Perché integrare (e perché una sola norma è “inutile”)
- ISO/IEC 20000-1 (ITSM) assicura processi e qualità del servizio (SLA, incident, change, continuity), ma non garantisce da sola la robustezza di controlli di sicurezza e privacy: gli incidenti di sicurezza e le violazioni di dati personali non vengono prevenuti/gestiti in modo completo solo con l’ITSM.
- ISO/IEC 27001 (ISMS) copre rischi e controlli di sicurezza, ma da sola non governa la catena del valore del servizio (SLA, capacity, availability, supplier performance), con il rischio di “sicurezza sulla carta” ma servizi instabili o sotto le attese.
- ISO/IEC 27701 (PIMS) è un’estensione della 27001/27002 per la gestione della privacy: non è uno standard stand‑alone. Senza un ISMS (27001) è difficile sostenere un PIMS efficace e certificabile; da sola sarebbe inapplicabile in modo credibile.
In sintesi: qualità del servizio (20000), sicurezza (27001) e privacy (27701) sono tre facce della stessa medaglia. Solo un SGI integrato consente coerenza di obiettivi, processi unificati, evidenze condivise e audit integrati.
Architettura del Sistema di Gestione Integrato
1) Scopo, perimetro e mappa di servizi/asset/dati
- Definisci lo scopo unico del SGI: servizi nell’ambito, siti/paesi, clienti, tecnologie.
- Inventory integrato: CMDB (configurazioni e relazioni), asset critici, trattamenti di dati personali (registro PII: finalità, basi giuridiche, categorie).
- Classifica servizi e asset per impatto su SLA, sicurezza (riservatezza/integrità/disponibilità) e privacy (PII sensibili, speciali categorie).
2) Governance e ruoli
- Comitato SGI con Top Management, Service Manager (ITSM), CISO (ISMS), DPO/Privacy Officer (PIMS), Process Owner (Incident, Change, Supplier, Continuity), Data Owner/Process Owner PII.
- RACI integrato per processi chiave: chi decide, chi approva, chi esegue e chi è consultato/informato.
- Obiettivi integrati: KPI di servizio, sicurezza e privacy collegati agli obiettivi di business.
3) Politiche e documentazione
- Policy unica SGI con appendici: Politica ITSM, Sicurezza, Privacy.
- Manuale SGI, mappa processi, procedure operative, istruzioni di lavoro, modelli (risk, SoA, DPIA, piani di servizio, piani di risposta a incidenti/breach).
- Controllo documenti e registrazioni unico (versioning, approvazioni, conservazione, classificazione).
4) Gestione rischi integrata
- Metodologia unica per rischio di servizio, sicurezza e privacy: criteri, matrici impatto/probabilità, accettazione, trattamento.
- Registro rischi unico collegato a servizi, asset e trattamenti PII; DPIA come vista privacy del rischio.
- Statement of Applicability (SoA) 27001 collegato ai processi 20000 e ai requisiti 27701 (principi privacy, ruoli, minimizzazione, trasferimenti, diritti interessati).
5) Processi chiave: integrazioni concrete
| Area | ISO 20000 | ISO 27001 | ISO 27701 | Integrazione pratica |
|---|---|---|---|---|
| Incident | Incident & Major Incident | Gestione incidenti di sicurezza | Data breach (violazioni PII) | Un unico flusso con classificazione: servizio / sicurezza / breach PII; runbook, contenimento, notifica, root cause. |
| Change | Change enablement/CAB | Security by design, risk assessment | DPIA e review privacy-by-design | Il CAB include CISO/DPO; change ad alto impatto richiedono risk assessment e, se necessario, DPIA. |
| Supplier | Supplier management & SLA | Security requirements e audit | Ruoli PII (controller/processor), DPA, trasferimenti | Vendor tiering unico; clausole di sicurezza e privacy negli stessi contratti; monitoraggio performance e conformità. |
| Continuità | Service continuity & availability | Business continuity e DR sicuri | Ripristino PII, limitazione impatti sugli interessati | Test integrati: RTO/RPO dei servizi includono confidenzialità e protezione PII. |
| Asset | CMDB e baseline di servizio | Asset e classificazione | Registro trattamenti PII e data mapping | Una sola base di verità: asset ↔ servizi ↔ PII; etichette di sensibilità per priorità di hardening. |
| Awareness | Formazione servizio | Security awareness | Privacy & data handling | Piano formativo unico per ruolo; tracciamento e test periodici. |
| Monitoring | SLM, capacity | Vulnerabilità, SIEM, patching | KPI privacy (DPIA, diritti, breach) | Dashboard unico: SLA, security posture, privacy KPI con trend e soglie. |
6) Controlli condivisi: esempi pratici
- Access management: 20000 richiede controllo degli accessi ai servizi; 27001 prescrive gestione credenziali, logging, principle of least privilege; 27701 aggiunge minimizzazione e segregazione per PII. Unifica in un Identity & Access Management con ruoli, SoD, scadenze, audit periodici.
- Change & release: 20000 definisce processi e finestre; 27001 impone hardening e verifica sicurezza; 27701 richiede valutazioni privacy per nuove funzionalità. Inserisci checklist di sicurezza e privacy nel ticket di change.
- Logging e retention: 27001 definisce log e protezione; 27701 richiede limitazione e finalità; 20000 usa i log per migliorare SLA. Politica di retention unica con eccezioni giustificate e approvate.
Roadmap di implementazione (indicativa)
- Setup (2 settimane): scopo, team, gap assessment, piano di progetto.
- Design (4–6 settimane): politiche, mappa processi, risk framework, modelli (SoA, DPIA, registri).
- Implementazione (8–12 settimane): procedure, toolset, formazione, data mapping PII, integrazioni workflow.
- Esecuzione & evidenze (8 settimane): operare i processi, raccogliere KPI/registrazioni.
- Audit interni & Riesame (4 settimane): piano audit integrato, piani di azione.
- Pre‑audit e Certificazione: 27001 e 20000 in audit integrati; 27701 come estensione del certificato 27001.
KPI e obiettivi suggeriti
- Servizio: % SLA rispettati, MTTR P1/P2, backlog change urgenti, disponibilità per servizio.
- Sicurezza: tempo medio patch critiche, vulnerabilità critiche aperte, MTTD/MTTR incidenti di sicurezza, copertura hardening.
- Privacy: % trattamenti con DPIA, tempi risposta diritti interessati, n. data breach e tempo notifica, % formazione privacy completata.
Strumenti e integrazioni
- ITSM (incident, change, knowledge, CMDB) integrato con GRC/ISMS (rischi, controlli, audit) e Registro trattamenti.
- Vulnerability management e patching collegati a change.
- SIEM/SOAR con playbook che aprono automaticamente ticket incident/breach.
- Document management per versioni, firme, evidenze di formazione.
Non conformità tipiche da evitare
- Processi duplicati e incoerenti tra ITSM e ISMS/PIMS.
- Risk management disallineato (matrici diverse, criteri diversi) che impedisce priorità comuni.
- SoA scollegata dai processi reali e dalle evidenze in tool.
- DPIA tardive (a progetto quasi concluso) o formali, senza esiti sui controlli.
- Vendor: contratti senza requisiti di sicurezza/privacy e monitoraggio reale.
Template (Ready to Start)
- Policy SGI + Politica ITSM/Sicurezza/Privacy.
- Registro rischi integrato e modello DPIA con criteri di impatto.
- Runbook Incident (servizio/sicurezza/breach) con responsabilità e tempi.
- Checklist Change CAB sicurezza e privacy-by-design.
- SoA 27001 con mappatura ai processi 20000 e requisiti 27701.
FAQ rapide
Possiamo certificare solo ISO/IEC 27701?
No: è un’estensione della 27001/27002. Serve un ISMS su cui innestare il PIMS.
È possibile un audit/certificato integrato?
Sì: molti organismi eseguono audit integrati (20000 + 27001) e aggiungono 27701 come estensione alla 27001.
Quanto tempo serve?
Dipende da maturità e perimetro: tipicamente 4–8 mesi per un SGI “snello”, più tempo per contesti complessi/multi‑paese.
Conclusione
Un SGI integrato allinea qualità del servizio, sicurezza e protezione dei dati personali, creando efficienza e fiducia. Investire su una sola norma, in un’organizzazione che eroga servizi e tratta PII, significa lasciare scoperti rischi critici o inefficienze operative. Integrare 20000, 27001 e 27701 è la scelta pratica per risultati duraturi e audit più rapidi e coerenti.
Tip: Inizia da un Minimal Viable SGI (perimetro ristretto, processi essenziali) e scala con iterazioni PDCA trimestrali. Meglio poco ma reale, che tanto e solo documentale.
Nota: Questo contenuto è informativo e non costituisce consulenza legale. Adatta processi e controlli al tuo contesto, requisiti normativi e contrattuali.
