale ISO 9001 →.
FAQ
Il prodotto è certificato ISO 27001? Il prodotto funziona all’interno di Microsoft 365, che è certificato ISO 27001. intranet.ai come azienda è certificata ISO 9001:2015. La certificazione ISO 27001 di intranet.ai come azienda non è attualmente in perimetro — indirizziamo i clienti all’attestazione 27001 di Microsoft per il livello infrastrutturale.
Il prodotto gestisce automaticamente la classificazione delle informazioni? No — la classificazione viene impostata come metadato dall’autore o come default a livello di tipo documento. Il prodotto applica l’accesso basato sui permessi SharePoint, che i clienti configurano per allinearsi al loro schema di classificazione.
Posso usarlo per la documentazione SOC 2? SOC 2 è un framework di attestazione statunitense piuttosto che uno standard ISO, ma i fondamentali del controllo documentale sono simili. Il prodotto supporta lo stesso ciclo di vita — creazione, approvazione, versioning, audit, conservazione — per la documentazione di policy e procedure SOC 2. L’adeguatezza con i tuoi specifici controlli SOC 2 deve essere verificata con il tuo auditor.
E la cifratura a riposo? La cifratura dei dati a riposo è gestita da Microsoft 365 / SharePoint Online a livello di piattaforma, sotto il perimetro ISO 27001 di Microsoft. Il prodotto non introduce cifratura aggiuntiva oltre a quella fornita dalla piattaforma.
Pronto ad allineare la tua documentazione ISMS?
Prenota una valutazione gratuita — 30 minuti, senza costi. Esamineremo insieme la tua attuale libreria di documentazione ISMS e identificheremo dove questo prodotto cambierebbe la forma delle tue evidenze di controllo documentale.
Pagine correlate
- Controllo documentale ISO 9001 → — controparte per la gestione della qualità.
- Come funziona la governance → — audit, versioning, archivio.
- Audit log → — dettaglio della funzionalità.
Pronto ad allineare la documentazione ISO 27001?
Trenta minuti. Gratuito. Senza impegno. Analizziamo la tua libreria attuale e identifichiamo dove questo prodotto cambierebbe la forma dell'evidenza.