ISO 27001A.5.30

Annex A.5.30: ICT readiness for business continuity

Il controllo nuovo della 27001:2022 che ha messo in difficoltà metà delle aziende certificate. Cosa serve davvero per superarlo.

2 min di lettura

TL;DR

A.5.30 è il controllo nuovo della ISO 27001:2022 che ha messo in difficoltà la metà delle aziende certificate. Chiede di pianificare, implementare e verificare la capacità ICT di sostenere la continuità operativa dopo un'interruzione. Tre evidenze obbligatorie: piano DR, test, verbale.

Cosa dice esattamente A.5.30

"L'ICT readiness deve essere pianificata, implementata, mantenuta e verificata sulla base degli obiettivi di continuità operativa e dei requisiti di continuità ICT."

In pratica: il vostro piano DR deve esistere, deve coprire i sistemi critici, deve essere testato e i test devono essere documentati.

Le tre evidenze che gli auditor vogliono

1. Piano DR scritto

Documento approvato dal management con:

  • obiettivi RTO/RPO per processo;
  • elenco sistemi protetti;
  • runbook di failover;
  • ruoli e responsabilità.

2. Test eseguito

Verbale dell'ultimo test (max 12 mesi) con:

  • data e durata;
  • scenario testato;
  • tempi misurati;
  • problemi rilevati;
  • azioni correttive.

3. Aggiornamento del piano

Evidenza che il piano è stato aggiornato negli ultimi 12 mesi (revisione, modifiche per nuovi sistemi, change log).

Errori più comuni

  • piano DR generico copiato da template senza adattamento;
  • test "tabletop" non considerato test sufficiente da auditor stretti;
  • mancanza di mapping fra processi business e sistemi ICT;
  • runbook che riferiscono a sistemi dismessi.

Come arrivarci con poco sforzo

Per chi parte quasi da zero:

  1. Settimane 1-2: BIA leggera, identificazione sistemi critici, RTO/RPO target.
  2. Settimane 3-4: redazione piano DR.
  3. Settimane 5-8: deploy soluzione DR, runbook.
  4. Settimana 9: primo test parziale documentato.

Otto settimane di lavoro tipicamente bastano.

Sefthy e A.5.30

Sefthy fornisce gli artefatti che A.5.30 chiede:

  • piano DR template generato dalla console;
  • runbook personalizzato per cliente;
  • test trimestrale con verbale esportabile;
  • log delle modifiche.

FAQ

Tabletop drill basta come test?

Per ISO 27001 sì, se documentato. Per NIS2 è raccomandato un test reale almeno annuale.

Posso saltare A.5.30 dichiarando "non applicabile"?

Solo per aziende che non gestiscono sistemi ICT critici. Praticamente mai.

Per la guida pillar, ISO 27001:2022 e continuità operativa. Per il template di policy, Policy continuità operativa template.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo