ISO 27001AuditDR

Audit ISO 27001 e DR: cosa chiedono davvero gli auditor

Tre cose: piano DR, evidenza dei test e tracciabilità delle modifiche. Tutto il resto è contorno.

2 min di lettura

TL;DR

In un audit ISO 27001 sul cluster continuità, gli auditor cercano tre cose: piano DR scritto, evidenza dei test e tracciabilità delle modifiche. Tutto il resto è di contorno.

Le tre evidenze fondamentali

1. Piano DR scritto e firmato

Un documento (10-30 pagine) che include:

  • ambito e obiettivi (RTO, RPO per processo);
  • ruoli e responsabilità (chi fa cosa);
  • procedura di attivazione del piano;
  • runbook tecnici per ciascun servizio critico;
  • procedure di comunicazione interna ed esterna;
  • riferimenti a fornitori esterni e SLA.

Firmato dal management. Datato negli ultimi 12 mesi.

2. Evidenza dei test

Almeno un test eseguito negli ultimi 12 mesi, documentato con:

  • data e durata;
  • scenario;
  • partecipanti;
  • tempi misurati (RTO reale);
  • discrepanze rilevate;
  • azioni correttive aperte/chiuse.

L'auditor controllerà che le azioni correttive aperte abbiano una data di chiusura ragionevole.

3. Tracciabilità delle modifiche

Versionamento del piano. Ogni modifica deve avere:

  • data;
  • autore;
  • motivazione (es. "aggiunto sistema CRM in seguito a deploy del 15/03");
  • approvazione.

Senza change log, l'auditor sospetta che il piano sia stato scritto la sera prima.

Ordine tipico delle domande in audit

L'auditor segue questa sequenza:

  1. "Mi mostra il piano DR?"
  2. "Quando è stato approvato?"
  3. "Mi mostra il verbale dell'ultimo test?"
  4. "Le azioni correttive del test sono chiuse?"
  5. "Mi fa vedere il change log dell'ultimo anno?"

Cinque domande, 30 minuti. Se mancano risposte, parte la NC.

Come prepararsi 30 giorni prima

  • aggiornare il piano (anche con modifiche minori — basta l'evidenza);
  • eseguire un test parziale documentato;
  • chiudere le azioni correttive aperte da più di 6 mesi;
  • preparare un singolo PDF "Evidence pack" con tutto.

FAQ

Il piano deve essere in italiano o in inglese?

Secondo la lingua dell'audit. Per audit con TÜV / DNV / Bureau Veritas Italia, italiano. Per audit internazionali, inglese.

Posso usare un piano fornito dal vendor DR?

Sì come base, ma deve essere personalizzato e firmato dal vostro management.

Quanto tempo dura l'audit del cluster continuità?

5-8 ore per uno stage 2 di certificazione iniziale. 3-5 ore per audit di sorveglianza annuale.

Per la guida completa, ISO 27001:2022 e continuità. Per il controllo nuovo, Annex A.5.30.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo