ISO 27001:2022 — сертифицированная ISMS в работе
Сертифицированная Information Security Management System покрывает платформу, операции хаба и данные клиентов для Италии.
Statement of scope — что покрыто
Инфраструктура платформы, системы данных клиентов, рабочие станции сотрудников, операции хабов включая линии печати/персонализации. Statement of scope доступен по запросу.
Annex A controls — 93 выбраны
ISO 27001:2022 Annex A содержит 93 контроля по организационным, людским, физическим и технологическим темам. SoA документирует, какие контроли применяются, обоснования и статус внедрения.
Цикл аудита — surveillance и ресертификация
Первичный сертификационный аудит (две стадии), затем surveillance-аудиты ежегодно, ресертификационный аудит раз в 3 года. Certifying body аккредитован UKAS/ENAC/и т.п.
Италии — местный контекст
Клиенты и регуляторы в Италии широко признают ISO 27001. Координируется с NIS2/DORA, где применимо. Физические контроли хаба в Милане аудируются в рамках скоупа. Фискальные системы данных с НДС 22% покрыты контролями confidentiality.
Частые вопросы
Самая свежая версия — 2022 или 2013?
2022 — мы мигрировали. SoA отражает новую структуру контролей.
Statement of Applicability — делите?
Да — под NDA. Исключаем конкретные ID контролей только когда carved out для sub-service organizations.
Частота surveillance-аудита?
Ежегодно. Ресертификация раз в 3 года.
Крупные несоответствия?
Track record публикуется в отчёте о прозрачности. Любое крупное NC закрывается в согласованный CAPA-timeline.
Mapping на SOC 2?
Да — документ mapping контролей доступен. Экономит усилия покупателям, спрашивающим оба.