My Advisor S.r.l. Società Benefit
Foro Buonaparte 59 - Milano (IT)
info@myadvisor.it
+39 02 87178193
Info sulla norma
ISO/IEC 27001
Self Assessment
Annex A
Chi siamo
Contatti
Torna su SelfAudit.it
TUTTI I SELF ASSESSMENT
Menu
Info sulla norma
ISO/IEC 27001
Self Assessment
Annex A
Chi siamo
Contatti
Torna su SelfAudit.it
TUTTI I SELF ASSESSMENT
Self Assessment Annex A ISO 27001
Compila il questionario
Passo
1
di
16
- Dati Richiedente
6%
Nome
*
Cognome
*
Ragione Sociale
Partita IVA / Codice Fiscale
*
Indirizzo completo (Via/Piazza, numero civico, interno)
*
CAP
*
Città
*
Telefono
*
Email
*
NB: Su questa email saranno inviate le informazioni per visualizzare il rapporto
A.5 - Politiche per la sicurezza delle informazioni
A.5.1 - Indirizzi della direzione per la sicurezza delle informazioni
A.5.1.1 - Politiche per la sicurezza delle informazioni
*
La vostra Organizzazione ha:
Formalizzato la politica della sicurezza dei dati
Formalizzato la politica della sicurezza dei dati e fatta approvare dalla direzione
Formalizzato la politica della sicurezza dei dati , fatta approvare dalla direzione e pubblicata sul sito web
Nessuna delle precedenti è applicabile
A.5.1.2 - Riesame delle politiche per la sicurezza delle informazioni
*
La vostra Organizzazione:
Esegue il riesame della direzione almeno una volta all'anno
Esegue il riesame della direzione almeno una volta all'anno e quando vi sono cambiamenti organizzativi significativi
Esegue il riesame della direzione almeno una volta all'anno e quando vi sono cambiamenti organizzativi significativi e quando vengono introdotti nuovi asset che comportano rischi aggiuntivi per la sicurezza dei dati
Nessuna delle precedenti è applicabile
A.6 - Organizzazione della sicurezza delle informazioni
A.6.1 - Organizzazione interna
A.6.1.1 - Ruoli e responsabilità per la sicurezza delle informazioni
*
La vs. organizzazione ha:
formalizzato l'organigramma aziendale
formalizzato l'organigramma aziendale specificando i ruoli inerenti la sicurezza dei dati
formalizzato l'organigramma aziendale specificando i ruoli inerenti la sicurezza dei dati e redigendo il mansionario aziendale con le specifiche attività deputate ai singoli ruoli
Nessuna delle precedenti è applicabile
A.6.1.2 - Separazione dei compiti
*
La vs. organizzazione ha:
redatto un mansionario per ogni funzione
redatto un mansionario per ogni funzione con specifica attribuzione degli asset aziendali
redatto un mansionario per ogni funzione con specifica attribuzione degli asset aziendali attribuendo formalmente la responsabilità dell'asset
Nessuna delle precedenti è applicabile
A.6.1.3 - Contatti con le autorità
*
La vs. organizzazione ha:
identificato un persona responsabile della sicurezza dei dati
identificato un persona responsabile della sicurezza dei dati e attribuite le responsabilità attraverso un incarico specifico
identificato un persona responsabile della sicurezza dei dati e attribuite le responsabilità attraverso un incarico specifico indicando i riferimenti delle autorità preposte per la sicurezza delle informazioni
Nessuna delle precedenti è applicabile
A.6.1.4 - Contatti con gruppi specialistici
*
La vs. organizzazione ha:
identificato associazioni/gruppi esperti di sicurezza dei dati ove tenersi in contatto per aggiornamenti e news
identificato associazioni/gruppi esperti di sicurezza dei dati ove tenersi in contatto per aggiornamenti e news attribuendo la responsabilità ad un membro interno
identificato associazioni/gruppi esperti di sicurezza dei dati ove tenersi in contatto per aggiornamenti e news attribuendo la responsabilità ad un membro interno e prendendo in considerazione eventuali prassi migliorative per la gestione in sicurezza dei dati
Nessuna delle precedenti è applicabile
A.6.1.5 - Sicurezza delle informazioni della gestione dei progetti
*
La vs. organizzazione ha:
un processo di progettazione delle infrastrutture e del software
un processo di progettazione delle infrastrutture e del software formalizzato
un processo di progettazione delle infrastrutture e del software formalizzato che prende in considerazione la sicurezza dei dati sin dall'inizio
Nessuna delle precedenti è applicabile
A.6.2 - Dispositivi portatili e telelavoro
A.6.2.1 - Politica per i dispositivi portatili
*
La vs. organizzazione ha:
una policy per l'utilizzo dei dispositivi portatili (laptop, tablet, smartphone, chiavette usb, macchine fotografiche, telecamere, ecc)
una policy per l'utilizzo dei dispositivi portatili (laptop, tablet, smartphone, chiavette usb, macchine fotografiche, telecamere, ecc) formalizzata
una policy per l'utilizzo dei dispositivi portatili (laptop, tablet, smartphone, chiavette usb, macchine fotografiche, telecamere, ecc) formalizzata con specifiche misure di sicurezza da rispettare e consegnata ai lavoratori aziendali previa formazione specifica in merito
Nessuna delle precedenti è applicabile
A.6.2.2 - Telelavoro
*
La vs. organizzazione ha:
una policy per i lavoratori assunti con contratto di telelavoro o smart working
una policy per i lavoratori assunti con contratto di telelavoro o smart working formalizzata
una policy per l'utilizzo dei dispositivi portatili (laptop, tablet, smartphone, chiavette usb, macchine fotografiche, telecamere, ecc) formalizzata con specifiche misure di sicurezza da rispettare e consegnata ai lavoratori aziendali previa formazione specifica in merito
Nessuna delle precedenti è applicabile
A.7 - Sicurezza delle risorse umane
A.7.1 - Prima dell'impiego
A.7.1.1 - Screening
*
La vs. organizzazione ha:
fatto sottoscrivere un impegno alla riservatezza ai propri lavoratori
fatto sottoscrivere un impegno alla riservatezza ai propri lavoratori ed al rispetto dell'uso contentito degli asset aziendali
fatto sottoscrivere un impegno alla riservatezza ai propri lavoratori, al rispetto dell'uso contentito degli asset aziendali e nel rispetto dei dettami della legislazione sulla Privacy
Nessuna delle precedenti è applicabile
A.7.1.2 - Termini e condizioni di impiego
*
La vs. organizzazione ha:
allegato al contratto il mansionario del lavoratore
allegato al contratto il mansionario del lavoratore con l'autorizzazione al trattamento dei dati
allegato al contratto il mansionario del lavoratore con l'autorizzazione al trattamento dei dati e il corretto utilizzo degli asset aziendali ai fini della protezione dei dati
Nessuna delle precedenti è applicabile
A.7.2 - Durante l'impiego
A.7.2.1 - Responsabilità della direzione
*
La vs. organizzazione ha:
redatto una persona responsabile del Sistema di gestione della sicurezza dei dati
redatto una persona responsabile del Sistema di gestione della sicurezza dei dati adeguatamente formato
redatto una persona responsabile del Sistema di gestione della sicurezza dei dati adeguatamente formato che controlli che tutto il personale ed i collaboratori applichino le prescrizioni in materia di sicurezza dei dati
Nessuna delle precedenti è applicabile
A.7.2.2 - Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni
*
La vs. organizzazione ha:
formalizzato un piano di formazione per tutto il personale sulla sicurezza dei dati
formalizzato un piano di formazione per tutto il personale sulla sicurezza dei dati assicurando che venga erogata prima del trattamento dei dati
formalizzato un piano di formazione per tutto il personale sulla sicurezza dei dati assicurando che venga erogata prima del trattamento dei dati da parte di un docente con compravata esperienza nel campo della sicurezza dei dati
Nessuna delle precedenti è applicabile
A.7.2.3 - Processo disciplinare
*
La vs. organizzazione ha:
istituto un codice etico che norma la disciplina del trattamento dei dati
istituto un codice etico che norma la disciplina del trattamento dei dati indicando un regime sanzionatorio in caso di inosservanza
istituto un codice etico che norma la disciplina del trattamento dei dati indicando un regime sanzionatorio in caso di inosservanza ed allegando il codice etico al contratto di lavoro
Nessuna delle precedenti è applicabile
A.7.3 - Cessazione e variazione del rapporto di lavoro
A.7.3.1 - Cessazione o variazione delle responsabilità durante il rapporto di lavoro
*
La vs. organizzazione ha:
nel contratto di lavoro indicato le responsabilità e gli obblighi in ordine ai dati trattati in caso di cessazione o cambio mansione
nel contratto di lavoro indicato le responsabilità e gli obblighi in ordine ai dati trattati in caso di cessazione o cambio mansione comunicandoli al personale
nel contratto di lavoro indicato le responsabilità e gli obblighi in ordine ai dati trattati in caso di cessazione o cambio mansione comunicandoli al personale e facendoli sottoscrivere come impegno
Nessuna delle precedenti è applicabile
A.8 - Gestione degli asset
A.8.1 - Responsabilità per gli asset
A.8.1.1 - Inventario degli asset
*
La vs. organizzazione:
ha redatto tutti gli asset (fisici ed informativi) aziendali
ha redatto tutti gli asset (fisici ed informativi) aziendali e li ha catalogati in un inventario specifico
ha redatto tutti gli asset (fisici ed informativi) aziendali, li ha catalogati in un inventario specifico e gli ha assegnato un codice univoco
Nessuna delle precedenti è applicabile
A.8.1.2 - Responsabilità degli asset
*
La vs. organizzazione:
ha indicato per ciascun asset un responsabile della custodia e della eventuale manutenzione
ha indicato per ciascun asset un responsabile della custodia e della eventuale manutenzione con la nomina di un vice-responsabile nel caso di assenza del responsabile
ha indicato per ciascun asset un responsabile della custodia e della eventuale manutenzione con la nomina di un vice-responsabile nel caso di assenza del responsabile con un incarico formale di responsabilità in merito agli asset gestiti
Nessuna delle precedenti è applicabile
A.8.1.3 - Utilizzo accettabile degli asset
*
La vs. organizzazione:
ha redatto le regole per l'utilizzo accettabile delle informazioni e degli asset associati alle strutture di elaborazione delle informazioni
ha redatto le regole per l'utilizzo accettabile delle informazioni e degli asset associati alle strutture di elaborazione delle informazioni formalizzandole in una specifica politica
ha redatto le regole per l'utilizzo accettabile delle informazioni e degli asset associati alle strutture di elaborazione delle informazioni formalizzandole in una specifica politica e formando il personale ed i collaboratori in merito
Nessuna delle precedenti è applicabile
A.8.1.4 - Restituzione degli asset
*
La vs. organizzazione:
ha redatto un politica di restituzione degli asset per tutto il personale e gli utenti degli asset al termine del periodo di impiego, del contratto o dell'accordo stipulato
ha redatto un politica di restituzione degli asset per tutto il personale e gli utenti degli asset al termine del periodo di impiego, del contratto o dell'accordo stipulato rendendola formalizzata
ha redatto un politica di restituzione degli asset per tutto il personale e gli utenti degli asset al termine del periodo di impiego, del contratto o dell'accordo stipulato rendendola formalizzata e allegandola ai contratti di lavoro o di collaborazione
Nessuna delle precedenti è applicabile
A.8.2 -Classificazione delle informazioni
A.8.2.1 - Classificazione delle informazioni
*
La vs. organizzazione:
ha impostato una politica di classificazione delle informazioni presenti in azienda
ha impostato una politica di classificazione delle informazioni presenti in azienda formando tutto il personale
ha impostato una politica di classificazione delle informazioni presenti in azienda formando tutto il personale e verificando puntualmente che venga attuata
Nessuna delle precedenti è applicabile
A.8.2.2 - Etichettatura delle informazioni
*
La vs. organizzazione:
ha impostato una politica di etichettatura delle informazioni presenti in azienda
ha impostato una politica di etichettatura delle informazioni presenti in azienda ed ha proceduto alla formazione di tutto il personale
ha impostato una politica di etichettatura delle informazioni presenti in azienda ed ha proceduto alla formazione di tutto il personale verificando puntualmente che venga attuata
Nessuna delle precedenti è applicabile
A.8.2.3 - Trattamento degli asset
*
La vs. organizzazione:
ha impostato una politica di trattamento degli asset sulla base dello schema di classificazione delle informazioni presenti in azienda
ha impostato una politica di trattamento degli asset sulla base dello schema di classificazione delle informazioni presenti in azienda ed ha proceduto alla formazione di tutto il personale
ha impostato una politica di trattamento degli asset sulla base dello schema di classificazione delle informazioni presenti in azienda ed ha proceduto alla formazione di tutto il personale verificando che venga puntualmente adottata
Nessuna delle precedenti è applicabile
A.8.3 -Trattamento dei supporti
A.8.3.1 - Gestione dei supporti rimovibili
*
La vs. organizzazione:
ha impostato una politica di trattamento dei supporti rimovibili sulla base dello schema di classificazione delle informazioni presenti in azienda
ha impostato una politica di trattamento dei supporti rimovibili sulla base dello schema di classificazione delle informazioni presenti in azienda ed ha proceduto alla formazione di tutto il personale
ha impostato una politica di trattamento dei supporti rimovibili sulla base dello schema di classificazione delle informazioni presenti in azienda ed ha proceduto alla formazione di tutto il personale verificando che venga puntualmente adottata
Nessuna delle precedenti è applicabile
A.8.3.2 - Dismissione dei supporti
*
La vs. organizzazione:
ha impostato una politica di dismissione dei supporti
ha impostato una politica di dismissione dei supporti ed ha proceduto alla formazione di tutto il personale
ha impostato una politica di dismissione dei supporti ed ha proceduto alla formazione di tutto il personale verificando che venga puntualmente adottata
Nessuna delle precedenti è applicabile
A.8.3.3 - Trasporto dei supporti fisici
*
La vs. organizzazione:
ha impostato una politica di gestione dei supporti fisici
ha impostato una politica di gestione dei supporti fisici procedendo alla formazione del personale
ha impostato una politica di gestione dei supporti fisici procedendo alla formazione del personale e verificando che venga puntualmente adottata
Nessuna delle precedenti è applicabile
A.9 - Controllo degli accessi
A.9.1 -Requisiti di business per il controllo degli accessi
A.9.1.1 - Politica di controllo degli accessi
*
La vs. organizzazione:
ha impostato una politica di controllo degli accessi ai luoghi di lavoro per tutti i lavoratori
ha impostato una politica di controllo degli accessi ai luoghi di lavoro per tutti i lavoratori e per tutte le parti terze
ha impostato una politica di controllo degli accessi ai luoghi di lavoro per tutti i lavoratori e per tutte le parti terze registrando puntualmente coloro che accedono ai luoghi di lavoro
Nessuna delle precedenti è applicabile
A.9.1.2 - Accesso alle reti e ai servizi di rete
*
La vs. organizzazione:
ha impostato una politica di controllo di accesso alle reti
ha impostato una politica di controllo degli accessi ai luoghi di lavoro per tutti i lavoratori e per tutte le parti terze
ha impostato una politica di controllo degli accessi ai luoghi di lavoro per tutti i lavoratori e per tutte le parti terze registrando puntualmente coloro che accedono ai luoghi di lavoro
Nessuna delle precedenti è applicabile
A.9.2 -Gestione degli accessi degli utenti
A.9.2.1 - Registrazione e de-registrazione degli utenti
*
La vs. organizzazione:
ha impostato una politica di registrazione di tutti gli utenti che accedono ai sistemi e servizi aziendali
ha impostato una politica di registrazione di tutti gli utenti che accedono ai sistemi e servizi aziendali assegnando i diritti di accesso
ha impostato una politica di registrazione di tutti gli utenti che accedono ai sistemi e servizi aziendali assegnando i diritti di accesso e verificando periodicamente la validità dei diritti assegnati
Nessuna delle precedenti è applicabile
A.9.2.2 - Provisioning degli accessi degli utenti
*
La vs. organizzazione:
ha impostato una politica per assegnazione e revoca dei diritti di accesso a tutti gli utenti che accedono ai sistemi e servizi aziendali
ha impostato una politica per assegnazione e revoca dei diritti di accesso a tutti gli utenti che accedono ai sistemi e servizi aziendali indicando le regole
ha impostato una politica per assegnazione e revoca dei diritti di accesso a tutti gli utenti che accedono ai sistemi e servizi aziendali indicando le regole e verificando periodicamente la validità dei diritti assegnati
Nessuna delle precedenti è applicabile
A.9.2.3 - Gestione dei diritti di accesso privilegiato
*
La vs. organizzazione:
ha redatto gli amministratori di sistema
ha redatto gli amministratori di sistema assegnado loro utilizzo di diritti di accesso privilegiato
ha redatto gli amministratori di sistema assegnado loro utilizzo di diritti di accesso privilegiato e controllando il loro operato almeno ogni 12 mesi inclusi i diritti di accesso privilegiato
Nessuna delle precedenti è applicabile
A.9.2.4 - Gestione delle informazioni segrete di autenticazione degli utenti
*
La vs. organizzazione:
ha redatto una procedura di assegnazione dei dati di autenticazione agli utenti dei sistemi e servizi
ha redatto una procedura di assegnazione dei dati di autenticazione agli utenti dei sistemi e servizi assegnando la responsabilità all'amministratore di sistema
ha redatto una procedura di assegnazione dei dati di autenticazione agli utenti dei sistemi e servizi assegnando la responsabilità all'amministratore di sistema dando la possbilità agli utenti di effettuare il cambio password al primo accesso
Nessuna delle precedenti è applicabile
A.9.2.5 - Riesame dei diritti di accesso degli utenti
*
La vs. organizzazione:
ha redatto un responsabile per ogni asset
ha redatto un responsabile per ogni asset indicando la frequenza di riesame dei diritti di accesso degli utenti
ha redatto un responsabile per ogni asset indicando la frequenza di riesame dei diritti di accesso degli utenti fancendo adeguata formazione al responsabile degli asset
Nessuna delle precedenti è applicabile
A.9.2.6 - Rimozione o adattamento dei diritti di accesso
*
La vs. organizzazione:
ha redatto una procedura di rimozione/modifica dei diritti di accesso alle strutture di elaborazione delle informazioni per il personale dimissionario o in cambio mansione e gli utenti terzi
ha redatto una procedura di rimozione/modifica dei diritti di accesso alle strutture di elaborazione delle informazioni per il personale dimissionario o in cambio mansione e gli utenti terzi inserendolo come obbligo contrattuale
ha redatto una procedura di rimozione/modifica dei diritti di accesso alle strutture di elaborazione delle informazioni per il personale dimissionario o in cambio mansione e gli utenti terzi inserendolo come obbligo contrattuale e verificando puntualmente che venga rispettato
Nessuna delle precedenti è applicabile
A.9.3 -Responsabilità dell'utente
A.9.3.1 - Utilizzo delle informazioni segrete di autenticazione
*
La vs. organizzazione:
ha formalizzato una policy per la gestione delle informazioni di autenticazione
ha formalizzato una policy per la gestione delle informazioni di autenticazione approvata dalla direzione
ha formalizzato una policy per la gestione delle informazioni di autenticazione approvata dalla direzione e fatta formazione al personale che riceve le informazIoni di autenticazione
Nessuna delle precedenti è applicabile
A.9.4 -Controllo degli accessi ai sistemi e alle applicazioni
A.9.4.1 - Limitazione dell'accesso alle informazioni
*
La vs. organizzazione:
ha redatto per ogni utenza i permessi di accesso a informazioni e sistemi informativi
ha redatto per ogni utenza i permessi di accesso a informazioni e sistemi informativi automatizzando il controllo
ha redatto per ogni utenza i permessi di accesso a informazioni e sistemi informativi automatizzando il controllo e verificando periodicamente le autorizzazioni
Nessuna delle precedenti è applicabile
A.9.4.2 - Procedure di log-on sicure
*
La vs. organizzazione:
ha impostato procedure di log-on sicure
ha impostato procedure di log-on sicure attraverso combinazioni di user e password
ha impostato procedure di log-on sicure attraverso combinazioni di user e password a scadenza con validazione con token
Nessuna delle precedenti è applicabile
A.9.4.3 - Sistema di gestione delle password
*
La vs. organizzazione:
ha impostato una politica formalizzata di gestione delle password
ha impostato una politica formalizzata di gestione delle password che prevedono una complessità specifica
ha impostato una politica formalizzata di gestione delle password che prevedono una complessità specifica e una durata limitata con cambio password in modalità push
Nessuna delle precedenti è applicabile
A.9.4.4 - Uso di programmi di utilità privilegiati
*
La vs. organizzazione:
ha impostato una politica per utilizzo di programmi in grado di aggirare controlli di sistema
ha impostato una politica per utilizzo di programmi in grado di aggirare controlli di sistema individuando i soggetti che possono utilizzarli
ha impostato una politica per utilizzo di programmi in grado di aggirare controlli di sistema individuando i soggetti che possono utilizzarli e quando possono essere utilizzati
Nessuna delle precedenti è applicabile
A.9.4.5 - Controllo degli accessi al codice sorgente dei programmi
*
La vs. organizzazione:
ha impostato una politica per l'accesso al codice sorgente dei programmi
ha impostato una politica per l'accesso al codice sorgente dei programmi individuando la lista dei soggetti abilitati all'accesso
ha impostato una politica per l'accesso al codice sorgente dei programmi individuando la lista dei soggetti abilitati all'accesso e quando possono accedervi
Nessuna delle precedenti è applicabile
A.10 - Crittografia
A.10.1 - Controlli crittografici
A.10.1.1 - Politica sull'uso dei controlli crittografici
*
La vs. organizzazione:
ha impostato una politica per la crittografia dei dati
ha impostato una politica per la crittografia dei dati che individua i dati che deveono essere crittografati
ha impostato una politica per la crittografia dei dati che individua i dati che deveono essere crittografati con la specifica delle chiavi di crittografia da utilizzare
Nessuna delle precedenti è applicabile
A.10.1.2 - Gestione delle chiavi
*
La vs. organizzazione:
ha impostato una politica per la gestione delle chiavi crittografiche
ha impostato una politica per la gestione delle chiavi crittografiche indicando il responsabile della gestione
ha impostato una politica per la gestione delle chiavi crittografiche indicando il responsabile della gestione e le specifiche sulla protezione, durata delle chiavi crittografiche durante il loro intero ciclo di vita
Nessuna delle precedenti è applicabile
A.11 - Sicurezza fisica e ambientale
A.11.1 - Aree sicure
A.11.1.1 - Perimetro di sicurezza fisica
*
La vs. organizzazione:
ha individuato le aree che contengono informazioni critiche e le strutture di elaborazione delle informazioni
ha individuato le aree che contengono informazioni critiche e le strutture di elaborazione delle informazioni e designato un responsabile per ciascuana area
ha individuato le aree che contengono informazioni critiche e le strutture di elaborazione delle informazioni e designato un responsabile per ciascuana area attivando un sistema di identificazione delle utenze abilitate agli accessi
Nessuna delle precedenti è applicabile
A.11.1.2 - Controlli di accesso fisico
*
La vs. organizzazione:
ha attivato un sistema di identificazione degli utenti che accedono nelle aree che contengono informazioni critiche
ha attivato un sistema di identificazione degli utenti che accedono nelle aree che contengono informazioni critiche profilando le utenze agli accessi
ha attivato un sistema di identificazione degli utenti che accedono nelle aree che contengono informazioni critiche profilando le utenze agli accessi e verificando periodicamente la validità dei permessi
Nessuna delle precedenti è applicabile
A.11.1.3 - Rendere sicuri uffici, locali e strutture
*
La vs. organizzazione:
ha fatto una valutazione dei rischi che incombono sulle strutture aziendali
ha fatto una valutazione dei rischi che incombono sulle strutture aziendali attivando idonei presidi antincendio
ha fatto una valutazione dei rischi che incombono sulle strutture aziendali attivando idonei presidi antincendio e anti intrusione
Nessuna delle precedenti è applicabile
A.11.1.4 - Protezione contro minacce esterne ed ambientali
*
La vs. organizzazione:
ha eseguito una valutazione del rischio da eventi esterni avversi
ha eseguito una valutazione del rischio da eventi esterni avversi modellizzando tutte le casistiche possibili
ha eseguito una valutazione del rischio da eventi esterni avversi modellizzando tutte le casistiche possibili e pianificando le azioni di mitigazione e contrasto
Nessuna delle precedenti è applicabile
A.11.1.5 - Lavoro in aree sicure
*
La vs. organizzazione:
ha formalizzato un policy di condotta da adottarsi nelle aree di lavoro
ha formalizzato un policy di condotta da adottarsi nelle aree di lavoro formando il personale
ha formalizzato un policy di condotta da adottarsi nelle aree di lavoro formando il personale e verificando attraverso audit che venga seguita
Nessuna delle precedenti è applicabile
A.11.1.6 - Aree di carico e scarico
*
La vs. organizzazione:
ha strutturato il proprio layout in modo da evitare che parti terze non autorizzate possono accedere alle strutture di elaborazione dei dati
ha strutturato il proprio layout in modo da evitare che parti terze non autorizzate possono accedere alle strutture di elaborazione dei dati attraverso la separazione fisica delle aree
ha strutturato il proprio layout in modo da evitare che parti terze non autorizzate possono accedere alle strutture di elaborazione dei dati attraverso la separazione fisica delle aree e gateway di accesso con profilazione di utenza
Nessuna delle precedenti è applicabile
A.11.2 - Apparecchiature
A.11.2.1 - Disposizione delle apparecchiature e loro protezione
*
La vs. organizzazione:
ha strutturato un piano di layout delle apparecchiature che processano dati a valle di una valutazione dei rischi
ha strutturato un piano di layout delle apparecchiature che processano dati a valle di una valutazione dei rischi identificati attraverso un piano di business continuity & Recovery disaster
ha strutturato un piano di layout delle apparecchiature che processano dati a valle di una valutazione dei rischi identificati attraverso un piano di business continuity & Recovery disaster validato attraverso simulazioni periodiche
Nessuna delle precedenti è applicabile
A.11.2.2 - Infrastrutture di supporto
*
La vs. organizzazione:
ha redatto tutti i possibili malfunzionamenti delle apparecchiature
ha redatto tutti i possibili malfunzionamenti delle apparecchiature con particolare riferimento alla rete elettrica
ha redatto tutti i possibili malfunzionamenti delle apparecchiature con particolare riferimento alla rete elettrica predisponendo idonei gruppi di continuità a supporto
Nessuna delle precedenti è applicabile
A.11.2.3 - Sicurezza dei cablaggi
*
La vs. organizzazione:
ha redatto tutti i possibili malfunzionamenti dei cablaggi
ha redatto tutti i possibili malfunzionamenti dei cablaggi verificando puntualmente l'assenza di danneggiamenti
ha redatto tutti i possibili malfunzionamenti dei cablaggi verificando puntualmente l'assenza di danneggiamenti e predisponendo un piano di manutenzione e verifica periodico
Nessuna delle precedenti è applicabile
A.11.2.4 - Manutenzione delle apparecchiature
*
La vs. organizzazione:
ha redatto tutte le apparecchiature che processano dati
ha redatto tutte le apparecchiature che processano dati predisponendo un piano di manutenzione periodica
ha redatto tutte le apparecchiature che processano dati predisponendo un piano di manutenzione periodica e assegnado l'autorità e la responsabilità ad una figura tecnica esperta interna o esterna all'organizzazione
Nessuna delle precedenti è applicabile
A.11.2.5 - Trasferimento degli asset
*
La vs. organizzazione:
ha redatto una policy che gestisce il trasferimento degli asset
ha redatto una policy che gestisce il trasferimento degli asset assegnado autorità e responsabilità ad una figura interna
ha redatto una policy che gestisce il trasferimento degli asset assegnado autorità e responsabilità ad una figura interna e predisponendo un registro degli asset che escono dal perimentro aziendale
Nessuna delle precedenti è applicabile
A.11.2.6 - Sicurezza delle apparecchiature e degli asset all'esterno delle sedi
*
La vs. organizzazione:
ha redatto una policy che gestisce le misure di sicurezza a cui devono essere sottoposte le apparecchiature che operano all'esterno della sede aziendale
ha redatto una policy che gestisce le misure di sicurezza a cui devono essere sottoposte le apparecchiature che operano all'esterno della sede aziendale che includono il rispetto di un codice comportamentale
ha redatto una policy che gestisce le misure di sicurezza a cui devono essere sottoposte le apparecchiature che operano all'esterno della sede aziendale che includono il rispetto di un codice comportamentale ed una serie di divieti espressi (stampa documentazione, divieto di utilizzo dei device in luoghi pubblici, ecc.)
Nessuna delle precedenti è applicabile
A.11.2.7 - Dismissione sicura o riutilizzo delle apparecchiature
*
La vs. organizzazione:
ha redatto una policy che gestisce la dismissione o la riallocazione delle apparecchiature che gestiscono dati
ha redatto una policy che gestisce la dismissione o la riallocazione delle apparecchiature che gestiscono dati attraverso l'identificazione di un responsabile per le attività
ha redatto una policy che gestisce la dismissione o la riallocazione delle apparecchiature che gestiscono dati attraverso l'identificazione di un responsabile per le attività e di qualifica di fornitori certificati per la dismissione sicura delle apparecchiature
Nessuna delle precedenti è applicabile
A.11.2.8 - Apparecchiature incustodite degli utenti
*
La vs. organizzazione:
ha redatto una policy che definisce l'uso accettabile degli asset da parte degli utenti
ha redatto una policy che definisce l'uso accettabile degli asset da parte degli utenti con le relative modalità di custodia
ha redatto una policy che definisce l'uso accettabile degli asset da parte degli utenti con le relative modalità di custodia e le responsabilità associate al mancato rispetto delle prescrizioni
Nessuna delle precedenti è applicabile
A.11.2.9 - Politica di schermo e scrivania puliti
*
La vs. organizzazione:
ha redatto una policy di gestione della postazione di lavoro
ha redatto una policy di gestione della postazione di lavoro e del pc
ha redatto una policy di gestione della postazione di lavoro e del pc fornendo adeguata formazione a tutto il personale con la verifica delle comptenze acquisite
Nessuna delle precedenti è applicabile
A.12 - Sicurezza delle attività operative
A.12.1 - Procedure operative e responsabilità
A.12.1.1 - Procedure operative documentate
*
La vs. organizzazione:
ha redatto tutte le procedure operative che occorrono agli utenti per lavorare secondo i criteri della sicurezza dei dati
ha redatto tutte le procedure operative che occorrono agli utenti per lavorare secondo i criteri della sicurezza dei dati formalizzandole
ha redatto tutte le procedure operative che occorrono agli utenti per lavorare secondo i criteri della sicurezza dei dati formalizzandole e rendendole fruibili a tutti i dipendenti e collaboratori attraverso adeguato percorso formativo
Nessuna delle precedenti è applicabile
A.12.1.2 - Gestione dei cambiamenti
*
La vs. organizzazione:
ha redatto una procedura operativa che gestisce i cambiamenti all'organizzazione, ai processi di business, alle strutture di elaborazione delle informazioni e ai sistemi che potrebbero influenzare la sicurezza delle informazioni
ha redatto una procedura operativa che gestisce i cambiamenti all'organizzazione, ai processi di business, alle strutture di elaborazione delle informazioni e ai sistemi che potrebbero influenzare la sicurezza delle informazioni rendendola formale
ha redatto una procedura operativa che gestisce i cambiamenti all'organizzazione, ai processi di business, alle strutture di elaborazione delle informazioni e ai sistemi che potrebbero influenzare la sicurezza delle informazioni rendendola formale e definendo un responsabile di coordinamento delle attvità di cambiamento
Nessuna delle precedenti è applicabile
A.12.1.3 - Gestione delle capacità
*
La vs. organizzazione:
ha redatto una risorsa che si occupi di monitorare e pianificare la capacità delle risorse che gestiscono dati
ha redatto una risorsa che si occupi di monitorare e pianificare la capacità delle risorse che gestiscono dati formulando piani di adegumento delle capacità su base periodica
ha redatto una risorsa che si occupi di monitorare e pianificare la capacità delle risorse che gestiscono dati formulando piani di adegumento delle capacità su base periodica e monitorando le risorse attraverso idonei KPI
Nessuna delle precedenti è applicabile
A.12.1.4 - Separazione degli ambienti di sviluppo, test e produzione
*
La vs. organizzazione:
ha separato gli ambienti di sviluppo, test e produzione
ha separato gli ambienti di sviluppo, test e produzione assegnando regole di utilizzo degli ambienti
ha separato gli ambienti di sviluppo, test e produzione assegnando regole di utilizzo degli ambienti attraverso login profilate e formazione specifica agli sviluppatori
Nessuna delle precedenti è applicabile
A.12.2 - Protezione dal malware
A.12.2.1 - Controlli contro i malware
*
La vs. organizzazione:
ha una policy di protezione dei device contro virus e malware
ha una policy di protezione dei device contro virus e malware ed un sistema SIEM applicato per il monitoraggio in continua
ha una policy di protezione dei device contro virus e malware ed un sistema SIEM applicato per il monitoraggio in continua con un responsabile designato del SOC aziendale
Nessuna delle precedenti è applicabile
A.12.3 - Backup
A.12.3.1 - Backup delle informazioni
*
La vs. organizzazione:
ha una policy di Backup formalizzata
ha una policy di Backup formalizzata per tutti i sistemi che immagazzinano dati
ha una policy di Backup formalizzata per tutti i sistemi che immagazzinano dati e con un piano di simulazione di test di ripristino dati attuato
Nessuna delle precedenti è applicabile
A.12.4 - Raccolta di log e monitoraggio
A.12.4.1 - Raccolta di log degli eventi
*
La vs. organizzazione:
ha implementato un sistema SIEM per il monitoraggio e la gestione degli eventi relativi alla sicurezza delle informazioni
ha implementato un sistema SIEM per il monitoraggio e la gestione degli eventi relativi alla sicurezza delle informazioni attribuendo la responsabilità di gestione
ha implementato un sistema SIEM per il monitoraggio e la gestione degli eventi relativi alla sicurezza delle informazioni attribuendo la responsabilità di gestione e la frequenza di riesame delle impostazioni delle soglie di allarme
Nessuna delle precedenti è applicabile
A.12.4.2 - Protezione delle informazioni di log
*
La vs. organizzazione:
ha implementato un sistema di conservazione dei log file
ha implementato un sistema di conservazione dei log file protetto da manomissioni o accessi non autorizzati
ha implementato un sistema di conservazione dei log file protetto da manomissioni o accessi non autorizzati attribuendo la responsabilità della gestione e della conservazione
Nessuna delle precedenti è applicabile
A.12.4.3 - Log di amministratori e operatori
*
La vs. organizzazione:
ha implementato un sistema di conservazione dei log file degli amministratori di sistema
ha implementato un sistema di conservazione dei log file degli amministratori di sistema assicurando adeguata protezione
ha implementato un sistema di conservazione dei log file degli amministratori di sistema assicurando adeguata protezione e riesaminandoli almeno ogni 6 mesi
Nessuna delle precedenti è applicabile
A.12.4.4 - Sincronizzazione degli orologi
*
La vs. organizzazione:
ha implementato un sistema di gestione della sincronizzazione degli orologi di i tutti i sistemi pertinenti che elaborano informazioni all'interno di un'organizzazione o di un dominio di sicurezza
ha implementato un sistema di gestione della sincronizzazione degli orologi di i tutti i sistemi pertinenti che elaborano informazioni all'interno di un'organizzazione o di un dominio di sicurezza assegnando la responsabilità ad una risorsa
ha implementato un sistema di gestione della sincronizzazione degli orologi di i tutti i sistemi pertinenti che elaborano informazioni all'interno di un'organizzazione o di un dominio di sicurezza assegnando la responsabilità ad una risorsa e facendo audit di verifica
Nessuna delle precedenti è applicabile
A.12.5 - Controllo del software di produzione
A.12.5.1 - Installazione del software sui sistemi di produzione
*
La vs. organizzazione:
ha implementato un sistema di controllo per l'installazione dei software sui sistemi di produzione
ha implementato un sistema di controllo per l'installazione dei software sui sistemi di produzione individuando un responsabile
ha implementato un sistema di controllo per l'installazione dei software sui sistemi di produzione individuando un responsabile e le procedure autorizzative
Nessuna delle precedenti è applicabile
A.12.6 - Gestione delle vulnerabilità tecniche
A.12.6.1 - Gestione delle vulnerabilità tecniche
*
La vs. organizzazione:
ha implementato un sistema di verifica periodica delle vulnerabilità tecniche dei sistemi informativi
ha implementato un sistema di verifica periodica delle vulnerabilità tecniche dei sistemi informativi attraverso attività di vulnerabilty assessment
ha implementato un sistema di verifica periodica delle vulnerabilità tecniche dei sistemi informativi attraverso attività di vulnerabilty assessment con una successiva gestione tempestiva di individuazione delle contro misure per affrontare i rischi conseguenti
Nessuna delle precedenti è applicabile
A.12.6.2 - Limitazioni all'installazione del software
*
La vs. organizzazione:
ha implementato una policy per l'installazione del software da parte dei propri dipendenti
ha implementato una policy per l'installazione del software da parte dei propri dipendenti attraverso impostazione di limitazioni poste su ogni device
ha implementato una policy per l'installazione del software da parte dei propri dipendenti attraverso impostazione di limitazioni poste su ogni device individuando una list periodicamente rivista di software consentiti
Nessuna delle precedenti è applicabile
A.12.7 - Considerazioni sull'audit dei sistemi informativi
A.12.7.1 - Controlli per l'audit dei sistemi informativi
*
La vs. organizzazione:
ha implementato un piano di audit per i sistemi informativi
ha implementato un piano di audit per i sistemi informativi da eseguirsi a cura di un tecnico designato con adeguata idoneità tecnico professionale
ha implementato un piano di audit per i sistemi informativi da eseguirsi a cura di un tecnico designato con adeguata idoneità tecnico professionale in orari che non producano interferenze con i processi operativi aziendali
Nessuna delle precedenti è applicabile
A.13 - Sicurezza delle comunicazioni
A.13.1 - Gestione della sicurezza della rete
A.13.1.1 - Controlli di rete
*
La vs. organizzazione:
ha implementato un piano di controlli della rete
ha implementato un piano di controlli della rete attraverso monitoraggio in continuo
ha implementato un piano di controlli della rete attraverso monitoraggio in continuo assegnando la responsabilità ad un tecnico con comprovata idoneità tecnico-professionale
Nessuna delle precedenti è applicabile
A.13.1.2 - Sicurezza dei servizi di rete
*
La vs. organizzazione:
ha individuato i livelli di servizio della rete nonché i meccanismi di sicurezza
ha individuato i livelli di servizio della rete nonché i meccanismi di sicurezza designando un responsabile dei servizi di rete
ha individuato i livelli di servizio della rete nonché i meccanismi di sicurezza designando un responsabile dei servizi di rete ed includendo i requisiti nei contratti di fornitura dei serivizi
Nessuna delle precedenti è applicabile
A.13.1.3 - Segregazione nelle reti
*
La vs. organizzazione:
ha individuato un responsabile dei servizi di rete
ha individuato un responsabile dei servizi di rete che ha provveduto alla segregazione della rete
ha individuato un responsabile dei servizi di rete che ha provveduto alla segregazione della rete attraverso un preliminare studio sui servizi, utenti e sistemi da gestire in segregazione
Nessuna delle precedenti è applicabile
A.13.2 - Trasferimento delle informazioni
A.13.2.1 - Politiche e procedure per il trasferimento delle informazioni
*
La vs. organizzazione:
ha formalizzato una policy per il trasferimento delle informazioni
ha formalizzato una policy per il trasferimento delle informazioni approvata dalla direzione
ha formalizzato una policy per il trasferimento delle informazioni approvata dalla direzione che tiene conto di tutte le tecnonogie di strutture di comunicazione
Nessuna delle precedenti è applicabile
A.13.2.2 - Accordi per il trasferimento delle informazioni
*
La vs. organizzazione:
ha formalizzato gli accordi di trasferimento di informazioni con le parti esterne che trattano i dati in nome e per conto della organizzazione
ha formalizzato gli accordi di trasferimento di informazioni con le parti esterne che trattano i dati in nome e per conto della organizzazione attraverso un mandato da responsabili del trattamento
ha formalizzato gli accordi di trasferimento di informazioni con le parti esterne che trattano i dati in nome e per conto della organizzazione attraverso un mandato da responsabili del trattamento indicando le modalità con cui i dati devono essere gestiti
Nessuna delle precedenti è applicabile
A.13.2.3 - Messaggistica elettronica
*
La vs. organizzazione:
ha formalizzato una policy di trasmissione delle informazioni attraverso messaggistica elettronica (e-mail, app di messaggistica istantanea, SMS, ecc)
ha formalizzato una policy di trasmissione delle informazioni attraverso messaggistica elettronica (e-mail, app di messaggistica istantanea, SMS, ecc) indentificando un responsabile dell'attuazione
ha formalizzato una policy di trasmissione delle informazioni attraverso messaggistica elettronica (e-mail, app di messaggistica istantanea, SMS, ecc) indentificando un responsabile dell'attuazione e facendo audit di verifica del rispetto della policy
Nessuna delle precedenti è applicabile
A.13.2.4 - Accordi di riservatezza o di non divulgazione
*
La vs. organizzazione:
ha formalizzato, ove necessario, gli accordi di riservatezza
ha formalizzato, ove necessario, gli accordi di riservatezza riesaminando periodicamente il contenuto
ha formalizzato, ove necessario, gli accordi di riservatezza riesaminando periodicamente il contenuto ed eseguendo audit di verifica del rispetto
Nessuna delle precedenti è applicabile
A.14 - Acquisizione, sviluppo e manutenzione dei sistemi
A.14.1 - Requisiti di sicurezza dei sistemi informativi
A.14.1.1 - Analisi e specifica dei requisiti per la sicurezza delle informazioni
*
La vs. organizzazione:
ha formalizzato i requisiti relativi alla sicurezza dei dati per tutti i sistemi informativi aziendali esistenti e per i nuovi
ha formalizzato i requisiti relativi alla sicurezza dei dati per tutti i sistemi informativi aziendali esistenti e per i nuovi attraverso una policy specifica
ha formalizzato i requisiti relativi alla sicurezza dei dati per tutti i sistemi informativi aziendali esistenti e per i nuovi attraverso una policy specifica da sottoporre a riesame periodico almeno una volta all'anno o quando occorrono incidenti
Nessuna delle precedenti è applicabile
A.14.1.2 - Sicurezza dei servizi applicativi su reti pubbliche
*
La vs. organizzazione:
ha formalizzato i requisiti di protezione che devono avere i dati che transitano sulla rete
ha formalizzato i requisiti di protezione che devono avere i dati che transitano sulla rete attraverso una policy specifica
ha formalizzato i requisiti di protezione che devono avere i dati che transitano sulla rete attraverso una policy specifica da sottoporre a riesame periodico almeno una volta all'anno o quando occorrono incidenti
Nessuna delle precedenti è applicabile
A.14.1.3 - Protezione delle transazioni dei servizi applicativi
*
La vs. organizzazione:
ha formalizzato i requisiti di protezione che devono avere i dati coinvolti nelle transazioni dei servizi applicativi
ha formalizzato i requisiti di protezione che devono averei dati coinvolti nelle transazioni dei servizi applicativi attraverso una policy specifica
ha formalizzato i requisiti di protezione che devono averei dati coinvolti nelle transazioni dei servizi applicativi attraverso una policy specifica da sottoporre a riesame periodico almeno una volta all'anno o quando occorrono incidenti
Nessuna delle precedenti è applicabile
A.14.2 - Sicurezza nei processi di sviluppo e supporto
A.14.2.1 - Politica per lo sviluppo sicuro
*
La vs. organizzazione:
ha formalizzato i requisiti per procedere ad uno sviluppo sicuro delle applicazioni
ha formalizzato i requisiti per procedere ad uno sviluppo sicuro delle applicazioni individuando un responsabile dello sviluppo
ha formalizzato i requisiti per procedere ad uno sviluppo sicuro delle applicazioni individuando un responsabile dello sviluppo e facendo formazione specifica a tutti gli sviluppatori aziendali
Nessuna delle precedenti è applicabile
A.14.2.2 - Procedure per il controllo dei cambiamenti di sistema
*
La vs. organizzazione:
ha formalizzato un procedura per gestire i cambiamenti di sistema
ha formalizzato un procedura per gestire i cambiamenti di sistema individuando un responsabile
ha formalizzato un procedura per gestire i cambiamenti di sistema individuando un responsabile e avviando alla formazione tutto il personale addetto all'amministrazione dei sistemi
Nessuna delle precedenti è applicabile
A.14.2.3 - Riesame tecnico delle applicazioni in seguito a cambiamenti nelle piattaforme operative
*
La vs. organizzazione:
ha formalizzato un procedura per gestire i cambiamenti nelle piattaforme operative
ha formalizzato un procedura per gestire i cambiamenti nelle piattaforme operative individuando un responsabile
ha formalizzato un procedura per gestire i cambiamenti nelle piattaforme operative individuando un responsabile e avviando alla formazione tutto il personale addetto all'amministrazione dei sistemi
Nessuna delle precedenti è applicabile
A.14.2.4 - Limitazioni ai cambiamenti dei pacchetti software
*
La vs. organizzazione:
ha formalizzato un procedura per gestire i software presenti in azienda
ha formalizzato un procedura per gestire i software presenti in azienda evidenziando la modalità di gestione delle patch
ha formalizzato un procedura per gestire i software presenti in azienda evidenziando la modalità di gestione delle patch ed individuando un responsabile della gestione dei software
Nessuna delle precedenti è applicabile
A.14.2.5 - Principi per l'ingegnerizzazione sicura dei sistemi
*
La vs. organizzazione:
ha formalizzato i requisiti per procedere ad uno sviluppo sicuro dei sistemi
ha formalizzato i requisiti per procedere ad uno sviluppo sicuro dei sistemi individuando un responsabile dello sviluppo
ha formalizzato i requisiti per procedere ad uno sviluppo sicuro dei sistemi individuando un responsabile dello sviluppo e facendo formazione specifica a tutti i sistemisti aziendali
Nessuna delle precedenti è applicabile
A.14.2.6 - Ambiente di sviluppo sicuro
*
La vs. organizzazione:
ha redatto gli ambienti di sviluppo
ha redatto gli ambienti di sviluppo separandoli opportunamente dagli ambienti di produzione
ha redatto gli ambienti di sviluppo separandoli opportunamente dagli ambienti di produzione ed individuando un responsabile dello sviluppo
Nessuna delle precedenti è applicabile
A.14.2.7 - Sviluppo affidato all'esterno
*
La vs. organizzazione:
ha qualificato i fornitori di svluppo
ha qualificato i fornitori di svluppo individuando una persona interna responsabile del contratto di sviluppo
ha qualificato i fornitori di svluppo individuando una persona interna responsabile del contratto di sviluppo contrattualizzando i requisiti di sicurezza del codice sviluppato
Nessuna delle precedenti è applicabile
A.14.2.8 - Test di sicurezza dei sistemi
*
La vs. organizzazione:
ha redatto l' ambiente di test
ha redatto l' ambiente di test separandolo opportunamente dagli ambienti di produzione
ha redatto l' ambiente di test separandolo opportunamente dagli ambienti di produzione ed individuando un responsabile dello sviluppo
Nessuna delle precedenti è applicabile
A.14.2.9 - Test di accettazione dei sistemi
*
La vs. organizzazione:
ha redatto i programmi di test per i nuovi sistemi informativi
ha redatto i programmi di test per i nuovi sistemi informativi nonché i criteri di accettazione
ha redatto i programmi di test per i nuovi sistemi informativi nonché i criteri di accettazione validi tanto per i nuovi sistemi quanto per gli aggiornamenti e per le nuove versioni
Nessuna delle precedenti è applicabile
A.14.3 - Dati di test
A.14.3.1 - Protezione dei dati di test
*
La vs. organizzazione:
ha redatto i criteri di scelta e gestione dei dati di test
ha redatto i criteri di scelta e gestione dei dati di test nonché i criteri di protezione
ha redatto i criteri di scelta e gestione dei dati di test nonché i criteri di protezione individuando un responsabile per lo sviluppo
Nessuna delle precedenti è applicabile
A.15 - Relazioni con i fornitori
A.15.1 - Sicurezza delle informazioni nelle relazioni con i fornitori
A.15.1.1 - Politica per la sicurezza delle informazioni nei rapporti con i fornitori
*
La vs. organizzazione:
ha redatto una policy per l'accesso agli asset da parte dei fornitori
ha redatto una policy per l'accesso agli asset da parte dei fornitori con predisposizione di contratti ad hoc
ha redatto una policy per l'accesso agli asset da parte dei fornitori con predisposizione di contratti ad hoc identificando tutte le attività di trattamento consentite ai fornitori
Nessuna delle precedenti è applicabile
A.15.1.2 - Indirizzare la sicurezza all'interno degli accordi con i fornitori
*
La vs. organizzazione:
ha redatto una policy per la qualifica dei fornitori
ha redatto una policy per la qualifica dei fornitori verificando gli aspetti riguradanti la sicurezza dei dati
ha redatto una policy per la qualifica dei fornitori verificando gli aspetti riguradanti la sicurezza dei dati stabilendo con ciascun fornitore il perimetro di azione sui dati aziendali che andranno ad elaborare
Nessuna delle precedenti è applicabile
A.15.1.3 - Filiera di fornitura per l'ICT (Information and Communication Technology)
*
La vs. organizzazione:
ha redatto una policy per la qualifica dei fornitori
ha redatto una policy per la qualifica dei fornitori identificando i requisiti riguradanti la sicurezza dei dati
ha redatto una policy per la qualifica dei fornitori identificando i requisiti riguradanti la sicurezza dei dati e riesaminando periodicamente l'operato dei singoli fornitori
Nessuna delle precedenti è applicabile
A.15.2 - Gestione dell'erogazione dei servizi dei fornitori
A.15.2.1 - Monitoraggio e riesame dei servizi dei fornitori
*
La vs. organizzazione:
ha redatto una policy per la qualifica dei fornitori
ha redatto una policy per la qualifica dei fornitori identificando un responsabile della gestione dei fornitori
ha redatto una policy per la qualifica dei fornitori identificando un responsabile della gestione dei fornitori e impostando un piano di audit per la verifica dell'erogazione dei servizi
Nessuna delle precedenti è applicabile
A.15.2.2 - Gestione dei cambiamenti ai servizi dei fornitori
*
La vs. organizzazione:
ha redatto una policy per la qualifica dei fornitori
ha redatto una policy per la qualifica dei fornitori identificando un responsabile della gestione dei fornitori
ha redatto una policy per la qualifica dei fornitori identificando un responsabile della gestione dei fornitori che presidi la gestione del cambiamento dei servizi erogati dai fornitori
Nessuna delle precedenti è applicabile
A.16 - Gestione degli incidenti relativi alla sicurezza delle informazioni
A.16.1 - Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti
A.16.1.1 - Responsabilità e procedure
*
La vs. organizzazione:
ha redatto una policy per la gestione degli incidenti
ha redatto una policy per la gestione degli incidenti indicando un responsabile di coordinamento in caso di incidente
ha redatto una policy per la gestione degli incidenti indicando un responsabile di coordinamento in caso di incidente formando tutto il personale sulla procedura al fine di assicurare una risposta rapida
Nessuna delle precedenti è applicabile
A.16.1.2 - Segnalazione degli eventi relativi alla sicurezza delle informazioni
*
La vs. organizzazione:
ha attivato un servizio SIEM (security information and event management)
ha attivato un servizio SIEM (security information and event management) attribuendo la responsabilità ad un amministratore di sistema
ha attivato un servizio SIEM (security information and event management) attrivuendo la responsabilità ad un amministratore di sistema elaborando warning in tempo reale per poter verificare temepestivamente gli eventi relativi alla sicurezza delle informazioni
Nessuna delle precedenti è applicabile
A.16.1.3 - Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni
*
La vs. organizzazione:
ha attivato un percorso formativo a tutti i lavoratori aziendali sulla sicurezza dei dati
ha attivato un percorso formativo a tutti i lavoratori aziendali sulla sicurezza dei dati con una periodicità almeno annuale
ha attivato un percorso formativo a tutti i lavoratori aziendali sulla sicurezza dei dati con una periodicità almeno annuale con lo scopo di creare la consapevolezza a tutto il personale ed ai collaboratori che utilizzano i sistemi informativi ed i servizi dell'organizzazione di registrare e segnalare ogni punto di debolezza relativo alla sicurezza delle informazioni che sia stato osservato o sospettato nei sistemi o nei servizi
Nessuna delle precedenti è applicabile
A.16.1.4 - Valutazione e decisione sugli eventi relativi alla sicurezza delle informazioni
*
La vs. organizzazione:
ha attivato un servizio SIEM (security information and event management)
ha attivato un servizio SIEM (security information and event management) attribuendo la responsabilità ad un amministratore di sistema
ha attivato un servizio SIEM (security information and event management) attribuendo la responsabilità ad un amministratore di sistema che deve valutare gli eventi e decidere di classificarli o meno come incidenti relativi alla sicurezza dei dati
Nessuna delle precedenti è applicabile
A.16.1.5 - Risposta agli incidenti relativi alla sicurezza delle informazioni
*
La vs. organizzazione:
ha redatto una policy per la gestione degli incidenti
ha redatto una policy per la gestione degli incidenti indicando un responsabile di coordinamento in caso di incidente
ha redatto una policy per la gestione degli incidenti indicando un responsabile di coordinamento in caso di incidente formando tutto il personale sulla procedura al fine di assicurare una risposta rapida
Nessuna delle precedenti è applicabile
A.16.1.6 - Apprendimento dagli incidenti relativi alla sicurezza delle informazioni
*
La vs. organizzazione:
ha redatto una policy per la gestione degli incidenti
ha redatto una policy per la gestione degli incidenti indicando un responsabile di coordinamento in caso di incidente
ha redatto una policy per la gestione degli incidenti indicando un responsabile di coordinamento in caso di incidente che si occupa non solo della gestione dell'incidente ma anche della conservazione della conoscenza acquisita dall'analisi e dalla soluzione degli incidenti relativi alla sicurezza delle informazioni
Nessuna delle precedenti è applicabile
A.16.1.7 - Raccolta di evidenze
*
La vs. organizzazione:
ha redatto una policy per la gestione degli incidenti
ha redatto una policy per la gestione degli incidenti indicando un responsabile di coordinamento in caso di incidente
ha redatto una policy per la gestione degli incidenti indicando un responsabile di coordinamento in caso di incidente che si occupa non solo della gestione dell'incidente ma anche della conservazione della conoscenza acquisita dall'analisi e dalla soluzione degli incidenti relativi alla sicurezza delle informazioni
Nessuna delle precedenti è applicabile
A.17 - Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa
A.17.1 - Continuità della sicurezza delle informazioni
A.17.1.1 - Pianificazione della continuità della sicurezza delle informazioni
*
La vs. organizzazione:
ha redatto una policy per la gestione della business continuity e del Recovery disaster
ha redatto una policy per la gestione della business continuity e del Recovery disaster identificando un responsabile della procedura
ha redatto una policy per la gestione della business continuity e del Recovery disaster identificando un responsabile della procedura ed effettuando simulazioni periodiche di gestione di ogni scenario individuato
Nessuna delle precedenti è applicabile
A.17.1.2 - Attuazione della continuità della sicurezza delle informazioni
*
La vs. organizzazione:
ha redatto una policy per la gestione della business continuity e del Recovery disaster
ha redatto una policy per la gestione della business continuity e del Recovery disaster identificando un responsabile della procedura
ha redatto una policy per la gestione della business continuity e del Recovery disaster identificando un responsabile della procedura identifcando le prassi, le infrastrutture e le attrezzature da tenere a disposizione per assicurare il livello di continuità richiesto
Nessuna delle precedenti è applicabile
A.17.1.3 - Verifica, riesame e valutazione della continuità della sicurezza delle informazioni
*
La vs. organizzazione:
ha redatto una policy per la gestione della business continuity e del Recovery disaster
ha redatto una policy per la gestione della business continuity e del Recovery disaster identificando un responsabile della procedura
ha redatto una policy per la gestione della business continuity e del Recovery disaster identificando un responsabile della procedura riesaminando la procedura ad ogni simulazione per verificare che le prassi in uso siano efficaci durante le situazioni avverse
Nessuna delle precedenti è applicabile
A.17.2 - Ridondanze
A.17.2.1 - Disponibilità delle strutture per l'elaborazione delle informazioni
*
La vs. organizzazione:
ha redatto una policy per la gestione della business continuity e del Recovery disaster
ha redatto una policy per la gestione della business continuity e del Recovery disaster identificando un responsabile della procedura
ha redatto una policy per la gestione della business continuity e del Recovery disaster identificando un responsabile della procedura che identifica e realizza la ridondanza necessaria delle strutture di elaborazione dei dati
Nessuna delle precedenti è applicabile
A.18 - Conformità
A.18.1 - Conformità ai requisiti cogenti e contrattuali
A.18.1.1 - Identificazione della legislazione applicabile e dei requisiti contrattuali
*
La vs. organizzazione:
ha redatto una policy per la identificazione della legislazione applicabile all'organizzazione
ha redatto una policy per la identificazione della legislazione applicabile all'organizzazione identificando un responsabile per la valutazione della conformità
ha redatto una policy per la identificazione della legislazione applicabile all'organizzazione identificando un responsabile per la valutazione della conformità e dell'aggiornamento periodico della legislazione applicabile
Nessuna delle precedenti è applicabile
A.18.1.2 - Diritti di proprietà intellettuale
*
La vs. organizzazione:
ha redatto una policy per l'utilizzo di materiale e software sul quale ci possono essere diritti di proprietà intellettuale
ha redatto una policy per l'utilizzo di materiale e software sul quale ci possono essere diritti di proprietà intellettuale identificando un responsabile
ha redatto una policy per l'utilizzo di materiale e software sul quale ci possono essere diritti di proprietà intellettuale identificando un responsabile e verificando periodicamente il rispetto attraverso attività di audit
Nessuna delle precedenti è applicabile
A.18.1.3 - Protezione delle registrazioni
*
La vs. organizzazione:
ha redatto una policy per la gestione dei record una policy per l'utilizzo di materiale e software sul quale ci possono essere diritti di proprietà intellettuale
ha redatto una policy per la gestione dei record con l'obiettivo di proteggerle da perdita, distruzione, falsificazione, accesso non autorizzato e rilascio non autorizzato
ha redatto una policy per la gestione dei record con l'obiettivo di proteggerle da perdita, distruzione, falsificazione, accesso non autorizzato e rilascio non autorizzato formando tutto il personale aziendale
Nessuna delle precedenti è applicabile
A.18.1.4 - Privacy e protezione dei dati personali
*
La vs. organizzazione:
ha redatto una privacy policy
ha redatto una privacy policy redigendo la documentazione (Manuale, organigramma privacy, Registro dei trattamenti, valutazione di impatto, valutazione dei rischi che incombono sugli asset, nomine, ecc) per adempiere ai requisitivi Legislativi cogenti
ha redatto una privacy policy redigendo la documentazione (Manuale, organigramma privacy, Registro dei trattamenti, valutazione di impatto, valutazione dei rischi che incombono sugli asset, nomine, ecc) per adempiere ai requisitivi Legislativi cogenti formando tutto il personale incaricato del trattamento dei dati personali
Nessuna delle precedenti è applicabile
A.18.1.5 - Regolamentazione sui controlli crittografici
*
La vs. organizzazione:
ha redatto una policy per i controlli crittografici
ha redatto una policy per i controlli crittografici identificando un responsabile
ha redatto una policy per i controlli crittografici identificando un responsabile e applicandola ove richiesto dal piano di mitigazione dei rischi e/o in conformità agli accordi con i propri clienti
Nessuna delle precedenti è applicabile
A.18.2 - Riesame della sicurezza delle informazioni
A.18.2.1 - Riesame indipendente della sicurezza delle informazioni
*
La vs. organizzazione:
ha redatto una policy per il riesame della direzione per la sicurezza delle informazioni
ha redatto una policy per il riesame della direzione per la sicurezza delle informazioni coniderando come dati di input gli obiettivi di controllo, i controlli,le politiche, i processi e le procedure per la sicurezza delle informazioni
ha redatto una policy per il riesame della direzione per la sicurezza delle informazioni coniderando come dati di input gli obiettivi di controllo, i controlli,le politiche, i processi e le procedure per la sicurezza delle informazioni e come dati di output gli obiettivi, gli indicatori e le azioni per conseguire i risultati attesi, riesame da eseguirsi almeno una volta all'anno o in seguito ad incidenti informatici
Nessuna delle precedenti è applicabile
A.18.2.2 - Conformità alle politiche e alle norme per la sicurezza
*
La vs. organizzazione:
ha redatto una policy per il riesame della direzione per la sicurezza delle informazioni
ha redatto una policy per il riesame della direzione per la sicurezza delle informazioni verificando tutti processi di elaborazione dei dati aziendali
ha redatto una policy per il riesame della direzione per la sicurezza delle informazioni verificando tutti processi di elaborazione dei dati aziendali rispetto alle policy, norme e ogni requisito pertinente per la sicurezza delle informazioni
Nessuna delle precedenti è applicabile
A.18.2.3 - Verifica tecnica delle conformità
*
La vs. organizzazione:
ha redatto una policy per il riesame della direzione per la sicurezza delle informazioni
ha redatto una policy per il riesame della direzione per la sicurezza delle informazioni verificando tutti i sistemi informativi aziendali
ha redatto una policy per il riesame della direzione per la sicurezza delle informazioni verificando tutti i sistemi informativi aziendali rispetto alle policy, norme e ogni requisito pertinente per la sicurezza delle informazioni
Nessuna delle precedenti è applicabile
Trattamento dei dati personali
*
Ho preso visione e autorizzo il trattamento dei dati come descritto nella
informativa privacy
*
CAPTCHA
