Libreria controlli

Controlli

98 controlli caricati

V1 Visualizzatore controlli

Controlli master TrustTower con framework e documenti collegati.

Questa vista mostra la libreria orientata ai controlli già importata nel database: controlli normalizzati, mappature ai framework e documenti da redigere associati.

Controlli master98
Relazioni documenti279
Senza documenti0
MC-ASSET-001MA-ASSET · Asset & Information ManagementHighAsset, dati, classificazione, uso accettabile, trasferimento, registrazioni.

Inventario delle informazioni e degli asset associati

10 controlli framework collegati

  • ISO27001FW-ISO-A-5-9Inventario delle informazioni e degli asset associati
  • TISAX_ISA6FW-TISAX-TISAX-1-3-1Asset informativi identificati e registrati
  • TISAX_ISA6FW-TISAX-TISAX-1-3-2Asset classificati e gestiti secondo esigenze di protezione
  • TISAX_ISA6FW-TISAX-TISAX-1-3-4Uso solo di software valutato e approvato
  • TISAX_ISA6FW-TISAX-TISAX-3-1-1Zone di sicurezza per proteggere asset informativi
  • TISAX_ISA6FW-TISAX-TISAX-3-1-3Gestione degli asset di supporto
  • NIS2_ESSENZIALEFW-NIS-ID-AM-02Inventario di software, servizi e sistemi mantenuto
  • NIS2_ESSENZIALEFW-NIS-ID-AM-01Inventario hardware mantenuto
  • NIS2_ESSENZIALEFW-NIS-ID-AM-03Rappresentazioni delle comunicazioni di rete e dei flussi dati mantenute
  • NIS2_ESSENZIALEFW-NIS-GV-OC-04Servizi critici e sistemi informativi e di rete rilevanti compresi

Documenti pianificati

  • DOC-002 · Campo di applicazione SGSI / ISMS ScopeDocumento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 42 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 11 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 12 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 10 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 10 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 2 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici42
REQ-ATOM-ASSET-001-001highasset_management

L Organizzazione deve mantenere un inventario delle informazioni e degli asset collegati rilevanti per la sicurezza delle informazioni.

Verifica: È disponibile un inventario aggiornato delle informazioni e degli asset collegati?

Risposta: document_referenceEvidenza: inventario asset, CMDB, registro assetApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-9 · ISO27001 A.5.9 controllo
REQ-ATOM-ASSET-001-002highasset_management

Ogni informazione o asset collegato presente nell inventario deve avere un responsabile o owner assegnato.

Verifica: Per ogni asset inventariato è indicato un owner o responsabile?

Risposta: yes_noEvidenza: inventario asset con ownerApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-9 · ISO27001 A.5.9 controllo
REQ-ATOM-ASSET-001-003mediumreview

L inventario degli asset deve essere mantenuto aggiornato rispetto alle variazioni organizzative, tecniche e operative.

Verifica: L inventario degli asset viene aggiornato quando cambiano asset, sistemi o responsabilità?

Risposta: yes_noEvidenza: registro aggiornamenti inventario, procedura asset managementApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-9 · ISO27001 A.5.9 controllo
REQ-ATOM-ASSET-001-004highasset_management

L Organizzazione deve mantenere un elenco aggiornato dei sistemi informativi e di rete rilevanti.

Verifica: È mantenuto un elenco aggiornato dei sistemi informativi e di rete rilevanti?

Risposta: document_referenceEvidenza: registro sistemi informativi e di rete rilevantiApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-016 · Registro sistemi informativi e di rete rilevanti · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-OC-04 · NIS2 Allegato 2 GV.OC-04 punto 1
REQ-ATOM-ASSET-001-005highasset_management

L Organizzazione deve mantenere un inventario aggiornato degli apparati fisici che compongono i sistemi informativi e di rete.

Verifica: È disponibile un inventario aggiornato degli apparati fisici?

Risposta: document_referenceEvidenza: inventario hardwareApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-01 · NIS2 Allegato 2 ID.AM-01 punto 1
REQ-ATOM-ASSET-001-006mediumasset_management

L inventario hardware deve includere i dispositivi IT, IoT, OT e mobili che rientrano nei sistemi informativi e di rete.

Verifica: L inventario hardware include dispositivi IT, IoT, OT e mobili applicabili?

Risposta: yes_noEvidenza: inventario hardware con tipologia dispositivoApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-01 · NIS2 Allegato 2 ID.AM-01 punto 1
REQ-ATOM-ASSET-001-007mediumgovernance

Gli apparati fisici inclusi nell inventario devono essere approvati da attori interni autorizzati.

Verifica: Gli apparati fisici inventariati risultano approvati da soggetti interni autorizzati?

Risposta: yes_noEvidenza: workflow approvazione asset, registro asset approvatiApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-01 · NIS2 Allegato 2 ID.AM-01 punto 1
REQ-ATOM-ASSET-001-008highasset_management

L Organizzazione deve mantenere un inventario aggiornato di servizi, sistemi e applicazioni software.

Verifica: È disponibile un inventario aggiornato di servizi, sistemi e applicazioni software?

Risposta: document_referenceEvidenza: inventario software, sistemi e serviziApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-02 · NIS2 Allegato 2 ID.AM-02 punto 1
REQ-ATOM-ASSET-001-009mediumasset_management

L inventario deve includere applicazioni commerciali, open source e custom quando presenti.

Verifica: L inventario software distingue applicazioni commerciali, open source e custom?

Risposta: yes_noEvidenza: inventario software con tipologia applicazioneApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-02 · NIS2 Allegato 2 ID.AM-02 punto 1
REQ-ATOM-ASSET-001-010mediumasset_management

L inventario deve considerare anche le applicazioni accessibili tramite API quando applicabili.

Verifica: Le applicazioni o i servizi accessibili tramite API sono censiti?

Risposta: yes_noEvidenza: inventario API, catalogo integrazioniApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-02 · NIS2 Allegato 2 ID.AM-02 punto 1
REQ-ATOM-ASSET-001-011mediumgovernance

I servizi, sistemi e software censiti devono essere approvati da attori interni autorizzati.

Verifica: I servizi, sistemi e software censiti risultano approvati internamente?

Risposta: yes_noEvidenza: workflow approvazione software, registro approvazioniApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-02 · NIS2 Allegato 2 ID.AM-02 punto 1
REQ-ATOM-ASSET-001-012highasset_management

L Organizzazione deve mantenere un inventario aggiornato dei flussi di rete tra i propri sistemi informativi e di rete e l esterno.

Verifica: È mantenuto un inventario aggiornato dei flussi di rete interni-esterni?

Risposta: document_referenceEvidenza: inventario flussi di rete, diagrammi di reteApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-ID-AM-03 · NIS2 Allegato 2 ID.AM-03 punto 1
REQ-ATOM-ASSET-001-013mediumgovernance

I flussi di rete censiti devono essere autorizzati o approvati da attori interni competenti.

Verifica: I flussi di rete censiti risultano approvati da soggetti interni competenti?

Risposta: yes_noEvidenza: registro autorizzazioni flussi, change ticketApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-03 · NIS2 Allegato 2 ID.AM-03 punto 1
REQ-ATOM-ASSET-001-014highasset_management

Gli asset informativi rilevanti per la sicurezza devono essere identificati e registrati.

Verifica: Gli asset informativi rilevanti sono identificati e registrati?

Risposta: document_referenceEvidenza: catalogo asset informativiApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-1 · TISAX ISA6 1.3.1 1.3.1
REQ-ATOM-ASSET-001-015highasset_management

Per ogni asset informativo registrato deve essere assegnato un responsabile.

Verifica: Ogni asset informativo registrato ha un responsabile assegnato?

Risposta: yes_noEvidenza: catalogo asset informativi con ownerApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-020 · Registro asset informativi e owner · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-1 · TISAX ISA6 1.3.1 1.3.1
REQ-ATOM-ASSET-001-016highasset_management

Gli asset di supporto che trattano gli asset informativi devono essere identificati e registrati.

Verifica: Gli asset di supporto che trattano asset informativi sono identificati e registrati?

Risposta: yes_noEvidenza: inventario asset di supporto, CMDBApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-1 · TISAX ISA6 1.3.1 1.3.1
REQ-ATOM-ASSET-001-017mediumasset_management

Per ogni asset di supporto registrato deve essere assegnato un responsabile.

Verifica: Ogni asset di supporto ha un responsabile assegnato?

Risposta: yes_noEvidenza: inventario asset di supporto con ownerApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-1 · TISAX ISA6 1.3.1 1.3.1
REQ-ATOM-ASSET-001-018mediumasset_management

Il catalogo degli asset informativi rilevanti deve collegare ciascun asset informativo agli asset di supporto corrispondenti.

Verifica: Il catalogo collega gli asset informativi ai relativi asset di supporto?

Risposta: yes_noEvidenza: catalogo asset con relazioniApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-1 · TISAX ISA6 1.3.1 1.3.1
REQ-ATOM-ASSET-001-019mediumreview

Il catalogo degli asset deve essere riesaminato periodicamente.

Verifica: Il catalogo degli asset viene riesaminato periodicamente?

Risposta: yes_noEvidenza: registro review assetApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-1 · TISAX ISA6 1.3.1 1.3.1
REQ-ATOM-ASSET-001-020highdata_protection

Deve essere disponibile uno schema coerente per classificare gli asset informativi rispetto alla riservatezza.

Verifica: È disponibile uno schema di classificazione degli asset informativi per la riservatezza?

Risposta: document_referenceEvidenza: schema classificazione informazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2 1.3.2
REQ-ATOM-ASSET-001-021highdata_protectioncanonico

Gli asset informativi identificati devono essere valutati secondo criteri definiti e assegnati allo schema di classificazione.

REQ-CAN-EXACT-0034EXACT_NORMALIZED_TEXT · High

Gli asset informativi identificati devono essere valutati secondo criteri definiti e assegnati allo schema di classificazione.

Verifica: Gli asset informativi sono classificati secondo criteri definiti?

Risposta: yes_noEvidenza: registro asset classificatiApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2 1.3.2
REQ-ATOM-ASSET-001-022mediumprocess

Devono essere definite e applicate regole di gestione degli asset di supporto in base alla classificazione degli asset informativi.

Verifica: Le regole di gestione degli asset di supporto dipendono dalla classificazione delle informazioni trattate?

Risposta: yes_noEvidenza: procedura classificazione, procedura handling assetApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2 1.3.2
REQ-ATOM-ASSET-001-023mediumdata_protection

La classificazione deve considerare anche integrità e disponibilità oltre alla riservatezza.

Verifica: La classificazione considera riservatezza, integrità e disponibilità?

Risposta: yes_noEvidenza: schema classificazione, criteri CIAApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2 1.3.2
REQ-ATOM-ASSET-001-024hightechnical_controlcanonico

Il software deve essere approvato prima dell installazione o dell uso.

REQ-CAN-EXACT-0273EXACT_NORMALIZED_TEXT · High

Il software deve essere approvato prima dell installazione o dell uso.

Verifica: Il software viene approvato prima dell installazione o dell uso?

Risposta: yes_noEvidenza: catalogo software approvato, ticket approvazioneApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-ASSET-001-025mediumaccess_controlcanonico

L approvazione software deve considerare eventuali limitazioni per casi d uso o ruoli specifici.

REQ-CAN-EXACT-0030EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare eventuali limitazioni per casi d uso o ruoli specifici.

Verifica: Le approvazioni software indicano eventuali limiti di uso o ruolo?

Risposta: yes_noEvidenza: catalogo software approvato con scopeApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-002 · Campo di applicazione SGSI / ISMS Scope · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-ASSET-001-026highcompliancecanonico

L approvazione software deve considerare la conformità ai requisiti di sicurezza delle informazioni.

REQ-CAN-EXACT-0028EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare la conformità ai requisiti di sicurezza delle informazioni.

Verifica: La conformità ai requisiti di sicurezza è verificata prima di approvare il software?

Risposta: yes_noEvidenza: checklist approvazione softwareApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-ASSET-001-027mediumcompliancecanonico

L approvazione software deve considerare diritti d uso e licenze.

REQ-CAN-EXACT-0029EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare diritti d uso e licenze.

Verifica: Licenze e diritti d uso sono verificati prima dell approvazione software?

Risposta: yes_noEvidenza: registro licenze, checklist softwareApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-ASSET-001-028mediumsuppliercanonico

L approvazione software deve considerare origine e reputazione del software.

REQ-CAN-EXACT-0031EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare origine e reputazione del software.

Verifica: Origine e reputazione del software sono valutate prima dell approvazione?

Risposta: yes_noEvidenza: checklist valutazione software, registro fornitori softwareApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-ASSET-001-029hightechnical_controlcanonico

I repository del software gestito devono esistere ed essere protetti contro manipolazioni non autorizzate.

REQ-CAN-EXACT-0221EXACT_NORMALIZED_TEXT · High

I repository del software gestito devono esistere ed essere protetti contro manipolazioni non autorizzate.

Verifica: I repository software gestiti sono protetti contro manipolazioni non autorizzate?

Risposta: yes_noEvidenza: configurazioni repository, permessi accessoApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-ASSET-001-030mediumreviewcanonico

Le approvazioni software devono essere riesaminate regolarmente.

REQ-CAN-EXACT-0032EXACT_NORMALIZED_TEXT · High

Le approvazioni software devono essere riesaminate regolarmente.

Verifica: Le approvazioni software vengono riesaminate regolarmente?

Risposta: yes_noEvidenza: registro review software approvatoApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTINGDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-ASSET-001-031highasset_managementcanonico

Versioni e patch level del software gestito devono essere conosciuti.

REQ-CAN-EXACT-0305EXACT_NORMALIZED_TEXT · High

Versioni e patch level del software gestito devono essere conosciuti.

Verifica: Versioni e patch level del software gestito sono noti?

Risposta: yes_noEvidenza: inventario software, vulnerability scannerApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-011 · Processo di controllo documentale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-ASSET-001-032highphysical_security

Deve essere definito un concetto di zone di sicurezza con misure fisiche coerenti con i requisiti degli asset informativi trattati.

Verifica: È definito un concetto di zone di sicurezza basato sui requisiti degli asset informativi?

Risposta: document_referenceEvidenza: piano zone di sicurezza, procedura sicurezza fisicaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1 3.1.1
REQ-ATOM-ASSET-001-033mediumphysical_security

La definizione delle zone di sicurezza deve considerare condizioni fisiche come locali, edifici e spazi.

Verifica: Le zone di sicurezza considerano locali, edifici e spazi fisici?

Risposta: yes_noEvidenza: mappa zone sicurezzaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1 3.1.1
REQ-ATOM-ASSET-001-034mediumphysical_security

La definizione delle zone di sicurezza deve includere aree di consegna e spedizione quando applicabili.

Verifica: Le aree di consegna e spedizione sono considerate nelle zone di sicurezza applicabili?

Risposta: yes_noEvidenza: mappa zone sicurezza, procedura logisticaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1 3.1.1
REQ-ATOM-ASSET-001-035highphysical_security

Le misure protettive previste per le zone di sicurezza devono essere implementate.

Verifica: Le misure protettive delle zone di sicurezza sono implementate?

Risposta: yes_noEvidenza: controlli fisici, access list, foto/sopralluogoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1 3.1.1
REQ-ATOM-ASSET-001-036mediumtraining

Il codice di comportamento per le zone di sicurezza deve essere conosciuto dalle persone coinvolte.

Verifica: Le persone coinvolte conoscono le regole di comportamento nelle zone di sicurezza?

Risposta: yes_noEvidenza: istruzioni sicurezza fisica, registro formazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1 3.1.1
REQ-ATOM-ASSET-001-037highaccess_control

Devono essere stabilite procedure per assegnazione e revoca dei diritti di accesso fisico.

Verifica: Sono definite procedure per assegnare e revocare accessi fisici alle zone?

Risposta: document_referenceEvidenza: procedura accessi fisici, registro badgeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1 3.1.1
REQ-ATOM-ASSET-001-038mediumphysical_security

Devono essere definite politiche di gestione visitatori, inclusi registrazione e accompagnamento.

Verifica: Sono definite politiche per registrazione e accompagnamento dei visitatori?

Risposta: document_referenceEvidenza: procedura visitatori, registro visitatoriApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1 3.1.1
REQ-ATOM-ASSET-001-039highphysical_security

Componenti di rete e infrastruttura devono essere protetti da accesso non autorizzato.

Verifica: Componenti di rete e infrastruttura sono protetti da accesso fisico non autorizzato?

Risposta: yes_noEvidenza: sopralluogo, foto rack, policy accesso locali tecniciApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1 3.1.1
REQ-ATOM-ASSET-001-040mediumasset_managementcanonico

Devono essere determinati e rispettati i requisiti per la gestione degli asset di supporto durante il loro ciclo di vita.

REQ-CAN-EXACT-0085EXACT_NORMALIZED_TEXT · High

Devono essere determinati e rispettati i requisiti per la gestione degli asset di supporto durante il loro ciclo di vita.

Verifica: Sono definiti e rispettati requisiti per la gestione degli asset di supporto?

Risposta: document_referenceEvidenza: procedura gestione asset di supportoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3 3.1.3
REQ-ATOM-ASSET-001-041mediumasset_managementcanonico

I requisiti di gestione degli asset di supporto devono coprire trasporto, conservazione, riparazione, perdita, restituzione e dismissione quando applicabili.

REQ-CAN-EXACT-0226EXACT_NORMALIZED_TEXT · High

I requisiti di gestione degli asset di supporto devono coprire trasporto, conservazione, riparazione, perdita, restituzione e dismissione quando applicabili.

Verifica: La procedura copre trasporto, conservazione, riparazione, perdita, restituzione e dismissione degli asset di supporto?

Risposta: yes_noEvidenza: procedura gestione asset, registro assetApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3 3.1.3
REQ-ATOM-ASSET-001-042mediumdata_protectioncanonico

Gli asset di supporto devono essere protetti durante uso e dismissione.

REQ-CAN-EXACT-0035EXACT_NORMALIZED_TEXT · High

Gli asset di supporto devono essere protetti durante uso e dismissione.

Verifica: Gli asset di supporto sono protetti durante uso e dismissione?

Risposta: yes_noEvidenza: procedura dismissione, evidenze wiping/distruzioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3 3.1.3
MC-ASSET-002MA-ASSET · Asset & Information ManagementHighAsset, dati, classificazione, uso accettabile, trasferimento, registrazioni.

Protezione dei record e delle evidenze documentate

1 controlli framework collegati

  • ISO27001FW-ISO-A-5-33Protezione delle registrazioni

Documenti pianificati

  • DOC-011 · Processo di controllo documentaleProcedura · 3 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-012 · Registro documenti ufficialiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-049 · Procedura backup e restoreProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici4
REQ-ATOM-ASSET-002-001highdata_protection

I record e le evidenze documentate rilevanti devono essere protetti dalla perdita e dalla distruzione non autorizzata.

Verifica: Le registrazioni sono protette da perdita o distruzione non autorizzata?

Risposta: yes_noEvidenza: procedura controllo documentale, registro documenti, backup evidenze documentateApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-011 · Processo di controllo documentale · primario · OK_PRIMARY_PRESENTDOC-012 · Registro documenti ufficiali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-33 · ISO27001 A.5.33 controllo
REQ-ATOM-ASSET-002-002highdata_protection

I record e le evidenze documentate rilevanti devono essere protetti da falsificazione o alterazione impropria.

Verifica: Sono presenti misure per prevenire alterazioni improprie delle registrazioni?

Risposta: yes_noEvidenza: controlli accesso, versioning documentale, tracciamento modificheApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-011 · Processo di controllo documentale · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-33 · ISO27001 A.5.33 controllo
REQ-ATOM-ASSET-002-003highaccess_control

L accesso ai record e alle evidenze documentate deve essere limitato ai soggetti autorizzati.

Verifica: L accesso alle registrazioni è consentito solo a soggetti autorizzati?

Risposta: yes_noEvidenza: matrice permessi, export ACL, registro autorizzazioniApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-33 · ISO27001 A.5.33 controllo
REQ-ATOM-ASSET-002-004mediumprocess

Il rilascio o la diffusione dei record e delle evidenze documentate deve essere controllato.

Verifica: Esistono regole per il rilascio o la diffusione controllata delle registrazioni?

Risposta: yes_noEvidenza: procedura controllo documentale, autorizzazioni pubblicazione, registro distribuzioneApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-011 · Processo di controllo documentale · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-33 · ISO27001 A.5.33 controllo
MC-BCM-001MA-BCM · Continuity & ResilienceHighBusiness continuity, disaster recovery, backup, ridondanza e resilienza ICT.

Sicurezza delle informazioni durante le interruzioni

2 controlli framework collegati

  • ISO27001FW-ISO-A-5-29Sicurezza delle informazioni durante le interruzioni
  • TISAX_ISA6FW-TISAX-TISAX-1-6-3Preparazione alla gestione delle crisi

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-047 · Business Continuity PlanPiano · 2 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-051 · Piano gestione crisi cyberPiano · 13 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici14
REQ-ATOM-BCM-001-001highcontinuity

L Organizzazione deve pianificare come mantenere un livello adeguato di sicurezza delle informazioni durante interruzioni operative.

Verifica: È disponibile un piano per mantenere la sicurezza delle informazioni durante interruzioni operative?

Risposta: document_referenceEvidenza: BCP, piano crisi, procedure di continuitàApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-29 · ISO27001 A.5.29 controllo
REQ-ATOM-BCM-001-002mediumcontinuity

Le misure di sicurezza previste per le interruzioni devono essere coerenti con il livello di sicurezza richiesto dall Organizzazione.

Verifica: Le misure di sicurezza durante le interruzioni sono coerenti con i requisiti di sicurezza dell Organizzazione?

Risposta: yes_noEvidenza: BCP, analisi rischio, BIAApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-29 · ISO27001 A.5.29 controllo
REQ-ATOM-BCM-001-003highcontinuitycanonico

Deve esistere una pianificazione adeguata per reagire e recuperare da situazioni di crisi.

REQ-CAN-EXACT-0114EXACT_NORMALIZED_TEXT · High

Deve esistere una pianificazione adeguata per reagire e recuperare da situazioni di crisi.

Verifica: È disponibile una pianificazione per reagire e recuperare da crisi?

Risposta: document_referenceEvidenza: piano gestione crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-004highcontinuitycanonico

Le risorse necessarie alla gestione della crisi devono essere disponibili.

REQ-CAN-EXACT-0245EXACT_NORMALIZED_TEXT · High

Le risorse necessarie alla gestione della crisi devono essere disponibili.

Verifica: Le risorse necessarie per gestire la crisi sono identificate e disponibili?

Risposta: yes_noEvidenza: piano crisi, inventario risorse crisiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-051 · Piano gestione crisi cyber · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-005highgovernancecanonico

Responsabilità e autorità per la gestione della crisi devono essere definite, documentate e assegnate.

REQ-CAN-EXACT-0239EXACT_NORMALIZED_TEXT · High

Responsabilità e autorità per la gestione della crisi devono essere definite, documentate e assegnate.

Verifica: Responsabilità e autorità di crisis management sono definite, documentate e assegnate?

Risposta: yes_noEvidenza: piano crisi, RACI crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-006mediumtrainingcanonico

I dipendenti responsabili della gestione crisi devono essere identificati e qualificati per il proprio compito.

REQ-CAN-EXACT-0091EXACT_NORMALIZED_TEXT · High

I dipendenti responsabili della gestione crisi devono essere identificati e qualificati per il proprio compito.

Verifica: Le persone responsabili della crisi sono identificate e qualificate?

Risposta: yes_noEvidenza: nomine, registro formazione crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · primario · OK_PRIMARY_PRESENTDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-007mediummonitoringcanonico

Devono essere stabiliti metodi per rilevare situazioni di crisi.

REQ-CAN-EXACT-0281EXACT_NORMALIZED_TEXT · High

Devono essere stabiliti metodi per rilevare situazioni di crisi.

Verifica: Sono definiti metodi per rilevare situazioni di crisi?

Risposta: yes_noEvidenza: procedura escalation crisi, criteri attivazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-051 · Piano gestione crisi cyber · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-008highprocesscanonico

Devono essere presenti procedure per invocare o scalare la gestione della crisi.

REQ-CAN-EXACT-0207EXACT_NORMALIZED_TEXT · High

Devono essere presenti procedure per invocare o scalare la gestione della crisi.

Verifica: Esiste una procedura di attivazione o escalation della gestione crisi?

Risposta: document_referenceEvidenza: procedura escalation crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-009mediumgovernancecanonico

Obiettivi strategici e priorità in crisi devono essere definiti e noti al personale pertinente.

REQ-CAN-EXACT-0169EXACT_NORMALIZED_TEXT · High

Obiettivi strategici e priorità in crisi devono essere definiti e noti al personale pertinente.

Verifica: Obiettivi e priorità in crisi sono definiti e noti al personale pertinente?

Risposta: yes_noEvidenza: piano crisi, comunicazione internaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-010highgovernancecanonico

Il team di gestione crisi deve essere definito e approvato.

REQ-CAN-EXACT-0286EXACT_NORMALIZED_TEXT · High

Il team di gestione crisi deve essere definito e approvato.

Verifica: Il team di gestione crisi è definito e approvato?

Risposta: yes_noEvidenza: nomina team crisi, verbale approvazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-011highpolicycanonico

Politiche e procedure di crisi devono essere definite e approvate.

REQ-CAN-EXACT-0203EXACT_NORMALIZED_TEXT · High

Politiche e procedure di crisi devono essere definite e approvate.

Verifica: Le politiche e procedure di crisi sono definite e approvate?

Risposta: document_referenceEvidenza: piano crisi approvatoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-012mediumcontinuitycanonico

Devono essere identificati scenari di crisi rilevanti.

REQ-CAN-EXACT-0133EXACT_NORMALIZED_TEXT · High

Devono essere identificati scenari di crisi rilevanti.

Verifica: Sono identificati scenari di crisi rilevanti?

Risposta: yes_noEvidenza: scenario analysis, piano crisiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-051 · Piano gestione crisi cyber · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-013mediumcontinuitycanonico

Deve esistere una strategia di comunicazione per le situazioni di crisi.

REQ-CAN-EXACT-0117EXACT_NORMALIZED_TEXT · High

Deve esistere una strategia di comunicazione per le situazioni di crisi.

Verifica: È definita una strategia di comunicazione per crisi?

Risposta: document_referenceEvidenza: piano comunicazione crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-001-014mediumcontinuitycanonico

Devono essere svolte esercitazioni o simulazioni di crisi con le persone rilevanti.

REQ-CAN-EXACT-0285EXACT_NORMALIZED_TEXT · High

Devono essere svolte esercitazioni o simulazioni di crisi con le persone rilevanti.

Verifica: Sono condotte esercitazioni o simulazioni di crisi con le persone rilevanti?

Risposta: yes_noEvidenza: report esercitazione crisi, lessons learnedApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
MC-BCM-002MA-BCM · Continuity & ResilienceHighBusiness continuity, disaster recovery, backup, ridondanza e resilienza ICT.

Prontezza ICT per la continuità operativa

8 controlli framework collegati

  • ISO27001FW-ISO-A-5-30Prontezza ICT per la continuità operativa
  • TISAX_ISA6FW-TISAX-TISAX-5-2-8Pianificazione continuità servizi IT
  • TISAX_ISA6FW-TISAX-TISAX-5-2-9Backup e recovery dati/servizi IT
  • NIS2_ESSENZIALEFW-NIS-PR-DS-11Backup creati, protetti, mantenuti e testati
  • NIS2_ESSENZIALEFW-NIS-PR-IR-03Meccanismi di resilienza implementati per situazioni avverse
  • NIS2_ESSENZIALEFW-NIS-RC-CO-03Avanzamento del ripristino comunicato
  • NIS2_ESSENZIALEFW-NIS-ID-IM-04Piani incidenti e cybersecurity migliorati e mantenuti
  • NIS2_ESSENZIALEFW-NIS-RC-RP-01Parte di ripristino del piano incidenti eseguita

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 4 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 12 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 5 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 4 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-047 · Business Continuity PlanPiano · 46 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-048 · Disaster Recovery PlanPiano · 4 requirement · primario, di supporto · OK_PRIMARY_PRESENT, WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Low, Medium
  • DOC-049 · Procedura backup e restoreProcedura · 16 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-051 · Piano gestione crisi cyberPiano · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 4 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici46
REQ-ATOM-BCM-002-001highcontinuity

La prontezza ICT per la continuità operativa deve essere pianificata sulla base degli obiettivi di continuità e dei requisiti ICT.

Verifica: La continuità ICT è pianificata in base a obiettivi e requisiti di continuità definiti?

Risposta: yes_noEvidenza: piano ICT continuity, BIA, requisiti RTO/RPOApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-30 · ISO27001 A.5.30 controllo
REQ-ATOM-BCM-002-002highcontinuity

Le misure di prontezza ICT devono essere attuate secondo quanto pianificato.

Verifica: Le misure di continuità ICT pianificate sono attuate?

Risposta: yes_noEvidenza: configurazioni ridondanza, backup, procedure operativeApplicabilità: iso_onlyAutomazione: backup_system
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-30 · ISO27001 A.5.30 controllo
REQ-ATOM-BCM-002-003mediumreview

La prontezza ICT deve essere mantenuta nel tempo.

Verifica: La prontezza ICT viene mantenuta e aggiornata nel tempo?

Risposta: yes_noEvidenza: registro revisioni, piano aggiornato, verbali reviewApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-30 · ISO27001 A.5.30 controllo
REQ-ATOM-BCM-002-004highcontinuity

La prontezza ICT deve essere testata rispetto agli obiettivi di continuità.

Verifica: Sono eseguiti test periodici della continuità ICT?

Risposta: yes_noEvidenza: test DR, test restore, report esercitazioniApplicabilità: iso_onlyAutomazione: backup_system
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-30 · ISO27001 A.5.30 controllo
REQ-ATOM-BCM-002-005highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa.

REQ-CAN-EXACT-0264EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa.

Verifica: È presente un piano di continuità operativa definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: Business Continuity PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1
REQ-ATOM-BCM-002-006highcontinuitycanonico

Il piano di continuità operativa deve indicare finalità, esigenze di continuità e ambito di applicazione.

REQ-CAN-EXACT-0186EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare finalità, esigenze di continuità e ambito di applicazione.

Verifica: Il piano di continuità indica finalità, esigenze e ambito?

Risposta: yes_noEvidenza: Business Continuity PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.a
REQ-ATOM-BCM-002-007highcontinuitycanonico

Il piano di continuità operativa deve definire ruoli e responsabilità.

REQ-CAN-EXACT-0184EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve definire ruoli e responsabilità.

Verifica: Il piano di continuità definisce ruoli e responsabilità?

Risposta: yes_noEvidenza: Business Continuity Plan, RACIApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.b
REQ-ATOM-BCM-002-008mediumcontinuitycanonico

Il piano di continuità operativa deve indicare contatti principali e canali di comunicazione interni ed esterni.

REQ-CAN-EXACT-0185EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare contatti principali e canali di comunicazione interni ed esterni.

Verifica: Il piano di continuità contiene contatti e canali di comunicazione interni ed esterni?

Risposta: yes_noEvidenza: Business Continuity Plan, rubrica emergenzaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.c
REQ-ATOM-BCM-002-009mediumcontinuitycanonico

Il piano di continuità operativa deve definire le condizioni di attivazione e disattivazione.

REQ-CAN-EXACT-0183EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve definire le condizioni di attivazione e disattivazione.

Verifica: Il piano di continuità definisce quando attivarlo e disattivarlo?

Risposta: yes_noEvidenza: Business Continuity PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.d
REQ-ATOM-BCM-002-010highcontinuitycanonico

Il piano di continuità operativa deve indicare le risorse necessarie, inclusi backup e ridondanze.

REQ-CAN-EXACT-0187EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare le risorse necessarie, inclusi backup e ridondanze.

Verifica: Il piano di continuità indica risorse, backup e ridondanze necessarie?

Risposta: yes_noEvidenza: Business Continuity Plan, inventario risorse criticheApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.e
REQ-ATOM-BCM-002-011highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di disaster recovery.

REQ-CAN-EXACT-0265EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di disaster recovery.

Verifica: È presente un piano di disaster recovery definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: Disaster Recovery PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-016 · Registro sistemi informativi e di rete rilevanti · evidenza · OK_EVIDENCE_OR_REGISTERDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2
REQ-ATOM-BCM-002-012highcontinuitycanonico

Il piano di disaster recovery deve definire l ordine di ripristino delle operazioni.

REQ-CAN-EXACT-0188EXACT_NORMALIZED_TEXT · High

Il piano di disaster recovery deve definire l ordine di ripristino delle operazioni.

Verifica: Il piano DR definisce l ordine di ripristino delle operazioni?

Risposta: yes_noEvidenza: Disaster Recovery PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.f
REQ-ATOM-BCM-002-013highcontinuitycanonico

Il piano di disaster recovery deve includere procedure di ripristino per operazioni specifiche e relativi obiettivi di ripristino.

REQ-CAN-EXACT-0189EXACT_NORMALIZED_TEXT · High

Il piano di disaster recovery deve includere procedure di ripristino per operazioni specifiche e relativi obiettivi di ripristino.

Verifica: Il piano DR include procedure e obiettivi di ripristino per operazioni specifiche?

Risposta: yes_noEvidenza: Disaster Recovery Plan, RTO/RPOApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.g
REQ-ATOM-BCM-002-014highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di gestione delle crisi informatiche.

REQ-CAN-EXACT-0266EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di gestione delle crisi informatiche.

Verifica: È presente un piano di gestione delle crisi informatiche definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano gestione crisi cyberApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3
REQ-ATOM-BCM-002-015highcontinuitycanonico

Il piano di gestione delle crisi informatiche deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

REQ-CAN-EXACT-0191EXACT_NORMALIZED_TEXT · High

Il piano di gestione delle crisi informatiche deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

Verifica: Il piano crisi definisce ruoli e responsabilità di personale e fornitori applicabili?

Risposta: yes_noEvidenza: piano gestione crisi cyber, RACI crisiApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3.a
REQ-ATOM-BCM-002-016mediumcontinuitycanonico

Il piano di gestione delle crisi informatiche deve definire le modalità di comunicazione con soggetti e autorità competenti.

REQ-CAN-EXACT-0190EXACT_NORMALIZED_TEXT · High

Il piano di gestione delle crisi informatiche deve definire le modalità di comunicazione con soggetti e autorità competenti.

Verifica: Il piano crisi definisce le modalità di comunicazione con soggetti e autorità competenti?

Risposta: yes_noEvidenza: piano gestione crisi cyber, procedura comunicazione crisiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3.b
REQ-ATOM-BCM-002-017highgovernancecanonico

I piani di continuità, disaster recovery e gestione crisi devono essere approvati dagli organi di amministrazione e direttivi.

REQ-CAN-EXACT-0179EXACT_NORMALIZED_TEXT · High

I piani di continuità, disaster recovery e gestione crisi devono essere approvati dagli organi di amministrazione e direttivi.

Verifica: I piani BCM, DR e crisi sono approvati dagli organi competenti?

Risposta: yes_noEvidenza: verbale approvazione, frontespizio approvatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 4
REQ-ATOM-BCM-002-018highreviewcanonico

I piani di continuità, disaster recovery e gestione crisi devono essere riesaminati e aggiornati almeno ogni due anni o a seguito di eventi rilevanti.

REQ-CAN-EXACT-0180EXACT_NORMALIZED_TEXT · High

I piani di continuità, disaster recovery e gestione crisi devono essere riesaminati e aggiornati almeno ogni due anni o a seguito di eventi rilevanti.

Verifica: I piani BCM, DR e crisi sono riesaminati almeno ogni due anni o dopo eventi rilevanti?

Risposta: yes_noEvidenza: registro riesami, versioni documenti, verbali reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · OK_SUPPORTINGDOC-011 · Processo di controllo documentale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 5
REQ-ATOM-BCM-002-019highcontinuitycanonico

I backup di dati e configurazioni devono essere eseguiti periodicamente in coerenza con esigenze di continuità e disaster recovery.

REQ-CAN-EXACT-0044EXACT_NORMALIZED_TEXT · High

I backup di dati e configurazioni devono essere eseguiti periodicamente in coerenza con esigenze di continuità e disaster recovery.

Verifica: I backup di dati e configurazioni sono eseguiti periodicamente secondo le esigenze BCM/DR?

Risposta: yes_noEvidenza: report backup, policy backup, BCP/DRPApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 1
REQ-ATOM-BCM-002-020highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti devono essere conservate anche copie di backup offline.

REQ-CAN-EXACT-0262EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere conservate anche copie di backup offline.

Verifica: Per i sistemi rilevanti sono conservate copie di backup offline?

Risposta: yes_noEvidenza: configurazione backup offline, report backupApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 1
REQ-ATOM-BCM-002-021highprocesscanonico

Devono essere adottate e documentate procedure per l esecuzione periodica dei backup.

REQ-CAN-EXACT-0008EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per l esecuzione periodica dei backup.

Verifica: Esistono procedure documentate per l esecuzione periodica dei backup?

Risposta: document_referenceEvidenza: procedura backupApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 2
REQ-ATOM-BCM-002-022highdata_protectioncanonico

Per i sistemi informativi e di rete rilevanti deve essere assicurata la riservatezza e integrità dei backup tramite protezione fisica o cifratura.

REQ-CAN-EXACT-0261EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere assicurata la riservatezza e integrità dei backup tramite protezione fisica o cifratura.

Verifica: I backup rilevanti sono protetti fisicamente o cifrati per riservatezza e integrità?

Risposta: yes_noEvidenza: configurazione cifratura, procedura conservazione supportiApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 3
REQ-ATOM-BCM-002-023highcontinuitycanonico

L utilizzabilità dei backup dei sistemi rilevanti deve essere verificata periodicamente mediante test di ripristino.

REQ-CAN-EXACT-0300EXACT_NORMALIZED_TEXT · High

L utilizzabilità dei backup dei sistemi rilevanti deve essere verificata periodicamente mediante test di ripristino.

Verifica: L utilizzabilità dei backup viene verificata periodicamente con test di ripristino?

Risposta: yes_noEvidenza: registro test restore, report DR testApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 4
REQ-ATOM-BCM-002-024mediumprocesscanonico

Le procedure devono documentare anche protezione dei backup e test di ripristino.

REQ-CAN-EXACT-0212EXACT_NORMALIZED_TEXT · High

Le procedure devono documentare anche protezione dei backup e test di ripristino.

Verifica: Le procedure descrivono protezione dei backup e test di ripristino?

Risposta: document_referenceEvidenza: procedura backup e restoreApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 5
REQ-ATOM-BCM-002-025mediumcontinuitycanonico

In base alla valutazione del rischio devono essere utilizzati sistemi di comunicazione di emergenza protetti.

REQ-CAN-EXACT-0047EXACT_NORMALIZED_TEXT · High

In base alla valutazione del rischio devono essere utilizzati sistemi di comunicazione di emergenza protetti.

Verifica: Sono disponibili sistemi di comunicazione di emergenza protetti coerenti con la valutazione del rischio?

Risposta: yes_noEvidenza: piano crisi, elenco canali emergenza, analisi rischioApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-03 · NIS2 Allegato 2 PR.IR-03 punto 1
REQ-ATOM-BCM-002-026mediumprocesscanonico

Devono essere adottate e documentate procedure per l uso dei sistemi di comunicazione di emergenza protetti.

REQ-CAN-EXACT-0019EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per l uso dei sistemi di comunicazione di emergenza protetti.

Verifica: Esistono procedure documentate per l uso dei sistemi di comunicazione di emergenza protetti?

Risposta: document_referenceEvidenza: procedura comunicazioni emergenza, piano crisiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-03 · NIS2 Allegato 2 PR.IR-03 punto 2
REQ-ATOM-BCM-002-027mediumincident

Devono essere adottate e documentate procedure per comunicare alle parti interne interessate le attività di ripristino dopo un incidente.

Verifica: Sono presenti procedure documentate per comunicare internamente le attività di ripristino dopo incidente?

Risposta: document_referenceEvidenza: procedura comunicazione ripristino, piano incidentiApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RC-CO-03 · NIS2 Allegato 2 RC.CO-03 punto 1
REQ-ATOM-BCM-002-028highincidentcanonico

Nel piano di gestione incidenti devono essere adottate e documentate procedure di ripristino del normale funzionamento dei sistemi coinvolti da incidenti.

REQ-CAN-EXACT-0161EXACT_NORMALIZED_TEXT · High

Nel piano di gestione incidenti devono essere adottate e documentate procedure di ripristino del normale funzionamento dei sistemi coinvolti da incidenti.

Verifica: Il piano incidenti contiene procedure documentate per ripristinare il normale funzionamento dei sistemi coinvolti?

Risposta: document_referenceEvidenza: piano incident response, procedure ripristinoApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RC-RP-01 · NIS2 Allegato 2 RC.RP-01 punto 1
REQ-ATOM-BCM-002-029highcontinuity

I servizi IT critici devono essere identificati considerando il business impact.

Verifica: I servizi IT critici sono identificati considerando l impatto sul business?

Risposta: yes_noEvidenza: BIA, catalogo servizi criticiApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-066 · Business Impact Analysis — BIA · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-8 · TISAX ISA6 5.2.8 5.2.8
REQ-ATOM-BCM-002-030highcontinuity

Requisiti e responsabilità per continuità e recovery dei servizi IT critici devono essere noti agli stakeholder rilevanti.

Verifica: Requisiti e responsabilità di continuità/recovery sono noti agli stakeholder?

Risposta: yes_noEvidenza: piano continuità IT, RACIApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-004 · Parti interessate e requisiti applicabili · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-8 · TISAX ISA6 5.2.8 5.2.8
REQ-ATOM-BCM-002-031highasset_management

I sistemi IT critici devono essere identificati e classificati rispetto al bisogno di protezione.

Verifica: I sistemi IT critici sono identificati e classificati per bisogno di protezione?

Risposta: yes_noEvidenza: catalogo sistemi critici, classificazione assetApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-8 · TISAX ISA6 5.2.8 5.2.8
REQ-ATOM-BCM-002-032mediumcontinuity

La continuità IT deve considerare scenari come DDoS, ransomware, sabotaggio, guasto di sistema e disastro naturale.

Verifica: La continuità IT considera DDoS, ransomware, sabotaggio, guasti e disastri naturali?

Risposta: yes_noEvidenza: piano continuità IT, scenario analysisApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-8 · TISAX ISA6 5.2.8 5.2.8
REQ-ATOM-BCM-002-033highcontinuity

La continuità IT deve considerare strategie alternative per comunicazione, storage, alimentazione e rete.

Verifica: Il piano IT prevede alternative per comunicazione, storage, alimentazione e rete?

Risposta: yes_noEvidenza: piano continuità IT, architettura resilienzaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-8 · TISAX ISA6 5.2.8 5.2.8
REQ-ATOM-BCM-002-034mediumreview

La pianificazione della continuità IT deve essere riesaminata e aggiornata regolarmente.

Verifica: Il piano di continuità IT viene riesaminato e aggiornato regolarmente?

Risposta: yes_noEvidenza: registro review piano IT continuityApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-8 · TISAX ISA6 5.2.8 5.2.8
REQ-ATOM-BCM-002-035mediumcontinuity

La continuità IT deve includere tempi predefiniti di ripresa coerenti con i requisiti.

Verifica: Sono definiti tempi di ripresa coerenti con i requisiti?

Risposta: yes_noEvidenza: RTO, BIA, piano continuità ITApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-8 · TISAX ISA6 5.2.8 5.2.8
REQ-ATOM-BCM-002-036highcontinuity

La continuità IT deve essere testata, includendo recovery completo quando applicabile e documentando lezioni apprese.

Verifica: I test di continuità IT sono svolti e documentati con lezioni apprese?

Risposta: yes_noEvidenza: report test continuità, lessons learnedApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-8 · TISAX ISA6 5.2.8 5.2.8
REQ-ATOM-BCM-002-037highcontinuitycanonico

Devono esistere concetti di backup per i sistemi IT rilevanti.

REQ-CAN-EXACT-0112EXACT_NORMALIZED_TEXT · High

Devono esistere concetti di backup per i sistemi IT rilevanti.

Verifica: Esistono concetti di backup per i sistemi IT rilevanti?

Risposta: document_referenceEvidenza: backup concept, policy backupApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-002-038highdata_protectioncanonico

I concetti di backup devono considerare misure per proteggere riservatezza, integrità e disponibilità dei backup.

REQ-CAN-EXACT-0051EXACT_NORMALIZED_TEXT · High

I concetti di backup devono considerare misure per proteggere riservatezza, integrità e disponibilità dei backup.

Verifica: I backup sono protetti per riservatezza, integrità e disponibilità?

Risposta: yes_noEvidenza: configurazione backup, cifratura, controlli accessoApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-002-039highcontinuitycanonico

Devono esistere concetti di recovery per i servizi IT rilevanti.

REQ-CAN-EXACT-0113EXACT_NORMALIZED_TEXT · High

Devono esistere concetti di recovery per i servizi IT rilevanti.

Verifica: Esistono concetti di recovery per i servizi IT rilevanti?

Risposta: document_referenceEvidenza: recovery concept, DRPApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-002-040highcontinuitycanonico

Per ogni servizio IT rilevante deve esistere un concetto di backup e recovery.

REQ-CAN-EXACT-0171EXACT_NORMALIZED_TEXT · High

Per ogni servizio IT rilevante deve esistere un concetto di backup e recovery.

Verifica: Ogni servizio IT rilevante ha un concetto di backup e recovery?

Risposta: yes_noEvidenza: matrice servizi-backup-recoveryApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-002-041highcontinuitycanonico

Dipendenze tra servizi IT e sequenza di recovery devono essere considerate.

REQ-CAN-EXACT-0093EXACT_NORMALIZED_TEXT · High

Dipendenze tra servizi IT e sequenza di recovery devono essere considerate.

Verifica: Le dipendenze tra servizi e la sequenza di recovery sono considerate?

Risposta: yes_noEvidenza: DRP, mappa dipendenze serviziApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-002-042mediumreviewcanonico

I concetti di backup e recovery devono essere riesaminati regolarmente con metodo definito.

REQ-CAN-EXACT-0053EXACT_NORMALIZED_TEXT · High

I concetti di backup e recovery devono essere riesaminati regolarmente con metodo definito.

Verifica: I concetti di backup e recovery sono riesaminati regolarmente?

Risposta: yes_noEvidenza: registro review backup/recoveryApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-002-043highcontinuitycanonico

La capacità generale di restore deve essere considerata e testata.

REQ-CAN-EXACT-0048EXACT_NORMALIZED_TEXT · High

La capacità generale di restore deve essere considerata e testata.

Verifica: La capacità di restore viene testata?

Risposta: yes_noEvidenza: registro test restoreApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-002-044highcontinuitycanonico

I concetti di backup e recovery devono considerare RPO e RTO.

REQ-CAN-EXACT-0052EXACT_NORMALIZED_TEXT · High

I concetti di backup e recovery devono considerare RPO e RTO.

Verifica: RPO e RTO sono considerati nei concetti di backup e recovery?

Risposta: yes_noEvidenza: BIA, DRP, matrice RPO/RTOApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-002-045hightechnical_controlcanonico

I backup devono essere protetti da modifica o cancellazione non autorizzata tramite offline, immutabilità o isolamento equivalente quando applicabile.

REQ-CAN-EXACT-0045EXACT_NORMALIZED_TEXT · High

I backup devono essere protetti da modifica o cancellazione non autorizzata tramite offline, immutabilità o isolamento equivalente quando applicabile.

Verifica: I backup sono protetti da modifica o cancellazione non autorizzata?

Risposta: yes_noEvidenza: immutability settings, backup offline, isolamento IAMApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-002-046highcontinuitycanonico

Le procedure di restore devono essere testate tecnicamente e metodicamente a intervalli regolari.

REQ-CAN-EXACT-0213EXACT_NORMALIZED_TEXT · High

Le procedure di restore devono essere testate tecnicamente e metodicamente a intervalli regolari.

Verifica: Le procedure di restore sono testate tecnicamente e metodicamente a intervalli regolari?

Risposta: yes_noEvidenza: report test restore tecnicoApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-047 · Business Continuity Plan · primario · OK_PRIMARY_PRESENTDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
MC-BCM-003MA-BCM · Continuity & ResilienceHighBusiness continuity, disaster recovery, backup, ridondanza e resilienza ICT.

Backup delle informazioni

5 controlli framework collegati

  • ISO27001FW-ISO-A-8-13Backup delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-5-2-9Backup e recovery dati/servizi IT
  • NIS2_ESSENZIALEFW-NIS-PR-DS-11Backup creati, protetti, mantenuti e testati
  • NIS2_ESSENZIALEFW-NIS-ID-IM-04Piani incidenti e cybersecurity migliorati e mantenuti
  • NIS2_ESSENZIALEFW-NIS-RC-RP-01Parte di ripristino del piano incidenti eseguita

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 4 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 6 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 5 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-047 · Business Continuity PlanPiano · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-048 · Disaster Recovery PlanPiano · 9 requirement · primario, di supporto · OK_PRIMARY_PRESENT, WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Low, Medium
  • DOC-049 · Procedura backup e restoreProcedura · 34 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-051 · Piano gestione crisi cyberPiano · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici34
REQ-ATOM-BCM-003-001highcontinuity

Devono essere mantenute copie di backup delle informazioni, del software e dei sistemi rilevanti.

Verifica: Sono mantenute copie di backup di informazioni, software e sistemi rilevanti?

Risposta: yes_noEvidenza: console backup, report backup, policy backupApplicabilità: iso_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-13 · ISO27001 A.8.13 controllo
REQ-ATOM-BCM-003-002highprocess

I backup devono essere eseguiti secondo quanto definito dalla politica o procedura di backup.

Verifica: I backup sono eseguiti secondo la politica specifica di backup?

Risposta: yes_noEvidenza: policy backup, job schedule, report esecuzione backupApplicabilità: iso_onlyAutomazione: backup_system
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-13 · ISO27001 A.8.13 controllo
REQ-ATOM-BCM-003-003highcontinuity

Le copie di backup devono essere testate regolarmente.

Verifica: Le copie di backup vengono testate regolarmente?

Risposta: yes_noEvidenza: registro test restore, report test ripristinoApplicabilità: iso_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-13 · ISO27001 A.8.13 controllo
REQ-ATOM-BCM-003-004highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa.

REQ-CAN-EXACT-0264EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa.

Verifica: È presente un piano di continuità operativa definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: Business Continuity PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1
REQ-ATOM-BCM-003-005highcontinuitycanonico

Il piano di continuità operativa deve indicare finalità, esigenze di continuità e ambito di applicazione.

REQ-CAN-EXACT-0186EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare finalità, esigenze di continuità e ambito di applicazione.

Verifica: Il piano di continuità indica finalità, esigenze e ambito?

Risposta: yes_noEvidenza: Business Continuity PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.a
REQ-ATOM-BCM-003-006highcontinuitycanonico

Il piano di continuità operativa deve definire ruoli e responsabilità.

REQ-CAN-EXACT-0184EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve definire ruoli e responsabilità.

Verifica: Il piano di continuità definisce ruoli e responsabilità?

Risposta: yes_noEvidenza: Business Continuity Plan, RACIApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.b
REQ-ATOM-BCM-003-007mediumcontinuitycanonico

Il piano di continuità operativa deve indicare contatti principali e canali di comunicazione interni ed esterni.

REQ-CAN-EXACT-0185EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare contatti principali e canali di comunicazione interni ed esterni.

Verifica: Il piano di continuità contiene contatti e canali di comunicazione interni ed esterni?

Risposta: yes_noEvidenza: Business Continuity Plan, rubrica emergenzaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.c
REQ-ATOM-BCM-003-008mediumcontinuitycanonico

Il piano di continuità operativa deve definire le condizioni di attivazione e disattivazione.

REQ-CAN-EXACT-0183EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve definire le condizioni di attivazione e disattivazione.

Verifica: Il piano di continuità definisce quando attivarlo e disattivarlo?

Risposta: yes_noEvidenza: Business Continuity PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.d
REQ-ATOM-BCM-003-009highcontinuitycanonico

Il piano di continuità operativa deve indicare le risorse necessarie, inclusi backup e ridondanze.

REQ-CAN-EXACT-0187EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare le risorse necessarie, inclusi backup e ridondanze.

Verifica: Il piano di continuità indica risorse, backup e ridondanze necessarie?

Risposta: yes_noEvidenza: Business Continuity Plan, inventario risorse criticheApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.e
REQ-ATOM-BCM-003-010highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di disaster recovery.

REQ-CAN-EXACT-0265EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di disaster recovery.

Verifica: È presente un piano di disaster recovery definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: Disaster Recovery PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-016 · Registro sistemi informativi e di rete rilevanti · evidenza · OK_EVIDENCE_OR_REGISTERDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2
REQ-ATOM-BCM-003-011highcontinuitycanonico

Il piano di disaster recovery deve definire l ordine di ripristino delle operazioni.

REQ-CAN-EXACT-0188EXACT_NORMALIZED_TEXT · High

Il piano di disaster recovery deve definire l ordine di ripristino delle operazioni.

Verifica: Il piano DR definisce l ordine di ripristino delle operazioni?

Risposta: yes_noEvidenza: Disaster Recovery PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.f
REQ-ATOM-BCM-003-012highcontinuitycanonico

Il piano di disaster recovery deve includere procedure di ripristino per operazioni specifiche e relativi obiettivi di ripristino.

REQ-CAN-EXACT-0189EXACT_NORMALIZED_TEXT · High

Il piano di disaster recovery deve includere procedure di ripristino per operazioni specifiche e relativi obiettivi di ripristino.

Verifica: Il piano DR include procedure e obiettivi di ripristino per operazioni specifiche?

Risposta: yes_noEvidenza: Disaster Recovery Plan, RTO/RPOApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.g
REQ-ATOM-BCM-003-013highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di gestione delle crisi informatiche.

REQ-CAN-EXACT-0266EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di gestione delle crisi informatiche.

Verifica: È presente un piano di gestione delle crisi informatiche definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano gestione crisi cyberApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3
REQ-ATOM-BCM-003-014highcontinuitycanonico

Il piano di gestione delle crisi informatiche deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

REQ-CAN-EXACT-0191EXACT_NORMALIZED_TEXT · High

Il piano di gestione delle crisi informatiche deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

Verifica: Il piano crisi definisce ruoli e responsabilità di personale e fornitori applicabili?

Risposta: yes_noEvidenza: piano gestione crisi cyber, RACI crisiApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3.a
REQ-ATOM-BCM-003-015mediumcontinuitycanonico

Il piano di gestione delle crisi informatiche deve definire le modalità di comunicazione con soggetti e autorità competenti.

REQ-CAN-EXACT-0190EXACT_NORMALIZED_TEXT · High

Il piano di gestione delle crisi informatiche deve definire le modalità di comunicazione con soggetti e autorità competenti.

Verifica: Il piano crisi definisce le modalità di comunicazione con soggetti e autorità competenti?

Risposta: yes_noEvidenza: piano gestione crisi cyber, procedura comunicazione crisiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3.b
REQ-ATOM-BCM-003-016highgovernancecanonico

I piani di continuità, disaster recovery e gestione crisi devono essere approvati dagli organi di amministrazione e direttivi.

REQ-CAN-EXACT-0179EXACT_NORMALIZED_TEXT · High

I piani di continuità, disaster recovery e gestione crisi devono essere approvati dagli organi di amministrazione e direttivi.

Verifica: I piani BCM, DR e crisi sono approvati dagli organi competenti?

Risposta: yes_noEvidenza: verbale approvazione, frontespizio approvatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 4
REQ-ATOM-BCM-003-017highreviewcanonico

I piani di continuità, disaster recovery e gestione crisi devono essere riesaminati e aggiornati almeno ogni due anni o a seguito di eventi rilevanti.

REQ-CAN-EXACT-0180EXACT_NORMALIZED_TEXT · High

I piani di continuità, disaster recovery e gestione crisi devono essere riesaminati e aggiornati almeno ogni due anni o a seguito di eventi rilevanti.

Verifica: I piani BCM, DR e crisi sono riesaminati almeno ogni due anni o dopo eventi rilevanti?

Risposta: yes_noEvidenza: registro riesami, versioni documenti, verbali reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · OK_SUPPORTINGDOC-011 · Processo di controllo documentale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 5
REQ-ATOM-BCM-003-018highcontinuitycanonico

I backup di dati e configurazioni devono essere eseguiti periodicamente in coerenza con esigenze di continuità e disaster recovery.

REQ-CAN-EXACT-0044EXACT_NORMALIZED_TEXT · High

I backup di dati e configurazioni devono essere eseguiti periodicamente in coerenza con esigenze di continuità e disaster recovery.

Verifica: I backup di dati e configurazioni sono eseguiti periodicamente secondo le esigenze BCM/DR?

Risposta: yes_noEvidenza: report backup, policy backup, BCP/DRPApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 1
REQ-ATOM-BCM-003-019highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti devono essere conservate anche copie di backup offline.

REQ-CAN-EXACT-0262EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere conservate anche copie di backup offline.

Verifica: Per i sistemi rilevanti sono conservate copie di backup offline?

Risposta: yes_noEvidenza: configurazione backup offline, report backupApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 1
REQ-ATOM-BCM-003-020highprocesscanonico

Devono essere adottate e documentate procedure per l esecuzione periodica dei backup.

REQ-CAN-EXACT-0008EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per l esecuzione periodica dei backup.

Verifica: Esistono procedure documentate per l esecuzione periodica dei backup?

Risposta: document_referenceEvidenza: procedura backupApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 2
REQ-ATOM-BCM-003-021highdata_protectioncanonico

Per i sistemi informativi e di rete rilevanti deve essere assicurata la riservatezza e integrità dei backup tramite protezione fisica o cifratura.

REQ-CAN-EXACT-0261EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere assicurata la riservatezza e integrità dei backup tramite protezione fisica o cifratura.

Verifica: I backup rilevanti sono protetti fisicamente o cifrati per riservatezza e integrità?

Risposta: yes_noEvidenza: configurazione cifratura, procedura conservazione supportiApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 3
REQ-ATOM-BCM-003-022highcontinuitycanonico

L utilizzabilità dei backup dei sistemi rilevanti deve essere verificata periodicamente mediante test di ripristino.

REQ-CAN-EXACT-0300EXACT_NORMALIZED_TEXT · High

L utilizzabilità dei backup dei sistemi rilevanti deve essere verificata periodicamente mediante test di ripristino.

Verifica: L utilizzabilità dei backup viene verificata periodicamente con test di ripristino?

Risposta: yes_noEvidenza: registro test restore, report DR testApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 4
REQ-ATOM-BCM-003-023mediumprocesscanonico

Le procedure devono documentare anche protezione dei backup e test di ripristino.

REQ-CAN-EXACT-0212EXACT_NORMALIZED_TEXT · High

Le procedure devono documentare anche protezione dei backup e test di ripristino.

Verifica: Le procedure descrivono protezione dei backup e test di ripristino?

Risposta: document_referenceEvidenza: procedura backup e restoreApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 5
REQ-ATOM-BCM-003-024highincidentcanonico

Nel piano di gestione incidenti devono essere adottate e documentate procedure di ripristino del normale funzionamento dei sistemi coinvolti da incidenti.

REQ-CAN-EXACT-0161EXACT_NORMALIZED_TEXT · High

Nel piano di gestione incidenti devono essere adottate e documentate procedure di ripristino del normale funzionamento dei sistemi coinvolti da incidenti.

Verifica: Il piano incidenti contiene procedure documentate per ripristinare il normale funzionamento dei sistemi coinvolti?

Risposta: document_referenceEvidenza: piano incident response, procedure ripristinoApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RC-RP-01 · NIS2 Allegato 2 RC.RP-01 punto 1
REQ-ATOM-BCM-003-025highcontinuitycanonico

Devono esistere concetti di backup per i sistemi IT rilevanti.

REQ-CAN-EXACT-0112EXACT_NORMALIZED_TEXT · High

Devono esistere concetti di backup per i sistemi IT rilevanti.

Verifica: Esistono concetti di backup per i sistemi IT rilevanti?

Risposta: document_referenceEvidenza: backup concept, policy backupApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-003-026highdata_protectioncanonico

I concetti di backup devono considerare misure per proteggere riservatezza, integrità e disponibilità dei backup.

REQ-CAN-EXACT-0051EXACT_NORMALIZED_TEXT · High

I concetti di backup devono considerare misure per proteggere riservatezza, integrità e disponibilità dei backup.

Verifica: I backup sono protetti per riservatezza, integrità e disponibilità?

Risposta: yes_noEvidenza: configurazione backup, cifratura, controlli accessoApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-003-027highcontinuitycanonico

Devono esistere concetti di recovery per i servizi IT rilevanti.

REQ-CAN-EXACT-0113EXACT_NORMALIZED_TEXT · High

Devono esistere concetti di recovery per i servizi IT rilevanti.

Verifica: Esistono concetti di recovery per i servizi IT rilevanti?

Risposta: document_referenceEvidenza: recovery concept, DRPApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-003-028highcontinuitycanonico

Per ogni servizio IT rilevante deve esistere un concetto di backup e recovery.

REQ-CAN-EXACT-0171EXACT_NORMALIZED_TEXT · High

Per ogni servizio IT rilevante deve esistere un concetto di backup e recovery.

Verifica: Ogni servizio IT rilevante ha un concetto di backup e recovery?

Risposta: yes_noEvidenza: matrice servizi-backup-recoveryApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-003-029highcontinuitycanonico

Dipendenze tra servizi IT e sequenza di recovery devono essere considerate.

REQ-CAN-EXACT-0093EXACT_NORMALIZED_TEXT · High

Dipendenze tra servizi IT e sequenza di recovery devono essere considerate.

Verifica: Le dipendenze tra servizi e la sequenza di recovery sono considerate?

Risposta: yes_noEvidenza: DRP, mappa dipendenze serviziApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-003-030mediumreviewcanonico

I concetti di backup e recovery devono essere riesaminati regolarmente con metodo definito.

REQ-CAN-EXACT-0053EXACT_NORMALIZED_TEXT · High

I concetti di backup e recovery devono essere riesaminati regolarmente con metodo definito.

Verifica: I concetti di backup e recovery sono riesaminati regolarmente?

Risposta: yes_noEvidenza: registro review backup/recoveryApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-003-031highcontinuitycanonico

La capacità generale di restore deve essere considerata e testata.

REQ-CAN-EXACT-0048EXACT_NORMALIZED_TEXT · High

La capacità generale di restore deve essere considerata e testata.

Verifica: La capacità di restore viene testata?

Risposta: yes_noEvidenza: registro test restoreApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-003-032highcontinuitycanonico

I concetti di backup e recovery devono considerare RPO e RTO.

REQ-CAN-EXACT-0052EXACT_NORMALIZED_TEXT · High

I concetti di backup e recovery devono considerare RPO e RTO.

Verifica: RPO e RTO sono considerati nei concetti di backup e recovery?

Risposta: yes_noEvidenza: BIA, DRP, matrice RPO/RTOApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-003-033hightechnical_controlcanonico

I backup devono essere protetti da modifica o cancellazione non autorizzata tramite offline, immutabilità o isolamento equivalente quando applicabile.

REQ-CAN-EXACT-0045EXACT_NORMALIZED_TEXT · High

I backup devono essere protetti da modifica o cancellazione non autorizzata tramite offline, immutabilità o isolamento equivalente quando applicabile.

Verifica: I backup sono protetti da modifica o cancellazione non autorizzata?

Risposta: yes_noEvidenza: immutability settings, backup offline, isolamento IAMApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
REQ-ATOM-BCM-003-034highcontinuitycanonico

Le procedure di restore devono essere testate tecnicamente e metodicamente a intervalli regolari.

REQ-CAN-EXACT-0213EXACT_NORMALIZED_TEXT · High

Le procedure di restore devono essere testate tecnicamente e metodicamente a intervalli regolari.

Verifica: Le procedure di restore sono testate tecnicamente e metodicamente a intervalli regolari?

Risposta: yes_noEvidenza: report test restore tecnicoApplicabilità: tisax_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-9 · TISAX ISA6 5.2.9 5.2.9
MC-BCM-004MA-BCM · Continuity & ResilienceHighBusiness continuity, disaster recovery, backup, ridondanza e resilienza ICT.

Ridondanza delle strutture di elaborazione delle informazioni

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-14Ridondanza delle strutture di elaborazione delle informazioni

Documenti pianificati

  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici2
REQ-ATOM-BCM-004-001highcontinuity

Le strutture di elaborazione delle informazioni devono avere ridondanza sufficiente rispetto ai requisiti di disponibilità.

Verifica: Le strutture di elaborazione dispongono di ridondanza adeguata ai requisiti di disponibilità?

Risposta: yes_noEvidenza: architettura infrastrutturale, BIA, schema ridondanzaApplicabilità: iso_onlyAutomazione: backup_system
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-14 · ISO27001 A.8.14 controllo
REQ-ATOM-BCM-004-002mediumcontinuity

I requisiti di disponibilità devono guidare la scelta del livello di ridondanza.

Verifica: Il livello di ridondanza è definito in base ai requisiti di disponibilità?

Risposta: yes_noEvidenza: BIA, requisiti servizio, analisi rischioApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-14 · ISO27001 A.8.14 controllo
MC-BCM-005MA-BCM · Continuity & ResilienceHighBusiness continuity, disaster recovery, backup, ridondanza e resilienza ICT.

Preparazione e gestione delle crisi di sicurezza informatica

Serve per separare la gestione crisi informatica da incident response puro, backup e continuità ICT. Controlli NIS2 attivanti: FW-NIS-ID-IM-04, FW-NIS-PR-IR-03. Stato audit: già candidato da file candidati_master.txt.

3 controlli framework collegati

  • TISAX_ISA6FW-TISAX-TISAX-1-6-3Preparazione alla gestione delle crisi
  • NIS2_ESSENZIALEFW-NIS-PR-IR-03Meccanismi di resilienza implementati per situazioni avverse
  • NIS2_ESSENZIALEFW-NIS-ID-IM-04Piani incidenti e cybersecurity migliorati e mantenuti

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 4 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-047 · Business Continuity PlanPiano · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-049 · Procedura backup e restoreProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-051 · Piano gestione crisi cyberPiano · 28 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici28
REQ-ATOM-BCM-005-001highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa.

REQ-CAN-EXACT-0264EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa.

Verifica: È presente un piano di continuità operativa definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: Business Continuity PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1
REQ-ATOM-BCM-005-002highcontinuitycanonico

Il piano di continuità operativa deve indicare finalità, esigenze di continuità e ambito di applicazione.

REQ-CAN-EXACT-0186EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare finalità, esigenze di continuità e ambito di applicazione.

Verifica: Il piano di continuità indica finalità, esigenze e ambito?

Risposta: yes_noEvidenza: Business Continuity PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.a
REQ-ATOM-BCM-005-003highcontinuitycanonico

Il piano di continuità operativa deve definire ruoli e responsabilità.

REQ-CAN-EXACT-0184EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve definire ruoli e responsabilità.

Verifica: Il piano di continuità definisce ruoli e responsabilità?

Risposta: yes_noEvidenza: Business Continuity Plan, RACIApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.b
REQ-ATOM-BCM-005-004mediumcontinuitycanonico

Il piano di continuità operativa deve indicare contatti principali e canali di comunicazione interni ed esterni.

REQ-CAN-EXACT-0185EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare contatti principali e canali di comunicazione interni ed esterni.

Verifica: Il piano di continuità contiene contatti e canali di comunicazione interni ed esterni?

Risposta: yes_noEvidenza: Business Continuity Plan, rubrica emergenzaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.c
REQ-ATOM-BCM-005-005mediumcontinuitycanonico

Il piano di continuità operativa deve definire le condizioni di attivazione e disattivazione.

REQ-CAN-EXACT-0183EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve definire le condizioni di attivazione e disattivazione.

Verifica: Il piano di continuità definisce quando attivarlo e disattivarlo?

Risposta: yes_noEvidenza: Business Continuity PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.d
REQ-ATOM-BCM-005-006highcontinuitycanonico

Il piano di continuità operativa deve indicare le risorse necessarie, inclusi backup e ridondanze.

REQ-CAN-EXACT-0187EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare le risorse necessarie, inclusi backup e ridondanze.

Verifica: Il piano di continuità indica risorse, backup e ridondanze necessarie?

Risposta: yes_noEvidenza: Business Continuity Plan, inventario risorse criticheApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.e
REQ-ATOM-BCM-005-007highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di disaster recovery.

REQ-CAN-EXACT-0265EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di disaster recovery.

Verifica: È presente un piano di disaster recovery definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: Disaster Recovery PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2
REQ-ATOM-BCM-005-008highcontinuitycanonico

Il piano di disaster recovery deve definire l ordine di ripristino delle operazioni.

REQ-CAN-EXACT-0188EXACT_NORMALIZED_TEXT · High

Il piano di disaster recovery deve definire l ordine di ripristino delle operazioni.

Verifica: Il piano DR definisce l ordine di ripristino delle operazioni?

Risposta: yes_noEvidenza: Disaster Recovery PlanApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.f
REQ-ATOM-BCM-005-009highcontinuitycanonico

Il piano di disaster recovery deve includere procedure di ripristino per operazioni specifiche e relativi obiettivi di ripristino.

REQ-CAN-EXACT-0189EXACT_NORMALIZED_TEXT · High

Il piano di disaster recovery deve includere procedure di ripristino per operazioni specifiche e relativi obiettivi di ripristino.

Verifica: Il piano DR include procedure e obiettivi di ripristino per operazioni specifiche?

Risposta: yes_noEvidenza: Disaster Recovery Plan, RTO/RPOApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-007 · Obiettivi di sicurezza e KPI · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.g
REQ-ATOM-BCM-005-010highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di gestione delle crisi informatiche.

REQ-CAN-EXACT-0266EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di gestione delle crisi informatiche.

Verifica: È presente un piano di gestione delle crisi informatiche definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano gestione crisi cyberApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3
REQ-ATOM-BCM-005-011highcontinuitycanonico

Il piano di gestione delle crisi informatiche deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

REQ-CAN-EXACT-0191EXACT_NORMALIZED_TEXT · High

Il piano di gestione delle crisi informatiche deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

Verifica: Il piano crisi definisce ruoli e responsabilità di personale e fornitori applicabili?

Risposta: yes_noEvidenza: piano gestione crisi cyber, RACI crisiApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3.a
REQ-ATOM-BCM-005-012mediumcontinuitycanonico

Il piano di gestione delle crisi informatiche deve definire le modalità di comunicazione con soggetti e autorità competenti.

REQ-CAN-EXACT-0190EXACT_NORMALIZED_TEXT · High

Il piano di gestione delle crisi informatiche deve definire le modalità di comunicazione con soggetti e autorità competenti.

Verifica: Il piano crisi definisce le modalità di comunicazione con soggetti e autorità competenti?

Risposta: yes_noEvidenza: piano gestione crisi cyber, procedura comunicazione crisiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3.b
REQ-ATOM-BCM-005-013highgovernancecanonico

I piani di continuità, disaster recovery e gestione crisi devono essere approvati dagli organi di amministrazione e direttivi.

REQ-CAN-EXACT-0179EXACT_NORMALIZED_TEXT · High

I piani di continuità, disaster recovery e gestione crisi devono essere approvati dagli organi di amministrazione e direttivi.

Verifica: I piani BCM, DR e crisi sono approvati dagli organi competenti?

Risposta: yes_noEvidenza: verbale approvazione, frontespizio approvatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 4
REQ-ATOM-BCM-005-014highreviewcanonico

I piani di continuità, disaster recovery e gestione crisi devono essere riesaminati e aggiornati almeno ogni due anni o a seguito di eventi rilevanti.

REQ-CAN-EXACT-0180EXACT_NORMALIZED_TEXT · High

I piani di continuità, disaster recovery e gestione crisi devono essere riesaminati e aggiornati almeno ogni due anni o a seguito di eventi rilevanti.

Verifica: I piani BCM, DR e crisi sono riesaminati almeno ogni due anni o dopo eventi rilevanti?

Risposta: yes_noEvidenza: registro riesami, versioni documenti, verbali reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-011 · Processo di controllo documentale · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 5
REQ-ATOM-BCM-005-015mediumcontinuitycanonico

In base alla valutazione del rischio devono essere utilizzati sistemi di comunicazione di emergenza protetti.

REQ-CAN-EXACT-0047EXACT_NORMALIZED_TEXT · High

In base alla valutazione del rischio devono essere utilizzati sistemi di comunicazione di emergenza protetti.

Verifica: Sono disponibili sistemi di comunicazione di emergenza protetti coerenti con la valutazione del rischio?

Risposta: yes_noEvidenza: piano crisi, elenco canali emergenza, analisi rischioApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-03 · NIS2 Allegato 2 PR.IR-03 punto 1
REQ-ATOM-BCM-005-016mediumprocesscanonico

Devono essere adottate e documentate procedure per l uso dei sistemi di comunicazione di emergenza protetti.

REQ-CAN-EXACT-0019EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per l uso dei sistemi di comunicazione di emergenza protetti.

Verifica: Esistono procedure documentate per l uso dei sistemi di comunicazione di emergenza protetti?

Risposta: document_referenceEvidenza: procedura comunicazioni emergenza, piano crisiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-03 · NIS2 Allegato 2 PR.IR-03 punto 2
REQ-ATOM-BCM-005-017highcontinuitycanonico

Deve esistere una pianificazione adeguata per reagire e recuperare da situazioni di crisi.

REQ-CAN-EXACT-0114EXACT_NORMALIZED_TEXT · High

Deve esistere una pianificazione adeguata per reagire e recuperare da situazioni di crisi.

Verifica: È disponibile una pianificazione per reagire e recuperare da crisi?

Risposta: document_referenceEvidenza: piano gestione crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-018highcontinuitycanonico

Le risorse necessarie alla gestione della crisi devono essere disponibili.

REQ-CAN-EXACT-0245EXACT_NORMALIZED_TEXT · High

Le risorse necessarie alla gestione della crisi devono essere disponibili.

Verifica: Le risorse necessarie per gestire la crisi sono identificate e disponibili?

Risposta: yes_noEvidenza: piano crisi, inventario risorse crisiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-019highgovernancecanonico

Responsabilità e autorità per la gestione della crisi devono essere definite, documentate e assegnate.

REQ-CAN-EXACT-0239EXACT_NORMALIZED_TEXT · High

Responsabilità e autorità per la gestione della crisi devono essere definite, documentate e assegnate.

Verifica: Responsabilità e autorità di crisis management sono definite, documentate e assegnate?

Risposta: yes_noEvidenza: piano crisi, RACI crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-020mediumtrainingcanonico

I dipendenti responsabili della gestione crisi devono essere identificati e qualificati per il proprio compito.

REQ-CAN-EXACT-0091EXACT_NORMALIZED_TEXT · High

I dipendenti responsabili della gestione crisi devono essere identificati e qualificati per il proprio compito.

Verifica: Le persone responsabili della crisi sono identificate e qualificate?

Risposta: yes_noEvidenza: nomine, registro formazione crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-021mediummonitoringcanonico

Devono essere stabiliti metodi per rilevare situazioni di crisi.

REQ-CAN-EXACT-0281EXACT_NORMALIZED_TEXT · High

Devono essere stabiliti metodi per rilevare situazioni di crisi.

Verifica: Sono definiti metodi per rilevare situazioni di crisi?

Risposta: yes_noEvidenza: procedura escalation crisi, criteri attivazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-022highprocesscanonico

Devono essere presenti procedure per invocare o scalare la gestione della crisi.

REQ-CAN-EXACT-0207EXACT_NORMALIZED_TEXT · High

Devono essere presenti procedure per invocare o scalare la gestione della crisi.

Verifica: Esiste una procedura di attivazione o escalation della gestione crisi?

Risposta: document_referenceEvidenza: procedura escalation crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-023mediumgovernancecanonico

Obiettivi strategici e priorità in crisi devono essere definiti e noti al personale pertinente.

REQ-CAN-EXACT-0169EXACT_NORMALIZED_TEXT · High

Obiettivi strategici e priorità in crisi devono essere definiti e noti al personale pertinente.

Verifica: Obiettivi e priorità in crisi sono definiti e noti al personale pertinente?

Risposta: yes_noEvidenza: piano crisi, comunicazione internaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-007 · Obiettivi di sicurezza e KPI · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-024highgovernancecanonico

Il team di gestione crisi deve essere definito e approvato.

REQ-CAN-EXACT-0286EXACT_NORMALIZED_TEXT · High

Il team di gestione crisi deve essere definito e approvato.

Verifica: Il team di gestione crisi è definito e approvato?

Risposta: yes_noEvidenza: nomina team crisi, verbale approvazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-025highpolicycanonico

Politiche e procedure di crisi devono essere definite e approvate.

REQ-CAN-EXACT-0203EXACT_NORMALIZED_TEXT · High

Politiche e procedure di crisi devono essere definite e approvate.

Verifica: Le politiche e procedure di crisi sono definite e approvate?

Risposta: document_referenceEvidenza: piano crisi approvatoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-026mediumcontinuitycanonico

Devono essere identificati scenari di crisi rilevanti.

REQ-CAN-EXACT-0133EXACT_NORMALIZED_TEXT · High

Devono essere identificati scenari di crisi rilevanti.

Verifica: Sono identificati scenari di crisi rilevanti?

Risposta: yes_noEvidenza: scenario analysis, piano crisiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-027mediumcontinuitycanonico

Deve esistere una strategia di comunicazione per le situazioni di crisi.

REQ-CAN-EXACT-0117EXACT_NORMALIZED_TEXT · High

Deve esistere una strategia di comunicazione per le situazioni di crisi.

Verifica: È definita una strategia di comunicazione per crisi?

Risposta: document_referenceEvidenza: piano comunicazione crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
REQ-ATOM-BCM-005-028mediumcontinuitycanonico

Devono essere svolte esercitazioni o simulazioni di crisi con le persone rilevanti.

REQ-CAN-EXACT-0285EXACT_NORMALIZED_TEXT · High

Devono essere svolte esercitazioni o simulazioni di crisi con le persone rilevanti.

Verifica: Sono condotte esercitazioni o simulazioni di crisi con le persone rilevanti?

Risposta: yes_noEvidenza: report esercitazione crisi, lessons learnedApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3 1.6.3
MC-CHG-001MA-OPS · OperationsMediumProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Procedure operative documentate

3 controlli framework collegati

  • ISO27001FW-ISO-A-5-37Procedure operative documentate
  • TISAX_ISA6FW-TISAX-TISAX-5-2-1Gestione dei cambiamenti
  • TISAX_ISA6FW-TISAX-TISAX-1-5-1Conformità sicurezza nei processi e procedure

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-011 · Processo di controllo documentaleProcedura · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-012 · Registro documenti ufficialiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-057 · Registro non conformità e azioni correttiveRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 6 requirement · primario · OK_PRIMARY_PRESENT · review Low
Requirement atomici12
REQ-ATOM-CHG-001-001highprocess

Le procedure operative per le strutture di elaborazione delle informazioni devono essere documentate.

Verifica: Le procedure operative delle strutture di elaborazione sono documentate?

Risposta: document_referenceEvidenza: procedure operative, runbook, istruzioni operativeApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-011 · Processo di controllo documentale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-012 · Registro documenti ufficiali · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-37 · ISO27001 A.5.37 controllo
REQ-ATOM-CHG-001-002mediumprocess

Le procedure operative documentate devono essere rese disponibili al personale che ne ha bisogno.

Verifica: Il personale interessato può accedere alle procedure operative necessarie?

Risposta: yes_noEvidenza: repository documentale, lista distribuzione, permessi accessoApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-37 · ISO27001 A.5.37 controllo
REQ-ATOM-CHG-001-003mediumcompliance

L osservanza di policy e procedure di sicurezza deve essere verificata nell Organizzazione.

Verifica: L osservanza di policy e procedure viene verificata?

Risposta: yes_noEvidenza: report compliance, controlli interniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-CHG-001-004mediumreviewcanonico

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

REQ-CAN-EXACT-0201EXACT_NORMALIZED_TEXT · High

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

Verifica: Policy e procedure di sicurezza sono riesaminate regolarmente?

Risposta: yes_noEvidenza: registro review policy/procedureApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-CHG-001-005mediumprocess

Le non conformità o deviazioni devono generare misure correttive tracciate.

Verifica: Le deviazioni generano misure correttive tracciate?

Risposta: yes_noEvidenza: registro non conformità, piano azioni correttiveApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-057 · Registro non conformità e azioni correttive · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-CHG-001-006mediumevidencecanonico

I risultati delle verifiche devono essere registrati e conservati.

REQ-CAN-EXACT-0248EXACT_NORMALIZED_TEXT · High

I risultati delle verifiche devono essere registrati e conservati.

Verifica: I risultati delle verifiche sono registrati e conservati?

Risposta: yes_noEvidenza: report audit, registro verificheApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-011 · Processo di controllo documentale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-012 · Registro documenti ufficiali · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-CHG-001-007highprocesscanonico

I requisiti di sicurezza delle informazioni per modifiche a organizzazione, processi e sistemi IT devono essere determinati e applicati.

REQ-CAN-EXACT-0236EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza delle informazioni per modifiche a organizzazione, processi e sistemi IT devono essere determinati e applicati.

Verifica: I requisiti di sicurezza sono determinati e applicati per i cambiamenti?

Risposta: yes_noEvidenza: procedura change management, checklist sicurezza changeApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-001-008highprocesscanonico

Deve essere stabilita una procedura formale di approvazione delle modifiche.

REQ-CAN-EXACT-0278EXACT_NORMALIZED_TEXT · High

Deve essere stabilita una procedura formale di approvazione delle modifiche.

Verifica: Esiste una procedura formale di approvazione dei cambiamenti?

Risposta: document_referenceEvidenza: procedura change management, CAB recordApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-001-009highprocesscanonico

Le modifiche devono essere verificate e valutate per il loro impatto potenziale sulla sicurezza delle informazioni.

REQ-CAN-EXACT-0157EXACT_NORMALIZED_TEXT · High

Le modifiche devono essere verificate e valutate per il loro impatto potenziale sulla sicurezza delle informazioni.

Verifica: I cambiamenti vengono valutati per impatto sulla sicurezza delle informazioni?

Risposta: yes_noEvidenza: change ticket con risk/security assessmentApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-001-010mediumtechnical_controlcanonico

Le modifiche che impattano la sicurezza devono essere pianificate e testate.

REQ-CAN-EXACT-0156EXACT_NORMALIZED_TEXT · High

Le modifiche che impattano la sicurezza devono essere pianificate e testate.

Verifica: I cambiamenti con impatto sicurezza sono pianificati e testati prima dell applicazione?

Risposta: yes_noEvidenza: piano test change, evidenza testApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-001-011mediumcontinuitycanonico

Devono essere considerate procedure di fallback per i casi di errore.

REQ-CAN-EXACT-0058EXACT_NORMALIZED_TEXT · High

Devono essere considerate procedure di fallback per i casi di errore.

Verifica: Per i cambiamenti sono previste procedure di fallback o rollback?

Risposta: yes_noEvidenza: piano rollback, change ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-001-012mediumcompliancecanonico

La conformità ai requisiti di sicurezza deve essere verificata durante e dopo l applicazione delle modifiche.

REQ-CAN-EXACT-0057EXACT_NORMALIZED_TEXT · High

La conformità ai requisiti di sicurezza deve essere verificata durante e dopo l applicazione delle modifiche.

Verifica: La conformità sicurezza viene verificata durante e dopo i cambiamenti?

Risposta: yes_noEvidenza: controllo post-change, checklist chiusura changeApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
MC-CHG-002MA-OPS · OperationsMediumProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Gestione della capacità

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-6Gestione della capacità

Documenti pianificati

  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
Requirement atomici2
REQ-ATOM-CHG-002-001mediummonitoring

L uso delle risorse deve essere monitorato rispetto ai requisiti di capacità attuali.

Verifica: L uso delle risorse viene monitorato rispetto alla capacità attuale?

Risposta: yes_noEvidenza: monitoring, dashboard capacity, report sistemiApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-8-6 · ISO27001 A.8.6 controllo
REQ-ATOM-CHG-002-002mediumprocess

L uso delle risorse deve essere adeguato rispetto ai requisiti di capacità previsti.

Verifica: Sono previste azioni di adeguamento capacità in base ai fabbisogni futuri?

Risposta: yes_noEvidenza: capacity plan, report trend, piano investimentiApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-6 · ISO27001 A.8.6 controllo
MC-CHG-003MA-CHG · Configuration & ChangeMediumConfigurazioni, capacity, procedure operative e change management.

Gestione delle configurazioni

3 controlli framework collegati

  • ISO27001FW-ISO-A-8-9Gestione delle configurazioni
  • TISAX_ISA6FW-TISAX-TISAX-5-2-1Gestione dei cambiamenti
  • NIS2_ESSENZIALEFW-NIS-PR-PS-01Pratiche di gestione della configurazione applicate

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 4 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 13 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
Requirement atomici14
REQ-ATOM-CHG-003-001hightechnical_control

Le configurazioni di hardware, software, servizi e reti devono essere stabilite.

Verifica: Sono definite le configurazioni attese di hardware, software, servizi e reti?

Risposta: yes_noEvidenza: baseline configurazione, standard hardeningApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-9 · ISO27001 A.8.9 controllo
REQ-ATOM-CHG-003-002highevidence

Le configurazioni, incluse quelle di sicurezza, devono essere documentate.

Verifica: Le configurazioni sono documentate in modo aggiornato?

Risposta: document_referenceEvidenza: CMDB, baseline, documentazione tecnicaApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-9 · ISO27001 A.8.9 controllo
REQ-ATOM-CHG-003-003hightechnical_control

Le configurazioni definite devono essere attuate sui sistemi interessati.

Verifica: Le configurazioni definite sono applicate sui sistemi interessati?

Risposta: yes_noEvidenza: export configurazioni, policy sistemi, screenshot consoleApplicabilità: iso_onlyAutomazione: intune
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-9 · ISO27001 A.8.9 controllo
REQ-ATOM-CHG-003-004mediummonitoring

Le configurazioni devono essere monitorate nel tempo.

Verifica: Le configurazioni vengono monitorate per rilevare deviazioni?

Risposta: yes_noEvidenza: tool configuration management, report complianceApplicabilità: iso_onlyAutomazione: intune
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-9 · ISO27001 A.8.9 controllo
REQ-ATOM-CHG-003-005mediumreview

Le configurazioni devono essere riesaminate periodicamente o al cambiamento.

Verifica: Le configurazioni vengono riesaminate periodicamente o dopo cambiamenti significativi?

Risposta: yes_noEvidenza: verbali review, registro modifiche, report auditApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-9 · ISO27001 A.8.9 controllo
REQ-ATOM-CHG-003-006hightechnical_control

Per i sistemi informativi e di rete rilevanti devono essere definite configurazioni di riferimento sicure.

Verifica: Sono definite configurazioni di riferimento sicure per i sistemi rilevanti?

Risposta: yes_noEvidenza: baseline hardening, standard configurazioneApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-01 · NIS2 Allegato 2 PR.PS-01 punto 1
REQ-ATOM-CHG-003-007highevidence

Le configurazioni di riferimento sicure devono essere documentate in un elenco aggiornato.

Verifica: Le configurazioni sicure sono documentate in un elenco aggiornato?

Risposta: document_referenceEvidenza: registro baseline configurazioni, CMDBApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-01 · NIS2 Allegato 2 PR.PS-01 punto 1
REQ-ATOM-CHG-003-008mediumprocess

Devono essere adottate e documentate procedure per la gestione delle configurazioni di riferimento sicure.

Verifica: Esistono procedure documentate per gestire le configurazioni sicure?

Risposta: document_referenceEvidenza: procedura gestione configurazioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-01 · NIS2 Allegato 2 PR.PS-01 punto 2
REQ-ATOM-CHG-003-009highprocesscanonico

I requisiti di sicurezza delle informazioni per modifiche a organizzazione, processi e sistemi IT devono essere determinati e applicati.

REQ-CAN-EXACT-0236EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza delle informazioni per modifiche a organizzazione, processi e sistemi IT devono essere determinati e applicati.

Verifica: I requisiti di sicurezza sono determinati e applicati per i cambiamenti?

Risposta: yes_noEvidenza: procedura change management, checklist sicurezza changeApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-003-010highprocesscanonico

Deve essere stabilita una procedura formale di approvazione delle modifiche.

REQ-CAN-EXACT-0278EXACT_NORMALIZED_TEXT · High

Deve essere stabilita una procedura formale di approvazione delle modifiche.

Verifica: Esiste una procedura formale di approvazione dei cambiamenti?

Risposta: document_referenceEvidenza: procedura change management, CAB recordApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-003-011highprocesscanonico

Le modifiche devono essere verificate e valutate per il loro impatto potenziale sulla sicurezza delle informazioni.

REQ-CAN-EXACT-0157EXACT_NORMALIZED_TEXT · High

Le modifiche devono essere verificate e valutate per il loro impatto potenziale sulla sicurezza delle informazioni.

Verifica: I cambiamenti vengono valutati per impatto sulla sicurezza delle informazioni?

Risposta: yes_noEvidenza: change ticket con risk/security assessmentApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-003-012mediumtechnical_controlcanonico

Le modifiche che impattano la sicurezza devono essere pianificate e testate.

REQ-CAN-EXACT-0156EXACT_NORMALIZED_TEXT · High

Le modifiche che impattano la sicurezza devono essere pianificate e testate.

Verifica: I cambiamenti con impatto sicurezza sono pianificati e testati prima dell applicazione?

Risposta: yes_noEvidenza: piano test change, evidenza testApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-003-013mediumcontinuitycanonico

Devono essere considerate procedure di fallback per i casi di errore.

REQ-CAN-EXACT-0058EXACT_NORMALIZED_TEXT · High

Devono essere considerate procedure di fallback per i casi di errore.

Verifica: Per i cambiamenti sono previste procedure di fallback o rollback?

Risposta: yes_noEvidenza: piano rollback, change ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-003-014mediumcompliancecanonico

La conformità ai requisiti di sicurezza deve essere verificata durante e dopo l applicazione delle modifiche.

REQ-CAN-EXACT-0057EXACT_NORMALIZED_TEXT · High

La conformità ai requisiti di sicurezza deve essere verificata durante e dopo l applicazione delle modifiche.

Verifica: La conformità sicurezza viene verificata durante e dopo i cambiamenti?

Risposta: yes_noEvidenza: controllo post-change, checklist chiusura changeApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
MC-CHG-004MA-CHG · Configuration & ChangeMediumConfigurazioni, capacity, procedure operative e change management.

Gestione dei cambiamenti

4 controlli framework collegati

  • ISO27001FW-ISO-A-8-32Gestione dei cambiamenti
  • TISAX_ISA6FW-TISAX-TISAX-1-3-4Uso solo di software valutato e approvato
  • TISAX_ISA6FW-TISAX-TISAX-5-2-1Gestione dei cambiamenti
  • NIS2_ESSENZIALEFW-NIS-PR-PS-02Software mantenuto, sostituito e rimosso in base al rischio

Documenti pianificati

  • DOC-002 · Campo di applicazione SGSI / ISMS ScopeDocumento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 7 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 12 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 20 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 19 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
Requirement atomici23
REQ-ATOM-CHG-004-001highprocess

I cambiamenti alle strutture di elaborazione e ai sistemi informativi devono essere gestiti tramite procedure definite.

Verifica: I cambiamenti a sistemi e strutture ICT sono soggetti a una procedura di change management?

Risposta: document_referenceEvidenza: procedura change management, registro change, ticket di modificaApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-32 · ISO27001 A.8.32 controllo
REQ-ATOM-CHG-004-002highprocess

La procedura di change management deve essere applicata prima dell introduzione di modifiche rilevanti.

Verifica: La procedura di change management viene applicata prima delle modifiche rilevanti?

Risposta: yes_noEvidenza: ticket approvati, workflow CAB, evidenza approvazioneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-32 · ISO27001 A.8.32 controllo
REQ-ATOM-CHG-004-003mediumevidence

Le modifiche devono lasciare evidenza tracciabile di richiesta, valutazione, approvazione ed esecuzione.

Verifica: Ogni modifica rilevante conserva traccia di richiesta, valutazione, approvazione ed esecuzione?

Risposta: yes_noEvidenza: ticket change, registro modifiche, log attivitàApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-32 · ISO27001 A.8.32 controllo
REQ-ATOM-CHG-004-004hightechnical_control

È installato esclusivamente software per cui siano disponibili aggiornamenti di sicurezza, salvo motivate ragioni documentate.

Verifica: Il software installato dispone di aggiornamenti di sicurezza disponibili, salvo eccezioni motivate?

Risposta: yes_noEvidenza: inventario software, report EOL/EOS, registro eccezioniApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02 punto 1
REQ-ATOM-CHG-004-005hightechnical_control

Gli aggiornamenti di sicurezza rilasciati dal produttore devono essere installati senza ingiustificato ritardo.

Verifica: Gli aggiornamenti di sicurezza vengono installati senza ingiustificato ritardo?

Risposta: yes_noEvidenza: report patch management, ticket aggiornamenti, dashboard vulnerabilitàApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02 punto 2
REQ-ATOM-CHG-004-006highprocess

L installazione degli aggiornamenti deve essere coerente con il piano di gestione delle vulnerabilità.

Verifica: Gli aggiornamenti sono gestiti in coerenza con il piano di vulnerabilità?

Risposta: yes_noEvidenza: piano vulnerabilità, procedura patching, ticket patchApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02 punto 2
REQ-ATOM-CHG-004-007mediumprocess

Devono essere adottate e documentate procedure per gestione, sostituzione e rimozione del software.

Verifica: Sono adottate e documentate procedure per mantenere, sostituire e rimuovere software?

Risposta: document_referenceEvidenza: procedura patch/software management, registro eccezioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02 punto 3
REQ-ATOM-CHG-004-008mediumtechnical_control

Il software critico deve essere verificato in ambiente di test prima dell impiego operativo, salvo eccezioni motivate.

Verifica: Il software critico viene verificato in test prima dell uso in produzione, salvo eccezioni motivate?

Risposta: yes_noEvidenza: evidenze test, change ticket, registro eccezioniApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02 punto 4
REQ-ATOM-CHG-004-009mediumprocess

Devono essere adottate e documentate procedure per la verifica in test degli aggiornamenti del software critico.

Verifica: Esistono procedure documentate per testare gli aggiornamenti del software critico?

Risposta: document_referenceEvidenza: procedura change/patch test, piano testApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02 punto 5
REQ-ATOM-CHG-004-010hightechnical_controlcanonico

Il software deve essere approvato prima dell installazione o dell uso.

REQ-CAN-EXACT-0273EXACT_NORMALIZED_TEXT · High

Il software deve essere approvato prima dell installazione o dell uso.

Verifica: Il software viene approvato prima dell installazione o dell uso?

Risposta: yes_noEvidenza: catalogo software approvato, ticket approvazioneApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-CHG-004-011mediumaccess_controlcanonico

L approvazione software deve considerare eventuali limitazioni per casi d uso o ruoli specifici.

REQ-CAN-EXACT-0030EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare eventuali limitazioni per casi d uso o ruoli specifici.

Verifica: Le approvazioni software indicano eventuali limiti di uso o ruolo?

Risposta: yes_noEvidenza: catalogo software approvato con scopeApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-002 · Campo di applicazione SGSI / ISMS Scope · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-CHG-004-012highcompliancecanonico

L approvazione software deve considerare la conformità ai requisiti di sicurezza delle informazioni.

REQ-CAN-EXACT-0028EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare la conformità ai requisiti di sicurezza delle informazioni.

Verifica: La conformità ai requisiti di sicurezza è verificata prima di approvare il software?

Risposta: yes_noEvidenza: checklist approvazione softwareApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-CHG-004-013mediumcompliancecanonico

L approvazione software deve considerare diritti d uso e licenze.

REQ-CAN-EXACT-0029EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare diritti d uso e licenze.

Verifica: Licenze e diritti d uso sono verificati prima dell approvazione software?

Risposta: yes_noEvidenza: registro licenze, checklist softwareApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-CHG-004-014mediumsuppliercanonico

L approvazione software deve considerare origine e reputazione del software.

REQ-CAN-EXACT-0031EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare origine e reputazione del software.

Verifica: Origine e reputazione del software sono valutate prima dell approvazione?

Risposta: yes_noEvidenza: checklist valutazione software, registro fornitori softwareApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTERDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-CHG-004-015hightechnical_controlcanonico

I repository del software gestito devono esistere ed essere protetti contro manipolazioni non autorizzate.

REQ-CAN-EXACT-0221EXACT_NORMALIZED_TEXT · High

I repository del software gestito devono esistere ed essere protetti contro manipolazioni non autorizzate.

Verifica: I repository software gestiti sono protetti contro manipolazioni non autorizzate?

Risposta: yes_noEvidenza: configurazioni repository, permessi accessoApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-CHG-004-016mediumreviewcanonico

Le approvazioni software devono essere riesaminate regolarmente.

REQ-CAN-EXACT-0032EXACT_NORMALIZED_TEXT · High

Le approvazioni software devono essere riesaminate regolarmente.

Verifica: Le approvazioni software vengono riesaminate regolarmente?

Risposta: yes_noEvidenza: registro review software approvatoApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTINGDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-CHG-004-017highasset_managementcanonico

Versioni e patch level del software gestito devono essere conosciuti.

REQ-CAN-EXACT-0305EXACT_NORMALIZED_TEXT · High

Versioni e patch level del software gestito devono essere conosciuti.

Verifica: Versioni e patch level del software gestito sono noti?

Risposta: yes_noEvidenza: inventario software, vulnerability scannerApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-011 · Processo di controllo documentale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4 1.3.4
REQ-ATOM-CHG-004-018highprocesscanonico

I requisiti di sicurezza delle informazioni per modifiche a organizzazione, processi e sistemi IT devono essere determinati e applicati.

REQ-CAN-EXACT-0236EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza delle informazioni per modifiche a organizzazione, processi e sistemi IT devono essere determinati e applicati.

Verifica: I requisiti di sicurezza sono determinati e applicati per i cambiamenti?

Risposta: yes_noEvidenza: procedura change management, checklist sicurezza changeApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-004-019highprocesscanonico

Deve essere stabilita una procedura formale di approvazione delle modifiche.

REQ-CAN-EXACT-0278EXACT_NORMALIZED_TEXT · High

Deve essere stabilita una procedura formale di approvazione delle modifiche.

Verifica: Esiste una procedura formale di approvazione dei cambiamenti?

Risposta: document_referenceEvidenza: procedura change management, CAB recordApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-004-020highprocesscanonico

Le modifiche devono essere verificate e valutate per il loro impatto potenziale sulla sicurezza delle informazioni.

REQ-CAN-EXACT-0157EXACT_NORMALIZED_TEXT · High

Le modifiche devono essere verificate e valutate per il loro impatto potenziale sulla sicurezza delle informazioni.

Verifica: I cambiamenti vengono valutati per impatto sulla sicurezza delle informazioni?

Risposta: yes_noEvidenza: change ticket con risk/security assessmentApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-004-021mediumtechnical_controlcanonico

Le modifiche che impattano la sicurezza devono essere pianificate e testate.

REQ-CAN-EXACT-0156EXACT_NORMALIZED_TEXT · High

Le modifiche che impattano la sicurezza devono essere pianificate e testate.

Verifica: I cambiamenti con impatto sicurezza sono pianificati e testati prima dell applicazione?

Risposta: yes_noEvidenza: piano test change, evidenza testApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-004-022mediumcontinuitycanonico

Devono essere considerate procedure di fallback per i casi di errore.

REQ-CAN-EXACT-0058EXACT_NORMALIZED_TEXT · High

Devono essere considerate procedure di fallback per i casi di errore.

Verifica: Per i cambiamenti sono previste procedure di fallback o rollback?

Risposta: yes_noEvidenza: piano rollback, change ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
REQ-ATOM-CHG-004-023mediumcompliancecanonico

La conformità ai requisiti di sicurezza deve essere verificata durante e dopo l applicazione delle modifiche.

REQ-CAN-EXACT-0057EXACT_NORMALIZED_TEXT · High

La conformità ai requisiti di sicurezza deve essere verificata durante e dopo l applicazione delle modifiche.

Verifica: La conformità sicurezza viene verificata durante e dopo i cambiamenti?

Risposta: yes_noEvidenza: controllo post-change, checklist chiusura changeApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-1 · TISAX ISA6 5.2.1 5.2.1
MC-COMP-001MA-COMP · Compliance & AuditMediumRequisiti legali, audit, revisioni indipendenti, conformità a policy e standard.

Diritti di proprietà intellettuale

1 controlli framework collegati

  • ISO27001FW-ISO-A-5-32Diritti di proprietà intellettuale

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici2
REQ-ATOM-COMP-001-001mediumcompliance

L Organizzazione deve attuare procedure per proteggere i diritti di proprietà intellettuale.

Verifica: Sono definite procedure per proteggere i diritti di proprietà intellettuale?

Risposta: document_referenceEvidenza: procedura compliance, registro requisiti legali, policy uso software/licenzeApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-32 · ISO27001 A.5.32 controllo
REQ-ATOM-COMP-001-002mediumcompliance

Le procedure devono coprire l uso lecito di software, contenuti, documentazione e altri materiali soggetti a diritti.

Verifica: Le procedure coprono l uso lecito di software, contenuti, documentazione e materiali soggetti a diritti?

Risposta: yes_noEvidenza: policy licenze, inventario software, registro contratti/licenzeApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-32 · ISO27001 A.5.32 controllo
MC-DATA-001MA-PRIV · PrivacyHighProtezione dei dati personali, privacy, data protection e obblighi correlati.

Privacy e protezione dei dati personali

14 controlli framework collegati

  • ISO27001FW-ISO-A-5-34Privacy e protezione dei dati personali
  • TISAX_ISA6FW-TISAX-TISAX-9-3-1Attività di trattamento identificate e registrate
  • TISAX_ISA6FW-TISAX-TISAX-9-5-3Trasferimenti dati verso paesi terzi
  • TISAX_ISA6FW-TISAX-TISAX-9-6-2Incidenti data protection gestiti
  • TISAX_ISA6FW-TISAX-TISAX-9-8-1Rapporti di trattamento e istruzioni gestiti
  • TISAX_ISA6FW-TISAX-TISAX-9-4-1Gestione trattamenti ad alto rischio / DPIA
  • TISAX_ISA6FW-TISAX-TISAX-9-6-1Richieste degli interessati gestite
  • TISAX_ISA6FW-TISAX-TISAX-9-1-1Policy protezione dati personali
  • TISAX_ISA6FW-TISAX-TISAX-9-2-1Responsabilità data protection organizzate
  • TISAX_ISA6FW-TISAX-TISAX-9-5-1Trasferimento dati gestito
  • TISAX_ISA6FW-TISAX-TISAX-9-5-2Obblighi contrattuali verso subappaltatori/partner
  • TISAX_ISA6FW-TISAX-TISAX-9-7-1Obbligo riservatezza dipendenti
  • TISAX_ISA6FW-TISAX-TISAX-7-1-2Protezione dati personali nell’implementazione sicurezza
  • TISAX_ISA6FW-TISAX-TISAX-9-7-2Formazione dipendenti su data protection

Documenti pianificati

  • DOC-002 · Campo di applicazione SGSI / ISMS ScopeDocumento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 8 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 5 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-014 · Inventario hardwareRegistro · 47 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 47 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 2 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-067 · Registro trattamenti GDPR art. 30Registro · 40 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici47
REQ-ATOM-DATA-001-001highdata_protection

L Organizzazione deve identificare i requisiti applicabili in materia di privacy e protezione dei dati personali.

Verifica: Sono identificati i requisiti applicabili in materia di privacy e protezione dei dati personali?

Risposta: document_referenceEvidenza: registro requisiti legali, registro trattamenti, privacy assessmentApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-34 · ISO27001 A.5.34 controllo
REQ-ATOM-DATA-001-002highcompliance

L Organizzazione deve soddisfare i requisiti privacy derivanti da leggi e regolamenti applicabili.

Verifica: I requisiti privacy derivanti da leggi e regolamenti applicabili sono gestiti e soddisfatti?

Risposta: yes_noEvidenza: registro compliance privacy, DPIA, procedure privacyApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-34 · ISO27001 A.5.34 controllo
REQ-ATOM-DATA-001-003highcompliance

L Organizzazione deve soddisfare i requisiti privacy e data protection previsti dai contratti applicabili.

Verifica: I requisiti privacy contrattuali applicabili sono gestiti e soddisfatti?

Risposta: yes_noEvidenza: contratti, DPA, clausole privacy, registro fornitoriApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-34 · ISO27001 A.5.34 controllo
REQ-ATOM-DATA-001-004highdata_protection

I requisiti legali e contrattuali relativi al trattamento di dati personali devono essere determinati.

Verifica: Sono determinati i requisiti legali e contrattuali sul trattamento dei dati personali?

Risposta: document_referenceEvidenza: registro requisiti privacy, registro trattamenti, contratti/DPAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-2 · TISAX ISA6 7.1.2 7.1.2
REQ-ATOM-DATA-001-005highpolicy

Le regole per rispettare i requisiti privacy e data protection devono essere definite e note alle persone incaricate.

Verifica: Le regole privacy sono definite e note alle persone incaricate?

Risposta: yes_noEvidenza: policy privacy, istruzioni autorizzati, registro formazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-2 · TISAX ISA6 7.1.2 7.1.2
REQ-ATOM-DATA-001-006mediumprocess

I processi e le procedure per proteggere i dati personali devono essere considerati nell ISMS.

Verifica: I processi privacy sono integrati o considerati nel sistema di gestione della sicurezza?

Risposta: yes_noEvidenza: ISMS scope, procedure privacy, matrice integrazione controlliApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-002 · Campo di applicazione SGSI / ISMS Scope · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-2 · TISAX ISA6 7.1.2 7.1.2
REQ-ATOM-DATA-001-007highpolicycanonico

Deve esistere almeno una policy per la protezione dei dati personali.

REQ-CAN-EXACT-0111EXACT_NORMALIZED_TEXT · High

Deve esistere almeno una policy per la protezione dei dati personali.

Verifica: È disponibile almeno una policy per la protezione dei dati personali?

Risposta: document_referenceEvidenza: policy data protection/privacyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-1-1 · TISAX ISA6 9.1.1 9.1.1
REQ-ATOM-DATA-001-008highgovernancecanonico

La policy privacy deve essere creata, mantenuta aggiornata e approvata dal management.

REQ-CAN-EXACT-0200EXACT_NORMALIZED_TEXT · High

La policy privacy deve essere creata, mantenuta aggiornata e approvata dal management.

Verifica: La policy privacy è creata, aggiornata e approvata dal management?

Risposta: yes_noEvidenza: policy privacy, registro approvazioni, registro revisioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-1-1 · TISAX ISA6 9.1.1 9.1.1
REQ-ATOM-DATA-001-009highdata_protectioncanonico

Deve essere nominato un Data Protection Officer quando richiesto dalla normativa applicabile.

REQ-CAN-EXACT-0163EXACT_NORMALIZED_TEXT · High

Deve essere nominato un Data Protection Officer quando richiesto dalla normativa applicabile.

Verifica: È nominato un DPO quando richiesto dalla normativa applicabile?

Risposta: yes_noEvidenza: nomina DPO, valutazione obbligatorietàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-DATA-001-010mediumdata_protectioncanonico

Se il DPO non è richiesto, deve essere definita una funzione privacy o ruolo comparabile.

REQ-CAN-EXACT-0250EXACT_NORMALIZED_TEXT · High

Se il DPO non è richiesto, deve essere definita una funzione privacy o ruolo comparabile.

Verifica: Se il DPO non è richiesto, esiste una funzione privacy o ruolo equivalente?

Risposta: yes_noEvidenza: nomina funzione privacy, RACI privacyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-DATA-001-011mediumdata_protectioncanonico

I contatti della funzione privacy o del DPO devono essere pubblicati o resi disponibili come appropriato.

REQ-CAN-EXACT-0059EXACT_NORMALIZED_TEXT · High

I contatti della funzione privacy o del DPO devono essere pubblicati o resi disponibili come appropriato.

Verifica: I contatti della funzione privacy/DPO sono pubblicati o disponibili?

Risposta: yes_noEvidenza: pagina privacy, informativa, intranetApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-DATA-001-012mediumgovernancecanonico

La funzione privacy deve essere integrata nella struttura organizzativa.

REQ-CAN-EXACT-0125EXACT_NORMALIZED_TEXT · High

La funzione privacy deve essere integrata nella struttura organizzativa.

Verifica: La funzione privacy è integrata nella struttura organizzativa?

Risposta: yes_noEvidenza: organigramma, RACI, nomineApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-DATA-001-013mediumevidencecanonico

Devono essere documentate attività di controllo, stato privacy e reporting al top management.

REQ-CAN-EXACT-0104EXACT_NORMALIZED_TEXT · High

Devono essere documentate attività di controllo, stato privacy e reporting al top management.

Verifica: Sono documentati controlli privacy, stato privacy e reporting al top management?

Risposta: yes_noEvidenza: report privacy, verbali direzione, registro controlliApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-DATA-001-014mediumgovernancecanonico

La funzione privacy deve disporre di capacità, risorse e qualifiche adeguate.

REQ-CAN-EXACT-0124EXACT_NORMALIZED_TEXT · High

La funzione privacy deve disporre di capacità, risorse e qualifiche adeguate.

Verifica: La funzione privacy dispone di capacità, risorse e qualifiche adeguate?

Risposta: yes_noEvidenza: curriculum, attestati formazione, piano risorseApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-DATA-001-015highdata_protection

Deve esistere un registro aggiornato delle attività di trattamento quando richiesto dalla legge.

Verifica: È disponibile un registro aggiornato delle attività di trattamento quando richiesto?

Risposta: document_referenceEvidenza: registro trattamenti GDPR art. 30Applicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-067 · Registro trattamenti GDPR art. 30 · primario · OK_PRIMARY_PRESENTDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-3-1 · TISAX ISA6 9.3.1 9.3.1
REQ-ATOM-DATA-001-016hightechnical_control

Le misure tecniche e organizzative richieste devono essere adeguatamente implementate per le attività di trattamento.

Verifica: Le misure tecniche e organizzative sono implementate per le attività di trattamento?

Risposta: yes_noEvidenza: registro trattamenti con TOM, DPIA, evidenze controlliApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-3-1 · TISAX ISA6 9.3.1 9.3.1
REQ-ATOM-DATA-001-017mediumprocess

Per le attività di trattamento deve esistere una descrizione di processo o sequenza con responsabilità definite.

Verifica: Le attività di trattamento hanno una descrizione di processo con responsabilità definite?

Risposta: yes_noEvidenza: registro trattamenti, procedure privacy, RACIApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-3-1 · TISAX ISA6 9.3.1 9.3.1
REQ-ATOM-DATA-001-018highdata_protection

Le attività di trattamento che richiedono una DPIA devono essere conosciute.

Verifica: Sono note le attività di trattamento che richiedono una DPIA?

Risposta: yes_noEvidenza: screening DPIA, registro trattamenti, criteri DPIAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-4-1 · TISAX ISA6 9.4.1 9.4.1
REQ-ATOM-DATA-001-019highdata_protection

Le valutazioni di impatto sulla protezione dei dati devono essere eseguite quando richiesto.

Verifica: Le DPIA vengono eseguite quando richiesto?

Risposta: yes_noEvidenza: DPIA, registro valutazioni, approvazioni privacyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-4-1 · TISAX ISA6 9.4.1 9.4.1
REQ-ATOM-DATA-001-020mediumgovernance

Responsabilità, compiti e supporto per le DPIA devono essere definiti e noti.

Verifica: Responsabilità, compiti e supporto per le DPIA sono definiti e noti?

Risposta: yes_noEvidenza: procedura DPIA, RACI privacy, nomineApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-4-1 · TISAX ISA6 9.4.1 9.4.1
REQ-ATOM-DATA-001-021highdata_protection

Devono essere implementati processi e workflow appropriati per il trasferimento dei dati.

Verifica: Sono implementati processi e workflow per il trasferimento dei dati?

Risposta: yes_noEvidenza: procedura trasferimento dati, registro trasferimentiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-1 · TISAX ISA6 9.5.1 9.5.1
REQ-ATOM-DATA-001-022highcompliance

I trasferimenti devono basarsi su strumenti o presupposti adeguati, come contratti, clausole, TIA o decisioni di adeguatezza quando applicabili.

Verifica: I trasferimenti dati usano basi e strumenti adeguati quando applicabili?

Risposta: yes_noEvidenza: DPA, SCC, TIA, registro trasferimentiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-1 · TISAX ISA6 9.5.1 9.5.1
REQ-ATOM-DATA-001-023mediumsupplier

Il diritto di consenso o opposizione del responsabile del subappalto deve essere assicurato quando applicabile.

Verifica: È assicurata la gestione di consenso o opposizione per il subappalto quando applicabile?

Risposta: yes_noEvidenza: contratti, autorizzazioni subprocessor, registro fornitoriApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-9-5-1 · TISAX ISA6 9.5.1 9.5.1
REQ-ATOM-DATA-001-024highsupplier

Gli obblighi contrattuali verso i clienti devono essere trasferiti a subappaltatori e partner di cooperazione applicabili.

Verifica: Gli obblighi contrattuali privacy sono trasferiti a subappaltatori e partner?

Risposta: yes_noEvidenza: contratti subfornitori, DPA, clausole flow-downApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-2 · TISAX ISA6 9.5.2 9.5.2
REQ-ATOM-DATA-001-025mediumsupplier

La conformità agli accordi contrattuali dei subappaltatori e partner deve essere verificata.

Verifica: La conformità contrattuale dei subappaltatori e partner viene verificata?

Risposta: yes_noEvidenza: supplier review, audit fornitori, checklist complianceApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-2 · TISAX ISA6 9.5.2 9.5.2
REQ-ATOM-DATA-001-026mediumsupplier

I contatti dei referenti dei subappaltatori devono essere disponibili e aggiornati.

Verifica: I contatti dei referenti dei subappaltatori sono disponibili e aggiornati?

Risposta: yes_noEvidenza: registro fornitori, elenco referentiApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-9-5-2 · TISAX ISA6 9.5.2 9.5.2
REQ-ATOM-DATA-001-027highdata_protection

I trasferimenti di dati verso paesi terzi devono essere conosciuti e registrati sistematicamente.

Verifica: I trasferimenti verso paesi terzi sono conosciuti e registrati?

Risposta: yes_noEvidenza: registro trasferimenti extra UE, registro trattamentiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-3 · TISAX ISA6 9.5.3 9.5.3
REQ-ATOM-DATA-001-028highcompliance

Per i trasferimenti verso paesi terzi devono essere disponibili garanzie sufficienti quando richiesto.

Verifica: Sono disponibili garanzie sufficienti per i trasferimenti verso paesi terzi?

Risposta: yes_noEvidenza: SCC, TIA, decisione adeguatezza, DPAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-3 · TISAX ISA6 9.5.3 9.5.3
REQ-ATOM-DATA-001-029mediumdata_protection

Deve essere determinato se serve il consenso del responsabile per ciascun trasferimento verso paesi terzi.

Verifica: È determinato se serve il consenso del responsabile per i trasferimenti verso paesi terzi?

Risposta: yes_noEvidenza: procedura trasferimenti, registro autorizzazioni, DPAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-3 · TISAX ISA6 9.5.3 9.5.3
REQ-ATOM-DATA-001-030highdata_protection

Le richieste degli interessati devono essere gestite tempestivamente.

Verifica: Le richieste degli interessati sono gestite tempestivamente?

Risposta: yes_noEvidenza: registro richieste interessati, ticket privacyApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-1 · TISAX ISA6 9.6.1 9.6.1
REQ-ATOM-DATA-001-031highprocess

Devono esistere procedure per assistere il titolare nel rispondere alle richieste degli interessati.

Verifica: Esistono procedure per assistere il titolare nella risposta alle richieste degli interessati?

Risposta: document_referenceEvidenza: procedura diritti interessati, DPAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-1 · TISAX ISA6 9.6.1 9.6.1
REQ-ATOM-DATA-001-032mediumtraining

I dipendenti devono sapere di coinvolgere tempestivamente il responsabile competente in caso di richiesta di un interessato.

Verifica: I dipendenti sono istruiti a coinvolgere il responsabile competente in caso di richiesta interessato?

Risposta: yes_noEvidenza: materiale formazione privacy, istruzioni operativeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-1 · TISAX ISA6 9.6.1 9.6.1
REQ-ATOM-DATA-001-033highincident

Gli incidenti di protezione dati devono essere gestiti tempestivamente.

Verifica: Gli incidenti di protezione dati sono gestiti tempestivamente?

Risposta: yes_noEvidenza: registro data breach, ticket incident, report incidenteApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2 9.6.2
REQ-ATOM-DATA-001-034highincident

La gestione degli incidenti deve considerare anche gli incidenti data protection o prevedere un piano dedicato.

Verifica: Il piano incidenti include i data breach o esiste un piano dedicato?

Risposta: document_referenceEvidenza: procedura data breach, incident response planApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2 9.6.2
REQ-ATOM-DATA-001-035highincident

Le procedure devono assicurare notifica immediata alla persona responsabile quando l ordine o trattamento è interessato.

Verifica: Le procedure prevedono notifica immediata al responsabile competente?

Risposta: yes_noEvidenza: procedura data breach, escalation matrixApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2 9.6.2
REQ-ATOM-DATA-001-036highevidencecanonico

Le attività di gestione degli incidenti data protection devono essere documentate.

REQ-CAN-EXACT-0037EXACT_NORMALIZED_TEXT · High

Le attività di gestione degli incidenti data protection devono essere documentate.

Verifica: Le attività di gestione degli incidenti data protection sono documentate?

Risposta: yes_noEvidenza: registro data breach, report incidente, ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2 9.6.2
REQ-ATOM-DATA-001-037mediumtraining

I dipendenti devono essere formati sulle misure e sui processi per incidenti data protection.

Verifica: I dipendenti sono formati sui processi per incidenti data protection?

Risposta: yes_noEvidenza: registro formazione privacy, materiale trainingApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2 9.6.2
REQ-ATOM-DATA-001-038mediumsupplier

Deve essere previsto supporto al titolare del trattamento nella gestione degli incidenti data protection.

Verifica: È previsto supporto al titolare nella gestione degli incidenti data protection?

Risposta: yes_noEvidenza: DPA, procedura data breach, SLA comunicazioneApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2 9.6.2
REQ-ATOM-DATA-001-039highdata_protectioncanonico

I dipendenti che trattano dati personali devono essere obbligati alla riservatezza anche oltre la durata del rapporto.

REQ-CAN-EXACT-0092EXACT_NORMALIZED_TEXT · High

I dipendenti che trattano dati personali devono essere obbligati alla riservatezza anche oltre la durata del rapporto.

Verifica: I dipendenti che trattano dati personali sono vincolati alla riservatezza anche dopo il rapporto?

Risposta: yes_noEvidenza: clausole riservatezza, lettere incarico, contrattiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-1 · TISAX ISA6 9.7.1 9.7.1
REQ-ATOM-DATA-001-040highevidence

L obbligo di riservatezza e rispetto delle norme data protection deve essere documentato.

Verifica: L obbligo di riservatezza e data protection è documentato?

Risposta: document_referenceEvidenza: contratti, NDA, registro incaricatiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-1 · TISAX ISA6 9.7.1 9.7.1
REQ-ATOM-DATA-001-041hightrainingcanonico

I dipendenti devono essere formati e sensibilizzati sulla protezione dei dati.

REQ-CAN-EXACT-0090EXACT_NORMALIZED_TEXT · High

I dipendenti devono essere formati e sensibilizzati sulla protezione dei dati.

Verifica: I dipendenti sono formati e sensibilizzati sulla protezione dei dati?

Risposta: yes_noEvidenza: piano formazione privacy, registro formazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-2 · TISAX ISA6 9.7.2 9.7.2
REQ-ATOM-DATA-001-042mediumtraining

Ambito, frequenza e contenuto della formazione privacy devono essere determinati in base al bisogno di protezione dei dati.

Verifica: Ambito, frequenza e contenuto della formazione privacy sono definiti in base al bisogno di protezione?

Risposta: yes_noEvidenza: piano formazione, matrice ruoli/formazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-2 · TISAX ISA6 9.7.2 9.7.2
REQ-ATOM-DATA-001-043mediumtraining

I dipendenti in aree critiche devono ricevere istruzioni o formazione specifica per il loro lavoro.

Verifica: I dipendenti in aree critiche ricevono formazione privacy specifica?

Risposta: yes_noEvidenza: registro formazione specialistica, materiali trainingApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-2 · TISAX ISA6 9.7.2 9.7.2
REQ-ATOM-DATA-001-044highprocess

Le istruzioni del titolare relative al trattamento dei dati personali devono essere gestite.

Verifica: Le istruzioni del titolare sul trattamento dei dati personali sono gestite?

Risposta: yes_noEvidenza: registro istruzioni, DPA, ticket richiesteApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-8-1 · TISAX ISA6 9.8.1 9.8.1
REQ-ATOM-DATA-001-045highevidence

Le istruzioni ricevute devono essere documentate.

Verifica: Le istruzioni ricevute dal titolare sono documentate?

Risposta: document_referenceEvidenza: registro istruzioni, ticket, comunicazioni formaliApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-8-1 · TISAX ISA6 9.8.1 9.8.1
REQ-ATOM-DATA-001-046mediumprocess

Devono essere presenti procedure e misure per poter attuare le istruzioni, incluse correzione e cancellazione.

Verifica: Esistono procedure e misure per attuare istruzioni di correzione o cancellazione?

Risposta: yes_noEvidenza: procedura gestione istruzioni, procedura cancellazione/correzioneApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-8-1 · TISAX ISA6 9.8.1 9.8.1
REQ-ATOM-DATA-001-047highdata_protection

I dati devono essere separati per cliente, ordine o progetto quando richiesto dal rapporto di trattamento.

Verifica: I dati sono separati per cliente, ordine o progetto quando richiesto?

Risposta: yes_noEvidenza: architettura segregazione dati, configurazioni applicative, DPAApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-8-1 · TISAX ISA6 9.8.1 9.8.1
MC-DATA-002MA-DATA · Data Protection & CryptographyHighCifratura, protezione dati, privacy, masking, DLP e cancellazione.

Cancellazione delle informazioni

2 controlli framework collegati

  • ISO27001FW-ISO-A-8-10Cancellazione delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-5-3-3Restituzione e cancellazione sicura asset informativi da servizi IT esterni

Documenti pianificati

  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici4
REQ-ATOM-DATA-002-001highdata_protection

Le informazioni conservate su sistemi, dispositivi o supporti devono essere cancellate quando non sono più necessarie.

Verifica: Le informazioni vengono cancellate da sistemi, dispositivi o supporti quando non sono più necessarie?

Risposta: yes_noEvidenza: procedura cancellazione dati, registro cancellazioni, ticket dismissioneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-10 · ISO27001 A.8.10 controllo
REQ-ATOM-DATA-002-002hightechnical_control

La cancellazione deve essere eseguita con modalità coerenti con il supporto e con la sensibilità delle informazioni.

Verifica: Le modalità di cancellazione sono coerenti con il supporto e con la sensibilità delle informazioni?

Risposta: yes_noEvidenza: procedura secure erase, evidenze wipe, certificati distruzioneApplicabilità: iso_onlyAutomazione: manual
ISO27001 · FW-ISO-A-8-10 · ISO27001 A.8.10 controllo
REQ-ATOM-DATA-002-003highsuppliercanonico

Per ogni servizio IT esterno deve essere definita e attuata una procedura di restituzione e rimozione sicura degli asset informativi.

REQ-CAN-EXACT-0170EXACT_NORMALIZED_TEXT · High

Per ogni servizio IT esterno deve essere definita e attuata una procedura di restituzione e rimozione sicura degli asset informativi.

Verifica: È definita e attuata una procedura di restituzione e rimozione sicura degli asset informativi dai servizi IT esterni?

Risposta: document_referenceEvidenza: procedura exit servizi IT, clausole contrattuali, evidenze cancellazioneApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-3 · TISAX ISA6 5.3.3 5.3.3
REQ-ATOM-DATA-002-004highsupplier

Il processo di terminazione dei servizi IT esterni deve essere descritto, mantenuto aggiornato e regolato contrattualmente.

Verifica: Il processo di terminazione dei servizi IT esterni è descritto, aggiornato e contrattualizzato?

Risposta: yes_noEvidenza: contratto fornitore, procedura offboarding fornitore, registro modificheApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-3 · TISAX ISA6 5.3.3 5.3.3
MC-DATA-003MA-DATA · Data Protection & CryptographyHighCifratura, protezione dati, privacy, masking, DLP e cancellazione.

Mascheramento dei dati

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-11Mascheramento dei dati

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 3 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-DATA-003-001mediumdata_protection

Il mascheramento dei dati deve essere utilizzato quando richiesto dalla politica di controllo accessi o da requisiti specifici.

Verifica: Il mascheramento dei dati viene usato quando richiesto da policy o requisiti specifici?

Risposta: yes_noEvidenza: procedura data masking, configurazioni applicative, policy accessiApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-11 · ISO27001 A.8.11 controllo
REQ-ATOM-DATA-003-002mediumdata_protection

Il mascheramento deve considerare i requisiti di business e di sicurezza applicabili ai dati trattati.

Verifica: Il mascheramento considera i requisiti di business e sicurezza dei dati trattati?

Risposta: yes_noEvidenza: analisi requisiti, data classification, privacy assessmentApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-11 · ISO27001 A.8.11 controllo
REQ-ATOM-DATA-003-003mediumcompliance

Il mascheramento deve essere coerente con le norme di legge applicabili.

Verifica: Il mascheramento dei dati è coerente con le norme di legge applicabili?

Risposta: yes_noEvidenza: registro requisiti legali, DPIA, valutazione privacyApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-11 · ISO27001 A.8.11 controllo
MC-DATA-004MA-DATA · Data Protection & CryptographyHighCifratura, protezione dati, privacy, masking, DLP e cancellazione.

Prevenzione della fuoriuscita di dati

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-12Prevenzione della fuoriuscita di dati

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 3 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-DATA-004-001highdata_protection

Devono essere applicate misure per prevenire la fuoriuscita di informazioni sensibili dai sistemi.

Verifica: Sono applicate misure per prevenire la fuoriuscita di informazioni sensibili dai sistemi?

Risposta: yes_noEvidenza: policy DLP, configurazioni endpoint/email, report DLPApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-12 · ISO27001 A.8.12 controllo
REQ-ATOM-DATA-004-002hightechnical_control

Le misure di prevenzione della fuoriuscita di dati devono coprire reti e dispositivi che elaborano, memorizzano o trasmettono informazioni sensibili.

Verifica: Le misure anti-leakage coprono reti e dispositivi che trattano informazioni sensibili?

Risposta: yes_noEvidenza: configurazioni DLP, regole firewall/proxy/mail, inventario sistemi copertiApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-12 · ISO27001 A.8.12 controllo
REQ-ATOM-DATA-004-003mediumdata_protection

Le misure anti-leakage devono essere commisurate alla sensibilità delle informazioni trattate.

Verifica: Le misure anti-leakage sono commisurate alla sensibilità delle informazioni trattate?

Risposta: yes_noEvidenza: classificazione informazioni, regole DLP per classe datiApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-12 · ISO27001 A.8.12 controllo
MC-DATA-005MA-DATA · Data Protection & CryptographyHighCifratura, protezione dati, privacy, masking, DLP e cancellazione.

Uso della crittografia

8 controlli framework collegati

  • ISO27001FW-ISO-A-8-24Uso della crittografia
  • TISAX_ISA6FW-TISAX-TISAX-2-1-4Lavoro mobile regolamentato
  • TISAX_ISA6FW-TISAX-TISAX-3-1-4Gestione dispositivi IT mobili e supporti dati mobili
  • TISAX_ISA6FW-TISAX-TISAX-5-1-2Informazioni protette durante il trasferimento
  • TISAX_ISA6FW-TISAX-TISAX-5-1-1Procedure crittografiche gestite
  • NIS2_ESSENZIALEFW-NIS-PR-DS-11Backup creati, protetti, mantenuti e testati
  • NIS2_ESSENZIALEFW-NIS-PR-DS-02Dati in transito protetti
  • NIS2_ESSENZIALEFW-NIS-PR-DS-01Dati a riposo protetti

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 17 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-013 · Procedura gestione assetProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 20 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 16 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 5 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 8 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-049 · Procedura backup e restoreProcedura · 7 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 12 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 38 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e serviziPiano / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 3 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici40
REQ-ATOM-DATA-005-001highpolicy

Devono essere definite regole per l uso efficace della crittografia.

Verifica: Sono definite regole per l uso della crittografia?

Risposta: document_referenceEvidenza: policy crittografia, standard cifraturaApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-24 · ISO27001 A.8.24 controllo
REQ-ATOM-DATA-005-002hightechnical_control

Le regole di crittografia devono includere la gestione delle chiavi crittografiche.

Verifica: Le regole di crittografia includono la gestione delle chiavi crittografiche?

Risposta: yes_noEvidenza: procedura key management, registro chiavi, configurazioni KMSApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
ISO27001 · FW-ISO-A-8-24 · ISO27001 A.8.24 controllo
REQ-ATOM-DATA-005-003hightechnical_control

Le regole di crittografia definite devono essere attuate nei contesti applicabili.

Verifica: Le regole crittografiche sono attuate nei contesti applicabili?

Risposta: yes_noEvidenza: configurazioni TLS, cifratura dischi, configurazioni backup, report complianceApplicabilità: iso_onlyAutomazione: microsoft_api
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-24 · ISO27001 A.8.24 controllo
REQ-ATOM-DATA-005-004hightechnical_control

I dati memorizzati su dispositivi portatili e supporti rimovibili devono essere cifrati quando richiesto dalla valutazione del rischio.

Verifica: I dati su dispositivi portatili e supporti rimovibili sono cifrati in base al rischio?

Risposta: yes_noEvidenza: configurazioni cifratura dischi, MDM, report complianceApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01 punto 1
REQ-ATOM-DATA-005-005hightechnical_control

La cifratura dei dati a riposo deve usare protocolli e algoritmi allo stato dell arte e considerati sicuri.

Verifica: La cifratura dei dati a riposo usa algoritmi e protocolli considerati sicuri?

Risposta: yes_noEvidenza: standard crittografico, configurazioni BitLocker/FileVault, policy cifraturaApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01 punto 1
REQ-ATOM-DATA-005-006mediumtechnical_control

L autoesecuzione dei supporti rimovibili deve essere disabilitata, salvo motivate eccezioni documentate.

Verifica: L autoesecuzione dei supporti rimovibili è disabilitata, salvo eccezioni motivate?

Risposta: yes_noEvidenza: GPO/MDM policy, configurazioni endpoint, registro eccezioniApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01 punto 2
REQ-ATOM-DATA-005-007mediumtechnical_control

I supporti rimovibili devono essere sottoposti a scansione antimalware prima dell uso nei sistemi informativi e di rete.

Verifica: I supporti rimovibili vengono scansionati prima dell uso sui sistemi?

Risposta: yes_noEvidenza: policy antivirus, log endpoint protection, configurazioni EDRApplicabilità: nis2_essenziale_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01 punto 2
REQ-ATOM-DATA-005-008mediumprocess

Devono essere adottate e documentate procedure per cifratura, autoesecuzione e scansione dei supporti rimovibili.

Verifica: Sono documentate procedure per protezione dei dati a riposo e supporti rimovibili?

Risposta: document_referenceEvidenza: procedura protezione dati, policy removable mediaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01 punto 3
REQ-ATOM-DATA-005-009hightechnical_control

La trasmissione dei dati da e verso l esterno deve usare cifratura sicura quando richiesto dalla valutazione del rischio.

Verifica: I dati trasmessi da e verso l esterno sono protetti con cifratura in base al rischio?

Risposta: yes_noEvidenza: configurazioni TLS/VPN, standard cifratura, report sicurezzaApplicabilità: nis2_essenziale_onlyAutomazione: microsoft_api
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-02 · NIS2 Allegato 2 PR.DS-02 punto 1
REQ-ATOM-DATA-005-010mediumtechnical_control

La protezione dei dati in transito deve coprire anche comunicazioni vocali, video e testuali ove rilevanti.

Verifica: La protezione dei dati in transito copre anche comunicazioni voce, video e testo rilevanti?

Risposta: yes_noEvidenza: configurazioni collaboration, policy comunicazioni, architettura reteApplicabilità: nis2_essenziale_onlyAutomazione: microsoft_api
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-02 · NIS2 Allegato 2 PR.DS-02 punto 1
REQ-ATOM-DATA-005-011hightechnical_control

La cifratura dei dati in transito deve usare protocolli e algoritmi allo stato dell arte e considerati sicuri.

Verifica: La cifratura dei dati in transito usa protocolli e algoritmi considerati sicuri?

Risposta: yes_noEvidenza: standard TLS/VPN, vulnerability scan, configurazioni serviziApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-02 · NIS2 Allegato 2 PR.DS-02 punto 1
REQ-ATOM-DATA-005-012mediumprocess

Devono essere adottate e documentate procedure per la protezione dei dati in transito.

Verifica: Sono documentate procedure per proteggere i dati in transito?

Risposta: document_referenceEvidenza: procedura comunicazioni sicure, policy cifraturaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-02 · NIS2 Allegato 2 PR.DS-02 punto 2
REQ-ATOM-DATA-005-013highcontinuitycanonico

I backup di dati e configurazioni devono essere eseguiti periodicamente in coerenza con esigenze di continuità e disaster recovery.

REQ-CAN-EXACT-0044EXACT_NORMALIZED_TEXT · High

I backup di dati e configurazioni devono essere eseguiti periodicamente in coerenza con esigenze di continuità e disaster recovery.

Verifica: I backup di dati e configurazioni sono eseguiti periodicamente secondo le esigenze BCM/DR?

Risposta: yes_noEvidenza: report backup, policy backup, BCP/DRPApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 1
REQ-ATOM-DATA-005-014highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti devono essere conservate anche copie di backup offline.

REQ-CAN-EXACT-0262EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere conservate anche copie di backup offline.

Verifica: Per i sistemi rilevanti sono conservate copie di backup offline?

Risposta: yes_noEvidenza: configurazione backup offline, report backupApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 1
REQ-ATOM-DATA-005-015highprocesscanonico

Devono essere adottate e documentate procedure per l esecuzione periodica dei backup.

REQ-CAN-EXACT-0008EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per l esecuzione periodica dei backup.

Verifica: Esistono procedure documentate per l esecuzione periodica dei backup?

Risposta: document_referenceEvidenza: procedura backupApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 2
REQ-ATOM-DATA-005-016highdata_protectioncanonico

Per i sistemi informativi e di rete rilevanti deve essere assicurata la riservatezza e integrità dei backup tramite protezione fisica o cifratura.

REQ-CAN-EXACT-0261EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere assicurata la riservatezza e integrità dei backup tramite protezione fisica o cifratura.

Verifica: I backup rilevanti sono protetti fisicamente o cifrati per riservatezza e integrità?

Risposta: yes_noEvidenza: configurazione cifratura, procedura conservazione supportiApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 3
REQ-ATOM-DATA-005-017highcontinuitycanonico

L utilizzabilità dei backup dei sistemi rilevanti deve essere verificata periodicamente mediante test di ripristino.

REQ-CAN-EXACT-0300EXACT_NORMALIZED_TEXT · High

L utilizzabilità dei backup dei sistemi rilevanti deve essere verificata periodicamente mediante test di ripristino.

Verifica: L utilizzabilità dei backup viene verificata periodicamente con test di ripristino?

Risposta: yes_noEvidenza: registro test restore, report DR testApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 4
REQ-ATOM-DATA-005-018mediumprocesscanonico

Le procedure devono documentare anche protezione dei backup e test di ripristino.

REQ-CAN-EXACT-0212EXACT_NORMALIZED_TEXT · High

Le procedure devono documentare anche protezione dei backup e test di ripristino.

Verifica: Le procedure descrivono protezione dei backup e test di ripristino?

Risposta: document_referenceEvidenza: procedura backup e restoreApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-11 · NIS2 Allegato 2 PR.DS-11 punto 5
REQ-ATOM-DATA-005-019mediumprocesscanonico

I requisiti per il lavoro mobile o telelavoro devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0228EXACT_NORMALIZED_TEXT · High

I requisiti per il lavoro mobile o telelavoro devono essere determinati e soddisfatti.

Verifica: I requisiti per lavoro mobile e telelavoro sono determinati e soddisfatti?

Risposta: document_referenceEvidenza: policy lavoro mobile, procedura smart workingApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4 2.1.4
REQ-ATOM-DATA-005-020mediumdata_protectioncanonico

Il lavoro mobile deve prevedere regole per gestione sicura e accesso alle informazioni in ambienti privati e pubblici.

REQ-CAN-EXACT-0145EXACT_NORMALIZED_TEXT · High

Il lavoro mobile deve prevedere regole per gestione sicura e accesso alle informazioni in ambienti privati e pubblici.

Verifica: Il lavoro mobile prevede regole per gestione sicura delle informazioni in ambienti privati e pubblici?

Risposta: yes_noEvidenza: policy lavoro mobile, istruzioni operativeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4 2.1.4
REQ-ATOM-DATA-005-021highaccess_controlcanonico

L accesso alla rete dell Organizzazione da lavoro mobile deve usare connessione sicura e autenticazione forte.

REQ-CAN-EXACT-0002EXACT_NORMALIZED_TEXT · High

L accesso alla rete dell Organizzazione da lavoro mobile deve usare connessione sicura e autenticazione forte.

Verifica: L accesso da remoto usa connessione sicura e autenticazione forte?

Risposta: yes_noEvidenza: configurazioni VPN/ZTNA, MFA, conditional accessApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTERDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4 2.1.4
REQ-ATOM-DATA-005-022lowprocess

Devono essere considerate misure per viaggi e viaggi verso paesi critici per la sicurezza.

Verifica: Sono considerate misure per viaggi e paesi critici per la sicurezza?

Risposta: yes_noEvidenza: travel security policy, istruzioni viaggioApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4 2.1.4
REQ-ATOM-DATA-005-023mediumphysical_securitycanonico

Devono essere attuate misure contro ascolto e visione non autorizzati durante il lavoro mobile quando applicabile.

REQ-CAN-EXACT-0040EXACT_NORMALIZED_TEXT · High

Devono essere attuate misure contro ascolto e visione non autorizzati durante il lavoro mobile quando applicabile.

Verifica: Sono attuate misure contro ascolto e visione non autorizzati nel lavoro mobile?

Risposta: yes_noEvidenza: privacy screen, istruzioni lavoro pubblico, formazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4 2.1.4
REQ-ATOM-DATA-005-024hightechnical_controlcanonico

I requisiti per dispositivi IT mobili e supporti dati mobili devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0225EXACT_NORMALIZED_TEXT · High

I requisiti per dispositivi IT mobili e supporti dati mobili devono essere determinati e soddisfatti.

Verifica: I requisiti per dispositivi mobili e supporti mobili sono determinati e soddisfatti?

Risposta: document_referenceEvidenza: policy mobile device, configurazioni MDMApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4 3.1.4
REQ-ATOM-DATA-005-025hightechnical_controlcanonico

I dispositivi mobili e i supporti mobili devono considerare cifratura, protezione di accesso e marcatura quando applicabile.

REQ-CAN-EXACT-0102EXACT_NORMALIZED_TEXT · High

I dispositivi mobili e i supporti mobili devono considerare cifratura, protezione di accesso e marcatura quando applicabile.

Verifica: Dispositivi e supporti mobili prevedono cifratura, protezione accesso e marcatura?

Risposta: yes_noEvidenza: MDM, cifratura device, inventario deviceApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4 3.1.4
REQ-ATOM-DATA-005-026highasset_managementcanonico

I dispositivi IT mobili devono essere registrati.

REQ-CAN-EXACT-0101EXACT_NORMALIZED_TEXT · High

I dispositivi IT mobili devono essere registrati.

Verifica: I dispositivi IT mobili sono registrati?

Risposta: yes_noEvidenza: inventario dispositivi mobili, MDMApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4 3.1.4
REQ-ATOM-DATA-005-027mediumtrainingcanonico

Gli utenti devono essere informati delle eventuali carenze di protezione dati sui dispositivi mobili.

REQ-CAN-EXACT-0295EXACT_NORMALIZED_TEXT · High

Gli utenti devono essere informati delle eventuali carenze di protezione dati sui dispositivi mobili.

Verifica: Gli utenti sono informati delle carenze di protezione dati sui dispositivi mobili?

Risposta: yes_noEvidenza: istruzioni utenti, awareness mobile securityApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4 3.1.4
REQ-ATOM-DATA-005-028hightechnical_controlcanonico

I supporti mobili o le informazioni ivi memorizzate devono essere cifrati o protetti con misure equivalenti quando la cifratura non è tecnicamente possibile.

REQ-CAN-EXACT-0284EXACT_NORMALIZED_TEXT · High

I supporti mobili o le informazioni ivi memorizzate devono essere cifrati o protetti con misure equivalenti quando la cifratura non è tecnicamente possibile.

Verifica: Supporti mobili o dati memorizzati sono cifrati o protetti con misure equivalenti?

Risposta: yes_noEvidenza: cifratura USB/device, policy removable media, registro eccezioniApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4 3.1.4
REQ-ATOM-DATA-005-029hightechnical_control

Le procedure crittografiche usate devono fornire il livello di sicurezza richiesto dal relativo ambito applicativo.

Verifica: Le procedure crittografiche usate forniscono il livello di sicurezza richiesto?

Risposta: yes_noEvidenza: standard crittografico, configurazioni sistemi, assessment crittografiaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-1 · TISAX ISA6 5.1.1 5.1.1
REQ-ATOM-DATA-005-030highpolicy

Devono essere predisposte regole tecniche per l uso della cifratura in base alla classificazione delle informazioni.

Verifica: Sono definite regole tecniche di cifratura basate sulla classificazione delle informazioni?

Risposta: document_referenceEvidenza: policy crittografia, standard tecnici, classificazione datiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-1 · TISAX ISA6 5.1.1 5.1.1
REQ-ATOM-DATA-005-031hightechnical_control

Deve essere definito e implementato un concetto per l applicazione della crittografia.

Verifica: È definito e implementato un concetto per l applicazione della crittografia?

Risposta: yes_noEvidenza: crypto concept, architettura cifratura, configurazioni KMSApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-1 · TISAX ISA6 5.1.1 5.1.1
REQ-ATOM-DATA-005-032hightechnical_control

Il concetto crittografico deve considerare procedure, robustezza delle chiavi e ciclo di vita completo delle chiavi.

Verifica: Il concetto crittografico copre procedure, robustezza e ciclo di vita delle chiavi?

Risposta: yes_noEvidenza: procedura key management, registro chiavi, standard crittograficiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-5-1-1 · TISAX ISA6 5.1.1 5.1.1
REQ-ATOM-DATA-005-033mediumcontinuity

Deve essere stabilito un processo di emergenza per il ripristino del materiale crittografico.

Verifica: Esiste un processo di emergenza per il ripristino del materiale crittografico?

Risposta: document_referenceEvidenza: procedura emergency key recovery, piano continuitàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-1 · TISAX ISA6 5.1.1 5.1.1
REQ-ATOM-DATA-005-034highsupplier

I requisiti di sovranità delle chiavi devono essere determinati e soddisfatti, in particolare nei trattamenti esterni.

Verifica: I requisiti di sovranità delle chiavi sono determinati e soddisfatti nei trattamenti esterni?

Risposta: yes_noEvidenza: contratti cloud, key management design, valutazione fornitoriApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-5-1-1 · TISAX ISA6 5.1.1 5.1.1
REQ-ATOM-DATA-005-035mediumasset_managementcanonico

I servizi di rete usati per trasferire informazioni devono essere identificati e documentati.

REQ-CAN-EXACT-0257EXACT_NORMALIZED_TEXT · High

I servizi di rete usati per trasferire informazioni devono essere identificati e documentati.

Verifica: I servizi di rete usati per trasferire informazioni sono identificati e documentati?

Risposta: document_referenceEvidenza: inventario servizi rete, diagramma flussi datiApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2 5.1.2
REQ-ATOM-DATA-005-036highpolicy

Devono essere definite e attuate policy e procedure per l uso dei servizi di rete coerenti con la classificazione delle informazioni.

Verifica: Sono definite e attuate policy/procedure per l uso dei servizi di rete coerenti con la classificazione?

Risposta: yes_noEvidenza: policy trasferimento informazioni, procedura comunicazioni sicureApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2 5.1.2
REQ-ATOM-DATA-005-037hightechnical_control

Devono essere implementate misure per proteggere i contenuti trasferiti da accesso non autorizzato.

Verifica: I contenuti trasferiti sono protetti da accesso non autorizzato?

Risposta: yes_noEvidenza: configurazioni TLS/VPN, cifratura contenuto, DLPApplicabilità: tisax_onlyAutomazione: microsoft_api
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2 5.1.2
REQ-ATOM-DATA-005-038mediumtechnical_control

Devono essere implementate misure per garantire corretto indirizzamento e corretto trasferimento delle informazioni.

Verifica: Sono presenti misure per corretto indirizzamento e trasferimento delle informazioni?

Risposta: yes_noEvidenza: procedure invio dati, controlli destinatari, log trasferimentiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2 5.1.2
REQ-ATOM-DATA-005-039hightechnical_controlcanonico

Lo scambio elettronico dei dati deve usare cifratura di contenuto o trasporto in base alla classificazione.

REQ-CAN-EXACT-0249EXACT_NORMALIZED_TEXT · High

Lo scambio elettronico dei dati deve usare cifratura di contenuto o trasporto in base alla classificazione.

Verifica: Lo scambio elettronico usa cifratura di contenuto o trasporto in base alla classificazione?

Risposta: yes_noEvidenza: configurazioni TLS, cifratura email/file, policy classificazioneApplicabilità: tisax_onlyAutomazione: microsoft_api
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2 5.1.2
REQ-ATOM-DATA-005-040highaccess_control

Le connessioni di accesso remoto devono essere verificate per adeguate caratteristiche di sicurezza.

Verifica: Le connessioni di accesso remoto sono verificate per cifratura, concessione e revoca accessi?

Risposta: yes_noEvidenza: configurazioni VPN/ZTNA, registro accessi remoti, policy MFAApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTERDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2 5.1.2
MC-GOV-001MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Politiche per la sicurezza delle informazioni

7 controlli framework collegati

  • ISO27001FW-ISO-A-5-1Politiche per la sicurezza delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-1-1-1Policy di sicurezza disponibili
  • TISAX_ISA6FW-TISAX-TISAX-9-1-1Policy protezione dati personali
  • TISAX_ISA6FW-TISAX-TISAX-1-4-1Rischi di sicurezza informazioni gestiti
  • TISAX_ISA6FW-TISAX-TISAX-2-1-2Obbligo contrattuale di rispettare le policy
  • NIS2_ESSENZIALEFW-NIS-GV-PO-01Politiche di cybersecurity stabilite, documentate e approvate
  • NIS2_ESSENZIALEFW-NIS-GV-PO-02Politiche di cybersecurity riesaminate e aggiornate

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 22 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 4 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 5 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 5 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-034 · Metodologia di valutazione rischio cyberDocumento metodologico · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-035 · Risk RegisterRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-038 · Registro accettazione rischi residuiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 3 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-065 · Registro riesame policyRegistro · 4 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-067 · Registro trattamenti GDPR art. 30Registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici32
REQ-ATOM-GOV-001-001highpolicy

La politica per la sicurezza delle informazioni e le eventuali politiche specifiche devono essere definite.

Verifica: La politica per la sicurezza delle informazioni e le politiche specifiche sono definite?

Risposta: document_referenceEvidenza: politica sicurezza informazioni, policy specificheApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-1 · ISO27001 A.5.1 controllo
REQ-ATOM-GOV-001-002highgovernance

Le politiche di sicurezza devono essere approvate dalla direzione.

Verifica: Le politiche di sicurezza sono approvate dalla direzione?

Risposta: yes_noEvidenza: verbale approvazione, registro approvazioniApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-1 · ISO27001 A.5.1 controllo
REQ-ATOM-GOV-001-003mediumpolicy

Le politiche di sicurezza devono essere pubblicate o rese disponibili ai destinatari pertinenti.

Verifica: Le politiche sono pubblicate o disponibili ai destinatari pertinenti?

Risposta: yes_noEvidenza: repository documentale, intranet, lista distribuzioneApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-1 · ISO27001 A.5.1 controllo
REQ-ATOM-GOV-001-004mediumtraining

Le politiche devono essere comunicate e accettate dal personale e dalle parti interessate pertinenti.

Verifica: Le politiche sono comunicate e accettate dal personale e dalle parti interessate pertinenti?

Risposta: yes_noEvidenza: registro presa visione, attestazioni, onboardingApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-004 · Parti interessate e requisiti applicabili · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-1 · ISO27001 A.5.1 controllo
REQ-ATOM-GOV-001-005highreview

Le politiche devono essere riesaminate a intervalli pianificati e in caso di cambiamenti significativi.

Verifica: Le politiche sono riesaminate periodicamente e dopo cambiamenti significativi?

Risposta: yes_noEvidenza: registro riesame policy, verbali reviewApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-065 · Registro riesame policy · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-1 · ISO27001 A.5.1 controllo
REQ-ATOM-GOV-001-006highpolicy

Devono essere adottate e documentate politiche di sicurezza informatica per gli ambiti richiesti.

Verifica: Sono adottate e documentate politiche di sicurezza informatica per gli ambiti richiesti?

Risposta: document_referenceEvidenza: catalogo policy, politica sicurezza, policy specificheApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punti 1-2
REQ-ATOM-GOV-001-007highpolicy

Le politiche devono coprire almeno gestione del rischio, ruoli, risorse umane, conformità, fornitori, asset e vulnerabilità.

Verifica: Le politiche coprono rischio, ruoli, HR, conformità, fornitori, asset e vulnerabilità?

Risposta: yes_noEvidenza: indice policy, matrice copertura requisitiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 1 a-g
REQ-ATOM-GOV-001-008highpolicy

Le politiche devono coprire continuità, accessi, sicurezza fisica, formazione, dati, ciclo di vita sistemi, reti, monitoraggio e incidenti.

Verifica: Le politiche coprono continuità, accessi, fisica, formazione, dati, sistemi, reti, monitoraggio e incidenti?

Risposta: yes_noEvidenza: indice policy, matrice copertura requisitiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 1 h-p
REQ-ATOM-GOV-001-009highgovernancecanonico

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

REQ-CAN-EXACT-0202EXACT_NORMALIZED_TEXT · High

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

Verifica: Le politiche sono approvate dagli organi di amministrazione e direttivi?

Risposta: yes_noEvidenza: verbali approvazione, registro approvazioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 3
REQ-ATOM-GOV-001-010mediumpolicy

Le politiche devono essere rese note alle articolazioni competenti secondo necessità di conoscere.

Verifica: Le politiche sono rese note alle articolazioni competenti secondo need-to-know?

Risposta: yes_noEvidenza: lista distribuzione, repository documentale, registro presa visioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 3
REQ-ATOM-GOV-001-011highreview

Le politiche di sicurezza devono essere riesaminate e, se opportuno, aggiornate almeno annualmente.

Verifica: Le politiche sono riesaminate e aggiornate almeno annualmente se necessario?

Risposta: yes_noEvidenza: registro riesame policy, verbali reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-02 · NIS2 Allegato 2 GV.PO-02 punto 1
REQ-ATOM-GOV-001-012highreview

Le politiche devono essere riesaminate quando cambiano normativa, organizzazione, minacce, rischi o dopo incidenti significativi.

Verifica: Le politiche vengono riesaminate dopo cambiamenti rilevanti o incidenti significativi?

Risposta: yes_noEvidenza: registro riesame policy, trigger review, verbali incident reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-065 · Registro riesame policy · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-02 · NIS2 Allegato 2 GV.PO-02 punto 1
REQ-ATOM-GOV-001-013mediumcompliance

Nel riesame deve essere verificata almeno la conformità delle politiche alla normativa di sicurezza informatica.

Verifica: Nel riesame viene verificata la conformità normativa delle politiche?

Risposta: yes_noEvidenza: checklist compliance, registro requisiti legali, verbale riesameApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
NIS2_ESSENZIALE · FW-NIS-GV-PO-02 · NIS2 Allegato 2 GV.PO-02 punto 2
REQ-ATOM-GOV-001-014mediumevidence

Deve essere mantenuto un registro aggiornato degli esiti del riesame delle politiche.

Verifica: È mantenuto un registro aggiornato degli esiti del riesame delle policy?

Risposta: document_referenceEvidenza: registro riesame policyApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-02 · NIS2 Allegato 2 GV.PO-02 punto 3
REQ-ATOM-GOV-001-015highpolicy

I requisiti di sicurezza delle informazioni devono essere determinati e documentati.

Verifica: I requisiti di sicurezza delle informazioni sono determinati e documentati?

Risposta: document_referenceEvidenza: policy sicurezza, requisiti ISMSApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-1-1 · TISAX ISA6 1.1.1 1.1.1
REQ-ATOM-GOV-001-016mediumgovernance

I requisiti devono essere adattati agli obiettivi dell Organizzazione.

Verifica: I requisiti di sicurezza sono adattati agli obiettivi dell Organizzazione?

Risposta: yes_noEvidenza: policy sicurezza, strategia ISMSApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-007 · Obiettivi di sicurezza e KPI · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-1-1 · TISAX ISA6 1.1.1 1.1.1
REQ-ATOM-GOV-001-017highcompliance

La policy deve considerare strategia, legislazione e contratti applicabili.

Verifica: La policy considera strategia, legislazione e contratti applicabili?

Risposta: yes_noEvidenza: policy sicurezza, registro requisiti legali/contrattualiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-1-1 · TISAX ISA6 1.1.1 1.1.1
REQ-ATOM-GOV-001-018highpolicy

Le policy devono essere pubblicate e implementate nell ambito di assessment.

Verifica: Le policy sono pubblicate e implementate nell ambito di assessment?

Risposta: yes_noEvidenza: repository policy, registro distribuzione, evidenze implementazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-1-1 · TISAX ISA6 1.1.1 1.1.1
REQ-ATOM-GOV-001-019highrisk_based

Le valutazioni dei rischi di sicurezza delle informazioni devono essere svolte a intervalli regolari e in risposta a eventi.

Verifica: Le valutazioni dei rischi di sicurezza sono svolte periodicamente e in risposta a eventi?

Risposta: yes_noEvidenza: risk assessment, calendario review, trigger eventApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1 1.4.1
REQ-ATOM-GOV-001-020highrisk_based

I rischi di sicurezza devono essere valutati rispetto a probabilità e danno potenziale.

Verifica: I rischi sono valutati considerando probabilità e danno potenziale?

Risposta: yes_noEvidenza: metodologia rischio, registro rischiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-035 · Risk Register · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1 1.4.1
REQ-ATOM-GOV-001-021highgovernance

I rischi di sicurezza devono essere documentati e assegnati a un risk owner.

Verifica: Ogni rischio documentato ha un risk owner assegnato?

Risposta: yes_noEvidenza: registro rischi con ownerApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-020 · Registro asset informativi e owner · evidenza · OK_EVIDENCE_OR_REGISTERDOC-035 · Risk Register · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1 1.4.1
REQ-ATOM-GOV-001-022highprocess

Deve esistere una procedura per identificare, valutare e trattare i rischi di sicurezza.

Verifica: Esiste una procedura per identificare, valutare e trattare i rischi di sicurezza?

Risposta: document_referenceEvidenza: procedura risk managementApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1 1.4.1
REQ-ATOM-GOV-001-023highrisk_based

Devono esistere criteri per la valutazione e il trattamento dei rischi di sicurezza.

Verifica: Sono definiti criteri per valutare e trattare i rischi di sicurezza?

Risposta: yes_noEvidenza: metodologia rischio, criteri accettazione rischioApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-038 · Registro accettazione rischi residui · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1 1.4.1
REQ-ATOM-GOV-001-024highprocess

Le misure di trattamento dei rischi e i responsabili devono essere specificati e documentati.

Verifica: Le misure di trattamento e i responsabili sono specificati e documentati?

Risposta: yes_noEvidenza: piano trattamento rischi, stato azioniApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1 1.4.1
REQ-ATOM-GOV-001-025mediumreview

In caso di cambiamenti di contesto, regolamenti, organizzazione o sedi, i rischi devono essere rivalutati tempestivamente.

Verifica: I rischi sono rivalutati tempestivamente dopo cambiamenti rilevanti?

Risposta: yes_noEvidenza: registro riesame rischi, verbali change/risk reviewApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1 1.4.1
REQ-ATOM-GOV-001-026mediumpolicycanonico

Deve essere attivo un obbligo di riservatezza per il personale.

REQ-CAN-EXACT-0038EXACT_NORMALIZED_TEXT · High

Deve essere attivo un obbligo di riservatezza per il personale.

Verifica: È attivo un obbligo di riservatezza per il personale?

Risposta: yes_noEvidenza: contratti, NDA, regolamento internoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
REQ-ATOM-GOV-001-027mediumpolicycanonico

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

REQ-CAN-EXACT-0039EXACT_NORMALIZED_TEXT · High

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

Verifica: Il personale è contrattualmente obbligato a rispettare le policy di sicurezza?

Risposta: yes_noEvidenza: contratti, regolamento aziendale, presa visione policyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
REQ-ATOM-GOV-001-028mediumpolicy

L obbligo di riservatezza deve restare valido oltre il contratto o incarico quando richiesto.

Verifica: L obbligo di riservatezza resta valido oltre il rapporto quando richiesto?

Risposta: yes_noEvidenza: clausole contrattuali, NDAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
REQ-ATOM-GOV-001-029mediumgovernancecanonico

Gli aspetti di sicurezza delle informazioni devono essere considerati nei contratti del personale.

REQ-CAN-EXACT-0033EXACT_NORMALIZED_TEXT · High

Gli aspetti di sicurezza delle informazioni devono essere considerati nei contratti del personale.

Verifica: Gli aspetti di sicurezza sono considerati nei contratti del personale?

Risposta: yes_noEvidenza: template contratto, clausole sicurezzaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
REQ-ATOM-GOV-001-030mediumprocesscanonico

Deve essere descritta una procedura per gestire violazioni degli obblighi di sicurezza o riservatezza.

REQ-CAN-EXACT-0083EXACT_NORMALIZED_TEXT · High

Deve essere descritta una procedura per gestire violazioni degli obblighi di sicurezza o riservatezza.

Verifica: Esiste una procedura per gestire violazioni degli obblighi di sicurezza o riservatezza?

Risposta: document_referenceEvidenza: procedura gestione violazioni, disciplinare internoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
REQ-ATOM-GOV-001-031highpolicycanonico

Deve esistere almeno una policy per la protezione dei dati personali.

REQ-CAN-EXACT-0111EXACT_NORMALIZED_TEXT · High

Deve esistere almeno una policy per la protezione dei dati personali.

Verifica: È disponibile almeno una policy per la protezione dei dati personali?

Risposta: document_referenceEvidenza: policy data protection/privacyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-1-1 · TISAX ISA6 9.1.1 9.1.1
REQ-ATOM-GOV-001-032highgovernancecanonico

La policy privacy deve essere creata, mantenuta aggiornata e approvata dal management.

REQ-CAN-EXACT-0200EXACT_NORMALIZED_TEXT · High

La policy privacy deve essere creata, mantenuta aggiornata e approvata dal management.

Verifica: La policy privacy è creata, aggiornata e approvata dal management?

Risposta: yes_noEvidenza: policy privacy, registro approvazioni, registro revisioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-1-1 · TISAX ISA6 9.1.1 9.1.1
MC-GOV-002MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Ruoli e responsabilità per la sicurezza delle informazioni

6 controlli framework collegati

  • ISO27001FW-ISO-A-5-2Ruoli e responsabilità per la sicurezza delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-1-2-2Responsabilità di sicurezza organizzate
  • TISAX_ISA6FW-TISAX-TISAX-9-2-1Responsabilità data protection organizzate
  • TISAX_ISA6FW-TISAX-TISAX-1-2-1Sicurezza informazioni gestita nell’organizzazione
  • NIS2_ESSENZIALEFW-NIS-GV-RR-02Ruoli, responsabilità e poteri in materia di cybersecurity definiti
  • NIS2_ESSENZIALEFW-NIS-GV-SC-02Ruoli di cybersecurity di fornitori e terze parti definiti

Documenti pianificati

  • DOC-002 · Campo di applicazione SGSI / ISMS ScopeDocumento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-008 · Organizzazione della sicurezza informaticaDocumento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 27 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-010 · Elenco personale con ruoli di sicurezzaRegistro · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici27
REQ-ATOM-GOV-002-001highgovernance

I ruoli e le responsabilità per la sicurezza delle informazioni devono essere definiti.

Verifica: I ruoli e le responsabilità per la sicurezza delle informazioni sono definiti?

Risposta: document_referenceEvidenza: matrice RACI, organigramma sicurezza, nomineApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-5-2 · ISO27001 A.5.2 controllo
REQ-ATOM-GOV-002-002highgovernance

I ruoli e le responsabilità per la sicurezza delle informazioni devono essere assegnati in base alle esigenze dell Organizzazione.

Verifica: I ruoli di sicurezza sono assegnati in base alle esigenze dell Organizzazione?

Risposta: yes_noEvidenza: nomine, matrice responsabilità, job descriptionApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-010 · Elenco personale con ruoli di sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-2 · ISO27001 A.5.2 controllo
REQ-ATOM-GOV-002-003highgovernance

L organizzazione per la sicurezza informatica deve essere definita, approvata e resa nota alle articolazioni competenti.

Verifica: L organizzazione di sicurezza informatica è definita, approvata e resa nota?

Risposta: document_referenceEvidenza: organigramma sicurezza, verbale approvazione, comunicazione internaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-008 · Organizzazione della sicurezza informatica · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-02 · NIS2 Allegato 2 GV.RR-02 punto 1
REQ-ATOM-GOV-002-004highgovernance

Devono essere stabiliti ruoli e responsabilità dell organizzazione di sicurezza informatica.

Verifica: Sono stabiliti ruoli e responsabilità dell organizzazione di sicurezza informatica?

Risposta: yes_noEvidenza: matrice RACI, mansionari, nomineApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
NIS2_ESSENZIALE · FW-NIS-GV-RR-02 · NIS2 Allegato 2 GV.RR-02 punto 1
REQ-ATOM-GOV-002-005highevidence

Deve essere mantenuto un elenco aggiornato del personale con ruoli e responsabilità specifici di sicurezza.

Verifica: È mantenuto un elenco aggiornato del personale con ruoli specifici di sicurezza?

Risposta: document_referenceEvidenza: registro ruoli sicurezza, elenco personale nominatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-010 · Elenco personale con ruoli di sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-02 · NIS2 Allegato 2 GV.RR-02 punto 2
REQ-ATOM-GOV-002-006highgovernance

L elenco dei ruoli di sicurezza deve includere punto di contatto, sostituto, referente CSIRT ed eventuali sostituti.

Verifica: L elenco include punto di contatto, sostituto, referente CSIRT ed eventuali sostituti?

Risposta: yes_noEvidenza: registro ruoli sicurezza, nomine CSIRT/punto contattoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-010 · Elenco personale con ruoli di sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-02 · NIS2 Allegato 2 GV.RR-02 punto 3
REQ-ATOM-GOV-002-007mediumreview

Ruoli e responsabilità devono essere riesaminati e aggiornati periodicamente almeno ogni due anni o al verificarsi di eventi rilevanti.

Verifica: Ruoli e responsabilità sono riesaminati almeno ogni due anni o dopo eventi rilevanti?

Risposta: yes_noEvidenza: registro riesame ruoli, verbali reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
NIS2_ESSENZIALE · FW-NIS-GV-RR-02 · NIS2 Allegato 2 GV.RR-02 punto 4
REQ-ATOM-GOV-002-008mediumsupplier

I ruoli di sicurezza assegnati al personale di terze parti devono essere definiti nell organizzazione di sicurezza informatica.

Verifica: I ruoli di sicurezza del personale di terze parti sono definiti?

Risposta: yes_noEvidenza: RACI fornitori, contratti, nomine terze partiApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-010 · Elenco personale con ruoli di sicurezza · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-02 · NIS2 Allegato 2 GV.SC-02 punto 1
REQ-ATOM-GOV-002-009mediumsupplier

I ruoli e responsabilità di sicurezza delle terze parti devono essere resi noti alle articolazioni competenti.

Verifica: I ruoli delle terze parti sono comunicati alle articolazioni competenti?

Risposta: yes_noEvidenza: comunicazioni interne, registro fornitori, RACIApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
NIS2_ESSENZIALE · FW-NIS-GV-SC-02 · NIS2 Allegato 2 GV.SC-02 punto 1
REQ-ATOM-GOV-002-010mediumsupplier

Il personale terzo con ruoli specifici di sicurezza deve essere incluso nell elenco dei ruoli di sicurezza.

Verifica: Il personale terzo con ruoli specifici è incluso nell elenco dei ruoli di sicurezza?

Risposta: yes_noEvidenza: registro ruoli sicurezza, elenco personale terze partiApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-010 · Elenco personale con ruoli di sicurezza · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-02 · NIS2 Allegato 2 GV.SC-02 punto 2
REQ-ATOM-GOV-002-011highgovernancecanonico

Il perimetro del sistema di gestione della sicurezza delle informazioni deve essere definito.

REQ-CAN-EXACT-0175EXACT_NORMALIZED_TEXT · High

Il perimetro del sistema di gestione della sicurezza delle informazioni deve essere definito.

Verifica: Il perimetro del sistema di gestione della sicurezza delle informazioni è definito?

Risposta: document_referenceEvidenza: scope ISMS, documento perimetroApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-002 · Campo di applicazione SGSI / ISMS Scope · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1 1.2.1
REQ-ATOM-GOV-002-012highgovernance

I requisiti dell Organizzazione per il sistema di gestione della sicurezza devono essere determinati.

Verifica: I requisiti dell Organizzazione per l ISMS sono determinati?

Risposta: yes_noEvidenza: requisiti ISMS, policy, analisi contestoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1 1.2.1
REQ-ATOM-GOV-002-013highgovernance

L Organizzazione deve implementare e mantenere un sistema di gestione per la sicurezza delle informazioni.

Verifica: È implementato e mantenuto un sistema di gestione per la sicurezza delle informazioni?

Risposta: yes_noEvidenza: manuale ISMS, processi ISMS, evidenze operativeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1 1.2.1
REQ-ATOM-GOV-002-014highgovernance

Il management system deve essere approvato da un soggetto con autorità sull intero ambito.

Verifica: Il management system è approvato da un soggetto con autorità sull intero ambito?

Risposta: yes_noEvidenza: verbale approvazione ISMS, deleghe autoritàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1 1.2.1
REQ-ATOM-GOV-002-015highgovernance

Le responsabilità di sicurezza delle informazioni devono essere definite, documentate e assegnate.

Verifica: Le responsabilità di sicurezza sono definite, documentate e assegnate?

Risposta: document_referenceEvidenza: RACI sicurezza, nomine, organigrammaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-2-2 · TISAX ISA6 1.2.2 1.2.2
REQ-ATOM-GOV-002-016mediumgovernance

Le persone responsabili devono essere definite e qualificate per il compito.

Verifica: Le persone responsabili sono definite e qualificate per il compito?

Risposta: yes_noEvidenza: nomine, CV/formazione, matrice competenzeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-2 · TISAX ISA6 1.2.2 1.2.2
REQ-ATOM-GOV-002-017mediumgovernance

Le risorse necessarie per le responsabilità di sicurezza devono essere disponibili.

Verifica: Le risorse necessarie per le responsabilità di sicurezza sono disponibili?

Risposta: yes_noEvidenza: piano risorse, budget, allocazione FTEApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-2-2 · TISAX ISA6 1.2.2 1.2.2
REQ-ATOM-GOV-002-018mediumgovernance

I contatti per la sicurezza devono essere noti internamente e ai partner rilevanti.

Verifica: I contatti per la sicurezza sono noti internamente e ai partner rilevanti?

Risposta: yes_noEvidenza: elenco contatti sicurezza, comunicazioni partnerApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-2 · TISAX ISA6 1.2.2 1.2.2
REQ-ATOM-GOV-002-019highgovernance

La struttura di sicurezza delle informazioni deve essere definita e documentata.

Verifica: La struttura di sicurezza delle informazioni è definita e documentata?

Risposta: document_referenceEvidenza: organizzazione sicurezza, organigramma, RACIApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-2-2 · TISAX ISA6 1.2.2 1.2.2
REQ-ATOM-GOV-002-020mediumgovernance

La separazione organizzativa delle responsabilità deve essere stabilita per evitare conflitti di interesse.

Verifica: È stabilita una separazione organizzativa delle responsabilità per evitare conflitti?

Risposta: yes_noEvidenza: matrice SoD, RACI, ruoli applicativiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-2-2 · TISAX ISA6 1.2.2 1.2.2
REQ-ATOM-GOV-002-021highgovernance

Deve esistere una persona nominata con responsabilità complessiva del management system.

Verifica: Esiste una persona nominata con responsabilità complessiva del management system?

Risposta: yes_noEvidenza: nomina responsabile ISMS, job descriptionApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-2-2 · TISAX ISA6 1.2.2 1.2.2
REQ-ATOM-GOV-002-022highdata_protectioncanonico

Deve essere nominato un Data Protection Officer quando richiesto dalla normativa applicabile.

REQ-CAN-EXACT-0163EXACT_NORMALIZED_TEXT · High

Deve essere nominato un Data Protection Officer quando richiesto dalla normativa applicabile.

Verifica: È nominato un DPO quando richiesto dalla normativa applicabile?

Risposta: yes_noEvidenza: nomina DPO, valutazione obbligatorietàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-GOV-002-023mediumdata_protectioncanonico

Se il DPO non è richiesto, deve essere definita una funzione privacy o ruolo comparabile.

REQ-CAN-EXACT-0250EXACT_NORMALIZED_TEXT · High

Se il DPO non è richiesto, deve essere definita una funzione privacy o ruolo comparabile.

Verifica: Se il DPO non è richiesto, esiste una funzione privacy o ruolo equivalente?

Risposta: yes_noEvidenza: nomina funzione privacy, RACI privacyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-GOV-002-024mediumdata_protectioncanonico

I contatti della funzione privacy o del DPO devono essere pubblicati o resi disponibili come appropriato.

REQ-CAN-EXACT-0059EXACT_NORMALIZED_TEXT · High

I contatti della funzione privacy o del DPO devono essere pubblicati o resi disponibili come appropriato.

Verifica: I contatti della funzione privacy/DPO sono pubblicati o disponibili?

Risposta: yes_noEvidenza: pagina privacy, informativa, intranetApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-GOV-002-025mediumgovernancecanonico

La funzione privacy deve essere integrata nella struttura organizzativa.

REQ-CAN-EXACT-0125EXACT_NORMALIZED_TEXT · High

La funzione privacy deve essere integrata nella struttura organizzativa.

Verifica: La funzione privacy è integrata nella struttura organizzativa?

Risposta: yes_noEvidenza: organigramma, RACI, nomineApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-GOV-002-026mediumevidencecanonico

Devono essere documentate attività di controllo, stato privacy e reporting al top management.

REQ-CAN-EXACT-0104EXACT_NORMALIZED_TEXT · High

Devono essere documentate attività di controllo, stato privacy e reporting al top management.

Verifica: Sono documentati controlli privacy, stato privacy e reporting al top management?

Risposta: yes_noEvidenza: report privacy, verbali direzione, registro controlliApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
REQ-ATOM-GOV-002-027mediumgovernancecanonico

La funzione privacy deve disporre di capacità, risorse e qualifiche adeguate.

REQ-CAN-EXACT-0124EXACT_NORMALIZED_TEXT · High

La funzione privacy deve disporre di capacità, risorse e qualifiche adeguate.

Verifica: La funzione privacy dispone di capacità, risorse e qualifiche adeguate?

Risposta: yes_noEvidenza: curriculum, attestati formazione, piano risorseApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-2-1 · TISAX ISA6 9.2.1 9.2.1
MC-GOV-003MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Separazione dei compiti

2 controlli framework collegati

  • ISO27001FW-ISO-A-5-3Separazione dei compiti
  • NIS2_ESSENZIALEFW-NIS-PR-AA-05Permessi e autorizzazioni di accesso gestiti

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 3 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici6
REQ-ATOM-GOV-003-001mediumgovernance

I compiti e le responsabilità in conflitto devono essere identificati.

Verifica: Sono identificati compiti e responsabilità potenzialmente in conflitto?

Risposta: yes_noEvidenza: matrice SoD, analisi conflitti, RACIApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-3 · ISO27001 A.5.3 controllo
REQ-ATOM-GOV-003-002highaccess_control

I compiti e le aree di responsabilità in conflitto devono essere separati.

Verifica: I compiti e le responsabilità in conflitto sono separati?

Risposta: yes_noEvidenza: matrice SoD, ruoli applicativi, configurazioni autorizzativeApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-3 · ISO27001 A.5.3 controllo
REQ-ATOM-GOV-003-003highaccess_controlcanonico

I permessi devono essere assegnati secondo minimo privilegio, separazione delle funzioni e necessità di conoscere.

REQ-CAN-EXACT-0176EXACT_NORMALIZED_TEXT · High

I permessi devono essere assegnati secondo minimo privilegio, separazione delle funzioni e necessità di conoscere.

Verifica: I permessi sono assegnati secondo minimo privilegio, separazione delle funzioni e need-to-know?

Risposta: yes_noEvidenza: matrice autorizzazioni, export ruoli, policy IAMApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 1
REQ-ATOM-GOV-003-004highaccess_controlcanonico

Le utenze amministrative devono essere distinte dalle utenze non amministrative.

REQ-CAN-EXACT-0296EXACT_NORMALIZED_TEXT · High

Le utenze amministrative devono essere distinte dalle utenze non amministrative.

Verifica: Le utenze amministrative sono distinte dalle utenze ordinarie?

Risposta: yes_noEvidenza: export account admin, policy account separatiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 2
REQ-ATOM-GOV-003-005highaccess_controlcanonico

Le utenze amministrative e non amministrative devono usare credenziali diverse.

REQ-CAN-EXACT-0297EXACT_NORMALIZED_TEXT · High

Le utenze amministrative e non amministrative devono usare credenziali diverse.

Verifica: Le utenze amministrative e ordinarie usano credenziali diverse?

Risposta: yes_noEvidenza: export IAM, elenco admin, configurazioni directoryApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · evidenza · OK_EVIDENCE_OR_REGISTERDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 2
REQ-ATOM-GOV-003-006mediumprocesscanonico

Devono essere adottate e documentate procedure per assegnazione dei permessi e distinzione delle utenze privilegiate.

REQ-CAN-EXACT-0006EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per assegnazione dei permessi e distinzione delle utenze privilegiate.

Verifica: Sono documentate procedure per permessi e utenze privilegiate?

Risposta: document_referenceEvidenza: procedura IAM, procedura PAM, registro access reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 3
MC-GOV-004MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Responsabilità della direzione

5 controlli framework collegati

  • ISO27001FW-ISO-A-5-4Responsabilità della direzione
  • NIS2_ESSENZIALEFW-NIS-GV-PO-01Politiche di cybersecurity stabilite, documentate e approvate
  • TISAX_ISA6FW-TISAX-TISAX-1-2-1Sicurezza informazioni gestita nell’organizzazione
  • NIS2_ESSENZIALEFW-NIS-ID-IM-01Miglioramenti identificati a seguito delle valutazioni
  • NIS2_ESSENZIALEFW-NIS-ID-RA-06Risposte al rischio selezionate, prioritizzate, pianificate e monitorate

Documenti pianificati

  • DOC-002 · Campo di applicazione SGSI / ISMS ScopeDocumento · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 4 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 9 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 2 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 30 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-034 · Metodologia di valutazione rischio cyberDocumento metodologico · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-035 · Risk RegisterRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-036 · Piano di trattamento del rischioPiano · 5 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-037 · Dichiarazione di Applicabilità — SoADocumento · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-038 · Registro accettazione rischi residuiRegistro · 2 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-054 · Programma audit interniPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 5 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici30
REQ-ATOM-GOV-004-001highgovernance

La direzione deve richiedere al personale di applicare la sicurezza delle informazioni secondo le politiche e le procedure vigenti dell Organizzazione.

Verifica: La direzione richiede formalmente al personale il rispetto delle politiche e procedure di sicurezza?

Risposta: yes_noEvidenza: politica sicurezza, comunicazione direzione, procedure approvateApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-4 · ISO27001 A.5.4 controllo
REQ-ATOM-GOV-004-002mediumgovernance

Le responsabilità della direzione in materia di sicurezza devono essere coerenti con le politiche specifiche applicabili.

Verifica: Le responsabilità della direzione sono coerenti con le politiche specifiche applicabili?

Risposta: yes_noEvidenza: matrice responsabilità, policy, verbale approvazioneApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-4 · ISO27001 A.5.4 controllo
REQ-ATOM-GOV-004-003mediumpolicy

La richiesta della direzione deve essere comunicata in modo comprensibile al personale interessato.

Verifica: Il personale interessato riceve una comunicazione chiara sugli obblighi di sicurezza?

Risposta: yes_noEvidenza: comunicazioni interne, intranet, presa visioneApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-4 · ISO27001 A.5.4 controllo
REQ-ATOM-GOV-004-004mediumevidence

L applicazione delle procedure di sicurezza deve poter essere verificata con evidenze organizzative o operative.

Verifica: L applicazione delle procedure di sicurezza è verificabile tramite evidenze?

Risposta: yes_noEvidenza: audit interni, controlli compliance, registri attivitàApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-061 · Indice evidenze auditabili · evidenza · OK_EVIDENCE_OR_REGISTERDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-054 · Programma audit interni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-4 · ISO27001 A.5.4 controllo
REQ-ATOM-GOV-004-005highpolicy

Devono essere adottate e documentate politiche di sicurezza informatica per gli ambiti richiesti dalla misura.

Verifica: Sono adottate e documentate politiche di sicurezza per gli ambiti richiesti?

Risposta: document_referenceEvidenza: catalogo policy, politica sicurezza, registro approvazioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 1
REQ-ATOM-GOV-004-006highpolicy

Le politiche devono coprire almeno gestione del rischio, ruoli, risorse umane, conformità, fornitori, asset, vulnerabilità e continuità.

Verifica: Le politiche coprono rischio, ruoli, persone, compliance, fornitori, asset, vulnerabilità e continuità?

Risposta: yes_noEvidenza: indice politiche, matrice copertura requisitiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 1 lettere a-h
REQ-ATOM-GOV-004-007highpolicy

Le politiche devono coprire autenticazione, identità digitali, controllo accessi, sicurezza fisica, formazione, dati, sviluppo, reti, monitoraggio e incidenti.

Verifica: Le politiche coprono identità, accessi, fisica, formazione, dati, sviluppo, reti, monitoraggio e incidenti?

Risposta: yes_noEvidenza: indice politiche, matrice copertura requisitiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 1 lettere i-p
REQ-ATOM-GOV-004-008highcompliance

Le politiche devono includere almeno i requisiti applicabili indicati nella tabella di appendice dell allegato.

Verifica: Le politiche includono i requisiti minimi applicabili della tabella in appendice?

Risposta: yes_noEvidenza: matrice requisiti-policy, audit complianceApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 2
REQ-ATOM-GOV-004-009highgovernancecanonico

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

REQ-CAN-EXACT-0202EXACT_NORMALIZED_TEXT · High

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

Verifica: Le politiche sono approvate dagli organi di amministrazione e direttivi?

Risposta: yes_noEvidenza: verbale approvazione, registro approvazioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 3
REQ-ATOM-GOV-004-010mediumpolicy

Le politiche devono essere rese note alle articolazioni competenti secondo il principio need to know.

Verifica: Le politiche sono comunicate alle articolazioni competenti secondo need to know?

Risposta: yes_noEvidenza: comunicazioni interne, intranet, elenco destinatariApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-PO-01 · NIS2 Allegato 2 GV.PO-01 punto 3
REQ-ATOM-GOV-004-011highprocesscanonico

A seguito del riesame delle politiche deve essere definito un piano di adeguamento per assicurare l attuazione delle politiche di sicurezza.

REQ-CAN-EXACT-0256EXACT_NORMALIZED_TEXT · High

A seguito del riesame delle politiche deve essere definito un piano di adeguamento per assicurare l attuazione delle politiche di sicurezza.

Verifica: È definito un piano di adeguamento derivante dal riesame delle politiche?

Risposta: document_referenceEvidenza: piano adeguamento, verbale riesame policyApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTINGDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 1
REQ-ATOM-GOV-004-012highevidencecanonico

Il piano di adeguamento deve essere attuato e documentato.

REQ-CAN-EXACT-0182EXACT_NORMALIZED_TEXT · High

Il piano di adeguamento deve essere attuato e documentato.

Verifica: Il piano di adeguamento è attuato e documentato?

Risposta: yes_noEvidenza: stato avanzamento piano, ticket, registro azioniApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 1
REQ-ATOM-GOV-004-013highgovernancecanonico

Il piano di adeguamento deve essere approvato dagli organi di amministrazione e direttivi.

REQ-CAN-EXACT-0181EXACT_NORMALIZED_TEXT · High

Il piano di adeguamento deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano di adeguamento è approvato dagli organi di amministrazione e direttivi?

Risposta: yes_noEvidenza: verbale approvazione, registro approvazioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 1
REQ-ATOM-GOV-004-014mediumgovernancecanonico

Gli organi di amministrazione e direttivi devono essere informati periodicamente sugli esiti dei piani di adeguamento.

REQ-CAN-EXACT-0172EXACT_NORMALIZED_TEXT · High

Gli organi di amministrazione e direttivi devono essere informati periodicamente sugli esiti dei piani di adeguamento.

Verifica: Gli organi direttivi ricevono relazioni periodiche sugli esiti del piano di adeguamento?

Risposta: yes_noEvidenza: relazioni periodiche, verbali direzioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 2
REQ-ATOM-GOV-004-015highreview

Deve essere definito, attuato, aggiornato e documentato un piano per valutare l efficacia delle misure di gestione del rischio.

Verifica: È presente un piano documentato per valutare l efficacia delle misure di gestione del rischio?

Risposta: document_referenceEvidenza: piano valutazione efficacia, programma controlliApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 3
REQ-ATOM-GOV-004-016mediumreview

Il piano di valutazione dell efficacia deve indicare le misure da valutare e i relativi metodi di valutazione.

Verifica: Il piano di valutazione indica misure da valutare e metodi di verifica?

Risposta: yes_noEvidenza: piano valutazione efficacia, KPI/KRI, metodologiaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 3
REQ-ATOM-GOV-004-017mediumgovernancecanonico

Gli organi di amministrazione e direttivi devono essere informati periodicamente sul piano di valutazione dell efficacia.

REQ-CAN-EXACT-0173EXACT_NORMALIZED_TEXT · High

Gli organi di amministrazione e direttivi devono essere informati periodicamente sul piano di valutazione dell efficacia.

Verifica: Gli organi direttivi ricevono relazioni periodiche sul piano di valutazione dell efficacia?

Risposta: yes_noEvidenza: relazioni periodiche, verbali direzioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 4
REQ-ATOM-GOV-004-018highprocess

Deve essere definito, documentato, eseguito e monitorato un piano di trattamento dei rischi per la sicurezza informatica.

Verifica: È presente un piano di trattamento rischi definito, documentato, eseguito e monitorato?

Risposta: document_referenceEvidenza: piano trattamento rischi, registro rischiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-035 · Risk Register · di supporto · OK_SUPPORTINGDOC-036 · Piano di trattamento del rischio · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06 punto 1
REQ-ATOM-GOV-004-019highprocess

Il piano di trattamento deve indicare opzioni di trattamento, misure da attuare e priorità per ciascun rischio.

Verifica: Il piano indica opzioni, misure e priorità per ciascun rischio?

Risposta: yes_noEvidenza: risk treatment plan, registro rischiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-035 · Risk Register · di supporto · OK_SUPPORTINGDOC-036 · Piano di trattamento del rischio · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06 punto 1 lettera a
REQ-ATOM-GOV-004-020highowner

Il piano di trattamento deve indicare le articolazioni competenti per attuare le misure e le relative tempistiche.

Verifica: Il piano assegna owner e tempistiche per le misure di trattamento?

Risposta: yes_noEvidenza: risk treatment plan, RACI, scadenziarioApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-036 · Piano di trattamento del rischio · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06 punto 1 lettera b
REQ-ATOM-GOV-004-021highgovernance

L accettazione di eventuali rischi residui deve essere descritta e motivata nel piano.

Verifica: I rischi residui accettati sono descritti e motivati?

Risposta: yes_noEvidenza: registro rischi, accettazione rischio, verbale approvazioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-036 · Piano di trattamento del rischio · primario · OK_PRIMARY_PRESENTDOC-038 · Registro accettazione rischi residui · evidenza · OK_EVIDENCE_OR_REGISTERDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-035 · Risk Register · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06 punto 1 lettera c
REQ-ATOM-GOV-004-022hightechnical_control

Quando requisiti previsti non sono attuati per ragioni motivate, devono essere adottate misure compensative ove applicabili.

Verifica: Le non attuazioni motivate prevedono misure compensative ove applicabili?

Risposta: yes_noEvidenza: registro eccezioni, misure compensative, risk treatment planApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06 punto 2
REQ-ATOM-GOV-004-023mediumevidence

Il piano deve descrivere le misure compensative e l eventuale rischio residuo collegato.

Verifica: Il piano descrive misure compensative e rischio residuo associato?

Risposta: yes_noEvidenza: risk treatment plan, registro eccezioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06 punto 2
REQ-ATOM-GOV-004-024highgovernance

Il piano di trattamento, inclusa l accettazione dei rischi residui, deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano di trattamento e l accettazione dei rischi residui sono approvati dagli organi direttivi?

Risposta: yes_noEvidenza: verbale approvazione, registro approvazioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-036 · Piano di trattamento del rischio · di supporto · OK_SUPPORTINGDOC-038 · Registro accettazione rischi residui · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06 punto 3
REQ-ATOM-GOV-004-025highgovernancecanonico

Il perimetro del sistema di gestione della sicurezza delle informazioni deve essere definito.

REQ-CAN-EXACT-0175EXACT_NORMALIZED_TEXT · High

Il perimetro del sistema di gestione della sicurezza delle informazioni deve essere definito.

Verifica: Il perimetro del sistema di gestione della sicurezza delle informazioni è definito?

Risposta: document_referenceEvidenza: scope ISMS, documento perimetroApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-002 · Campo di applicazione SGSI / ISMS Scope · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1
REQ-ATOM-GOV-004-026highgovernance

I requisiti dell Organizzazione per il sistema di gestione della sicurezza delle informazioni devono essere determinati.

Verifica: I requisiti dell Organizzazione per il sistema di gestione sono determinati?

Risposta: yes_noEvidenza: requisiti ISMS, analisi contesto, parti interessateApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-004 · Parti interessate e requisiti applicabili · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1
REQ-ATOM-GOV-004-027highgovernance

La direzione deve commissionare e approvare il sistema di gestione della sicurezza delle informazioni.

Verifica: La direzione ha commissionato e approvato il sistema di gestione della sicurezza?

Risposta: yes_noEvidenza: verbale direzione, approvazione ISMSApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1
REQ-ATOM-GOV-004-028mediummonitoring

Il sistema di gestione deve fornire alla direzione strumenti adeguati di monitoraggio e controllo.

Verifica: Il sistema di gestione fornisce strumenti di monitoraggio e controllo alla direzione?

Risposta: yes_noEvidenza: management review, KPI, dashboard, report direzioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1
REQ-ATOM-GOV-004-029highcompliance

I controlli applicabili devono essere determinati e documentati.

Verifica: I controlli applicabili sono determinati e documentati?

Risposta: yes_noEvidenza: Statement of Applicability, catalogo controlli compilatoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-037 · Dichiarazione di Applicabilità — SoA · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1
REQ-ATOM-GOV-004-030highreview

La direzione deve riesaminare regolarmente l efficacia del sistema di gestione della sicurezza delle informazioni.

Verifica: La direzione riesamina regolarmente l efficacia del sistema di gestione?

Risposta: yes_noEvidenza: verbali riesame direzione, report efficaciaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-2-1 · TISAX ISA6 1.2.1
MC-GOV-005MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Contatti con le autorità

1 controlli framework collegati

  • ISO27001FW-ISO-A-5-5Contatti con le autorità

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 3 requirement · primario · OK_PRIMARY_PRESENT · review Low
Requirement atomici3
REQ-ATOM-GOV-005-001mediumcompliance

L Organizzazione deve stabilire contatti con le autorità competenti rilevanti per la sicurezza delle informazioni.

Verifica: Sono identificati i contatti con le autorità competenti rilevanti?

Risposta: yes_noEvidenza: registro contatti autorità, parti interessateApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · primario · OK_PRIMARY_PRESENTDOC-004 · Parti interessate e requisiti applicabili · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-5 · ISO27001 A.5.5 controllo
REQ-ATOM-GOV-005-002mediumreview

I contatti con le autorità devono essere mantenuti aggiornati nel tempo.

Verifica: I contatti con le autorità sono mantenuti aggiornati?

Risposta: yes_noEvidenza: registro contatti aggiornato, owner del registroApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-5 · ISO27001 A.5.5 controllo
REQ-ATOM-GOV-005-003mediumprocess

Devono essere definite modalità operative per usare i contatti con le autorità quando necessario.

Verifica: Sono definite modalità operative per attivare i contatti con le autorità?

Risposta: document_referenceEvidenza: piano comunicazione incidenti, procedura escalationApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-5 · ISO27001 A.5.5 controllo
MC-GOV-006MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Contatti con gruppi specialistici

1 controlli framework collegati

  • ISO27001FW-ISO-A-5-6Contatti con gruppi specialistici

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-GOV-006-001lowmonitoring

L Organizzazione deve stabilire contatti con gruppi specialistici o forum professionali pertinenti alla sicurezza delle informazioni.

Verifica: Sono identificati gruppi specialistici o forum professionali rilevanti per la sicurezza?

Risposta: yes_noEvidenza: registro parti interessate, elenco gruppi specialisticiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-004 · Parti interessate e requisiti applicabili · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-6 · ISO27001 A.5.6 controllo
REQ-ATOM-GOV-006-002lowmonitoring

I contatti con gruppi specialistici devono essere mantenuti per supportare aggiornamento e consapevolezza sulle minacce.

Verifica: I contatti specialistici sono mantenuti e utilizzabili per aggiornamenti di sicurezza?

Risposta: yes_noEvidenza: iscrizioni, mailing list, membership, evidenze partecipazioneApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-6 · ISO27001 A.5.6 controllo
REQ-ATOM-GOV-006-003lowowner

La responsabilità di mantenere i contatti specialistici deve essere assegnata a un ruolo interno.

Verifica: È assegnato un owner per mantenere i contatti specialistici?

Risposta: ownerEvidenza: matrice responsabilità, registro contattiApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-6 · ISO27001 A.5.6 controllo
MC-GOV-007MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Uso accettabile delle informazioni e degli asset associati

3 controlli framework collegati

  • ISO27001FW-ISO-A-5-10Uso accettabile delle informazioni e degli asset associati
  • TISAX_ISA6FW-TISAX-TISAX-2-1-3Awareness e formazione sui rischi nel trattamento informazioni
  • TISAX_ISA6FW-TISAX-TISAX-3-1-3Gestione degli asset di supporto

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 15 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-014 · Inventario hardwareRegistro · 4 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 7 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici15
REQ-ATOM-GOV-007-001highpolicy

Devono essere identificate le regole per l uso accettabile delle informazioni e degli asset associati.

Verifica: Sono definite regole per l uso accettabile di informazioni e asset associati?

Risposta: document_referenceEvidenza: policy uso accettabile, procedura assetApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-10 · ISO27001 A.5.10 controllo
REQ-ATOM-GOV-007-002mediumprocess

Le procedure per il trattamento delle informazioni e degli asset associati devono essere documentate.

Verifica: Le procedure di trattamento di informazioni e asset sono documentate?

Risposta: document_referenceEvidenza: procedura gestione asset, istruzioni operativeApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-10 · ISO27001 A.5.10 controllo
REQ-ATOM-GOV-007-003mediumprocess

Le regole di uso accettabile devono essere attuate dal personale e dalle parti interessate pertinenti.

Verifica: Le regole di uso accettabile risultano attuate dai soggetti interessati?

Risposta: yes_noEvidenza: presa visione, formazione, controlli auditApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-004 · Parti interessate e requisiti applicabili · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-10 · ISO27001 A.5.10 controllo
REQ-ATOM-GOV-007-004mediumdata_protection

Le regole devono coprire il trattamento corretto delle informazioni in funzione del contesto di utilizzo.

Verifica: Le regole indicano come trattare correttamente le informazioni nel contesto d uso?

Risposta: yes_noEvidenza: policy uso accettabile, linee guida classificazioneApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-10 · ISO27001 A.5.10 controllo
REQ-ATOM-GOV-007-005mediumtrainingcanonico

I dipendenti devono essere formati e sensibilizzati sui rischi derivanti dal trattamento delle informazioni.

REQ-CAN-EXACT-0089EXACT_NORMALIZED_TEXT · High

I dipendenti devono essere formati e sensibilizzati sui rischi derivanti dal trattamento delle informazioni.

Verifica: I dipendenti sono formati e sensibilizzati sui rischi nel trattamento delle informazioni?

Risposta: yes_noEvidenza: piano formazione, registro partecipantiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3
REQ-ATOM-GOV-007-006mediumtraining

Deve essere predisposto un concetto di awareness e formazione che copra politica, segnalazione eventi, malware, account, compliance, NDA e servizi IT esterni.

Verifica: Il piano awareness copre politica, eventi, malware, account, compliance, NDA e servizi IT esterni?

Risposta: yes_noEvidenza: programma formazione, contenuti corsiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3
REQ-ATOM-GOV-007-007mediumtraining

I gruppi target della formazione devono essere identificati considerando specifici ambienti di rischio.

Verifica: Sono identificati gruppi target della formazione in base agli ambienti di rischio?

Risposta: yes_noEvidenza: matrice target formazione, ruoli specialisticiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3
REQ-ATOM-GOV-007-008mediumgovernance

Il concetto di formazione e awareness deve essere approvato dalla direzione responsabile.

Verifica: Il piano di formazione e awareness è approvato dalla direzione responsabile?

Risposta: yes_noEvidenza: verbale approvazione, piano formazione approvatoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3
REQ-ATOM-GOV-007-009mediumtraining

Le misure di formazione e awareness devono essere svolte a intervalli regolari e in risposta a eventi rilevanti.

Verifica: Le attività formative sono svolte regolarmente e quando eventi rilevanti lo richiedono?

Risposta: yes_noEvidenza: calendario formazione, evidenze campagne straordinarieApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3
REQ-ATOM-GOV-007-010mediumevidence

La partecipazione alle attività formative deve essere documentata.

Verifica: La partecipazione alla formazione è documentata?

Risposta: yes_noEvidenza: registro partecipanti, attestati, report LMSApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3
REQ-ATOM-GOV-007-011lowtraining

I referenti per la sicurezza delle informazioni devono essere noti ai dipendenti.

Verifica: I dipendenti conoscono i referenti per la sicurezza delle informazioni?

Risposta: yes_noEvidenza: intranet, comunicazioni, organigramma sicurezzaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3
REQ-ATOM-GOV-007-012mediumasset_management

Devono essere determinati i requisiti per gestire gli asset di supporto durante trasporto, conservazione, riparazione, perdita, restituzione e dismissione.

Verifica: Sono determinati i requisiti per gestire gli asset di supporto lungo il ciclo di vita?

Risposta: document_referenceEvidenza: procedura gestione asset, istruzioni operativeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3
REQ-ATOM-GOV-007-013mediumasset_management

I requisiti di gestione degli asset di supporto devono essere attuati.

Verifica: I requisiti di gestione degli asset di supporto sono attuati?

Risposta: yes_noEvidenza: registro asset, controlli audit, checklist operativeApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3
REQ-ATOM-GOV-007-014mediumtechnical_control

Gli asset di supporto devono essere protetti durante il ciclo di vita.

Verifica: Gli asset di supporto sono protetti durante uso, trasporto, deposito e dismissione?

Risposta: yes_noEvidenza: procedura asset, evidenze protezioni, inventarioApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3
REQ-ATOM-GOV-007-015mediumprocess

La dismissione degli asset di supporto deve seguire standard o modalità sicure adeguate al livello di protezione.

Verifica: La dismissione degli asset di supporto segue modalità sicure adeguate?

Risposta: yes_noEvidenza: certificati distruzione, verbali dismissione, procedura disposalApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3
MC-GOV-008MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Restituzione degli asset

2 controlli framework collegati

  • ISO27001FW-ISO-A-5-11Restituzione degli asset
  • TISAX_ISA6FW-TISAX-TISAX-5-3-3Restituzione e cancellazione sicura asset informativi da servizi IT esterni

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 7 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 2 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 3 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici7
REQ-ATOM-GOV-008-001highasset_management

Il personale deve restituire gli asset dell Organizzazione in proprio possesso al cambiamento o alla cessazione del rapporto.

Verifica: Gli asset vengono restituiti in caso di cambio ruolo o cessazione del rapporto?

Risposta: yes_noEvidenza: checklist offboarding, verbale restituzione assetApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-11 · ISO27001 A.5.11 controllo
REQ-ATOM-GOV-008-002mediumsupplier

Le parti interessate esterne devono restituire gli asset dell Organizzazione quando termina o cambia il contratto o accordo applicabile.

Verifica: I soggetti esterni restituiscono gli asset alla fine o modifica dell accordo?

Risposta: yes_noEvidenza: contratto, checklist uscita fornitore, verbale restituzioneApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-004 · Parti interessate e requisiti applicabili · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-11 · ISO27001 A.5.11 controllo
REQ-ATOM-GOV-008-003mediumevidence

La restituzione degli asset deve essere tracciata con evidenze verificabili.

Verifica: La restituzione degli asset è tracciata con evidenze verificabili?

Risposta: yes_noEvidenza: registro asset, ticket offboarding, ricevute restituzioneApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-11 · ISO27001 A.5.11 controllo
REQ-ATOM-GOV-008-004mediumsuppliercanonico

Per ogni servizio IT esterno deve essere definita e attuata una procedura di restituzione e rimozione sicura degli asset informativi.

REQ-CAN-EXACT-0170EXACT_NORMALIZED_TEXT · High

Per ogni servizio IT esterno deve essere definita e attuata una procedura di restituzione e rimozione sicura degli asset informativi.

Verifica: Per ogni servizio IT esterno esiste una procedura per restituzione e rimozione sicura degli asset informativi?

Risposta: document_referenceEvidenza: procedura uscita servizio, clausole contrattuali, piano exitApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-3 · TISAX ISA6 5.3.3
REQ-ATOM-GOV-008-005mediumsupplier

Il processo di terminazione dei servizi IT esterni deve essere descritto.

Verifica: Il processo di terminazione dei servizi IT esterni è descritto?

Risposta: document_referenceEvidenza: procedura termination, exit planApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-3-3 · TISAX ISA6 5.3.3
REQ-ATOM-GOV-008-006lowreview

Il processo di terminazione deve essere adattato quando cambiano i servizi o le condizioni applicabili.

Verifica: Il processo di terminazione viene aggiornato quando cambiano servizi o condizioni?

Risposta: yes_noEvidenza: revisioni contratto, aggiornamenti exit planApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-3 · TISAX ISA6 5.3.3
REQ-ATOM-GOV-008-007mediumsupplier

Il processo di restituzione e rimozione sicura deve essere regolato contrattualmente con il fornitore.

Verifica: Restituzione e rimozione sicura sono regolate contrattualmente con il fornitore?

Risposta: yes_noEvidenza: contratto, DPA, clausole exitApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-3 · TISAX ISA6 5.3.3
MC-GOV-009MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Classificazione delle informazioni

3 controlli framework collegati

  • ISO27001FW-ISO-A-5-12Classificazione delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-1-3-2Asset classificati e gestiti secondo esigenze di protezione
  • TISAX_ISA6FW-TISAX-TISAX-8-2-4Classificazione sicurezza progetto e misure note

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 2 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 7 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 14 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-073 · Security concept per protezione prototipi e informazioni TISAXDocumento / piano · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici14
REQ-ATOM-GOV-009-001highdata_protection

Le informazioni devono essere classificate in base alle esigenze di riservatezza, integrità e disponibilità dell Organizzazione.

Verifica: Le informazioni sono classificate secondo esigenze di riservatezza, integrità e disponibilità?

Risposta: yes_noEvidenza: schema classificazione, registro informazioniApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-12 · ISO27001 A.5.12 controllo
REQ-ATOM-GOV-009-002mediumcompliance

La classificazione deve considerare i requisiti delle parti interessate pertinenti.

Verifica: La classificazione tiene conto dei requisiti delle parti interessate pertinenti?

Risposta: yes_noEvidenza: registro requisiti, schema classificazioneApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-004 · Parti interessate e requisiti applicabili · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-12 · ISO27001 A.5.12 controllo
REQ-ATOM-GOV-009-003highprocess

Lo schema di classificazione deve guidare il livello di protezione richiesto per le informazioni.

Verifica: Lo schema di classificazione determina le misure di protezione da applicare?

Risposta: yes_noEvidenza: policy classificazione, matrice misure/classiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-12 · ISO27001 A.5.12 controllo
REQ-ATOM-GOV-009-004mediumevidence

La classificazione deve essere documentata e applicabile in modo coerente ai diversi tipi di informazione.

Verifica: La classificazione è documentata e applicata in modo coerente?

Risposta: yes_noEvidenza: registro informazioni classificate, esempi etichetteApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-019 · Classificazione informazioni e dati · primario · OK_PRIMARY_PRESENTDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-12 · ISO27001 A.5.12 controllo
REQ-ATOM-GOV-009-005highdata_protectioncanonico

Deve essere disponibile uno schema coerente di classificazione degli asset informativi rispetto alla riservatezza.

REQ-CAN-EXACT-0097EXACT_NORMALIZED_TEXT · High

Deve essere disponibile uno schema coerente di classificazione degli asset informativi rispetto alla riservatezza.

Verifica: È disponibile uno schema coerente di classificazione rispetto alla riservatezza?

Risposta: document_referenceEvidenza: schema classificazione, policy informazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
REQ-ATOM-GOV-009-006highdata_protectioncanonico

Gli asset informativi identificati devono essere valutati secondo criteri definiti e assegnati allo schema di classificazione.

REQ-CAN-EXACT-0034EXACT_NORMALIZED_TEXT · High

Gli asset informativi identificati devono essere valutati secondo criteri definiti e assegnati allo schema di classificazione.

Verifica: Gli asset informativi sono valutati e assegnati allo schema di classificazione?

Risposta: yes_noEvidenza: registro asset informativi classificatoApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
REQ-ATOM-GOV-009-007mediumprocesscanonico

Devono essere definite e attuate specifiche di trattamento degli asset di supporto in base alla classificazione degli asset informativi.

REQ-CAN-EXACT-0066EXACT_NORMALIZED_TEXT · High

Devono essere definite e attuate specifiche di trattamento degli asset di supporto in base alla classificazione degli asset informativi.

Verifica: Le modalità di trattamento degli asset di supporto dipendono dalla classificazione informativa?

Risposta: yes_noEvidenza: procedura gestione asset, matrice classificazione/trattamentoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
REQ-ATOM-GOV-009-008mediumasset_managementcanonico

Le specifiche di trattamento devono coprire identificazione, corretto trattamento, trasporto, conservazione, restituzione, cancellazione o dismissione.

REQ-CAN-EXACT-0277EXACT_NORMALIZED_TEXT · High

Le specifiche di trattamento devono coprire identificazione, corretto trattamento, trasporto, conservazione, restituzione, cancellazione o dismissione.

Verifica: Le specifiche coprono identificazione, trattamento, trasporto, conservazione, restituzione e dismissione?

Risposta: yes_noEvidenza: procedura asset, checklist operativeApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
REQ-ATOM-GOV-009-009mediumdata_protectioncanonico

Gli obiettivi di integrità e disponibilità dovrebbero essere considerati nella classificazione degli asset informativi.

REQ-CAN-EXACT-0168EXACT_NORMALIZED_TEXT · High

Gli obiettivi di integrità e disponibilità dovrebbero essere considerati nella classificazione degli asset informativi.

Verifica: La classificazione considera anche integrità e disponibilità?

Risposta: yes_noEvidenza: schema classificazione CIA, registro assetApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
REQ-ATOM-GOV-009-010mediumphysical_security

La classificazione di sicurezza del progetto deve essere resa nota a ogni membro del progetto.

Verifica: La classificazione di sicurezza del progetto è nota a ogni membro del progetto?

Risposta: yes_noEvidenza: briefing progetto, registro comunicazioni, formazione progettoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-4 · TISAX ISA6 8.2.4
REQ-ATOM-GOV-009-011mediumphysical_security

I requisiti di sicurezza collegati all avanzamento del progetto devono essere resi noti ai membri del progetto.

Verifica: I requisiti di sicurezza legati all avanzamento del progetto sono noti ai membri?

Risposta: yes_noEvidenza: piano progetto, comunicazioni requisiti sicurezzaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-4 · TISAX ISA6 8.2.4
REQ-ATOM-GOV-009-012mediumphysical_security

I membri del progetto devono osservare le misure derivanti dalla classificazione di sicurezza.

Verifica: I membri del progetto osservano le misure derivanti dalla classificazione?

Risposta: yes_noEvidenza: audit progetto, checklist sicurezza, evidenze controlloApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-019 · Classificazione informazioni e dati · primario · OK_PRIMARY_PRESENTDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-4 · TISAX ISA6 8.2.4
REQ-ATOM-GOV-009-013mediumphysical_security

Le misure di segretezza, camuffamento e sviluppo devono essere considerate quando applicabili al progetto.

Verifica: Le misure di segretezza, camuffamento e sviluppo sono considerate dove applicabili?

Risposta: yes_noEvidenza: piano misure progetto, requisiti clienteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-019 · Classificazione informazioni e dati · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-4 · TISAX ISA6 8.2.4
REQ-ATOM-GOV-009-014mediumcompliance

I requisiti del progetto devono essere trattati come requisiti di sicurezza delle informazioni del progetto.

Verifica: I requisiti di progetto sono integrati nei requisiti di sicurezza delle informazioni?

Risposta: yes_noEvidenza: piano sicurezza progetto, matrice requisitiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-4 · TISAX ISA6 8.2.4
MC-GOV-010MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Etichettatura delle informazioni

2 controlli framework collegati

  • ISO27001FW-ISO-A-5-13Etichettatura delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-1-3-2Asset classificati e gestiti secondo esigenze di protezione

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 5 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 7 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici8
REQ-ATOM-GOV-010-001mediumprocess

Devono essere sviluppate procedure per etichettare le informazioni in coerenza con lo schema di classificazione adottato.

Verifica: Esistono procedure di etichettatura coerenti con lo schema di classificazione?

Risposta: document_referenceEvidenza: procedura classificazione ed etichettaturaApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-13 · ISO27001 A.5.13 controllo
REQ-ATOM-GOV-010-002mediumtechnical_control

Le procedure di etichettatura devono essere implementate sui supporti o canali informativi pertinenti.

Verifica: Le procedure di etichettatura sono implementate sui supporti o canali pertinenti?

Risposta: yes_noEvidenza: esempi etichette, configurazioni DLP/classification labelApplicabilità: iso_onlyAutomazione: microsoft_api
Copertura requirement
DOC-019 · Classificazione informazioni e dati · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-13 · ISO27001 A.5.13 controllo
REQ-ATOM-GOV-010-003mediumdata_protection

Le etichette devono riflettere il livello di classificazione delle informazioni trattate.

Verifica: Le etichette applicate riflettono il livello di classificazione delle informazioni?

Risposta: yes_noEvidenza: campioni documenti, report etichetteApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-019 · Classificazione informazioni e dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
ISO27001 · FW-ISO-A-5-13 · ISO27001 A.5.13 controllo
REQ-ATOM-GOV-010-004highdata_protectioncanonico

Deve essere disponibile uno schema coerente di classificazione degli asset informativi rispetto alla riservatezza.

REQ-CAN-EXACT-0097EXACT_NORMALIZED_TEXT · High

Deve essere disponibile uno schema coerente di classificazione degli asset informativi rispetto alla riservatezza.

Verifica: È disponibile uno schema coerente di classificazione rispetto alla riservatezza?

Risposta: document_referenceEvidenza: schema classificazione, policy informazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
REQ-ATOM-GOV-010-005highdata_protectioncanonico

Gli asset informativi identificati devono essere valutati secondo criteri definiti e assegnati allo schema di classificazione.

REQ-CAN-EXACT-0034EXACT_NORMALIZED_TEXT · High

Gli asset informativi identificati devono essere valutati secondo criteri definiti e assegnati allo schema di classificazione.

Verifica: Gli asset informativi sono valutati e assegnati allo schema di classificazione?

Risposta: yes_noEvidenza: registro asset informativi classificatoApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
REQ-ATOM-GOV-010-006mediumprocesscanonico

Devono essere definite e attuate specifiche di trattamento degli asset di supporto in base alla classificazione degli asset informativi.

REQ-CAN-EXACT-0066EXACT_NORMALIZED_TEXT · High

Devono essere definite e attuate specifiche di trattamento degli asset di supporto in base alla classificazione degli asset informativi.

Verifica: Le modalità di trattamento degli asset di supporto dipendono dalla classificazione informativa?

Risposta: yes_noEvidenza: procedura gestione asset, matrice classificazione/trattamentoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
REQ-ATOM-GOV-010-007mediumasset_managementcanonico

Le specifiche di trattamento devono coprire identificazione, corretto trattamento, trasporto, conservazione, restituzione, cancellazione o dismissione.

REQ-CAN-EXACT-0277EXACT_NORMALIZED_TEXT · High

Le specifiche di trattamento devono coprire identificazione, corretto trattamento, trasporto, conservazione, restituzione, cancellazione o dismissione.

Verifica: Le specifiche coprono identificazione, trattamento, trasporto, conservazione, restituzione e dismissione?

Risposta: yes_noEvidenza: procedura asset, checklist operativeApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
REQ-ATOM-GOV-010-008mediumdata_protectioncanonico

Gli obiettivi di integrità e disponibilità dovrebbero essere considerati nella classificazione degli asset informativi.

REQ-CAN-EXACT-0168EXACT_NORMALIZED_TEXT · High

Gli obiettivi di integrità e disponibilità dovrebbero essere considerati nella classificazione degli asset informativi.

Verifica: La classificazione considera anche integrità e disponibilità?

Risposta: yes_noEvidenza: schema classificazione CIA, registro assetApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-2 · TISAX ISA6 1.3.2
MC-GOV-011MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Trasferimento delle informazioni

5 controlli framework collegati

  • ISO27001FW-ISO-A-5-14Trasferimento delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-5-1-2Informazioni protette durante il trasferimento
  • TISAX_ISA6FW-TISAX-TISAX-6-1-2NDA per scambio informazioni
  • TISAX_ISA6FW-TISAX-TISAX-9-5-1Trasferimento dati gestito
  • NIS2_ESSENZIALEFW-NIS-PR-DS-02Dati in transito protetti

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 7 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 11 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 8 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 27 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 7 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 9 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici28
REQ-ATOM-GOV-011-001highpolicy

Devono essere definite regole per il trasferimento delle informazioni all interno dell Organizzazione.

Verifica: Sono definite regole per trasferire informazioni internamente?

Risposta: document_referenceEvidenza: procedura trasferimento informazioni, policy datiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-14 · ISO27001 A.5.14 controllo
REQ-ATOM-GOV-011-002highpolicy

Devono essere definite regole per il trasferimento delle informazioni tra l Organizzazione e soggetti esterni.

Verifica: Sono definite regole per trasferire informazioni verso o da soggetti esterni?

Risposta: document_referenceEvidenza: procedura trasferimento dati, accordi con terziApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-14 · ISO27001 A.5.14 controllo
REQ-ATOM-GOV-011-003mediumprocess

Le procedure o gli accordi di trasferimento devono coprire le diverse tipologie di canali o strutture di trasferimento usate.

Verifica: Le procedure coprono i diversi canali di trasferimento delle informazioni?

Risposta: yes_noEvidenza: matrice canali, procedura scambio file, accordiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-14 · ISO27001 A.5.14 controllo
REQ-ATOM-GOV-011-004highdata_protection

I trasferimenti di informazioni devono essere regolati in base al livello di protezione richiesto.

Verifica: I trasferimenti sono regolati in base alla classificazione o protezione richiesta?

Risposta: yes_noEvidenza: schema classificazione, regole trasferimento, configurazioni cifraturaApplicabilità: iso_onlyAutomazione: microsoft_api
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-14 · ISO27001 A.5.14 controllo
REQ-ATOM-GOV-011-005hightechnical_control

Per i sistemi informativi e di rete rilevanti devono essere usati protocolli e algoritmi di cifratura sicuri per trasmettere dati verso l esterno.

Verifica: La trasmissione dei dati verso l esterno usa protocolli e algoritmi di cifratura sicuri?

Risposta: yes_noEvidenza: configurazioni TLS/VPN, policy cifratura, report vulnerability scanApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-02 · NIS2 Allegato 2 PR.DS-02 punto 1
REQ-ATOM-GOV-011-006mediumdata_protection

La protezione dei dati in transito deve includere, ove rilevante, comunicazioni vocali, video e testuali.

Verifica: La protezione dei dati in transito copre comunicazioni vocali, video e testuali rilevanti?

Risposta: yes_noEvidenza: configurazioni piattaforme comunicazione, policy comunicazioniApplicabilità: nis2_essenziale_onlyAutomazione: microsoft_api
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-02 · NIS2 Allegato 2 PR.DS-02 punto 1
REQ-ATOM-GOV-011-007mediumcompliance

Eventuali eccezioni alla cifratura devono essere motivate e documentate per ragioni normative o tecniche.

Verifica: Le eccezioni alla cifratura sono motivate e documentate?

Risposta: yes_noEvidenza: registro eccezioni, risk acceptanceApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-02 · NIS2 Allegato 2 PR.DS-02 punto 1
REQ-ATOM-GOV-011-008mediumprocess

Devono essere adottate e documentate procedure per proteggere i dati in transito.

Verifica: Sono adottate e documentate procedure per la protezione dei dati in transito?

Risposta: document_referenceEvidenza: procedura trattamento dati, procedura cifratura/trasferimentoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-02 · NIS2 Allegato 2 PR.DS-02 punto 2
REQ-ATOM-GOV-011-009highasset_managementcanonico

I servizi di rete usati per trasferire informazioni devono essere identificati e documentati.

REQ-CAN-EXACT-0257EXACT_NORMALIZED_TEXT · High

I servizi di rete usati per trasferire informazioni devono essere identificati e documentati.

Verifica: I servizi di rete usati per trasferire informazioni sono identificati e documentati?

Risposta: yes_noEvidenza: registro servizi rete, inventario canali trasferimentoApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-GOV-011-010highprocess

Devono essere definite e implementate policy e procedure per usare i servizi di rete in base ai requisiti di classificazione.

Verifica: Policy e procedure per i servizi di rete rispettano i requisiti di classificazione?

Risposta: document_referenceEvidenza: procedura trasferimento informazioni, policy reteApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-GOV-011-011hightechnical_controlcanonico

Devono essere implementate misure per proteggere i contenuti trasferiti da accessi non autorizzati.

REQ-CAN-EXACT-0137EXACT_NORMALIZED_TEXT · High

Devono essere implementate misure per proteggere i contenuti trasferiti da accessi non autorizzati.

Verifica: I contenuti trasferiti sono protetti da accessi non autorizzati?

Risposta: yes_noEvidenza: configurazioni cifratura, DLP, report canali sicuriApplicabilità: tisax_onlyAutomazione: microsoft_api
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-GOV-011-012mediumtechnical_control

Devono essere implementate misure per assicurare indirizzamento corretto e trasferimento corretto delle informazioni.

Verifica: Sono presenti misure per indirizzamento e trasferimento corretto delle informazioni?

Risposta: yes_noEvidenza: procedure invio, controlli destinatari, workflow approvazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-GOV-011-013hightechnical_controlcanonico

Lo scambio elettronico di dati deve usare cifratura di contenuto o di trasporto in base alla classificazione.

REQ-CAN-EXACT-0249EXACT_NORMALIZED_TEXT · High

Lo scambio elettronico dei dati deve usare cifratura di contenuto o trasporto in base alla classificazione.

Verifica: Lo scambio elettronico usa cifratura di contenuto o trasporto secondo classificazione?

Risposta: yes_noEvidenza: configurazioni TLS, cifratura email/file, policy datiApplicabilità: tisax_onlyAutomazione: microsoft_api
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-GOV-011-014highaccess_control

Le connessioni di accesso remoto devono essere verificate rispetto a caratteristiche di sicurezza adeguate.

Verifica: Le connessioni remote sono verificate per cifratura, concessione e cessazione dell accesso?

Risposta: yes_noEvidenza: configurazioni VPN/ZTNA, access review, logApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTERDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-GOV-011-015hightechnical_control

Per esigenze di protezione elevate, il trasferimento deve avvenire in forma cifrata o con misure equivalenti.

Verifica: Le informazioni ad alta protezione sono trasferite cifrate o protette con misure equivalenti?

Risposta: yes_noEvidenza: policy cifratura, evidenze canale sicuro, registro eccezioniApplicabilità: tisax_onlyAutomazione: microsoft_api
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-GOV-011-016highsuppliercanonico

I requisiti di riservatezza per lo scambio di informazioni devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0232EXACT_NORMALIZED_TEXT · High

I requisiti di riservatezza per lo scambio di informazioni devono essere determinati e soddisfatti.

Verifica: I requisiti di riservatezza per lo scambio di informazioni sono determinati e soddisfatti?

Risposta: yes_noEvidenza: NDA, matrice requisiti riservatezzaApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-GOV-011-017mediumtrainingcanonico

I requisiti e le procedure per applicare NDA devono essere noti a chi trasferisce informazioni da proteggere.

REQ-CAN-EXACT-0229EXACT_NORMALIZED_TEXT · High

I requisiti e le procedure per applicare NDA devono essere noti a chi trasferisce informazioni da proteggere.

Verifica: Chi trasferisce informazioni protette conosce requisiti e procedure NDA?

Risposta: yes_noEvidenza: procedura NDA, formazione, comunicazioni interneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-GOV-011-018highsuppliercanonico

Gli NDA validi devono essere conclusi prima di trasmettere informazioni sensibili.

REQ-CAN-EXACT-0159EXACT_NORMALIZED_TEXT · High

Gli NDA validi devono essere conclusi prima di trasmettere informazioni sensibili.

Verifica: Gli NDA sono conclusi prima della trasmissione di informazioni sensibili?

Risposta: yes_noEvidenza: contratti NDA, registro accordi, workflow approvazioneApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-GOV-011-019mediumreviewcanonico

Requisiti e procedure per NDA e trattamento delle informazioni protette devono essere riesaminati periodicamente.

REQ-CAN-EXACT-0230EXACT_NORMALIZED_TEXT · High

Requisiti e procedure per NDA e trattamento delle informazioni protette devono essere riesaminati periodicamente.

Verifica: Le procedure NDA e trattamento informazioni protette sono riesaminate periodicamente?

Risposta: yes_noEvidenza: verbale riesame, revisione template NDAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-GOV-011-020mediumcompliancecanonico

Devono essere disponibili modelli NDA verificati per applicabilità legale.

REQ-CAN-EXACT-0099EXACT_NORMALIZED_TEXT · High

Devono essere disponibili modelli NDA verificati per applicabilità legale.

Verifica: Sono disponibili template NDA verificati legalmente?

Risposta: yes_noEvidenza: template NDA approvato, parere legaleApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-GOV-011-021mediumsupplier

Gli NDA devono indicare soggetti coinvolti, informazioni coperte, oggetto, durata e responsabilità della parte obbligata.

Verifica: Gli NDA includono soggetti, informazioni, oggetto, durata e responsabilità?

Risposta: yes_noEvidenza: template NDA, contratti firmatiApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-GOV-011-022mediumsupplier

Gli NDA devono prevedere il trattamento delle informazioni sensibili oltre la durata del rapporto contrattuale.

Verifica: Gli NDA disciplinano il trattamento delle informazioni anche dopo la fine del rapporto?

Risposta: yes_noEvidenza: clausole post-contrattuali NDAApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-GOV-011-023mediumcompliance

Devono essere definite modalità per dimostrare la conformità ai requisiti di riservatezza.

Verifica: Sono definite modalità per dimostrare la conformità ai requisiti di riservatezza?

Risposta: yes_noEvidenza: audit rights, attestazioni, verifiche terza parteApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-GOV-011-024mediumprocess

Deve essere definito e attuato un processo per monitorare la validità degli NDA temporanei e rinnovarli in tempo utile.

Verifica: La validità degli NDA temporanei è monitorata e rinnovata in tempo utile?

Risposta: yes_noEvidenza: registro NDA, scadenziario, alert rinnovoApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-GOV-011-025highdata_protection

Devono essere implementati processi e workflow adeguati per la trasmissione dei dati.

Verifica: Sono implementati processi e workflow per la trasmissione dei dati?

Risposta: document_referenceEvidenza: procedura trasferimento dati, workflow approvazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-1 · TISAX ISA6 9.5.1
REQ-ATOM-GOV-011-026highcompliance

I trasferimenti di dati devono essere supportati da basi contrattuali o strumenti di trasferimento adeguati quando richiesto.

Verifica: I trasferimenti dati sono supportati da contratti o strumenti di trasferimento adeguati?

Risposta: yes_noEvidenza: contratti, DPA, SCC, decisioni adeguatezzaApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-1 · TISAX ISA6 9.5.1
REQ-ATOM-GOV-011-027mediumdata_protection

Quando applicabile, devono essere considerate valutazioni d impatto del trasferimento o strumenti equivalenti.

Verifica: Sono considerate valutazioni d impatto del trasferimento quando applicabili?

Risposta: yes_noEvidenza: transfer impact assessment, registro trasferimentiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-1 · TISAX ISA6 9.5.1
REQ-ATOM-GOV-011-028mediumsupplier

Quando il trasferimento coinvolge subfornitura, deve essere assicurato il consenso o il diritto di opposizione del responsabile competente.

Verifica: Per subfornitura sono gestiti consenso o diritto di opposizione del responsabile competente?

Risposta: yes_noEvidenza: contratti subfornitura, approvazioni, registro fornitoriApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-1 · TISAX ISA6 9.5.1
MC-GOV-012MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Controllo degli accessi

4 controlli framework collegati

  • ISO27001FW-ISO-A-5-15Controllo degli accessi
  • TISAX_ISA6FW-TISAX-TISAX-4-2-1Diritti di accesso assegnati e gestiti
  • TISAX_ISA6FW-TISAX-TISAX-4-1-2Accesso utenti a servizi e sistemi IT protetto
  • NIS2_ESSENZIALEFW-NIS-PR-IR-01Reti e ambienti protetti da accessi e usi non autorizzati

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 7 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 4 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 2 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 6 requirement · primario, di supporto, evidenza · OK_PRIMARY_PRESENT, OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 8 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-027 · Procedura recertificazione accessiProcedura · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-049 · Procedura backup e restoreProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 6 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici26
REQ-ATOM-GOV-012-001highaccess_control

Devono essere stabilite regole per controllare l accesso fisico e logico alle informazioni e agli asset associati.

Verifica: Sono stabilite regole per il controllo degli accessi fisici e logici?

Risposta: document_referenceEvidenza: policy controllo accessi, procedura IAM, procedura accessi fisiciApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-15 · ISO27001 A.5.15 controllo
REQ-ATOM-GOV-012-002highaccess_control

Le regole di accesso devono essere basate sui requisiti di business e di sicurezza delle informazioni.

Verifica: Le regole di accesso sono basate su requisiti di business e sicurezza?

Risposta: yes_noEvidenza: matrice ruoli/accessi, requisiti business, risk assessmentApplicabilità: iso_onlyAutomazione: entra_id
ISO27001 · FW-ISO-A-5-15 · ISO27001 A.5.15 controllo
REQ-ATOM-GOV-012-003hightechnical_control

Le regole di accesso devono essere implementate sui sistemi, sulle informazioni e sugli asset pertinenti.

Verifica: Le regole di accesso risultano implementate sui sistemi e asset pertinenti?

Risposta: yes_noEvidenza: export permessi, configurazioni ACL, report IAMApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-15 · ISO27001 A.5.15 controllo
REQ-ATOM-GOV-012-004highaccess_control

L accesso fisico e logico deve essere limitato ai soggetti autorizzati.

Verifica: L accesso fisico e logico è limitato ai soggetti autorizzati?

Risposta: yes_noEvidenza: elenchi autorizzati, badge, export gruppi di accessoApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-15 · ISO27001 A.5.15 controllo
REQ-ATOM-GOV-012-005highaccess_controlcanonico

Per i sistemi informativi e di rete rilevanti devono essere definite e documentate le attività consentite da remoto.

REQ-CAN-EXACT-0263EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere definite e documentate le attività consentite da remoto.

Verifica: Sono definite e documentate le attività consentite da remoto?

Risposta: document_referenceEvidenza: procedura accesso remoto, registro sistemi accessibili da remotoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 1
REQ-ATOM-GOV-012-006hightechnical_controlcanonico

Devono essere implementate misure di sicurezza adeguate per l accesso remoto.

REQ-CAN-EXACT-0138EXACT_NORMALIZED_TEXT · High

Devono essere implementate misure di sicurezza adeguate per l accesso remoto.

Verifica: Sono implementate misure di sicurezza adeguate per l accesso remoto?

Risposta: yes_noEvidenza: configurazioni VPN/MFA, log accessi remotiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 1
REQ-ATOM-GOV-012-007highasset_managementcanonico

Deve essere mantenuto un elenco aggiornato dei sistemi informativi e di rete accessibili da remoto.

REQ-CAN-EXACT-0150EXACT_NORMALIZED_TEXT · High

Deve essere mantenuto un elenco aggiornato dei sistemi informativi e di rete accessibili da remoto.

Verifica: È mantenuto un elenco aggiornato dei sistemi accessibili da remoto?

Risposta: yes_noEvidenza: registro sistemi accessibili da remoto, inventario assetApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 2
REQ-ATOM-GOV-012-008mediumasset_managementcanonico

L elenco dei sistemi accessibili da remoto deve descrivere le relative modalità di accesso.

REQ-CAN-EXACT-0110EXACT_NORMALIZED_TEXT · High

L elenco dei sistemi accessibili da remoto deve descrivere le relative modalità di accesso.

Verifica: Il registro dei sistemi remoti descrive le modalità di accesso?

Risposta: yes_noEvidenza: registro sistemi remoti con modalità accessoApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 2
REQ-ATOM-GOV-012-009hightechnical_controlcanonico

Devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato i sistemi perimetrali, inclusi firewall.

REQ-CAN-EXACT-0205EXACT_NORMALIZED_TEXT · High

Devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato i sistemi perimetrali, inclusi firewall.

Verifica: I sistemi perimetrali sono presenti, aggiornati, mantenuti e configurati adeguatamente?

Risposta: yes_noEvidenza: configurazioni firewall, backup configurazioni, report patchApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 3
REQ-ATOM-GOV-012-010mediumprocesscanonico

Devono essere adottate e documentate procedure relative ai sistemi accessibili da remoto e ai sistemi perimetrali.

REQ-CAN-EXACT-0017EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative ai sistemi accessibili da remoto e ai sistemi perimetrali.

Verifica: Sono documentate procedure per sistemi remoti e sistemi perimetrali?

Risposta: document_referenceEvidenza: procedura accesso remoto, procedura firewall/perimetroApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 4
REQ-ATOM-GOV-012-011highaccess_control

Le procedure di autenticazione degli utenti devono essere selezionate sulla base di una valutazione del rischio.

Verifica: Le procedure di autenticazione sono selezionate in base a una valutazione del rischio?

Risposta: yes_noEvidenza: risk assessment autenticazione, policy IAMApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-GOV-012-012highaccess_control

La valutazione dell autenticazione deve considerare scenari di attacco rilevanti, inclusa l accessibilità diretta da Internet.

Verifica: La valutazione considera scenari di attacco come esposizione Internet?

Risposta: yes_noEvidenza: risk assessment, threat model accessiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-GOV-012-013hightechnical_controlcanonico

Devono essere applicate procedure di autenticazione allo stato dell arte.

REQ-CAN-EXACT-0027EXACT_NORMALIZED_TEXT · High

Devono essere applicate procedure di autenticazione allo stato dell arte.

Verifica: Sono applicate procedure di autenticazione allo stato dell arte?

Risposta: yes_noEvidenza: policy MFA/password, configurazioni IdPApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-GOV-012-014highaccess_controlcanonico

Le procedure di autenticazione devono essere definite e implementate in base a requisiti di business e sicurezza.

REQ-CAN-EXACT-0210EXACT_NORMALIZED_TEXT · High

Le procedure di autenticazione devono essere definite e implementate in base a requisiti di business e sicurezza.

Verifica: Le procedure di autenticazione sono definite e implementate secondo requisiti business e sicurezza?

Risposta: yes_noEvidenza: policy IAM, matrice requisiti accessoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-GOV-012-015hightechnical_control

Gli utenti devono essere autenticati almeno tramite password robuste secondo lo stato dell arte.

Verifica: Gli utenti sono autenticati almeno tramite password robuste secondo lo stato dell arte?

Risposta: yes_noEvidenza: policy password, configurazioni IdPApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-GOV-012-016highaccess_control

Gli account privilegiati devono usare procedure superiori di autenticazione, come PAM o autenticazione a più fattori.

Verifica: Gli account privilegiati usano PAM o autenticazione a più fattori?

Risposta: yes_noEvidenza: configurazioni MFA/PAM, elenco adminApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-GOV-012-017mediumtechnical_controlcanonico

In base al rischio, autenticazione e controllo accessi devono essere rafforzati con misure supplementari.

REQ-CAN-EXACT-0046EXACT_NORMALIZED_TEXT · High

In base al rischio, autenticazione e controllo accessi devono essere rafforzati con misure supplementari.

Verifica: Autenticazione e controllo accessi sono rafforzati con misure supplementari in base al rischio?

Risposta: yes_noEvidenza: monitoraggio accessi, logout automatico, blocco brute forceApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-GOV-012-018highaccess_control

Devono essere determinati e soddisfatti i requisiti per la gestione dei diritti di accesso.

Verifica: Sono determinati e soddisfatti i requisiti per gestire i diritti di accesso?

Risposta: document_referenceEvidenza: policy controllo accessi, procedura access reviewApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-GOV-012-019highaccess_controlcanonico

La gestione dei diritti deve includere richiesta, verifica e approvazione.

REQ-CAN-EXACT-0126EXACT_NORMALIZED_TEXT · High

La gestione dei diritti deve includere richiesta, verifica e approvazione.

Verifica: La gestione dei diritti include richiesta, verifica e approvazione?

Risposta: yes_noEvidenza: workflow richiesta accesso, ticket approvazioneApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-GOV-012-020highaccess_control

I diritti di accesso devono applicare il principio need to know e least privilege.

Verifica: I diritti sono assegnati secondo need to know e least privilege?

Risposta: yes_noEvidenza: matrice ruoli/accessi, export gruppiApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-GOV-012-021highaccess_controlcanonico

I diritti di accesso devono essere revocati quando non sono più necessari.

REQ-CAN-EXACT-0094EXACT_NORMALIZED_TEXT · High

I diritti di accesso devono essere revocati quando non sono più necessari.

Verifica: I diritti di accesso non più necessari sono revocati?

Risposta: yes_noEvidenza: ticket revoca, log disabilitazione, access reviewApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-GOV-012-022highreview

I diritti concessi ad account normali, privilegiati e tecnici devono essere riesaminati a intervalli regolari.

Verifica: I diritti di account normali, privilegiati e tecnici sono riesaminati regolarmente?

Risposta: yes_noEvidenza: registro access review, report recertificazioneApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-027 · Procedura recertificazione accessi · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-GOV-012-023mediumaccess_control

Le strategie di autorizzazione all accesso alle informazioni devono essere predisposte.

Verifica: Sono predisposte strategie di autorizzazione per l accesso alle informazioni?

Risposta: document_referenceEvidenza: modello RBAC, policy autorizzazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-GOV-012-024mediumaccess_control

Devono essere usati ruoli autorizzativi per assegnare i diritti.

Verifica: Sono usati ruoli autorizzativi per assegnare i diritti?

Risposta: yes_noEvidenza: modello ruoli, gruppi IAMApplicabilità: tisax_onlyAutomazione: entra_id
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-GOV-012-025highaccess_control

Gli account ordinari non devono ricevere diritti privilegiati.

Verifica: Gli account ordinari sono separati dagli account privilegiati?

Risposta: yes_noEvidenza: export admin, matrice account privilegiatiApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-GOV-012-026highaccess_control

I diritti devono essere adattati quando l utente cambia ruolo o responsabilità.

Verifica: I diritti sono adattati quando l utente cambia ruolo o responsabilità?

Risposta: yes_noEvidenza: ticket mover, access review, log modificheApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
MC-GOV-013MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Gestione delle identità

4 controlli framework collegati

  • ISO27001FW-ISO-A-5-16Gestione delle identità
  • TISAX_ISA6FW-TISAX-TISAX-4-1-1Gestione dei mezzi di identificazione
  • TISAX_ISA6FW-TISAX-TISAX-4-1-3Account utente e informazioni di login gestiti in modo sicuro
  • NIS2_ESSENZIALEFW-NIS-PR-AA-01Identità e credenziali gestite

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 10 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-014 · Inventario hardwareRegistro · 5 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 7 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 15 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-027 · Procedura recertificazione accessiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 5 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 12 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 6 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici35
REQ-ATOM-GOV-013-001highaccess_control

L intero ciclo di vita delle identità deve essere gestito dall Organizzazione.

Verifica: Il ciclo di vita delle identità è gestito dall inserimento alla dismissione?

Risposta: yes_noEvidenza: procedura IAM, flusso JML, ticket onboarding/offboardingApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-16 · ISO27001 A.5.16 controllo
REQ-ATOM-GOV-013-002highaccess_control

La creazione delle identità deve avvenire tramite un processo controllato.

Verifica: La creazione delle identità avviene tramite processo controllato?

Risposta: yes_noEvidenza: ticket creazione account, workflow approvazioneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-16 · ISO27001 A.5.16 controllo
REQ-ATOM-GOV-013-003highaccess_control

Le modifiche alle identità devono essere gestite quando cambiano ruolo, responsabilità o relazione con l Organizzazione.

Verifica: Le identità vengono aggiornate in caso di cambio ruolo o responsabilità?

Risposta: yes_noEvidenza: ticket mover, registro variazioni ruolo, export IAMApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-16 · ISO27001 A.5.16 controllo
REQ-ATOM-GOV-013-004highaccess_control

La disattivazione o cancellazione delle identità deve essere gestita quando l accesso non è più necessario.

Verifica: Le identità non più necessarie vengono disattivate o cancellate?

Risposta: yes_noEvidenza: ticket offboarding, log disabilitazione accountApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-16 · ISO27001 A.5.16 controllo
REQ-ATOM-GOV-013-005highaccess_controlcanonico

Tutte le utenze, incluse quelle amministrative e di accesso remoto, devono essere censite.

REQ-CAN-EXACT-0288EXACT_NORMALIZED_TEXT · High

Tutte le utenze, incluse quelle amministrative e di accesso remoto, devono essere censite.

Verifica: Tutte le utenze amministrative e remote sono censite?

Risposta: yes_noEvidenza: export identità, inventario account, elenco adminApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTERDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 1
REQ-ATOM-GOV-013-006highaccess_control

Le utenze devono essere approvate da attori interni all Organizzazione.

Verifica: Le utenze sono approvate da attori interni autorizzati?

Risposta: yes_noEvidenza: workflow approvazione account, ticket IAMApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 1
REQ-ATOM-GOV-013-007highaccess_controlcanonico

Le utenze degli utenti devono essere individuali, salvo motivate ragioni tecniche documentate e in base al rischio.

REQ-CAN-EXACT-0299EXACT_NORMALIZED_TEXT · High

Le utenze degli utenti devono essere individuali, salvo motivate ragioni tecniche documentate e in base al rischio.

Verifica: Le utenze utente sono individuali salvo eccezioni tecniche motivate?

Risposta: yes_noEvidenza: export account, registro account condivisi, risk assessmentApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 1
REQ-ATOM-GOV-013-008hightechnical_controlcanonico

Le credenziali delle utenze devono essere robuste e aggiornate in base alla valutazione del rischio.

REQ-CAN-EXACT-0061EXACT_NORMALIZED_TEXT · High

Le credenziali delle utenze devono essere robuste e aggiornate in base alla valutazione del rischio.

Verifica: Le credenziali sono robuste e aggiornate secondo il rischio?

Risposta: yes_noEvidenza: policy password, configurazioni identità, report complianceApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 2
REQ-ATOM-GOV-013-009highreviewcanonico

Per i sistemi rilevanti, utenze e autorizzazioni devono essere verificate periodicamente.

REQ-CAN-EXACT-0272EXACT_NORMALIZED_TEXT · High

Per i sistemi rilevanti, utenze e autorizzazioni devono essere verificate periodicamente.

Verifica: Utenze e autorizzazioni dei sistemi rilevanti sono verificate periodicamente?

Risposta: yes_noEvidenza: registro access review, report recertificazioneApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-027 · Procedura recertificazione accessi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 3
REQ-ATOM-GOV-013-010highaccess_control

Utenze e autorizzazioni devono essere aggiornate o revocate in caso di variazioni come trasferimento o cessazione del personale.

Verifica: Utenze e autorizzazioni sono aggiornate o revocate in caso di trasferimento o cessazione?

Risposta: yes_noEvidenza: ticket mover/leaver, log revocheApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · primario · OK_PRIMARY_PRESENTDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 3
REQ-ATOM-GOV-013-011highprocesscanonico

Devono essere adottate e documentate procedure per censimento, credenziali, verifiche e revoche delle utenze.

REQ-CAN-EXACT-0007EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per censimento, credenziali, verifiche e revoche delle utenze.

Verifica: Sono documentate procedure per censimento, credenziali, verifiche e revoche delle utenze?

Risposta: document_referenceEvidenza: procedura IAM, procedura password/MFA, procedura access reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 4
REQ-ATOM-GOV-013-012mediumaccess_control

I requisiti per gestire i mezzi di identificazione lungo l intero ciclo di vita devono essere determinati e soddisfatti.

Verifica: Sono determinati e soddisfatti i requisiti per il ciclo di vita dei mezzi di identificazione?

Risposta: document_referenceEvidenza: procedura badge/token/chiavi, registro dispositiviApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-GOV-013-013mediumaccess_controlcanonico

La gestione dei mezzi di identificazione deve coprire creazione, consegna, restituzione e distruzione.

REQ-CAN-EXACT-0130EXACT_NORMALIZED_TEXT · High

La gestione dei mezzi di identificazione deve coprire creazione, consegna, restituzione e distruzione.

Verifica: La procedura copre creazione, consegna, restituzione e distruzione dei mezzi di identificazione?

Risposta: yes_noEvidenza: registro badge/token, verbali consegna e restituzioneApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-GOV-013-014mediumaccess_control

La gestione dei mezzi di identificazione deve considerare periodi di validità.

Verifica: I mezzi di identificazione hanno periodi di validità gestiti?

Risposta: yes_noEvidenza: registro validità badge/token, scadenziarioApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-GOV-013-015mediumevidence

La gestione dei mezzi di identificazione deve garantire tracciabilità.

Verifica: La gestione di badge, chiavi o token è tracciabile?

Risposta: yes_noEvidenza: registro assegnazioni, log consegna/restituzioneApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-GOV-013-016mediumprocess

Deve essere definita la gestione della perdita dei mezzi di identificazione.

Verifica: È definita una procedura per la perdita di badge, chiavi o token?

Risposta: document_referenceEvidenza: procedura smarrimento, registro incidentiApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-GOV-013-017mediumphysical_securitycanonico

I mezzi di identificazione devono poter essere prodotti solo in condizioni controllate.

REQ-CAN-EXACT-0153EXACT_NORMALIZED_TEXT · High

I mezzi di identificazione devono poter essere prodotti solo in condizioni controllate.

Verifica: La produzione o emissione dei mezzi di identificazione avviene in condizioni controllate?

Risposta: yes_noEvidenza: procedura emissione badge/token, autorizzazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-GOV-013-018highaccess_control

La creazione, modifica e cancellazione degli account utente deve essere eseguita tramite processo controllato.

Verifica: Creazione, modifica e cancellazione degli account sono gestite con processo controllato?

Risposta: yes_noEvidenza: procedura IAM, ticket JMLApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-019highaccess_controlcanonico

Devono essere usati account utente univoci e personalizzati.

REQ-CAN-EXACT-0290EXACT_NORMALIZED_TEXT · High

Devono essere usati account utente univoci e personalizzati.

Verifica: Gli account utente sono univoci e personalizzati?

Risposta: yes_noEvidenza: export utenti, policy IAMApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-020highaccess_control

L uso di account collettivi deve essere regolato e limitato ai casi in cui la tracciabilità individuale non è necessaria.

Verifica: Gli account collettivi sono regolati e limitati a casi giustificati?

Risposta: yes_noEvidenza: registro account condivisi, risk acceptanceApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-021highaccess_control

Gli account devono essere disabilitati immediatamente dopo dimissioni o uscita dall Organizzazione.

Verifica: Gli account sono disabilitati immediatamente quando l utente lascia l Organizzazione?

Risposta: yes_noEvidenza: ticket offboarding, log disabilitazioneApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-022highreviewcanonico

Gli account utente devono essere riesaminati regolarmente.

REQ-CAN-EXACT-0004EXACT_NORMALIZED_TEXT · High

Gli account utente devono essere riesaminati regolarmente.

Verifica: Gli account utente sono riesaminati regolarmente?

Risposta: yes_noEvidenza: registro access review, report accountApplicabilità: tisax_onlyAutomazione: entra_id
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-023mediumaccess_controlcanonico

Le informazioni di login devono essere fornite all utente in modo sicuro.

REQ-CAN-EXACT-0141EXACT_NORMALIZED_TEXT · High

Le informazioni di login devono essere fornite all utente in modo sicuro.

Verifica: Le informazioni di login iniziali sono fornite in modo sicuro?

Risposta: yes_noEvidenza: procedura provisioning, evidenza canale sicuroApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-024highpolicy

Deve essere definita e attuata una policy per il trattamento delle informazioni di login.

Verifica: È definita e attuata una policy per il trattamento delle informazioni di login?

Risposta: document_referenceEvidenza: policy password/autenticazione, procedura IAMApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-025highaccess_control

La policy deve vietare la divulgazione delle informazioni di login a terzi.

Verifica: La policy vieta la divulgazione delle informazioni di login a terzi?

Risposta: yes_noEvidenza: policy password, formazione utentiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-026highaccess_control

La policy deve vietare la conservazione non cifrata o annotazione non sicura delle informazioni di login.

Verifica: La policy vieta la conservazione non cifrata o annotazione non sicura delle credenziali?

Risposta: yes_noEvidenza: policy password, controlli auditApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-027highincidentcanonico

Le informazioni di login devono essere cambiate immediatamente quando si sospetta una compromissione.

REQ-CAN-EXACT-0140EXACT_NORMALIZED_TEXT · High

Le informazioni di login devono essere cambiate immediatamente quando si sospetta una compromissione.

Verifica: È previsto il cambio immediato delle credenziali in caso di sospetta compromissione?

Risposta: yes_noEvidenza: procedura incidenti, ticket reset credenzialiApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-028mediumaccess_control

Non devono essere usate le stesse informazioni di login per scopi aziendali e non aziendali.

Verifica: La policy vieta il riuso delle credenziali aziendali per scopi non aziendali?

Risposta: yes_noEvidenza: policy password, formazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-029hightechnical_control

Le credenziali temporanee o iniziali devono essere cambiate al primo accesso.

Verifica: Le credenziali temporanee o iniziali vengono cambiate al primo accesso?

Risposta: yes_noEvidenza: configurazione IdP, policy passwordApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-030hightechnical_control

La qualità delle informazioni di autenticazione deve essere definita, includendo requisiti come lunghezza e tipi di caratteri.

Verifica: Sono definiti requisiti di qualità per le informazioni di autenticazione?

Risposta: yes_noEvidenza: policy password, configurazioni IdPApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-031highaccess_control

Le credenziali di un account personale devono essere conosciute solo dall utente assegnato.

Verifica: Le credenziali degli account personali sono conosciute solo dall utente assegnato?

Risposta: yes_noEvidenza: policy password, formazione, configurazioni segreteApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-032hightechnical_control

Gli account predefiniti e le password dei produttori devono essere disabilitati o modificati.

Verifica: Account e password predefiniti dei produttori sono disabilitati o modificati?

Risposta: yes_noEvidenza: baseline hardening, scan configurazioniApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-033highsupplier

Gli account dei fornitori di servizi devono essere disabilitati al completamento del relativo compito.

Verifica: Gli account dei fornitori sono disabilitati al completamento del compito?

Risposta: yes_noEvidenza: ticket fornitore, log disabilitazione accountApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-034mediumprocess

Devono essere definite scadenze per disabilitare e cancellare account.

Verifica: Sono definite scadenze per disabilitare e cancellare account?

Risposta: document_referenceEvidenza: procedura IAM, SLA offboardingApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-GOV-013-035hightechnical_control

Il login interattivo per account tecnici o di servizio deve essere impedito tecnicamente.

Verifica: Il login interattivo degli account tecnici è impedito tecnicamente?

Risposta: yes_noEvidenza: configurazioni account servizio, policy accessoApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
MC-GOV-014MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Informazioni di autenticazione

5 controlli framework collegati

  • ISO27001FW-ISO-A-5-17Informazioni di autenticazione
  • TISAX_ISA6FW-TISAX-TISAX-4-1-1Gestione dei mezzi di identificazione
  • TISAX_ISA6FW-TISAX-TISAX-4-1-3Account utente e informazioni di login gestiti in modo sicuro
  • NIS2_ESSENZIALEFW-NIS-PR-AA-01Identità e credenziali gestite
  • NIS2_ESSENZIALEFW-NIS-PR-AA-03Utenti, servizi e hardware autenticati

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 14 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 8 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 39 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-027 · Procedura recertificazione accessiProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 14 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 6 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici39
REQ-ATOM-GOV-014-001highaccess_control

L assegnazione delle informazioni di autenticazione deve essere controllata tramite un processo gestionale definito.

Verifica: Esiste un processo gestionale per assegnare le informazioni di autenticazione?

Risposta: document_referenceEvidenza: procedura gestione credenziali, workflow IAM, ticket di assegnazioneApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-17 · ISO27001 A.5.17 controllo
REQ-ATOM-GOV-014-002highaccess_control

La gestione delle informazioni di autenticazione deve includere controlli lungo il ciclo di vita delle credenziali.

Verifica: La gestione delle informazioni di autenticazione copre il ciclo di vita delle credenziali?

Risposta: yes_noEvidenza: procedura IAM, registro credenziali privilegiate, evidenze revoca/modificaApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-17 · ISO27001 A.5.17 controllo
REQ-ATOM-GOV-014-003mediumtraining

Il personale deve essere informato sulle modalità corrette di trattamento delle informazioni di autenticazione.

Verifica: Il personale è informato sul trattamento corretto delle informazioni di autenticazione?

Risposta: yes_noEvidenza: policy password, materiale awareness, registro presa visioneApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-17 · ISO27001 A.5.17 controllo
REQ-ATOM-GOV-014-004highaccess_controlcanonico

Tutte le utenze, incluse quelle amministrative e di accesso remoto, devono essere censite.

REQ-CAN-EXACT-0288EXACT_NORMALIZED_TEXT · High

Tutte le utenze, incluse quelle amministrative e di accesso remoto, devono essere censite.

Verifica: Tutte le utenze, incluse amministrative e remote, sono censite?

Risposta: yes_noEvidenza: inventario utenze, export directory, elenco account privilegiatiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTERDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 1
REQ-ATOM-GOV-014-005highaccess_controlcanonico

Le utenze devono essere approvate da attori interni competenti.

REQ-CAN-EXACT-0298EXACT_NORMALIZED_TEXT · High

Le utenze devono essere approvate da attori interni competenti.

Verifica: Le utenze sono approvate da attori interni competenti?

Risposta: yes_noEvidenza: workflow richiesta accesso, approvazioni ticket, log IAMApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 1
REQ-ATOM-GOV-014-006highaccess_control

Le utenze utente devono essere individuali salvo motivate e documentate ragioni tecniche coerenti con il rischio.

Verifica: Le utenze utente sono individuali o le eccezioni sono motivate e documentate?

Risposta: yes_noEvidenza: inventario account condivisi, valutazione rischio, approvazioni eccezioniApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 1
REQ-ATOM-GOV-014-007highaccess_control

Le credenziali delle utenze devono essere robuste in accordo alla valutazione del rischio.

Verifica: Le credenziali sono robuste in accordo alla valutazione del rischio?

Risposta: yes_noEvidenza: policy password, configurazioni IAM, report compliance passwordApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 2
REQ-ATOM-GOV-014-008mediumaccess_control

Le credenziali devono essere aggiornate quando richiesto dagli esiti della valutazione del rischio.

Verifica: Le credenziali sono aggiornate quando richiesto dal rischio?

Risposta: yes_noEvidenza: policy password, log reset, evidenze rotazione credenzialiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 2
REQ-ATOM-GOV-014-009highreview

Per i sistemi informativi e di rete rilevanti, utenze e autorizzazioni devono essere verificate periodicamente.

Verifica: Utenze e autorizzazioni dei sistemi rilevanti sono verificate periodicamente?

Risposta: yes_noEvidenza: registro access review, report recertificazione, export IAMApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-027 · Procedura recertificazione accessi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 3
REQ-ATOM-GOV-014-010highaccess_control

Le utenze e le autorizzazioni devono essere aggiornate o revocate in caso di variazioni, trasferimenti o cessazioni.

Verifica: Le utenze e autorizzazioni sono aggiornate o revocate dopo variazioni o cessazioni?

Risposta: yes_noEvidenza: ticket JML, log disabilitazione account, report offboardingApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 3
REQ-ATOM-GOV-014-011highprocess

Devono essere adottate e documentate procedure per censimento, approvazione, robustezza credenziali e verifica delle utenze.

Verifica: Esistono procedure documentate per la gestione di utenze e credenziali?

Risposta: document_referenceEvidenza: procedura IAM, procedura password, procedura access reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 4
REQ-ATOM-GOV-014-012highaccess_controlcanonico

Le modalità di autenticazione per accedere ai sistemi informativi e di rete devono essere commisurate al rischio.

REQ-CAN-EXACT-0155EXACT_NORMALIZED_TEXT · High

Le modalità di autenticazione per accedere ai sistemi informativi e di rete devono essere commisurate al rischio.

Verifica: Le modalità di autenticazione sono commisurate al rischio?

Risposta: yes_noEvidenza: valutazione rischio accessi, standard autenticazioneApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 1
REQ-ATOM-GOV-014-013highaccess_controlcanonico

La valutazione delle modalità di autenticazione deve considerare i privilegi delle utenze.

REQ-CAN-EXACT-0303EXACT_NORMALIZED_TEXT · High

La valutazione delle modalità di autenticazione deve considerare i privilegi delle utenze.

Verifica: La scelta dell autenticazione considera i privilegi delle utenze?

Risposta: yes_noEvidenza: matrice privilegi, valutazione MFA, policy accessiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 1a
REQ-ATOM-GOV-014-014highrisk_basedcanonico

La valutazione delle modalità di autenticazione deve considerare la criticità dei sistemi informativi e di rete.

REQ-CAN-EXACT-0302EXACT_NORMALIZED_TEXT · High

La valutazione delle modalità di autenticazione deve considerare la criticità dei sistemi informativi e di rete.

Verifica: La scelta dell autenticazione considera la criticità dei sistemi?

Risposta: yes_noEvidenza: classificazione sistemi, risk assessment, policy accessiApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 1b
REQ-ATOM-GOV-014-015mediumaccess_controlcanonico

La valutazione delle modalità di autenticazione deve considerare la tipologia di operazioni consentite alle utenze.

REQ-CAN-EXACT-0304EXACT_NORMALIZED_TEXT · High

La valutazione delle modalità di autenticazione deve considerare la tipologia di operazioni consentite alle utenze.

Verifica: La scelta dell autenticazione considera le operazioni consentite alle utenze?

Risposta: yes_noEvidenza: matrice ruoli/operazioni, risk assessment accessiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 1c
REQ-ATOM-GOV-014-016hightechnical_controlcanonico

Per i sistemi informativi e di rete rilevanti devono essere impiegate soluzioni di autenticazione multifattore in accordo al rischio.

REQ-CAN-EXACT-0267EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere impiegate soluzioni di autenticazione multifattore in accordo al rischio.

Verifica: Per i sistemi rilevanti è impiegata autenticazione multifattore coerente con il rischio?

Risposta: yes_noEvidenza: configurazioni MFA, report Entra ID, conditional accessApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 2
REQ-ATOM-GOV-014-017highprocesscanonico

Devono essere adottate e documentate procedure relative alla scelta e applicazione delle modalità di autenticazione e MFA.

REQ-CAN-EXACT-0016EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative alla scelta e applicazione delle modalità di autenticazione e MFA.

Verifica: Esistono procedure documentate per autenticazione e MFA?

Risposta: document_referenceEvidenza: procedura MFA, standard autenticazione, policy accessiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 3
REQ-ATOM-GOV-014-018highaccess_controlcanonico

Devono essere determinati e soddisfatti i requisiti per la gestione dei mezzi di identificazione lungo l intero ciclo di vita.

REQ-CAN-EXACT-0086EXACT_NORMALIZED_TEXT · High

Devono essere determinati e soddisfatti i requisiti per la gestione dei mezzi di identificazione lungo l intero ciclo di vita.

Verifica: Sono determinati e soddisfatti i requisiti per il ciclo di vita dei mezzi di identificazione?

Risposta: yes_noEvidenza: procedura badge/token/chiavi, registro consegne e revocheApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1 4.1.1
REQ-ATOM-GOV-014-019highaccess_controlcanonico

La gestione dei mezzi di identificazione deve coprire creazione, consegna, restituzione e distruzione.

REQ-CAN-EXACT-0130EXACT_NORMALIZED_TEXT · High

La gestione dei mezzi di identificazione deve coprire creazione, consegna, restituzione e distruzione.

Verifica: La procedura copre creazione, consegna, restituzione e distruzione dei mezzi di identificazione?

Risposta: yes_noEvidenza: registro lifecycle badge/token, procedure fisiche/logicheApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1 4.1.1
REQ-ATOM-GOV-014-020mediumaccess_controlcanonico

La gestione dei mezzi di identificazione deve prevedere periodi di validità appropriati.

REQ-CAN-EXACT-0131EXACT_NORMALIZED_TEXT · High

La gestione dei mezzi di identificazione deve prevedere periodi di validità appropriati.

Verifica: I mezzi di identificazione hanno periodi di validità appropriati?

Risposta: yes_noEvidenza: configurazioni badge/token, registro scadenzeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1 4.1.1
REQ-ATOM-GOV-014-021highevidencecanonico

La gestione dei mezzi di identificazione deve assicurare la tracciabilità.

REQ-CAN-EXACT-0129EXACT_NORMALIZED_TEXT · High

La gestione dei mezzi di identificazione deve assicurare la tracciabilità.

Verifica: La gestione dei mezzi di identificazione è tracciabile?

Risposta: yes_noEvidenza: registro assegnazioni, log consegna/revoca, inventario tokenApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1 4.1.1
REQ-ATOM-GOV-014-022mediumprocesscanonico

Devono essere definite modalità per gestire la perdita dei mezzi di identificazione.

REQ-CAN-EXACT-0071EXACT_NORMALIZED_TEXT · High

Devono essere definite modalità per gestire la perdita dei mezzi di identificazione.

Verifica: Esiste una procedura per la perdita di mezzi di identificazione?

Risposta: document_referenceEvidenza: procedura smarrimento badge/token/chiavi, ticket incidentApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1 4.1.1
REQ-ATOM-GOV-014-023mediumphysical_securitycanonico

I mezzi di identificazione devono poter essere prodotti solo in condizioni controllate.

REQ-CAN-EXACT-0153EXACT_NORMALIZED_TEXT · High

I mezzi di identificazione devono poter essere prodotti solo in condizioni controllate.

Verifica: La produzione dei mezzi di identificazione avviene solo in condizioni controllate?

Risposta: yes_noEvidenza: procedura emissione badge, autorizzazioni ufficio badgeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1 4.1.1
REQ-ATOM-GOV-014-024highaccess_control

Deve essere predisposta e attuata una strategia di blocco o invalidazione in caso di perdita.

Verifica: È predisposta e attuata una strategia di blocco o invalidazione in caso di perdita?

Risposta: yes_noEvidenza: procedura revoca, log blocco badge/token, ticket smarrimentoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1 4.1.1
REQ-ATOM-GOV-014-025highaccess_control

La creazione, modifica ed eliminazione degli account utente deve essere gestita.

Verifica: Creazione, modifica ed eliminazione degli account utente sono gestite?

Risposta: yes_noEvidenza: procedura JML, ticket IAM, log directoryApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-026highaccess_controlcanonico

Devono essere usati account utente univoci e personalizzati.

REQ-CAN-EXACT-0290EXACT_NORMALIZED_TEXT · High

Devono essere usati account utente univoci e personalizzati.

Verifica: Sono usati account utente univoci e personalizzati?

Risposta: yes_noEvidenza: export directory, policy account, inventario utenzeApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-027highaccess_controlcanonico

L uso di account collettivi deve essere regolato e limitato ai casi consentiti.

REQ-CAN-EXACT-0292EXACT_NORMALIZED_TEXT · High

L uso di account collettivi deve essere regolato e limitato ai casi consentiti.

Verifica: L uso di account collettivi è regolato e limitato?

Risposta: yes_noEvidenza: registro account condivisi, eccezioni approvate, risk assessmentApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-028highaccess_controlcanonico

Gli account devono essere disabilitati immediatamente quando l utente lascia l Organizzazione.

REQ-CAN-EXACT-0003EXACT_NORMALIZED_TEXT · High

Gli account devono essere disabilitati immediatamente quando l utente lascia l Organizzazione.

Verifica: Gli account sono disabilitati immediatamente all uscita dell utente?

Risposta: yes_noEvidenza: ticket offboarding, log disabilitazione, report HR/IAMApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-029highreviewcanonico

Gli account utente devono essere riesaminati regolarmente.

REQ-CAN-EXACT-0004EXACT_NORMALIZED_TEXT · High

Gli account utente devono essere riesaminati regolarmente.

Verifica: Gli account utente sono riesaminati regolarmente?

Risposta: yes_noEvidenza: registro access review, report recertificazioneApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-027 · Procedura recertificazione accessi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-030mediumaccess_controlcanonico

Le informazioni di login devono essere fornite all utente in modo sicuro.

REQ-CAN-EXACT-0141EXACT_NORMALIZED_TEXT · High

Le informazioni di login devono essere fornite all utente in modo sicuro.

Verifica: Le informazioni di login sono fornite agli utenti in modo sicuro?

Risposta: yes_noEvidenza: procedura consegna credenziali, canali sicuri, evidenze onboardingApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-031highpolicy

Deve essere definita e implementata una policy per la gestione delle informazioni di login.

Verifica: Esiste una policy implementata per la gestione delle informazioni di login?

Risposta: document_referenceEvidenza: policy password/autenticazione, procedura credenzialiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-032mediumpolicy

La policy di login deve vietare la divulgazione delle informazioni di autenticazione a terzi.

Verifica: La policy vieta la divulgazione delle informazioni di autenticazione a terzi?

Risposta: yes_noEvidenza: policy password, materiale awareness, presa visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-033highpolicy

La policy di login deve vietare la conservazione non cifrata o non protetta delle informazioni di autenticazione.

Verifica: La policy vieta la conservazione non cifrata o non protetta delle credenziali?

Risposta: yes_noEvidenza: policy password, standard secret management, controlli DLPApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-034highincidentcanonico

Le informazioni di login devono essere cambiate immediatamente quando si sospetta una compromissione.

REQ-CAN-EXACT-0140EXACT_NORMALIZED_TEXT · High

Le informazioni di login devono essere cambiate immediatamente quando si sospetta una compromissione.

Verifica: Le credenziali sono cambiate immediatamente in caso di sospetta compromissione?

Risposta: yes_noEvidenza: procedura incident account, ticket reset password, log IAMApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-035mediumpolicy

Le credenziali business non devono essere riutilizzate per scopi non lavorativi.

Verifica: La policy vieta il riuso delle credenziali business per scopi non lavorativi?

Risposta: yes_noEvidenza: policy password, materiale awarenessApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-036mediumaccess_control

Le credenziali temporanee o iniziali devono essere cambiate dopo il primo accesso.

Verifica: Le credenziali temporanee o iniziali sono cambiate dopo il primo accesso?

Risposta: yes_noEvidenza: configurazioni directory, policy force change passwordApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-037mediumpolicy

I requisiti di qualità delle informazioni di autenticazione devono essere definiti.

Verifica: Sono definiti requisiti di qualità per le informazioni di autenticazione?

Risposta: document_referenceEvidenza: policy password, standard autenticazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-038hightechnical_control

Le password predefinite di account o prodotti devono essere disabilitate o cambiate.

Verifica: Le password predefinite sono disabilitate o cambiate?

Risposta: yes_noEvidenza: baseline hardening, checklist installazione, vulnerability scanApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
REQ-ATOM-GOV-014-039hightechnical_control

L accesso interattivo per account di servizio deve essere impedito tecnicamente.

Verifica: L accesso interattivo per account di servizio è impedito tecnicamente?

Risposta: yes_noEvidenza: configurazioni account servizio, policy directory, controlli GPO/EntraApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3 4.1.3
MC-GOV-015MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Diritti di accesso

4 controlli framework collegati

  • ISO27001FW-ISO-A-5-18Diritti di accesso
  • TISAX_ISA6FW-TISAX-TISAX-4-2-1Diritti di accesso assegnati e gestiti
  • TISAX_ISA6FW-TISAX-TISAX-4-1-2Accesso utenti a servizi e sistemi IT protetto
  • NIS2_ESSENZIALEFW-NIS-PR-AA-05Permessi e autorizzazioni di accesso gestiti

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 10 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 2 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 8 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 3 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 8 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-027 · Procedura recertificazione accessiProcedura · 4 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 3 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici28
REQ-ATOM-GOV-015-001highaccess_control

I diritti di accesso devono essere concessi in accordo con la politica e le regole di controllo accessi dell Organizzazione.

Verifica: I diritti di accesso sono concessi secondo policy e regole di controllo accessi?

Risposta: yes_noEvidenza: procedura accessi, richieste approvate, export IAMApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-5-18 · ISO27001 A.5.18 controllo
REQ-ATOM-GOV-015-002highreview

I diritti di accesso devono essere riesaminati periodicamente.

Verifica: I diritti di accesso sono riesaminati periodicamente?

Risposta: yes_noEvidenza: registro recertificazione accessi, report review, verbali approvazioneApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-027 · Procedura recertificazione accessi · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-18 · ISO27001 A.5.18 controllo
REQ-ATOM-GOV-015-003highaccess_control

I diritti di accesso devono essere modificati quando cambiano le esigenze operative o di sicurezza.

Verifica: I diritti di accesso vengono modificati quando cambiano ruolo o necessità operative?

Risposta: yes_noEvidenza: ticket variazione ruolo, log modifica gruppi, workflow JMLApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-18 · ISO27001 A.5.18 controllo
REQ-ATOM-GOV-015-004highaccess_control

I diritti di accesso devono essere rimossi quando non sono più necessari.

Verifica: I diritti di accesso non più necessari vengono rimossi?

Risposta: yes_noEvidenza: ticket offboarding, report utenti disabilitati, log revoca accessiApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-18 · ISO27001 A.5.18 controllo
REQ-ATOM-GOV-015-005highaccess_control

I permessi devono essere assegnati in base al principio del minimo privilegio.

Verifica: I permessi sono assegnati secondo il principio del minimo privilegio?

Risposta: yes_noEvidenza: matrice ruoli, export autorizzazioni, policy accessiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 1
REQ-ATOM-GOV-015-006highaccess_control

I permessi devono rispettare la separazione delle funzioni.

Verifica: I permessi rispettano la separazione delle funzioni?

Risposta: yes_noEvidenza: matrice SoD, ruoli applicativi, review accessiApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-027 · Procedura recertificazione accessi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 1
REQ-ATOM-GOV-015-007mediumaccess_control

L assegnazione dei permessi deve considerare la necessità di conoscere.

Verifica: L assegnazione dei permessi considera il need to know?

Risposta: yes_noEvidenza: matrice accessi, classificazione dati, approvazioni ownerApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 1
REQ-ATOM-GOV-015-008highaccess_control

Le utenze con privilegi amministrativi devono essere distinte da quelle senza privilegi amministrativi.

Verifica: Le utenze amministrative sono distinte dalle utenze ordinarie?

Risposta: yes_noEvidenza: elenco admin, export gruppi privilegiati, policy account adminApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 2
REQ-ATOM-GOV-015-009highaccess_control

Le utenze amministrative e ordinarie degli amministratori di sistema devono usare credenziali diverse.

Verifica: Gli amministratori usano credenziali diverse per account amministrativi e ordinari?

Risposta: yes_noEvidenza: policy account admin, configurazioni IAM, campionamento accountApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 2
REQ-ATOM-GOV-015-010highprocess

Devono essere adottate e documentate procedure per assegnazione dei permessi e distinzione delle utenze amministrative.

Verifica: Esistono procedure documentate per permessi e utenze amministrative?

Risposta: document_referenceEvidenza: procedura gestione accessi, procedura account privilegiatiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 3
REQ-ATOM-GOV-015-011highaccess_controlcanonico

Le procedure di autenticazione utente devono essere selezionate sulla base di una valutazione del rischio.

REQ-CAN-EXACT-0211EXACT_NORMALIZED_TEXT · High

Le procedure di autenticazione utente devono essere selezionate sulla base di una valutazione del rischio.

Verifica: Le procedure di autenticazione sono selezionate sulla base del rischio?

Risposta: yes_noEvidenza: valutazione rischio autenticazione, standard accessiApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2 4.1.2
REQ-ATOM-GOV-015-012highrisk_basedcanonico

Nella scelta dell autenticazione devono essere considerati possibili scenari di attacco, inclusa l accessibilità da Internet.

REQ-CAN-EXACT-0162EXACT_NORMALIZED_TEXT · High

Nella scelta dell autenticazione devono essere considerati possibili scenari di attacco, inclusa l accessibilità da Internet.

Verifica: La valutazione autenticazione considera scenari di attacco e accessibilità Internet?

Risposta: yes_noEvidenza: risk assessment accessi, threat model, analisi esposizioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2 4.1.2
REQ-ATOM-GOV-015-013hightechnical_controlcanonico

Devono essere applicate procedure di autenticazione allo stato dell arte.

REQ-CAN-EXACT-0027EXACT_NORMALIZED_TEXT · High

Devono essere applicate procedure di autenticazione allo stato dell arte.

Verifica: Sono applicate procedure di autenticazione allo stato dell arte?

Risposta: yes_noEvidenza: configurazioni MFA, passwordless/PAM, policy autenticazioneApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2 4.1.2
REQ-ATOM-GOV-015-014mediumaccess_controlcanonico

Gli utenti devono essere autenticati almeno tramite password robuste allo stato dell arte, quando applicabile.

REQ-CAN-EXACT-0294EXACT_NORMALIZED_TEXT · High

Gli utenti devono essere autenticati almeno tramite password robuste allo stato dell arte, quando applicabile.

Verifica: Gli utenti sono autenticati almeno con password robuste allo stato dell arte quando applicabile?

Risposta: yes_noEvidenza: policy password, configurazioni directoryApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2 4.1.2
REQ-ATOM-GOV-015-015highaccess_control

Per account privilegiati devono essere usate procedure di autenticazione superiori, come PAM o autenticazione a due fattori.

Verifica: Gli account privilegiati usano procedure superiori come PAM o MFA?

Risposta: yes_noEvidenza: configurazioni PAM/MFA, elenco account privilegiatiApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2 4.1.2
REQ-ATOM-GOV-015-016hightechnical_controlcanonico

In base al rischio, autenticazione e controllo accessi devono essere rafforzati con misure supplementari.

REQ-CAN-EXACT-0046EXACT_NORMALIZED_TEXT · High

In base al rischio, autenticazione e controllo accessi devono essere rafforzati con misure supplementari.

Verifica: Autenticazione e controllo accessi sono rafforzati con misure supplementari basate sul rischio?

Risposta: yes_noEvidenza: conditional access, monitoraggio accessi, blocco brute force, timeout sessioneApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2 4.1.2
REQ-ATOM-GOV-015-017highaccess_control

Prima dell accesso a dati con protezione molto alta deve essere richiesta autenticazione forte allo stato dell arte.

Verifica: Per dati a protezione molto alta è richiesta autenticazione forte?

Risposta: yes_noEvidenza: policy accesso dati critici, configurazioni MFA, access control rulesApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2 4.1.2
REQ-ATOM-GOV-015-018highaccess_controlcanonico

I requisiti per la gestione dei diritti di accesso devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0227EXACT_NORMALIZED_TEXT · High

I requisiti per la gestione dei diritti di accesso devono essere determinati e soddisfatti.

Verifica: Sono determinati e soddisfatti i requisiti per la gestione dei diritti di accesso?

Risposta: yes_noEvidenza: procedura accessi, matrice ruoli, policy autorizzazioniApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-019highprocesscanonico

La gestione dei diritti deve includere richiesta, verifica e approvazione.

REQ-CAN-EXACT-0126EXACT_NORMALIZED_TEXT · High

La gestione dei diritti deve includere richiesta, verifica e approvazione.

Verifica: La gestione dei diritti include richiesta, verifica e approvazione?

Risposta: yes_noEvidenza: workflow access request, ticket approvati, audit trail IAMApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-020highaccess_controlcanonico

I diritti devono essere assegnati secondo need to know e least privilege.

REQ-CAN-EXACT-0095EXACT_NORMALIZED_TEXT · High

I diritti devono essere assegnati secondo need to know e least privilege.

Verifica: I diritti sono assegnati secondo need to know e least privilege?

Risposta: yes_noEvidenza: matrice ruoli, export autorizzazioni, review accessiApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-027 · Procedura recertificazione accessi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-021highaccess_controlcanonico

I diritti di accesso devono essere revocati quando non più necessari.

REQ-CAN-EXACT-0094EXACT_NORMALIZED_TEXT · High

I diritti di accesso devono essere revocati quando non sono più necessari.

Verifica: I diritti di accesso non più necessari sono revocati?

Risposta: yes_noEvidenza: ticket revoca, log modifica gruppi, report offboardingApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-022highreview

I diritti di account normali, privilegiati e tecnici devono essere riesaminati regolarmente anche nei sistemi dei clienti.

Verifica: I diritti di account normali, privilegiati e tecnici sono riesaminati regolarmente anche nei sistemi cliente?

Risposta: yes_noEvidenza: registro recertificazione accessi, report review, evidenze sistemi clienteApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-027 · Procedura recertificazione accessi · primario · OK_PRIMARY_PRESENTDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-023mediumpolicy

Devono essere predisposte strategie per autorizzare l accesso alle informazioni.

Verifica: Sono predisposte strategie per autorizzare l accesso alle informazioni?

Risposta: document_referenceEvidenza: policy accessi, modello RBAC/ABAC, classificazione datiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-024mediumaccess_control

Devono essere usati ruoli autorizzativi.

Verifica: Sono usati ruoli autorizzativi?

Risposta: yes_noEvidenza: modello RBAC, gruppi directory, ruoli applicativiApplicabilità: tisax_onlyAutomazione: entra_id
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-025highaccess_control

Gli account normali non devono ricevere diritti privilegiati.

Verifica: Gli account normali sono esclusi dai diritti privilegiati?

Risposta: yes_noEvidenza: elenco admin, export gruppi privilegiati, policy account adminApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-026highaccess_control

I diritti di accesso devono essere adattati quando l utente cambia area di responsabilità.

Verifica: I diritti vengono adattati quando l utente cambia responsabilità?

Risposta: yes_noEvidenza: ticket mover, log modifica gruppi, workflow HR/IAMApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-027mediumgovernance

I diritti di accesso devono essere approvati dal responsabile interno competente quando richiesto.

Verifica: I diritti di accesso sono approvati dal responsabile interno competente?

Risposta: yes_noEvidenza: approvazioni owner, ticket access request, matrice ownerApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-020 · Registro asset informativi e owner · evidenza · OK_EVIDENCE_OR_REGISTERDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
REQ-ATOM-GOV-015-028highreview

I diritti privilegiati devono essere riesaminati a intervalli più brevi quando richiesto.

Verifica: I diritti privilegiati sono riesaminati a intervalli più brevi quando richiesto?

Risposta: yes_noEvidenza: review trimestrale privilegi, report PAM/IAMApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1 4.2.1
MC-GOV-016MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Sicurezza delle informazioni nelle relazioni con i fornitori

7 controlli framework collegati

  • ISO27001FW-ISO-A-5-19Sicurezza delle informazioni nelle relazioni con i fornitori
  • TISAX_ISA6FW-TISAX-TISAX-1-3-3Uso solo di servizi IT esterni valutati e approvati
  • TISAX_ISA6FW-TISAX-TISAX-1-2-4Responsabilità tra provider IT esterni e organizzazione
  • TISAX_ISA6FW-TISAX-TISAX-6-1-1Sicurezza informazioni con contractor e partner
  • NIS2_ESSENZIALEFW-NIS-GV-SC-02Ruoli di cybersecurity di fornitori e terze parti definiti
  • NIS2_ESSENZIALEFW-NIS-ID-AM-04Inventario dei servizi erogati dai fornitori mantenuto
  • NIS2_ESSENZIALEFW-NIS-GV-SC-04Fornitori conosciuti e prioritizzati per criticità

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 5 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 6 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-010 · Elenco personale con ruoli di sicurezzaRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-013 · Procedura gestione assetProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 6 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 8 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 34 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 6 requirement · evidenza, primario · OK_EVIDENCE_OR_REGISTER, OK_PRIMARY_PRESENT · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 10 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-034 · Metodologia di valutazione rischio cyberDocumento metodologico · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici35
REQ-ATOM-GOV-016-001highsupplier

Devono essere stabiliti processi e procedure per gestire i rischi di sicurezza delle informazioni legati ai fornitori.

Verifica: Sono stabiliti processi e procedure per gestire i rischi di sicurezza dei fornitori?

Risposta: document_referenceEvidenza: procedura gestione fornitori, metodologia rischio fornitoriApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-19 · ISO27001 A.5.19 controllo
REQ-ATOM-GOV-016-002highsupplier

I processi e le procedure devono coprire l utilizzo di prodotti o servizi forniti da terze parti.

Verifica: I processi coprono l utilizzo di prodotti o servizi dei fornitori?

Risposta: yes_noEvidenza: registro fornitori, assessment fornitori, contratti di servizioApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTERDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-19 · ISO27001 A.5.19 controllo
REQ-ATOM-GOV-016-003highsupplier

La gestione dei rischi dei fornitori deve essere implementata operativamente e non solo definita a livello documentale.

Verifica: La gestione dei rischi dei fornitori è implementata operativamente?

Risposta: yes_noEvidenza: valutazioni fornitori completate, piani azione, report monitoraggioApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-19 · ISO27001 A.5.19 controllo
REQ-ATOM-GOV-016-004highsupplier

Nell organizzazione di sicurezza devono essere definiti i ruoli e le responsabilità di sicurezza assegnati a personale di terze parti.

Verifica: Sono definiti i ruoli e responsabilità di sicurezza assegnati a personale terzo?

Risposta: yes_noEvidenza: RACI fornitori, contratti, procedura fornitoriApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-02 · NIS2 Allegato 2 GV.SC-02 punto 1
REQ-ATOM-GOV-016-005mediumsupplier

I ruoli e responsabilità di sicurezza delle terze parti devono essere comunicati alle articolazioni interne competenti.

Verifica: I ruoli e responsabilità delle terze parti sono comunicati internamente?

Risposta: yes_noEvidenza: comunicazioni interne, registro ruoli fornitori, verbali kickoffApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-02 · NIS2 Allegato 2 GV.SC-02 punto 1
REQ-ATOM-GOV-016-006mediumsupplier

Il personale terzo con ruoli specifici di sicurezza deve essere incluso nell elenco aggiornato del personale con ruoli e responsabilità.

Verifica: Il personale terzo con ruoli di sicurezza è incluso nell elenco ruoli/responsabilità?

Risposta: yes_noEvidenza: registro ruoli sicurezza, elenco personale terzo autorizzatoApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-010 · Elenco personale con ruoli di sicurezza · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-02 · NIS2 Allegato 2 GV.SC-02 punto 2
REQ-ATOM-GOV-016-007highsupplier

Deve essere mantenuto un inventario aggiornato dei fornitori con potenziali impatti sulla sicurezza dei sistemi informativi e di rete.

Verifica: È mantenuto un inventario aggiornato dei fornitori con potenziale impatto cyber?

Risposta: yes_noEvidenza: registro fornitori critici, supplier registerApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-030 · Registro fornitori critici / forniture con impatto cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-04 · NIS2 Allegato 2 GV.SC-04 punto 1
REQ-ATOM-GOV-016-008mediumsupplier

L inventario dei fornitori deve includere gli estremi di contatto del referente della fornitura.

Verifica: L inventario fornitori include i contatti del referente della fornitura?

Risposta: yes_noEvidenza: registro fornitori, schede fornitoreApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-030 · Registro fornitori critici / forniture con impatto cyber · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-04 · NIS2 Allegato 2 GV.SC-04 punto 1a
REQ-ATOM-GOV-016-009mediumsupplier

L inventario dei fornitori deve includere la tipologia di fornitura.

Verifica: L inventario fornitori include la tipologia di fornitura?

Risposta: yes_noEvidenza: registro fornitori, classificazione fornitureApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-030 · Registro fornitori critici / forniture con impatto cyber · primario · OK_PRIMARY_PRESENTDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-04 · NIS2 Allegato 2 GV.SC-04 punto 1b
REQ-ATOM-GOV-016-010highasset_managementcanonico

Deve essere mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori.

REQ-CAN-EXACT-0152EXACT_NORMALIZED_TEXT · High

Deve essere mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori.

Verifica: È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori?

Risposta: yes_noEvidenza: inventario servizi fornitori, CMDB, registro cloudApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-04 · NIS2 Allegato 2 ID.AM-04 punto 1
REQ-ATOM-GOV-016-011highasset_management

L inventario deve includere i servizi cloud erogati dai fornitori.

Verifica: L inventario include i servizi cloud erogati dai fornitori?

Risposta: yes_noEvidenza: registro cloud, elenco SaaS/IaaS/PaaS, contratti cloudApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · evidenza · OK_EVIDENCE_OR_REGISTERDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-04 · NIS2 Allegato 2 ID.AM-04 punto 1
REQ-ATOM-GOV-016-012highasset_management

I servizi IT interessati e i servizi IT utilizzati devono essere identificati.

Verifica: I servizi IT interessati e utilizzati sono identificati?

Risposta: yes_noEvidenza: inventario servizi IT, CMDB, registro fornitori ITApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4 1.2.4
REQ-ATOM-GOV-016-013highsupplier

I requisiti di sicurezza rilevanti per il servizio IT devono essere determinati.

Verifica: Sono determinati i requisiti di sicurezza rilevanti per ogni servizio IT?

Risposta: yes_noEvidenza: requisiti sicurezza servizio, schede fornitore, contratti ITApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4 1.2.4
REQ-ATOM-GOV-016-014highsupplier

L organizzazione responsabile dell implementazione di ciascun requisito deve essere definita e consapevole della propria responsabilità.

Verifica: È definito chi implementa ciascun requisito e ne è consapevole?

Risposta: yes_noEvidenza: matrice responsabilità fornitore/cliente, RACI servizi ITApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4 1.2.4
REQ-ATOM-GOV-016-015highsupplier

I meccanismi per responsabilità condivise devono essere specificati e implementati.

Verifica: I meccanismi di responsabilità condivisa sono specificati e implementati?

Risposta: yes_noEvidenza: shared responsibility matrix, contratti cloud/IT, procedure operativeApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4 1.2.4
REQ-ATOM-GOV-016-016mediumtraining

Il personale responsabile dei servizi IT deve essere adeguatamente formato.

Verifica: Il personale responsabile dei servizi IT è adeguatamente formato?

Risposta: yes_noEvidenza: registro formazione, matrice competenze, onboarding servizioApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4 1.2.4
REQ-ATOM-GOV-016-017highsupplier

Deve esistere un elenco dei servizi IT interessati e dei rispettivi provider responsabili.

Verifica: Esiste un elenco dei servizi IT interessati e dei provider responsabili?

Risposta: yes_noEvidenza: registro servizi IT/fornitori, supplier registerApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4 1.2.4
REQ-ATOM-GOV-016-018mediumcompliance

L applicabilità dei controlli ISA ai servizi IT deve essere verificata e documentata.

Verifica: L applicabilità dei controlli ISA ai servizi IT è verificata e documentata?

Risposta: yes_noEvidenza: matrice applicabilità ISA, report assessment serviziApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4 1.2.4
REQ-ATOM-GOV-016-019mediumreview

La configurazione del servizio deve essere inclusa nelle valutazioni di sicurezza regolari.

Verifica: La configurazione del servizio è inclusa nelle valutazioni di sicurezza regolari?

Risposta: yes_noEvidenza: security assessment servizi IT, review configurazioni, report auditApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4 1.2.4
REQ-ATOM-GOV-016-020highevidence

Deve essere fornita prova che i provider IT adempiano alle proprie responsabilità.

Verifica: Esistono prove che i provider IT adempiono alle proprie responsabilità?

Risposta: yes_noEvidenza: report fornitore, attestazioni, audit report, SLA reviewApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4 1.2.4
REQ-ATOM-GOV-016-021highsupplier

I servizi IT esterni non devono essere usati senza valutazione esplicita dei requisiti di sicurezza.

Verifica: I servizi IT esterni sono usati solo dopo valutazione esplicita dei requisiti di sicurezza?

Risposta: yes_noEvidenza: procedura approvazione servizi esterni, assessment servizioApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3 1.3.3
REQ-ATOM-GOV-016-022highsupplier

Per i servizi IT esterni deve essere disponibile una valutazione del rischio.

Verifica: Per i servizi IT esterni è disponibile una valutazione del rischio?

Risposta: yes_noEvidenza: risk assessment servizi esterni, scheda fornitoreApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3 1.3.3
REQ-ATOM-GOV-016-023highcompliance

Nella valutazione dei servizi IT esterni devono essere considerati requisiti legali, regolatori e contrattuali.

Verifica: La valutazione dei servizi IT esterni considera requisiti legali, regolatori e contrattuali?

Risposta: yes_noEvidenza: checklist compliance fornitore, contratti, registro requisitiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3 1.3.3
REQ-ATOM-GOV-016-024highsupplier

I servizi IT esterni devono essere allineati al bisogno di protezione degli asset informativi trattati.

Verifica: I servizi IT esterni sono allineati al bisogno di protezione degli asset trattati?

Risposta: yes_noEvidenza: classificazione dati, assessment servizio, requisiti sicurezzaApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3 1.3.3
REQ-ATOM-GOV-016-025highsupplier

Devono essere determinati e soddisfatti i requisiti per approvvigionamento, messa in servizio e rilascio dei servizi IT esterni.

Verifica: Sono determinati e soddisfatti i requisiti per procurement, commissioning e release dei servizi IT esterni?

Risposta: yes_noEvidenza: procedura procurement IT, checklist rilascio servizio, approvazioniApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3 1.3.3
REQ-ATOM-GOV-016-026highprocess

Deve essere stabilita una procedura di rilascio che consideri il bisogno di protezione.

Verifica: Esiste una procedura di rilascio dei servizi esterni basata sul bisogno di protezione?

Risposta: document_referenceEvidenza: procedura approvazione servizi esterni, workflow releaseApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3 1.3.3
REQ-ATOM-GOV-016-027highevidence

I servizi IT esterni e la relativa approvazione devono essere documentati.

Verifica: I servizi IT esterni e le approvazioni sono documentati?

Risposta: yes_noEvidenza: registro servizi esterni, ticket approvazione, supplier registerApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3 1.3.3
REQ-ATOM-GOV-016-028mediumreview

Deve essere verificato regolarmente che siano usati solo servizi IT esterni approvati.

Verifica: Viene verificato regolarmente che siano usati solo servizi IT esterni approvati?

Risposta: yes_noEvidenza: revisione shadow IT, inventario SaaS, report CASB/proxyApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3 1.3.3
REQ-ATOM-GOV-016-029highsupplier

Contractor e partner di cooperazione devono essere sottoposti a valutazione del rischio di sicurezza delle informazioni.

Verifica: Contractor e partner sono sottoposti a valutazione del rischio di sicurezza?

Risposta: yes_noEvidenza: supplier risk assessment, schede partner, registro fornitoriApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1 6.1.1
REQ-ATOM-GOV-016-030highsupplier

Un livello adeguato di sicurezza delle informazioni deve essere assicurato mediante accordi contrattuali con contractor e partner.

Verifica: Gli accordi contrattuali assicurano un livello adeguato di sicurezza?

Risposta: yes_noEvidenza: contratti, clausole sicurezza, DPA/NDAApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1 6.1.1
REQ-ATOM-GOV-016-031highsupplier

I requisiti contrattuali dei clienti devono essere trasferiti a contractor e partner quando applicabile.

Verifica: I requisiti cliente sono trasferiti a contractor e partner quando applicabile?

Risposta: yes_noEvidenza: clausole flow-down, contratti subfornituraApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1 6.1.1
REQ-ATOM-GOV-016-032highreview

La conformità agli accordi contrattuali deve essere verificata.

Verifica: La conformità dei contractor agli accordi contrattuali viene verificata?

Risposta: yes_noEvidenza: audit fornitori, SLA review, attestazioni complianceApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1 6.1.1
REQ-ATOM-GOV-016-033mediumsupplier

Contractor e partner devono essere obbligati contrattualmente a trasferire i requisiti di sicurezza ai propri subfornitori.

Verifica: Contractor e partner sono obbligati a trasferire i requisiti ai subfornitori?

Risposta: yes_noEvidenza: clausole subfornitura, contratti, supplier termsApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1 6.1.1
REQ-ATOM-GOV-016-034mediumreview

I report di servizio e i documenti dei contractor e partner devono essere riesaminati.

Verifica: I report e documenti dei contractor sono riesaminati?

Risposta: yes_noEvidenza: service review, report fornitore, verbali monitoraggioApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1 6.1.1
REQ-ATOM-GOV-016-035highevidence

Deve essere fornita prova che il livello di sicurezza del fornitore è adeguato al bisogno di protezione delle informazioni.

Verifica: È disponibile prova dell adeguatezza del livello di sicurezza del fornitore?

Risposta: yes_noEvidenza: certificazioni, attestazioni, audit report, assessment internoApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1 6.1.1
MC-GOV-017MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Requisiti legali, statutari, regolamentari e contrattuali

3 controlli framework collegati

  • ISO27001FW-ISO-A-5-31Requisiti legali, statutari, regolamentari e contrattuali
  • TISAX_ISA6FW-TISAX-TISAX-7-1-1Conformità requisiti regolatori e contrattuali
  • TISAX_ISA6FW-TISAX-TISAX-1-5-1Conformità sicurezza nei processi e procedure

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 13 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-042 · Registro log critici e tempi di conservazioneRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-054 · Programma audit interniPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-057 · Registro non conformità e azioni correttiveRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e serviziPiano / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici13
REQ-ATOM-GOV-017-001highcompliance

I requisiti legali, statutari, regolamentari e contrattuali relativi alla sicurezza delle informazioni devono essere identificati.

Verifica: I requisiti legali, statutari, regolamentari e contrattuali di sicurezza sono identificati?

Risposta: document_referenceEvidenza: registro requisiti legali e contrattuali, compliance registerApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-5-31 · ISO27001 A.5.31 controllo
REQ-ATOM-GOV-017-002highcompliance

L approccio dell Organizzazione per soddisfare tali requisiti deve essere documentato.

Verifica: È documentato l approccio per soddisfare i requisiti di sicurezza applicabili?

Risposta: document_referenceEvidenza: matrice compliance, procedure di conformità, piano adempimentiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-5-31 · ISO27001 A.5.31 controllo
REQ-ATOM-GOV-017-003mediumreview

I requisiti di conformità relativi alla sicurezza delle informazioni devono essere mantenuti aggiornati.

Verifica: Il registro dei requisiti di conformità sicurezza è mantenuto aggiornato?

Risposta: yes_noEvidenza: registro requisiti aggiornato, evidenze riesame normativoApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-31 · ISO27001 A.5.31 controllo
REQ-ATOM-GOV-017-004mediumcompliancecanonico

L osservanza delle policy deve essere verificata nell intera Organizzazione.

REQ-CAN-EXACT-0174EXACT_NORMALIZED_TEXT · High

L osservanza delle policy deve essere verificata nell intera Organizzazione.

Verifica: L osservanza delle policy è verificata nell intera Organizzazione?

Risposta: yes_noEvidenza: report compliance, controlli interni, audit interniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-054 · Programma audit interni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-017-005mediumreviewcanonico

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

REQ-CAN-EXACT-0201EXACT_NORMALIZED_TEXT · High

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

Verifica: Policy e procedure di sicurezza sono riesaminate a intervalli regolari?

Risposta: yes_noEvidenza: registro riesame policy, piano reviewApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-017-006mediumprocesscanonico

Devono essere avviate e seguite misure per correggere potenziali non conformità o deviazioni.

REQ-CAN-EXACT-0043EXACT_NORMALIZED_TEXT · High

Devono essere avviate e seguite misure per correggere potenziali non conformità o deviazioni.

Verifica: Le non conformità generano azioni correttive tracciate e seguite?

Risposta: yes_noEvidenza: registro non conformità, piano azioni correttive, ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-057 · Registro non conformità e azioni correttive · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-017-007mediumcompliancecanonico

La conformità ai requisiti di sicurezza, incluse specifiche tecniche, deve essere verificata a intervalli regolari.

REQ-CAN-EXACT-0056EXACT_NORMALIZED_TEXT · High

La conformità ai requisiti di sicurezza, incluse specifiche tecniche, deve essere verificata a intervalli regolari.

Verifica: La conformità ai requisiti tecnici di sicurezza è verificata regolarmente?

Risposta: yes_noEvidenza: report audit tecnico, baseline compliance, vulnerability/configuration scanApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-017-008mediumevidencecanonico

I risultati delle verifiche devono essere registrati e conservati.

REQ-CAN-EXACT-0248EXACT_NORMALIZED_TEXT · High

I risultati delle verifiche devono essere registrati e conservati.

Verifica: I risultati delle verifiche sono registrati e conservati?

Risposta: yes_noEvidenza: report verifiche, registro audit, repository evidenzeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-017-009mediumprocesscanonico

Deve essere disponibile un piano che definisce contenuti e condizioni delle verifiche da svolgere.

REQ-CAN-EXACT-0096EXACT_NORMALIZED_TEXT · High

Deve essere disponibile un piano che definisce contenuti e condizioni delle verifiche da svolgere.

Verifica: Esiste un piano con contenuti, tempi, ambito e controlli delle verifiche?

Risposta: document_referenceEvidenza: piano audit interno, programma verificheApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-017-010highcompliancecanonico

Le disposizioni legali, regolatorie e contrattuali rilevanti per la sicurezza delle informazioni devono essere determinate a intervalli regolari.

REQ-CAN-EXACT-0103EXACT_NORMALIZED_TEXT · High

Le disposizioni legali, regolatorie e contrattuali rilevanti per la sicurezza delle informazioni devono essere determinate a intervalli regolari.

Verifica: Le disposizioni rilevanti per la sicurezza sono determinate a intervalli regolari?

Risposta: yes_noEvidenza: registro requisiti legali/contrattuali, legal reviewApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-7-1-1 · TISAX ISA6 7.1.1 7.1.1
REQ-ATOM-GOV-017-011highpolicycanonico

Devono essere definite, implementate e comunicate policy per rispettare tali disposizioni.

REQ-CAN-EXACT-0069EXACT_NORMALIZED_TEXT · High

Devono essere definite, implementate e comunicate policy per rispettare tali disposizioni.

Verifica: Esistono policy definite, implementate e comunicate per rispettare le disposizioni applicabili?

Risposta: document_referenceEvidenza: policy compliance, comunicazioni ai responsabili, registro prese visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-1 · TISAX ISA6 7.1.1 7.1.1
REQ-ATOM-GOV-017-012mediumcompliancecanonico

Le policy di conformità devono essere comunicate alle persone responsabili.

REQ-CAN-EXACT-0199EXACT_NORMALIZED_TEXT · High

Le policy di conformità devono essere comunicate alle persone responsabili.

Verifica: Le policy di conformità sono comunicate alle persone responsabili?

Risposta: yes_noEvidenza: comunicazioni interne, registro presa visione, RACI complianceApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-1 · TISAX ISA6 7.1.1 7.1.1
REQ-ATOM-GOV-017-013mediumevidencecanonico

L integrità delle registrazioni deve essere considerata in accordo con disposizioni legali, regolatorie, contrattuali e requisiti di business.

REQ-CAN-EXACT-0144EXACT_NORMALIZED_TEXT · High

L integrità delle registrazioni deve essere considerata in accordo con disposizioni legali, regolatorie, contrattuali e requisiti di business.

Verifica: L integrità delle registrazioni è considerata rispetto a requisiti legali, contrattuali e di business?

Risposta: yes_noEvidenza: retention policy, procedure record management, controlli integritàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-1 · TISAX ISA6 7.1.1 7.1.1
MC-GOV-018MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Riesame indipendente della sicurezza delle informazioni

2 controlli framework collegati

  • ISO27001FW-ISO-A-5-35Riesame indipendente della sicurezza delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-1-5-2Riesame indipendente dell’ISMS

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-002 · Campo di applicazione SGSI / ISMS ScopeDocumento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-056 · Verbale riesame di direzioneVerbale · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-057 · Registro non conformità e azioni correttiveRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici7
REQ-ATOM-GOV-018-001highreview

L approccio alla gestione della sicurezza delle informazioni deve essere riesaminato da un soggetto indipendente.

Verifica: L approccio alla gestione della sicurezza viene riesaminato in modo indipendente?

Risposta: yes_noEvidenza: report audit indipendente, assessment esterno, verbale riesameApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-007 · Obiettivi di sicurezza e KPI · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-35 · ISO27001 A.5.35 controllo
REQ-ATOM-GOV-018-002highreview

Il riesame indipendente deve considerare l attuazione della sicurezza su personale, processi e tecnologie.

Verifica: Il riesame indipendente copre personale, processi e tecnologie?

Risposta: yes_noEvidenza: scope audit, checklist audit, report assessmentApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-002 · Campo di applicazione SGSI / ISMS Scope · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-35 · ISO27001 A.5.35 controllo
REQ-ATOM-GOV-018-003mediumreview

Il riesame indipendente deve essere svolto a intervalli pianificati o in caso di cambiamenti significativi.

Verifica: Il riesame indipendente è pianificato e attivato anche in caso di cambiamenti significativi?

Risposta: yes_noEvidenza: piano audit, calendario riesami, trigger change significativiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-35 · ISO27001 A.5.35 controllo
REQ-ATOM-GOV-018-004highreviewcanonico

Le revisioni di sicurezza devono essere svolte da un organismo indipendente e competente a intervalli regolari.

REQ-CAN-EXACT-0244EXACT_NORMALIZED_TEXT · High

Le revisioni di sicurezza devono essere svolte da un organismo indipendente e competente a intervalli regolari.

Verifica: Le revisioni di sicurezza sono svolte da un soggetto indipendente e competente a intervalli regolari?

Risposta: yes_noEvidenza: report audit indipendente, piano audit, qualifica auditorApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-007 · Obiettivi di sicurezza e KPI · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-2 · TISAX ISA6 1.5.2 1.5.2
REQ-ATOM-GOV-018-005mediumreviewcanonico

Le revisioni indipendenti devono essere svolte anche in caso di cambiamenti fondamentali.

REQ-CAN-EXACT-0243EXACT_NORMALIZED_TEXT · High

Le revisioni indipendenti devono essere svolte anche in caso di cambiamenti fondamentali.

Verifica: Le revisioni indipendenti sono svolte anche dopo cambiamenti fondamentali?

Risposta: yes_noEvidenza: trigger audit, change log, report audit straordinarioApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-2 · TISAX ISA6 1.5.2 1.5.2
REQ-ATOM-GOV-018-006highprocesscanonico

Devono essere avviate e seguite misure per correggere potenziali deviazioni emerse dal riesame indipendente.

REQ-CAN-EXACT-0042EXACT_NORMALIZED_TEXT · High

Devono essere avviate e seguite misure per correggere potenziali deviazioni emerse dal riesame indipendente.

Verifica: Le deviazioni emerse dal riesame indipendente generano azioni correttive tracciate?

Risposta: yes_noEvidenza: piano azioni correttive, registro finding, ticket remediationApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-057 · Registro non conformità e azioni correttive · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-2 · TISAX ISA6 1.5.2 1.5.2
REQ-ATOM-GOV-018-007highevidencecanonico

I risultati delle revisioni indipendenti devono essere documentati e riportati al management.

REQ-CAN-EXACT-0247EXACT_NORMALIZED_TEXT · High

I risultati delle revisioni indipendenti devono essere documentati e riportati al management.

Verifica: I risultati delle revisioni indipendenti sono documentati e riportati al management?

Risposta: yes_noEvidenza: report audit, verbali direzione, presentazione managementApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-056 · Verbale riesame di direzione · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-1-5-2 · TISAX ISA6 1.5.2 1.5.2
MC-GOV-019MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Conformità a politiche, regole e standard

5 controlli framework collegati

  • ISO27001FW-ISO-A-5-36Conformità a politiche, regole e standard
  • TISAX_ISA6FW-TISAX-TISAX-1-5-2Riesame indipendente dell’ISMS
  • TISAX_ISA6FW-TISAX-TISAX-7-1-1Conformità requisiti regolatori e contrattuali
  • TISAX_ISA6FW-TISAX-TISAX-1-5-1Conformità sicurezza nei processi e procedure
  • NIS2_ESSENZIALEFW-NIS-ID-IM-01Miglioramenti identificati a seguito delle valutazioni

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 7 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 2 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 24 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-042 · Registro log critici e tempi di conservazioneRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-054 · Programma audit interniPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-057 · Registro non conformità e azioni correttiveRegistro · 2 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-065 · Registro riesame policyRegistro · 2 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e serviziPiano / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici24
REQ-ATOM-GOV-019-001mediumcompliance

La conformità alla politica per la sicurezza delle informazioni deve essere riesaminata regolarmente.

Verifica: La conformità alla politica di sicurezza è riesaminata regolarmente?

Risposta: yes_noEvidenza: report compliance, registro verifiche policyApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-36 · ISO27001 A.5.36 controllo
REQ-ATOM-GOV-019-002mediumcompliance

La conformità alle politiche specifiche di sicurezza deve essere riesaminata regolarmente.

Verifica: La conformità alle politiche specifiche di sicurezza è riesaminata regolarmente?

Risposta: yes_noEvidenza: checklist controlli interni, report audit internoApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-36 · ISO27001 A.5.36 controllo
REQ-ATOM-GOV-019-003mediumcompliance

La conformità a regole e standard di sicurezza applicabili deve essere riesaminata regolarmente.

Verifica: La conformità a regole e standard di sicurezza applicabili è riesaminata regolarmente?

Risposta: yes_noEvidenza: standard tecnici, report verifica configurazioni, audit interniApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-054 · Programma audit interni · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-36 · ISO27001 A.5.36 controllo
REQ-ATOM-GOV-019-004highprocesscanonico

A seguito del riesame delle politiche deve essere definito un piano di adeguamento per assicurare l attuazione delle politiche di sicurezza.

REQ-CAN-EXACT-0256EXACT_NORMALIZED_TEXT · High

A seguito del riesame delle politiche deve essere definito un piano di adeguamento per assicurare l attuazione delle politiche di sicurezza.

Verifica: Dopo il riesame delle policy viene definito un piano di adeguamento?

Risposta: document_referenceEvidenza: piano adeguamento, registro azioni, verbale riesame policyApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTINGDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 1
REQ-ATOM-GOV-019-005highevidencecanonico

Il piano di adeguamento deve essere attuato e documentato.

REQ-CAN-EXACT-0182EXACT_NORMALIZED_TEXT · High

Il piano di adeguamento deve essere attuato e documentato.

Verifica: Il piano di adeguamento è attuato e documentato?

Risposta: yes_noEvidenza: stato azioni, ticket, report avanzamentoApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 1
REQ-ATOM-GOV-019-006highgovernancecanonico

Il piano di adeguamento deve essere approvato dagli organi di amministrazione e direttivi.

REQ-CAN-EXACT-0181EXACT_NORMALIZED_TEXT · High

Il piano di adeguamento deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano di adeguamento è approvato dagli organi competenti?

Risposta: yes_noEvidenza: verbale approvazione, delibera, piano firmatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 1
REQ-ATOM-GOV-019-007mediummonitoringcanonico

Gli organi di amministrazione e direttivi devono essere informati periodicamente sugli esiti dei piani di adeguamento.

REQ-CAN-EXACT-0172EXACT_NORMALIZED_TEXT · High

Gli organi di amministrazione e direttivi devono essere informati periodicamente sugli esiti dei piani di adeguamento.

Verifica: Gli organi competenti ricevono relazioni periodiche sugli esiti dei piani?

Risposta: yes_noEvidenza: relazioni periodiche, verbali direzione, report KPIApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 2
REQ-ATOM-GOV-019-008highreview

Deve essere definito e documentato un piano per valutare l efficacia delle misure di gestione del rischio cyber.

Verifica: Esiste un piano per valutare l efficacia delle misure di gestione del rischio cyber?

Risposta: document_referenceEvidenza: piano valutazione efficacia, audit plan, KPI controlliApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 3
REQ-ATOM-GOV-019-009mediumreview

Il piano di valutazione dell efficacia deve indicare le misure da valutare e i relativi metodi.

Verifica: Il piano indica misure da valutare e metodi di valutazione?

Risposta: yes_noEvidenza: piano valutazione efficacia, matrice controlli/metodiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 3
REQ-ATOM-GOV-019-010mediummonitoringcanonico

Gli organi di amministrazione e direttivi devono essere informati periodicamente sul piano di valutazione dell efficacia.

REQ-CAN-EXACT-0173EXACT_NORMALIZED_TEXT · High

Gli organi di amministrazione e direttivi devono essere informati periodicamente sul piano di valutazione dell efficacia.

Verifica: Gli organi competenti sono informati periodicamente sul piano di valutazione efficacia?

Risposta: yes_noEvidenza: relazioni periodiche, verbali direzioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-01 · NIS2 Allegato 2 ID.IM-01 punto 4
REQ-ATOM-GOV-019-011mediumcompliancecanonico

L osservanza delle policy deve essere verificata nell intera Organizzazione.

REQ-CAN-EXACT-0174EXACT_NORMALIZED_TEXT · High

L osservanza delle policy deve essere verificata nell intera Organizzazione.

Verifica: L osservanza delle policy è verificata nell intera Organizzazione?

Risposta: yes_noEvidenza: report compliance, controlli interni, audit interniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-054 · Programma audit interni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-019-012mediumreviewcanonico

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

REQ-CAN-EXACT-0201EXACT_NORMALIZED_TEXT · High

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

Verifica: Policy e procedure di sicurezza sono riesaminate a intervalli regolari?

Risposta: yes_noEvidenza: registro riesame policy, piano reviewApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-065 · Registro riesame policy · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-019-013mediumprocesscanonico

Devono essere avviate e seguite misure per correggere potenziali non conformità o deviazioni.

REQ-CAN-EXACT-0043EXACT_NORMALIZED_TEXT · High

Devono essere avviate e seguite misure per correggere potenziali non conformità o deviazioni.

Verifica: Le non conformità generano azioni correttive tracciate e seguite?

Risposta: yes_noEvidenza: registro non conformità, piano azioni correttive, ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-057 · Registro non conformità e azioni correttive · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-019-014mediumcompliancecanonico

La conformità ai requisiti di sicurezza, incluse specifiche tecniche, deve essere verificata a intervalli regolari.

REQ-CAN-EXACT-0056EXACT_NORMALIZED_TEXT · High

La conformità ai requisiti di sicurezza, incluse specifiche tecniche, deve essere verificata a intervalli regolari.

Verifica: La conformità ai requisiti tecnici di sicurezza è verificata regolarmente?

Risposta: yes_noEvidenza: report audit tecnico, baseline compliance, vulnerability/configuration scanApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-019-015mediumevidencecanonico

I risultati delle verifiche devono essere registrati e conservati.

REQ-CAN-EXACT-0248EXACT_NORMALIZED_TEXT · High

I risultati delle verifiche devono essere registrati e conservati.

Verifica: I risultati delle verifiche sono registrati e conservati?

Risposta: yes_noEvidenza: report verifiche, registro audit, repository evidenzeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-019-016mediumprocesscanonico

Deve essere disponibile un piano che definisce contenuti e condizioni delle verifiche da svolgere.

REQ-CAN-EXACT-0096EXACT_NORMALIZED_TEXT · High

Deve essere disponibile un piano che definisce contenuti e condizioni delle verifiche da svolgere.

Verifica: Esiste un piano con contenuti, tempi, ambito e controlli delle verifiche?

Risposta: document_referenceEvidenza: piano audit interno, programma verificheApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-5-1 · TISAX ISA6 1.5.1 1.5.1
REQ-ATOM-GOV-019-017highreviewcanonico

Le revisioni di sicurezza devono essere svolte da un organismo indipendente e competente a intervalli regolari.

REQ-CAN-EXACT-0244EXACT_NORMALIZED_TEXT · High

Le revisioni di sicurezza devono essere svolte da un organismo indipendente e competente a intervalli regolari.

Verifica: Le revisioni di sicurezza sono svolte da un soggetto indipendente e competente a intervalli regolari?

Risposta: yes_noEvidenza: report audit indipendente, piano audit, qualifica auditorApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-5-2 · TISAX ISA6 1.5.2 1.5.2
REQ-ATOM-GOV-019-018mediumreviewcanonico

Le revisioni indipendenti devono essere svolte anche in caso di cambiamenti fondamentali.

REQ-CAN-EXACT-0243EXACT_NORMALIZED_TEXT · High

Le revisioni indipendenti devono essere svolte anche in caso di cambiamenti fondamentali.

Verifica: Le revisioni indipendenti sono svolte anche dopo cambiamenti fondamentali?

Risposta: yes_noEvidenza: trigger audit, change log, report audit straordinarioApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-2 · TISAX ISA6 1.5.2 1.5.2
REQ-ATOM-GOV-019-019highprocesscanonico

Devono essere avviate e seguite misure per correggere potenziali deviazioni emerse dal riesame indipendente.

REQ-CAN-EXACT-0042EXACT_NORMALIZED_TEXT · High

Devono essere avviate e seguite misure per correggere potenziali deviazioni emerse dal riesame indipendente.

Verifica: Le deviazioni emerse dal riesame indipendente generano azioni correttive tracciate?

Risposta: yes_noEvidenza: piano azioni correttive, registro finding, ticket remediationApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-057 · Registro non conformità e azioni correttive · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-5-2 · TISAX ISA6 1.5.2 1.5.2
REQ-ATOM-GOV-019-020highevidencecanonico

I risultati delle revisioni indipendenti devono essere documentati e riportati al management.

REQ-CAN-EXACT-0247EXACT_NORMALIZED_TEXT · High

I risultati delle revisioni indipendenti devono essere documentati e riportati al management.

Verifica: I risultati delle revisioni indipendenti sono documentati e riportati al management?

Risposta: yes_noEvidenza: report audit, verbali direzione, presentazione managementApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-5-2 · TISAX ISA6 1.5.2 1.5.2
REQ-ATOM-GOV-019-021highcompliancecanonico

Le disposizioni legali, regolatorie e contrattuali rilevanti per la sicurezza delle informazioni devono essere determinate a intervalli regolari.

REQ-CAN-EXACT-0103EXACT_NORMALIZED_TEXT · High

Le disposizioni legali, regolatorie e contrattuali rilevanti per la sicurezza delle informazioni devono essere determinate a intervalli regolari.

Verifica: Le disposizioni rilevanti per la sicurezza sono determinate a intervalli regolari?

Risposta: yes_noEvidenza: registro requisiti legali/contrattuali, legal reviewApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-1 · TISAX ISA6 7.1.1 7.1.1
REQ-ATOM-GOV-019-022highpolicycanonico

Devono essere definite, implementate e comunicate policy per rispettare tali disposizioni.

REQ-CAN-EXACT-0069EXACT_NORMALIZED_TEXT · High

Devono essere definite, implementate e comunicate policy per rispettare tali disposizioni.

Verifica: Esistono policy definite, implementate e comunicate per rispettare le disposizioni applicabili?

Risposta: document_referenceEvidenza: policy compliance, comunicazioni ai responsabili, registro prese visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-1 · TISAX ISA6 7.1.1 7.1.1
REQ-ATOM-GOV-019-023mediumcompliancecanonico

Le policy di conformità devono essere comunicate alle persone responsabili.

REQ-CAN-EXACT-0199EXACT_NORMALIZED_TEXT · High

Le policy di conformità devono essere comunicate alle persone responsabili.

Verifica: Le policy di conformità sono comunicate alle persone responsabili?

Risposta: yes_noEvidenza: comunicazioni interne, registro presa visione, RACI complianceApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-1 · TISAX ISA6 7.1.1 7.1.1
REQ-ATOM-GOV-019-024mediumevidencecanonico

L integrità delle registrazioni deve essere considerata in accordo con disposizioni legali, regolatorie, contrattuali e requisiti di business.

REQ-CAN-EXACT-0144EXACT_NORMALIZED_TEXT · High

L integrità delle registrazioni deve essere considerata in accordo con disposizioni legali, regolatorie, contrattuali e requisiti di business.

Verifica: L integrità delle registrazioni è considerata rispetto a requisiti legali, contrattuali e di business?

Risposta: yes_noEvidenza: retention policy, procedure record management, controlli integritàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-7-1-1 · TISAX ISA6 7.1.1 7.1.1
MC-HR-001MA-HR · People & HR SecurityMediumScreening, contratti, formazione, riservatezza, lavoro remoto, termination.

Verifica preliminare del personale

3 controlli framework collegati

  • ISO27001FW-ISO-A-6-1Verifica preliminare del personale
  • TISAX_ISA6FW-TISAX-TISAX-2-1-1Qualificazione dipendenti per ambiti sensibili
  • NIS2_ESSENZIALEFW-NIS-GV-RR-04Cybersecurity integrata nelle pratiche delle risorse umane

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 4 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-014 · Inventario hardwareRegistro · 5 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 3 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 4 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici16
REQ-ATOM-HR-001-001highprocess

I controlli di verifica del background dei candidati devono essere effettuati prima dell ingresso nell Organizzazione.

Verifica: I controlli di background sono effettuati prima dell ingresso nell Organizzazione?

Risposta: yes_noEvidenza: procedura screening, checklist assunzione, evidenze verificaApplicabilità: iso_onlyAutomazione: document_repository
ISO27001 · FW-ISO-A-6-1 · ISO27001 A.6.1 controllo
REQ-ATOM-HR-001-002mediumreview

Le verifiche del personale devono essere effettuate anche su base continuativa quando applicabile.

Verifica: Le verifiche del personale sono ripetute su base continuativa quando applicabile?

Risposta: yes_noEvidenza: registro riesami HR, policy screening periodicoApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-6-1 · ISO27001 A.6.1 controllo
REQ-ATOM-HR-001-003highcompliance

Le verifiche devono rispettare leggi, regolamenti ed etica applicabili.

Verifica: Le verifiche del personale rispettano leggi, regolamenti ed etica applicabili?

Risposta: yes_noEvidenza: procedura HR, parere legale/privacy, informativa trattamento datiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-1 · ISO27001 A.6.1 controllo
REQ-ATOM-HR-001-004highrisk_based

Le verifiche devono essere proporzionate ai requisiti di business, alla classificazione delle informazioni accessibili e ai rischi percepiti.

Verifica: Le verifiche sono proporzionate a ruolo, informazioni accessibili e rischio percepito?

Risposta: yes_noEvidenza: matrice ruoli sensibili, valutazione rischio HR, classificazione informazioniApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-1 · ISO27001 A.6.1 controllo
REQ-ATOM-HR-001-005highprocess

Il personale autorizzato ad accedere ai sistemi rilevanti deve essere individuato previa valutazione di esperienza, capacità e affidabilità.

Verifica: Il personale autorizzato ai sistemi rilevanti è valutato per esperienza, capacità e affidabilità?

Risposta: yes_noEvidenza: procedura HR/security, valutazioni ruolo, autorizzazioni accessoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 1
REQ-ATOM-HR-001-006mediumcompliance

Il personale autorizzato deve fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il personale autorizzato garantisce il rispetto della normativa di sicurezza informatica?

Risposta: yes_noEvidenza: clausole contrattuali, dichiarazioni/presa visione, policy accettateApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 1
REQ-ATOM-HR-001-007highprocesscanonico

Gli amministratori di sistema devono essere individuati previa valutazione di esperienza, capacità e affidabilità.

REQ-CAN-EXACT-0026EXACT_NORMALIZED_TEXT · High

Gli amministratori di sistema devono essere individuati previa valutazione di esperienza, capacità e affidabilità.

Verifica: Gli amministratori di sistema sono valutati per esperienza, capacità e affidabilità?

Risposta: yes_noEvidenza: nomine admin, matrice competenze, verifiche HRApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · evidenza · OK_EVIDENCE_OR_REGISTER
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 2
REQ-ATOM-HR-001-008mediumcompliancecanonico

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

REQ-CAN-EXACT-0025EXACT_NORMALIZED_TEXT · High

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Gli amministratori di sistema garantiscono il rispetto della normativa di sicurezza informatica?

Risposta: yes_noEvidenza: nomine admin, clausole, policy accettateApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 2
REQ-ATOM-HR-001-009highprocesscanonico

Devono essere adottate e documentate procedure per individuare personale autorizzato e amministratori di sistema.

REQ-CAN-EXACT-0010EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per individuare personale autorizzato e amministratori di sistema.

Verifica: Esistono procedure documentate per individuare personale autorizzato e amministratori?

Risposta: document_referenceEvidenza: procedura nomina admin, procedura autorizzazione accessiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · evidenza · OK_EVIDENCE_OR_REGISTERDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 3
REQ-ATOM-HR-001-010mediumpolicycanonico

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

REQ-CAN-EXACT-0166EXACT_NORMALIZED_TEXT · High

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

Verifica: Gli obblighi post-rapporto sono definiti contrattualmente in base al rischio?

Risposta: yes_noEvidenza: clausole riservatezza, contratti, policy HRApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 4
REQ-ATOM-HR-001-011mediumprocesscanonico

Devono essere adottate e documentate procedure per gestire gli obblighi di sicurezza post-rapporto.

REQ-CAN-EXACT-0009EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per gestire gli obblighi di sicurezza post-rapporto.

Verifica: Esistono procedure documentate per gestire obblighi di sicurezza post-rapporto?

Risposta: document_referenceEvidenza: procedura offboarding, clausole riservatezza, checklist HRApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 5
REQ-ATOM-HR-001-012highprocesscanonico

Devono essere determinati ambiti e mansioni sensibili.

REQ-CAN-EXACT-0084EXACT_NORMALIZED_TEXT · High

Devono essere determinati ambiti e mansioni sensibili.

Verifica: Sono determinati gli ambiti e le mansioni sensibili?

Risposta: yes_noEvidenza: matrice ruoli sensibili, job profile, risk assessment HRApplicabilità: tisax_onlyAutomazione: document_repository
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-001-013highprocesscanonico

I requisiti per i dipendenti rispetto ai profili di ruolo devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0224EXACT_NORMALIZED_TEXT · High

I requisiti per i dipendenti rispetto ai profili di ruolo devono essere determinati e soddisfatti.

Verifica: I requisiti dei dipendenti rispetto ai profili di ruolo sono determinati e soddisfatti?

Risposta: yes_noEvidenza: job description, matrice competenze, evidenze qualificaApplicabilità: tisax_onlyAutomazione: document_repository
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-001-014mediumprocesscanonico

L identità dei potenziali dipendenti deve essere verificata.

REQ-CAN-EXACT-0134EXACT_NORMALIZED_TEXT · High

L identità dei potenziali dipendenti deve essere verificata.

Verifica: L identità dei potenziali dipendenti è verificata?

Risposta: yes_noEvidenza: checklist assunzione, verifica documenti identitàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-001-015mediumprocesscanonico

L idoneità personale dei potenziali dipendenti deve essere verificata con metodi semplici quando applicabile.

REQ-CAN-EXACT-0135EXACT_NORMALIZED_TEXT · High

L idoneità personale dei potenziali dipendenti deve essere verificata con metodi semplici quando applicabile.

Verifica: L idoneità personale dei potenziali dipendenti è verificata con metodi appropriati?

Risposta: yes_noEvidenza: colloqui, valutazioni HR, checklist selezioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-001-016mediumrisk_basedcanonico

Per ambiti e mansioni specifici deve essere condotta una verifica estesa di idoneità quando richiesta.

REQ-CAN-EXACT-0024EXACT_NORMALIZED_TEXT · High

Per ambiti e mansioni specifici deve essere condotta una verifica estesa di idoneità quando richiesta.

Verifica: Per mansioni sensibili viene svolta una verifica estesa di idoneità quando richiesta?

Risposta: yes_noEvidenza: controllo referenze/certificati, assessment center, verifiche autorizzateApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
MC-HR-002MA-HR · People & HR SecurityMediumScreening, contratti, formazione, riservatezza, lavoro remoto, termination.

Termini e condizioni di impiego

3 controlli framework collegati

  • ISO27001FW-ISO-A-6-2Termini e condizioni di impiego
  • TISAX_ISA6FW-TISAX-TISAX-2-1-2Obbligo contrattuale di rispettare le policy
  • TISAX_ISA6FW-TISAX-TISAX-2-1-1Qualificazione dipendenti per ambiti sensibili

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 5 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-014 · Inventario hardwareRegistro · 3 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 6 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 4 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
Requirement atomici12
REQ-ATOM-HR-002-001highpolicy

Gli accordi contrattuali di lavoro devono indicare le responsabilità del personale relative alla sicurezza delle informazioni.

Verifica: I contratti indicano le responsabilità del personale sulla sicurezza delle informazioni?

Risposta: yes_noEvidenza: contratti, clausole sicurezza, regolamento internoApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-6-2 · ISO27001 A.6.2 controllo
REQ-ATOM-HR-002-002mediumpolicy

Gli accordi contrattuali devono indicare le responsabilità dell Organizzazione relative alla sicurezza delle informazioni.

Verifica: I contratti indicano le responsabilità dell Organizzazione sulla sicurezza delle informazioni?

Risposta: yes_noEvidenza: template contrattuale, regolamento interno, policy HRApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-2 · ISO27001 A.6.2 controllo
REQ-ATOM-HR-002-003highprocesscanonico

Devono essere determinati ambiti e mansioni sensibili.

REQ-CAN-EXACT-0084EXACT_NORMALIZED_TEXT · High

Devono essere determinati ambiti e mansioni sensibili.

Verifica: Sono determinati gli ambiti e le mansioni sensibili?

Risposta: yes_noEvidenza: matrice ruoli sensibili, job profile, risk assessment HRApplicabilità: tisax_onlyAutomazione: document_repository
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-002-004highprocesscanonico

I requisiti per i dipendenti rispetto ai profili di ruolo devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0224EXACT_NORMALIZED_TEXT · High

I requisiti per i dipendenti rispetto ai profili di ruolo devono essere determinati e soddisfatti.

Verifica: I requisiti dei dipendenti rispetto ai profili di ruolo sono determinati e soddisfatti?

Risposta: yes_noEvidenza: job description, matrice competenze, evidenze qualificaApplicabilità: tisax_onlyAutomazione: document_repository
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-002-005mediumprocesscanonico

L identità dei potenziali dipendenti deve essere verificata.

REQ-CAN-EXACT-0134EXACT_NORMALIZED_TEXT · High

L identità dei potenziali dipendenti deve essere verificata.

Verifica: L identità dei potenziali dipendenti è verificata?

Risposta: yes_noEvidenza: checklist assunzione, verifica documenti identitàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-002-006mediumprocesscanonico

L idoneità personale dei potenziali dipendenti deve essere verificata con metodi semplici quando applicabile.

REQ-CAN-EXACT-0135EXACT_NORMALIZED_TEXT · High

L idoneità personale dei potenziali dipendenti deve essere verificata con metodi semplici quando applicabile.

Verifica: L idoneità personale dei potenziali dipendenti è verificata con metodi appropriati?

Risposta: yes_noEvidenza: colloqui, valutazioni HR, checklist selezioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-002-007mediumrisk_basedcanonico

Per ambiti e mansioni specifici deve essere condotta una verifica estesa di idoneità quando richiesta.

REQ-CAN-EXACT-0024EXACT_NORMALIZED_TEXT · High

Per ambiti e mansioni specifici deve essere condotta una verifica estesa di idoneità quando richiesta.

Verifica: Per mansioni sensibili viene svolta una verifica estesa di idoneità quando richiesta?

Risposta: yes_noEvidenza: controllo referenze/certificati, assessment center, verifiche autorizzateApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-002-008mediumpolicycanonico

Deve essere attivo un obbligo di riservatezza per il personale.

REQ-CAN-EXACT-0038EXACT_NORMALIZED_TEXT · High

Deve essere attivo un obbligo di riservatezza per il personale.

Verifica: È attivo un obbligo di riservatezza per il personale?

Risposta: yes_noEvidenza: contratti, NDA, regolamento internoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
REQ-ATOM-HR-002-009mediumpolicycanonico

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

REQ-CAN-EXACT-0039EXACT_NORMALIZED_TEXT · High

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

Verifica: Il personale è contrattualmente obbligato a rispettare le policy di sicurezza?

Risposta: yes_noEvidenza: contratti, regolamento aziendale, presa visione policyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
REQ-ATOM-HR-002-010mediumpolicycanonico

L obbligo di riservatezza deve restare valido oltre il rapporto di lavoro o incarico quando richiesto.

REQ-CAN-EXACT-0167EXACT_NORMALIZED_TEXT · High

L obbligo di riservatezza deve restare valido oltre il rapporto di lavoro o incarico quando richiesto.

Verifica: L obbligo di riservatezza resta valido oltre il rapporto quando richiesto?

Risposta: yes_noEvidenza: clausole contrattuali, NDAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
REQ-ATOM-HR-002-011mediumpolicycanonico

Gli aspetti di sicurezza delle informazioni devono essere considerati nei contratti del personale.

REQ-CAN-EXACT-0033EXACT_NORMALIZED_TEXT · High

Gli aspetti di sicurezza delle informazioni devono essere considerati nei contratti del personale.

Verifica: Gli aspetti di sicurezza sono considerati nei contratti del personale?

Risposta: yes_noEvidenza: template contratto, clausole sicurezzaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
REQ-ATOM-HR-002-012mediumprocesscanonico

Deve essere descritta una procedura per gestire violazioni degli obblighi di sicurezza o riservatezza.

REQ-CAN-EXACT-0083EXACT_NORMALIZED_TEXT · High

Deve essere descritta una procedura per gestire violazioni degli obblighi di sicurezza o riservatezza.

Verifica: Esiste una procedura per gestire violazioni degli obblighi di sicurezza o riservatezza?

Risposta: document_referenceEvidenza: procedura gestione violazioni, disciplinare internoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2 2.1.2
MC-HR-003MA-HR · People & HR SecurityMediumScreening, contratti, formazione, riservatezza, lavoro remoto, termination.

Consapevolezza, istruzione e formazione sulla sicurezza delle informazioni

6 controlli framework collegati

  • ISO27001FW-ISO-A-6-3Consapevolezza, istruzione e formazione sulla sicurezza delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-2-1-1Qualificazione dipendenti per ambiti sensibili
  • TISAX_ISA6FW-TISAX-TISAX-2-1-3Awareness e formazione sui rischi nel trattamento informazioni
  • TISAX_ISA6FW-TISAX-TISAX-8-2-3Training/awareness su gestione prototipi
  • TISAX_ISA6FW-TISAX-TISAX-9-7-2Formazione dipendenti su data protection
  • NIS2_ESSENZIALEFW-NIS-PR-AT-01Consapevolezza e formazione del personale mantenute

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 6 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 15 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-044 · Registro eventi e incidenti di sicurezzaRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 38 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-073 · Security concept per protezione prototipi e informazioni TISAXDocumento / piano · 7 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici38
REQ-ATOM-HR-003-001hightraining

Il personale deve acquisire consapevolezza adeguata sulla sicurezza delle informazioni.

Verifica: Il personale acquisisce consapevolezza adeguata sulla sicurezza delle informazioni?

Risposta: yes_noEvidenza: piano awareness, registro formazione, materiali corsoApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-3 · ISO27001 A.6.3 controllo
REQ-ATOM-HR-003-002hightraining

Il personale deve ricevere istruzione e formazione sulla sicurezza delle informazioni pertinenti alla funzione lavorativa.

Verifica: La formazione sicurezza è pertinente alla funzione lavorativa?

Risposta: yes_noEvidenza: matrice formazione per ruolo, registro partecipantiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-6-3 · ISO27001 A.6.3 controllo
REQ-ATOM-HR-003-003mediumtraining

Le parti interessate pertinenti devono ricevere consapevolezza, istruzione o formazione quando rilevante.

Verifica: Le parti interessate pertinenti ricevono formazione o awareness quando necessario?

Risposta: yes_noEvidenza: registro formazione terze parti, materiali onboarding fornitoriApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-004 · Parti interessate e requisiti applicabili · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-3 · ISO27001 A.6.3 controllo
REQ-ATOM-HR-003-004mediumtraining

Il personale deve ricevere aggiornamenti regolari su politica, politiche specifiche e procedure di sicurezza pertinenti.

Verifica: Il personale riceve aggiornamenti regolari su policy e procedure pertinenti?

Risposta: yes_noEvidenza: comunicazioni policy, registro presa visione, aggiornamenti formazioneApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-3 · ISO27001 A.6.3 controllo
REQ-ATOM-HR-003-005hightraining

Deve essere definito, attuato, aggiornato e documentato un piano di formazione sulla sicurezza informatica per il personale.

Verifica: Esiste un piano di formazione cyber definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano formazione cyber, registro versioni, calendario formazioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-011 · Processo di controllo documentale · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AT-01 · NIS2 Allegato 2 PR.AT-01 punto 1
REQ-ATOM-HR-003-006hightraining

Il piano di formazione deve includere anche gli organi di amministrazione e direttivi.

Verifica: Il piano di formazione include anche organi di amministrazione e direttivi?

Risposta: yes_noEvidenza: piano formazione, registro partecipanti managementApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AT-01 · NIS2 Allegato 2 PR.AT-01 punto 1
REQ-ATOM-HR-003-007mediumtraining

Il piano deve indicare la pianificazione delle attività formative e i contenuti erogati.

Verifica: Il piano indica pianificazione e contenuti della formazione?

Risposta: yes_noEvidenza: piano formazione, syllabus, materiale didatticoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-PR-AT-01 · NIS2 Allegato 2 PR.AT-01 punto 1a
REQ-ATOM-HR-003-008mediumtraining

Il piano deve indicare eventuali modalità di verifica dell acquisizione dei contenuti.

Verifica: Il piano indica eventuali verifiche dell acquisizione dei contenuti?

Risposta: yes_noEvidenza: quiz formazione, test apprendimento, criteri verificaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AT-01 · NIS2 Allegato 2 PR.AT-01 punto 1b
REQ-ATOM-HR-003-009highgovernance

Il piano di formazione deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano di formazione è approvato dagli organi competenti?

Risposta: yes_noEvidenza: verbale approvazione, piano firmatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AT-01 · NIS2 Allegato 2 PR.AT-01 punto 2
REQ-ATOM-HR-003-010highevidence

Deve essere mantenuto un registro aggiornato dei dipendenti formati, dei contenuti e delle verifiche svolte.

Verifica: È mantenuto un registro aggiornato dei dipendenti formati, contenuti e verifiche?

Risposta: yes_noEvidenza: registro formazione, report LMS, attestatiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AT-01 · NIS2 Allegato 2 PR.AT-01 punto 3
REQ-ATOM-HR-003-011highprocesscanonico

Devono essere determinati ambiti e mansioni sensibili.

REQ-CAN-EXACT-0084EXACT_NORMALIZED_TEXT · High

Devono essere determinati ambiti e mansioni sensibili.

Verifica: Sono determinati gli ambiti e le mansioni sensibili?

Risposta: yes_noEvidenza: matrice ruoli sensibili, job profile, risk assessment HRApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-003-012highprocesscanonico

I requisiti per i dipendenti rispetto ai profili di ruolo devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0224EXACT_NORMALIZED_TEXT · High

I requisiti per i dipendenti rispetto ai profili di ruolo devono essere determinati e soddisfatti.

Verifica: I requisiti dei dipendenti rispetto ai profili di ruolo sono determinati e soddisfatti?

Risposta: yes_noEvidenza: job description, matrice competenze, evidenze qualificaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-003-013mediumprocesscanonico

L identità dei potenziali dipendenti deve essere verificata.

REQ-CAN-EXACT-0134EXACT_NORMALIZED_TEXT · High

L identità dei potenziali dipendenti deve essere verificata.

Verifica: L identità dei potenziali dipendenti è verificata?

Risposta: yes_noEvidenza: checklist assunzione, verifica documenti identitàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-003-014mediumprocesscanonico

L idoneità personale dei potenziali dipendenti deve essere verificata con metodi semplici quando applicabile.

REQ-CAN-EXACT-0135EXACT_NORMALIZED_TEXT · High

L idoneità personale dei potenziali dipendenti deve essere verificata con metodi semplici quando applicabile.

Verifica: L idoneità personale dei potenziali dipendenti è verificata con metodi appropriati?

Risposta: yes_noEvidenza: colloqui, valutazioni HR, checklist selezioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-003-015mediumrisk_basedcanonico

Per ambiti e mansioni specifici deve essere condotta una verifica estesa di idoneità quando richiesta.

REQ-CAN-EXACT-0024EXACT_NORMALIZED_TEXT · High

Per ambiti e mansioni specifici deve essere condotta una verifica estesa di idoneità quando richiesta.

Verifica: Per mansioni sensibili viene svolta una verifica estesa di idoneità quando richiesta?

Risposta: yes_noEvidenza: controllo referenze/certificati, assessment center, verifiche autorizzateApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-1 · TISAX ISA6 2.1.1 2.1.1
REQ-ATOM-HR-003-016hightrainingcanonico

I dipendenti devono essere formati e sensibilizzati sui rischi derivanti dal trattamento delle informazioni.

REQ-CAN-EXACT-0089EXACT_NORMALIZED_TEXT · High

I dipendenti devono essere formati e sensibilizzati sui rischi derivanti dal trattamento delle informazioni.

Verifica: I dipendenti sono formati e sensibilizzati sui rischi del trattamento informazioni?

Risposta: yes_noEvidenza: piano awareness, registro formazione, materiali corsoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-017hightraining

Deve essere predisposto un concetto di awareness e formazione per i dipendenti.

Verifica: Esiste un concetto di awareness e formazione per i dipendenti?

Risposta: document_referenceEvidenza: piano awareness, training conceptApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-018mediumtraining

Il concetto formativo deve includere la policy di sicurezza delle informazioni.

Verifica: Il concetto formativo include la policy di sicurezza?

Risposta: yes_noEvidenza: materiale formazione, syllabus, policy sicurezzaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-019mediumtraining

Il concetto formativo deve includere segnalazione di eventi di sicurezza e reazione a malware.

Verifica: La formazione copre segnalazione eventi di sicurezza e reazione a malware?

Risposta: yes_noEvidenza: materiale training, simulazioni, procedure incidentApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-020mediumtraining

Il concetto formativo deve includere policy su account utente e informazioni di login.

Verifica: La formazione copre account utente, password e informazioni di login?

Risposta: yes_noEvidenza: materiale formazione IAM, policy passwordApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-021mediumtraining

Il concetto formativo deve includere temi di conformità della sicurezza delle informazioni.

Verifica: La formazione copre temi di conformità della sicurezza?

Risposta: yes_noEvidenza: materiale compliance, policy e procedureApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-022mediumtraining

Il concetto formativo deve includere requisiti e procedure per NDA quando si condividono informazioni da proteggere.

Verifica: La formazione copre l uso di NDA per informazioni da proteggere?

Risposta: yes_noEvidenza: materiale training, procedura NDAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-023mediumtraining

Il concetto formativo deve includere l uso di servizi IT esterni.

Verifica: La formazione copre l uso di servizi IT esterni?

Risposta: yes_noEvidenza: materiale awareness, policy servizi esterniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-024mediumtraining

I gruppi target della formazione devono essere identificati e considerati nel concetto formativo.

Verifica: I gruppi target della formazione sono identificati e considerati?

Risposta: yes_noEvidenza: matrice ruoli/formazione, training conceptApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-025mediumgovernance

Il concetto di awareness e formazione deve essere approvato dal management responsabile.

Verifica: Il concetto di awareness e formazione è approvato dal management responsabile?

Risposta: yes_noEvidenza: verbale approvazione, piano firmatoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-026mediumtraining

Le misure di formazione e awareness devono essere svolte a intervalli regolari e in risposta a eventi.

Verifica: Le misure formative sono svolte regolarmente e in risposta a eventi?

Risposta: yes_noEvidenza: calendario formazione, registro eventi, campagne straordinarieApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-027highevidence

La partecipazione alle misure di formazione e awareness deve essere documentata.

Verifica: La partecipazione alla formazione è documentata?

Risposta: yes_noEvidenza: registro partecipanti, report LMS, attestatiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-028mediumgovernance

I contatti per la sicurezza delle informazioni devono essere noti ai dipendenti.

Verifica: I contatti sicurezza sono noti ai dipendenti?

Risposta: yes_noEvidenza: intranet, comunicazioni interne, materiale onboardingApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-3 · TISAX ISA6 2.1.3 2.1.3
REQ-ATOM-HR-003-029hightraining

Il management deve assicurare l esecuzione di programmi di formazione e awareness sulla gestione dei prototipi.

Verifica: Il management assicura programmi di training e awareness sui prototipi?

Risposta: yes_noEvidenza: piano training prototipi, approvazione managementApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3 8.2.3
REQ-ATOM-HR-003-030hightraining

Dipendenti e membri di progetto devono essere formati all ingresso nel progetto sulla gestione dei prototipi.

Verifica: Dipendenti e membri progetto sono formati all ingresso sul trattamento prototipi?

Risposta: yes_noEvidenza: registro formazione progetto, onboarding prototipiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3 8.2.3
REQ-ATOM-HR-003-031mediumtraining

I dipendenti devono ricevere formazione regolare almeno annuale sulla gestione dei prototipi.

Verifica: La formazione sui prototipi è svolta almeno annualmente?

Risposta: yes_noEvidenza: calendario formazione, registro partecipanti, report LMSApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3 8.2.3
REQ-ATOM-HR-003-032mediumtraining

Dipendenti e membri di progetto devono conoscere i bisogni di protezione dei prototipi e le misure conseguenti.

Verifica: Dipendenti e membri progetto conoscono bisogni di protezione e misure sui prototipi?

Risposta: yes_noEvidenza: test apprendimento, materiali training, attestazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3 8.2.3
REQ-ATOM-HR-003-033mediumtraining

La partecipazione alla formazione e awareness sui prototipi deve essere obbligatoria per ogni dipendente e membro di progetto coinvolto.

Verifica: La partecipazione alla formazione sui prototipi è obbligatoria per gli interessati?

Risposta: yes_noEvidenza: policy training prototipi, registro partecipanti, tracking obbligatorietàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3 8.2.3
REQ-ATOM-HR-003-034mediumevidence

Le misure formative completate sui prototipi devono essere documentate.

Verifica: Le misure formative sui prototipi completate sono documentate?

Risposta: yes_noEvidenza: registro formazione prototipi, attestati, report LMSApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3 8.2.3
REQ-ATOM-HR-003-035mediumtraining

Il concetto formativo sui prototipi deve essere integrato nel concetto generale di formazione.

Verifica: Il training prototipi è integrato nel concetto generale di formazione?

Risposta: yes_noEvidenza: training concept generale, piano formazione integratoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3 8.2.3
REQ-ATOM-HR-003-036hightrainingcanonico

I dipendenti devono essere formati e sensibilizzati sulla protezione dei dati.

REQ-CAN-EXACT-0090EXACT_NORMALIZED_TEXT · High

I dipendenti devono essere formati e sensibilizzati sulla protezione dei dati.

Verifica: I dipendenti sono formati e sensibilizzati sulla protezione dei dati?

Risposta: yes_noEvidenza: piano formazione privacy, registro formazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-2 · TISAX ISA6 9.7.2 9.7.2
REQ-ATOM-HR-003-037mediumtraining

Ambito, frequenza e contenuto della formazione data protection devono essere determinati in base al bisogno di protezione dei dati.

Verifica: Ambito, frequenza e contenuto della formazione data protection sono basati sul bisogno di protezione?

Risposta: yes_noEvidenza: piano formazione privacy, matrice ruoli/datiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-2 · TISAX ISA6 9.7.2 9.7.2
REQ-ATOM-HR-003-038mediumtraining

I dipendenti in aree critiche devono ricevere istruzioni o formazione specifica sulla protezione dei dati.

Verifica: I dipendenti in aree critiche ricevono formazione privacy specifica?

Risposta: yes_noEvidenza: registro formazione specialistica, materiali per amministratori/ruoli criticiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-2 · TISAX ISA6 9.7.2 9.7.2
MC-HR-004MA-HR · People & HR SecurityMediumScreening, contratti, formazione, riservatezza, lavoro remoto, termination.

Processo disciplinare

1 controlli framework collegati

  • ISO27001FW-ISO-A-6-4Processo disciplinare

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-HR-004-001mediumprocess

Deve essere formalizzato un processo disciplinare per violazioni della politica di sicurezza delle informazioni.

Verifica: Esiste un processo disciplinare formalizzato per violazioni della politica di sicurezza?

Risposta: document_referenceEvidenza: procedura disciplinare, regolamento interno, policy HRApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-6-4 · ISO27001 A.6.4 controllo
REQ-ATOM-HR-004-002mediumtraining

Il processo disciplinare deve essere comunicato al personale e alle altre parti interessate pertinenti.

Verifica: Il processo disciplinare è comunicato al personale e alle parti interessate pertinenti?

Risposta: yes_noEvidenza: comunicazioni interne, registro presa visione, formazione onboardingApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-004 · Parti interessate e requisiti applicabili · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-4 · ISO27001 A.6.4 controllo
REQ-ATOM-HR-004-003mediumprocess

Il processo disciplinare deve permettere di intraprendere azioni verso chi ha commesso una violazione della politica di sicurezza.

Verifica: Il processo disciplinare consente azioni verso chi viola la policy di sicurezza?

Risposta: yes_noEvidenza: registro violazioni, provvedimenti disciplinari, ticket HRApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-6-4 · ISO27001 A.6.4 controllo
MC-HR-005MA-HR · People & HR SecurityMediumScreening, contratti, formazione, riservatezza, lavoro remoto, termination.

Responsabilità dopo la cessazione o il cambio di impiego

2 controlli framework collegati

  • ISO27001FW-ISO-A-6-5Responsabilità dopo la cessazione o il cambio di impiego
  • NIS2_ESSENZIALEFW-NIS-GV-RR-04Cybersecurity integrata nelle pratiche delle risorse umane

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 9 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 9 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 5 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
Requirement atomici10
REQ-ATOM-HR-005-001mediumcompliance

Le responsabilità e gli obblighi di sicurezza delle informazioni che restano validi dopo cessazione o cambio di impiego devono essere definiti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-5 · ISO27001 A.6.5 controllo
REQ-ATOM-HR-005-002mediumprocess

Le responsabilità e gli obblighi post-rapporto devono essere applicati al personale e alle parti interessate pertinenti.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-004 · Parti interessate e requisiti applicabili · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-5 · ISO27001 A.6.5 controllo
REQ-ATOM-HR-005-003mediumcompliance

Le responsabilità e gli obblighi post-rapporto devono essere comunicati ai soggetti pertinenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-5 · ISO27001 A.6.5 controllo
REQ-ATOM-HR-005-004mediumprocesscanonico

Il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti deve essere individuato previa valutazione di esperienza, capacità e affidabilità.

REQ-CAN-EXACT-0177EXACT_NORMALIZED_TEXT · High

Il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti deve essere individuato previa valutazione di esperienza, capacità e affidabilità.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 1
REQ-ATOM-HR-005-005mediumcompliancecanonico

Il personale autorizzato ad accedere ai sistemi rilevanti deve fornire garanzia del rispetto della normativa di sicurezza informatica.

REQ-CAN-EXACT-0178EXACT_NORMALIZED_TEXT · High

Il personale autorizzato ad accedere ai sistemi rilevanti deve fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 1
REQ-ATOM-HR-005-006mediumprocesscanonico

Gli amministratori di sistema devono essere individuati previa valutazione di esperienza, capacità e affidabilità.

REQ-CAN-EXACT-0026EXACT_NORMALIZED_TEXT · High

Gli amministratori di sistema devono essere individuati previa valutazione di esperienza, capacità e affidabilità.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 2
REQ-ATOM-HR-005-007mediumcompliancecanonico

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

REQ-CAN-EXACT-0025EXACT_NORMALIZED_TEXT · High

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 2
REQ-ATOM-HR-005-008mediumevidencecanonico

Devono essere adottate e documentate procedure per individuare personale autorizzato e amministratori di sistema.

REQ-CAN-EXACT-0010EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per individuare personale autorizzato e amministratori di sistema.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 3
REQ-ATOM-HR-005-009mediumcompliancecanonico

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

REQ-CAN-EXACT-0166EXACT_NORMALIZED_TEXT · High

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 4
REQ-ATOM-HR-005-010mediumevidencecanonico

Devono essere adottate e documentate procedure per gestire gli obblighi di sicurezza post-rapporto.

REQ-CAN-EXACT-0009EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per gestire gli obblighi di sicurezza post-rapporto.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 5
MC-HR-006MA-HR · People & HR SecurityMediumScreening, contratti, formazione, riservatezza, lavoro remoto, termination.

Accordi di riservatezza o non divulgazione

6 controlli framework collegati

  • ISO27001FW-ISO-A-6-6Accordi di riservatezza o non divulgazione
  • TISAX_ISA6FW-TISAX-TISAX-2-1-2Obbligo contrattuale di rispettare le policy
  • TISAX_ISA6FW-TISAX-TISAX-6-1-2NDA per scambio informazioni
  • TISAX_ISA6FW-TISAX-TISAX-9-7-1Obbligo riservatezza dipendenti
  • TISAX_ISA6FW-TISAX-TISAX-8-2-1NDA/obblighi di riservatezza per prototipi
  • NIS2_ESSENZIALEFW-NIS-GV-RR-04Cybersecurity integrata nelle pratiche delle risorse umane

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 17 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 17 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 13 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 30 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 31 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-073 · Security concept per protezione prototipi e informazioni TISAXDocumento / piano · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici31
REQ-ATOM-HR-006-001mediumcompliance

Gli accordi di riservatezza o non divulgazione devono riflettere le esigenze dell’Organizzazione per la protezione delle informazioni.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-6 · ISO27001 A.6.6 controllo
REQ-ATOM-HR-006-002mediumevidence

Gli accordi di riservatezza o non divulgazione pertinenti devono essere identificati e documentati.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-6 · ISO27001 A.6.6 controllo
REQ-ATOM-HR-006-003mediumreview

Gli accordi di riservatezza o non divulgazione devono essere riesaminati regolarmente.

Verifica: Il requisito è riesaminato con frequenza definita e tracciata?

Risposta: dateEvidenza: verbale di riesame, registro review, versione aggiornata del documento, piano azioniApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-6 · ISO27001 A.6.6 controllo
REQ-ATOM-HR-006-004mediumcompliance

Gli accordi di riservatezza o non divulgazione devono essere firmati dal personale e dalle altre parti interessate pertinenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-004 · Parti interessate e requisiti applicabili · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-6 · ISO27001 A.6.6 controllo
REQ-ATOM-HR-006-005mediumprocesscanonico

Il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti deve essere individuato previa valutazione di esperienza, capacità e affidabilità.

REQ-CAN-EXACT-0177EXACT_NORMALIZED_TEXT · High

Il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti deve essere individuato previa valutazione di esperienza, capacità e affidabilità.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 1
REQ-ATOM-HR-006-006mediumcompliancecanonico

Il personale autorizzato ad accedere ai sistemi rilevanti deve fornire garanzia del rispetto della normativa di sicurezza informatica.

REQ-CAN-EXACT-0178EXACT_NORMALIZED_TEXT · High

Il personale autorizzato ad accedere ai sistemi rilevanti deve fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 1
REQ-ATOM-HR-006-007mediumprocesscanonico

Gli amministratori di sistema devono essere individuati previa valutazione di esperienza, capacità e affidabilità.

REQ-CAN-EXACT-0026EXACT_NORMALIZED_TEXT · High

Gli amministratori di sistema devono essere individuati previa valutazione di esperienza, capacità e affidabilità.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 2
REQ-ATOM-HR-006-008mediumcompliancecanonico

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

REQ-CAN-EXACT-0025EXACT_NORMALIZED_TEXT · High

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 2
REQ-ATOM-HR-006-009mediumevidencecanonico

Devono essere adottate e documentate procedure per individuare personale autorizzato e amministratori di sistema.

REQ-CAN-EXACT-0010EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per individuare personale autorizzato e amministratori di sistema.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 3
REQ-ATOM-HR-006-010mediumcompliancecanonico

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

REQ-CAN-EXACT-0166EXACT_NORMALIZED_TEXT · High

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 4
REQ-ATOM-HR-006-011mediumevidencecanonico

Devono essere adottate e documentate procedure per gestire gli obblighi di sicurezza post-rapporto.

REQ-CAN-EXACT-0009EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per gestire gli obblighi di sicurezza post-rapporto.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RR-04 · NIS2 Allegato 2 GV.RR-04 punto 5
REQ-ATOM-HR-006-012mediumcompliancecanonico

Deve essere attivo un obbligo di riservatezza per il personale.

REQ-CAN-EXACT-0038EXACT_NORMALIZED_TEXT · High

Deve essere attivo un obbligo di riservatezza per il personale.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2
REQ-ATOM-HR-006-013mediumcompliancecanonico

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

REQ-CAN-EXACT-0039EXACT_NORMALIZED_TEXT · High

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2
REQ-ATOM-HR-006-014mediumcompliancecanonico

L’obbligo di riservatezza deve restare valido oltre il rapporto di lavoro o incarico quando richiesto.

REQ-CAN-EXACT-0167EXACT_NORMALIZED_TEXT · High

L obbligo di riservatezza deve restare valido oltre il rapporto di lavoro o incarico quando richiesto.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2
REQ-ATOM-HR-006-015mediumcompliancecanonico

Gli aspetti di sicurezza delle informazioni devono essere considerati nei contratti del personale.

REQ-CAN-EXACT-0033EXACT_NORMALIZED_TEXT · High

Gli aspetti di sicurezza delle informazioni devono essere considerati nei contratti del personale.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2
REQ-ATOM-HR-006-016mediumprocesscanonico

Deve essere descritta una procedura per gestire violazioni degli obblighi di sicurezza o riservatezza.

REQ-CAN-EXACT-0083EXACT_NORMALIZED_TEXT · High

Deve essere descritta una procedura per gestire violazioni degli obblighi di sicurezza o riservatezza.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-2 · TISAX ISA6 2.1.2
REQ-ATOM-HR-006-017mediumcompliancecanonico

I requisiti di riservatezza per lo scambio di informazioni devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0232EXACT_NORMALIZED_TEXT · High

I requisiti di riservatezza per lo scambio di informazioni devono essere determinati e soddisfatti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-HR-006-018mediumcompliancecanonico

I requisiti e le procedure per applicare NDA devono essere noti a chi trasferisce informazioni da proteggere.

REQ-CAN-EXACT-0229EXACT_NORMALIZED_TEXT · High

I requisiti e le procedure per applicare NDA devono essere noti a chi trasferisce informazioni da proteggere.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-HR-006-019mediumcompliancecanonico

Gli NDA validi devono essere conclusi prima di trasmettere informazioni sensibili.

REQ-CAN-EXACT-0159EXACT_NORMALIZED_TEXT · High

Gli NDA validi devono essere conclusi prima di trasmettere informazioni sensibili.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-HR-006-020mediumreviewcanonico

Requisiti e procedure per NDA e trattamento delle informazioni protette devono essere riesaminati periodicamente.

REQ-CAN-EXACT-0230EXACT_NORMALIZED_TEXT · High

Requisiti e procedure per NDA e trattamento delle informazioni protette devono essere riesaminati periodicamente.

Verifica: Il requisito è riesaminato con frequenza definita e tracciata?

Risposta: dateEvidenza: verbale di riesame, registro review, versione aggiornata del documento, piano azioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-HR-006-021mediumevidencecanonico

Devono essere disponibili modelli NDA verificati per applicabilità legale.

REQ-CAN-EXACT-0099EXACT_NORMALIZED_TEXT · High

Devono essere disponibili modelli NDA verificati per applicabilità legale.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-HR-006-022mediumcompliance

La durata degli NDA deve essere definita in modo appropriato rispetto all’esigenza di protezione.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-HR-006-023mediumprocess

Il processo di richiesta e conclusione degli NDA deve essere chiaramente definito.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-HR-006-024mediumevidence

Deve essere mantenuta evidenza degli NDA applicabili agli scambi di informazioni protette.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-HR-006-025mediumcompliance

Le informazioni protette devono essere scambiate solo dopo verifica dell’obbligo di riservatezza applicabile.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-HR-006-026mediumcompliance

Prima di trattare prototipi o componenti riservati devono essere definiti obblighi di riservatezza applicabili.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-1 · TISAX ISA6 8.2.1
REQ-ATOM-HR-006-027mediumcompliance

Le persone e le terze parti coinvolte nella gestione dei prototipi devono essere vincolate da NDA o obblighi equivalenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-1 · TISAX ISA6 8.2.1
REQ-ATOM-HR-006-028mediumevidence

Gli obblighi di riservatezza sui prototipi devono essere documentati e tracciabili.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-1 · TISAX ISA6 8.2.1
REQ-ATOM-HR-006-029mediumdata_protection

Gli obblighi di riservatezza relativi ai prototipi devono coprire anche informazioni, immagini, dati e dettagli tecnici protetti.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-1 · TISAX ISA6 8.2.1
REQ-ATOM-HR-006-030mediumcompliancecanonico

I dipendenti che trattano dati personali devono essere obbligati alla riservatezza anche oltre la durata del rapporto.

REQ-CAN-EXACT-0092EXACT_NORMALIZED_TEXT · High

I dipendenti che trattano dati personali devono essere obbligati alla riservatezza anche oltre la durata del rapporto.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Risposta: yes_noEvidenza: contratto, NDA, clausola riservatezza, policy HR, registro accettazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-1 · TISAX ISA6 9.7.1
REQ-ATOM-HR-006-031mediumevidence

L’obbligo di riservatezza e rispetto delle norme di protezione dati deve essere documentato.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-7-1 · TISAX ISA6 9.7.1
MC-HR-007MA-HR · People & HR SecurityMediumScreening, contratti, formazione, riservatezza, lavoro remoto, termination.

Lavoro da remoto

2 controlli framework collegati

  • ISO27001FW-ISO-A-6-7Lavoro da remoto
  • TISAX_ISA6FW-TISAX-TISAX-2-1-4Lavoro mobile regolamentato

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 8 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 8 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici8
REQ-ATOM-HR-007-001mediumtechnical_control

Quando il personale lavora a distanza devono essere attuate misure di sicurezza dedicate.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-7 · ISO27001 A.6.7 controllo
REQ-ATOM-HR-007-002mediumdata_protection

Le misure per il lavoro a distanza devono proteggere le informazioni accessibili fuori dai locali dell’Organizzazione.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-7 · ISO27001 A.6.7 controllo
REQ-ATOM-HR-007-003mediumdata_protection

Le misure per il lavoro a distanza devono proteggere le informazioni elaborate o memorizzate fuori dai locali dell’Organizzazione.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-7 · ISO27001 A.6.7 controllo
REQ-ATOM-HR-007-004mediumpolicycanonico

I requisiti per il lavoro mobile o telelavoro devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0228EXACT_NORMALIZED_TEXT · High

I requisiti per il lavoro mobile o telelavoro devono essere determinati e soddisfatti.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

Risposta: yes_noEvidenza: policy approvata, comunicazione interna, registro accettazione, intranet o repository documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
REQ-ATOM-HR-007-005mediumpolicycanonico

Il lavoro mobile deve prevedere regole per gestione sicura e accesso alle informazioni in ambienti privati e pubblici.

REQ-CAN-EXACT-0145EXACT_NORMALIZED_TEXT · High

Il lavoro mobile deve prevedere regole per gestione sicura e accesso alle informazioni in ambienti privati e pubblici.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

Risposta: yes_noEvidenza: policy approvata, comunicazione interna, registro accettazione, intranet o repository documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
REQ-ATOM-HR-007-006mediumtechnical_controlcanonico

L’accesso alla rete dell’Organizzazione da lavoro mobile deve usare connessione sicura e autenticazione forte.

REQ-CAN-EXACT-0002EXACT_NORMALIZED_TEXT · High

L accesso alla rete dell Organizzazione da lavoro mobile deve usare connessione sicura e autenticazione forte.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
REQ-ATOM-HR-007-007mediumprocess

Devono essere considerate misure per viaggi e trasferte verso paesi critici per la sicurezza.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
REQ-ATOM-HR-007-008mediumtechnical_controlcanonico

Devono essere attuate misure contro ascolto e visione non autorizzati durante il lavoro mobile quando applicabile.

REQ-CAN-EXACT-0040EXACT_NORMALIZED_TEXT · High

Devono essere attuate misure contro ascolto e visione non autorizzati durante il lavoro mobile quando applicabile.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
MC-HR-008MA-HR · People & HR SecurityMediumScreening, contratti, formazione, riservatezza, lavoro remoto, termination.

Segnalazione degli eventi di sicurezza delle informazioni

2 controlli framework collegati

  • ISO27001FW-ISO-A-6-8Segnalazione degli eventi di sicurezza delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-1-6-1Segnalazione eventi o osservazioni di sicurezza

Documenti pianificati

  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-044 · Registro eventi e incidenti di sicurezzaRegistro · 5 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici7
REQ-ATOM-HR-008-001mediumincident

L’Organizzazione deve fornire un meccanismo per segnalare eventi di sicurezza delle informazioni osservati o sospetti.

Verifica: Il meccanismo di segnalazione o risposta è attivo, comunicato e utilizzabile?

Risposta: yes_noEvidenza: procedura incident/event reporting, canale segnalazione, registro eventi, comunicazioni interneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-8 · ISO27001 A.6.8 controllo
REQ-ATOM-HR-008-002mediumincident

Il meccanismo di segnalazione deve consentire al personale di segnalare tempestivamente gli eventi di sicurezza.

Verifica: Il meccanismo di segnalazione o risposta è attivo, comunicato e utilizzabile?

Risposta: yes_noEvidenza: procedura incident/event reporting, canale segnalazione, registro eventi, comunicazioni interneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-8 · ISO27001 A.6.8 controllo
REQ-ATOM-HR-008-003mediumincident

Le segnalazioni di eventi di sicurezza devono avvenire attraverso canali appropriati.

Verifica: Il meccanismo di segnalazione o risposta è attivo, comunicato e utilizzabile?

Risposta: yes_noEvidenza: procedura incident/event reporting, canale segnalazione, registro eventi, comunicazioni interneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-6-8 · ISO27001 A.6.8 controllo
REQ-ATOM-HR-008-004mediumincident

Deve essere disponibile un canale per segnalare eventi, debolezze o osservazioni relative alla sicurezza delle informazioni.

Verifica: Il meccanismo di segnalazione o risposta è attivo, comunicato e utilizzabile?

Risposta: yes_noEvidenza: procedura incident/event reporting, canale segnalazione, registro eventi, comunicazioni interneApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-HR-008-005mediumtraining

Il personale deve conoscere le modalità per segnalare eventi o osservazioni di sicurezza.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-HR-008-006mediumincident

Le segnalazioni di eventi o osservazioni di sicurezza devono essere ricevute e trattate tramite un processo definito.

Verifica: Il meccanismo di segnalazione o risposta è attivo, comunicato e utilizzabile?

Risposta: yes_noEvidenza: procedura incident/event reporting, canale segnalazione, registro eventi, comunicazioni interneApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-HR-008-007mediumevidence

Le segnalazioni devono essere documentate o tracciate in modo proporzionato alla loro rilevanza.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
MC-IAM-001MA-IAM · Identity & Access ManagementHighIdentità, autenticazione, privilegi, accessi logici e fisici collegati.

Diritti di accesso privilegiato

3 controlli framework collegati

  • ISO27001FW-ISO-A-8-2Diritti di accesso privilegiato
  • TISAX_ISA6FW-TISAX-TISAX-4-2-1Diritti di accesso assegnati e gestiti
  • NIS2_ESSENZIALEFW-NIS-PR-AA-05Permessi e autorizzazioni di accesso gestiti

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 13 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-010 · Elenco personale con ruoli di sicurezzaRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-014 · Inventario hardwareRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 13 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici16
REQ-ATOM-IAM-001-001highaccess_control

L’assegnazione dei diritti di accesso privilegiato deve essere limitata ai casi necessari.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-2 · ISO27001 A.8.2 controllo
REQ-ATOM-IAM-001-002highaccess_control

L’uso dei diritti di accesso privilegiato deve essere limitato e controllato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-2 · ISO27001 A.8.2 controllo
REQ-ATOM-IAM-001-003highaccess_control

I diritti di accesso privilegiato devono essere gestiti tramite processo controllato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-2 · ISO27001 A.8.2 controllo
REQ-ATOM-IAM-001-004highaccess_controlcanonico

I permessi devono essere assegnati secondo minimo privilegio, separazione delle funzioni e necessità di conoscere.

REQ-CAN-EXACT-0176EXACT_NORMALIZED_TEXT · High

I permessi devono essere assegnati secondo minimo privilegio, separazione delle funzioni e necessità di conoscere.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 1
REQ-ATOM-IAM-001-005mediumaccess_controlcanonico

Le utenze amministrative devono essere distinte dalle utenze non amministrative.

REQ-CAN-EXACT-0296EXACT_NORMALIZED_TEXT · High

Le utenze amministrative devono essere distinte dalle utenze non amministrative.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 2
REQ-ATOM-IAM-001-006mediumaccess_controlcanonico

Le utenze amministrative e non amministrative devono usare credenziali diverse.

REQ-CAN-EXACT-0297EXACT_NORMALIZED_TEXT · High

Le utenze amministrative e non amministrative devono usare credenziali diverse.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 2
REQ-ATOM-IAM-001-007highevidencecanonico

Devono essere adottate e documentate procedure per assegnazione dei permessi e distinzione delle utenze privilegiate.

REQ-CAN-EXACT-0006EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per assegnazione dei permessi e distinzione delle utenze privilegiate.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-05 · NIS2 Allegato 2 PR.AA-05 punto 3
REQ-ATOM-IAM-001-008mediumaccess_controlcanonico

I requisiti per la gestione dei diritti di accesso devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0227EXACT_NORMALIZED_TEXT · High

I requisiti per la gestione dei diritti di accesso devono essere determinati e soddisfatti.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-IAM-001-009mediumaccess_controlcanonico

La gestione dei diritti deve includere richiesta, verifica e approvazione.

REQ-CAN-EXACT-0126EXACT_NORMALIZED_TEXT · High

La gestione dei diritti deve includere richiesta, verifica e approvazione.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-IAM-001-010mediumaccess_controlcanonico

I diritti devono essere assegnati secondo need to know e least privilege.

REQ-CAN-EXACT-0095EXACT_NORMALIZED_TEXT · High

I diritti devono essere assegnati secondo need to know e least privilege.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-IAM-001-011mediumaccess_controlcanonico

I diritti di accesso devono essere revocati quando non più necessari.

REQ-CAN-EXACT-0094EXACT_NORMALIZED_TEXT · High

I diritti di accesso devono essere revocati quando non sono più necessari.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-IAM-001-012highreview

I diritti di account normali, privilegiati e tecnici devono essere riesaminati regolarmente.

Verifica: Il requisito è riesaminato con frequenza definita e tracciata?

Risposta: dateEvidenza: verbale di riesame, registro review, versione aggiornata del documento, piano azioniApplicabilità: tisax_onlyAutomazione: document_repository
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-IAM-001-013mediumevidence

Le attività di concessione, modifica e revoca dei diritti di accesso devono essere tracciabili.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-010 · Elenco personale con ruoli di sicurezza · evidenza · OK_EVIDENCE_OR_REGISTERDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-IAM-001-014highaccess_control

I diritti privilegiati devono essere limitati e assegnati solo a persone o account autorizzati.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-IAM-001-015mediumaccess_control

I diritti di accesso devono essere aggiornati tempestivamente in caso di cambio ruolo o cessazione.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
REQ-ATOM-IAM-001-016mediumaccess_control

La gestione dei diritti deve coprire anche account tecnici o di servizio quando presenti.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-2-1 · TISAX ISA6 4.2.1
MC-IAM-002MA-IAM · Identity & Access ManagementHighIdentità, autenticazione, privilegi, accessi logici e fisici collegati.

Limitazione dell’accesso alle informazioni

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-3Limitazione dell’accesso alle informazioni

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici2
REQ-ATOM-IAM-002-001mediumaccess_control

L’accesso alle informazioni deve essere limitato secondo la policy specifica di controllo degli accessi.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-3 · ISO27001 A.8.3 controllo
REQ-ATOM-IAM-002-002mediumaccess_control

L’accesso agli asset associati alle informazioni deve essere limitato secondo le regole di controllo accessi.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-3 · ISO27001 A.8.3 controllo
MC-IAM-003MA-IAM · Identity & Access ManagementHighIdentità, autenticazione, privilegi, accessi logici e fisici collegati.

Accesso al codice sorgente

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-4Accesso al codice sorgente

Documenti pianificati

  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 4 requirement · primario · OK_PRIMARY_PRESENT · review Low
Requirement atomici4
REQ-ATOM-IAM-003-001highsecure_development

L’accesso in lettura al codice sorgente deve essere gestito in modo appropriato.

Verifica: L’accesso al codice sorgente e agli strumenti di sviluppo è gestito e tracciabile?

Risposta: yes_noEvidenza: procedura sviluppo sicuro, configurazione repository, matrice permessi, log accessi, ticket autorizzativiApplicabilità: iso_onlyAutomazione: semi_automatic
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-4 · ISO27001 A.8.4 controllo
REQ-ATOM-IAM-003-002highsecure_development

L’accesso in scrittura al codice sorgente deve essere gestito in modo appropriato.

Verifica: L’accesso al codice sorgente e agli strumenti di sviluppo è gestito e tracciabile?

Risposta: yes_noEvidenza: procedura sviluppo sicuro, configurazione repository, matrice permessi, log accessi, ticket autorizzativiApplicabilità: iso_onlyAutomazione: semi_automatic
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-4 · ISO27001 A.8.4 controllo
REQ-ATOM-IAM-003-003mediumsecure_development

L’accesso agli strumenti di sviluppo deve essere gestito in modo appropriato.

Verifica: L’accesso al codice sorgente e agli strumenti di sviluppo è gestito e tracciabile?

Risposta: yes_noEvidenza: procedura sviluppo sicuro, configurazione repository, matrice permessi, log accessi, ticket autorizzativiApplicabilità: iso_onlyAutomazione: semi_automatic
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-4 · ISO27001 A.8.4 controllo
REQ-ATOM-IAM-003-004mediumsecure_development

L’accesso alle librerie software deve essere gestito in modo appropriato.

Verifica: L’accesso al codice sorgente e agli strumenti di sviluppo è gestito e tracciabile?

Risposta: yes_noEvidenza: procedura sviluppo sicuro, configurazione repository, matrice permessi, log accessi, ticket autorizzativiApplicabilità: iso_onlyAutomazione: semi_automatic
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-4 · ISO27001 A.8.4 controllo
MC-IAM-004MA-IAM · Identity & Access ManagementHighIdentità, autenticazione, privilegi, accessi logici e fisici collegati.

Autenticazione sicura

7 controlli framework collegati

  • ISO27001FW-ISO-A-8-5Autenticazione sicura
  • TISAX_ISA6FW-TISAX-TISAX-4-1-1Gestione dei mezzi di identificazione
  • TISAX_ISA6FW-TISAX-TISAX-4-1-3Account utente e informazioni di login gestiti in modo sicuro
  • TISAX_ISA6FW-TISAX-TISAX-4-1-2Accesso utenti a servizi e sistemi IT protetto
  • NIS2_ESSENZIALEFW-NIS-PR-AA-01Identità e credenziali gestite
  • NIS2_ESSENZIALEFW-NIS-PR-AA-03Utenti, servizi e hardware autenticati
  • NIS2_ESSENZIALEFW-NIS-PR-IR-01Reti e ambienti protetti da accessi e usi non autorizzati

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 33 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-014 · Inventario hardwareRegistro · 13 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 6 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 48 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-044 · Registro eventi e incidenti di sicurezzaRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 30 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici48
REQ-ATOM-IAM-004-001mediumaccess_control

Devono essere attuate tecnologie di autenticazione sicura.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-5 · ISO27001 A.8.5 controllo
REQ-ATOM-IAM-004-002mediumaccess_control

Devono essere attuate procedure di autenticazione sicura.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-5 · ISO27001 A.8.5 controllo
REQ-ATOM-IAM-004-003mediumaccess_control

Le tecnologie e le procedure di autenticazione devono essere coerenti con le limitazioni di accesso alle informazioni.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-5 · ISO27001 A.8.5 controllo
REQ-ATOM-IAM-004-004mediumpolicy

Le tecnologie e le procedure di autenticazione devono essere coerenti con la policy di controllo degli accessi.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

Risposta: yes_noEvidenza: policy approvata, comunicazione interna, registro accettazione, intranet o repository documentaleApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-5 · ISO27001 A.8.5 controllo
REQ-ATOM-IAM-004-005highaccess_controlcanonico

Tutte le utenze, incluse quelle amministrative e di accesso remoto, devono essere censite.

REQ-CAN-EXACT-0288EXACT_NORMALIZED_TEXT · High

Tutte le utenze, incluse quelle amministrative e di accesso remoto, devono essere censite.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 1
REQ-ATOM-IAM-004-006mediumaccess_controlcanonico

Le utenze devono essere approvate da attori interni competenti.

REQ-CAN-EXACT-0298EXACT_NORMALIZED_TEXT · High

Le utenze devono essere approvate da attori interni competenti.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 1
REQ-ATOM-IAM-004-007mediumaccess_controlcanonico

Le utenze degli utenti devono essere individuali, salvo motivate ragioni tecniche documentate e in base al rischio.

REQ-CAN-EXACT-0299EXACT_NORMALIZED_TEXT · High

Le utenze degli utenti devono essere individuali, salvo motivate ragioni tecniche documentate e in base al rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 1
REQ-ATOM-IAM-004-008mediumaccess_controlcanonico

Le credenziali delle utenze devono essere robuste e aggiornate in base alla valutazione del rischio.

REQ-CAN-EXACT-0061EXACT_NORMALIZED_TEXT · High

Le credenziali delle utenze devono essere robuste e aggiornate in base alla valutazione del rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 2
REQ-ATOM-IAM-004-009mediumreviewcanonico

Per i sistemi rilevanti, utenze e autorizzazioni devono essere verificate periodicamente.

REQ-CAN-EXACT-0272EXACT_NORMALIZED_TEXT · High

Per i sistemi rilevanti, utenze e autorizzazioni devono essere verificate periodicamente.

Verifica: Il requisito è riesaminato con frequenza definita e tracciata?

Risposta: dateEvidenza: verbale di riesame, registro review, versione aggiornata del documento, piano azioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 3
REQ-ATOM-IAM-004-010mediumaccess_control

Utenze e autorizzazioni devono essere aggiornate o revocate in caso di trasferimento, cessazione o altra variazione del personale.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 3
REQ-ATOM-IAM-004-011mediumevidencecanonico

Devono essere adottate e documentate procedure per censimento, credenziali, verifiche e revoche delle utenze.

REQ-CAN-EXACT-0007EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per censimento, credenziali, verifiche e revoche delle utenze.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-01 · NIS2 Allegato 2 PR.AA-01 punto 4
REQ-ATOM-IAM-004-012mediumaccess_controlcanonico

Le modalità di autenticazione per accedere ai sistemi informativi e di rete devono essere commisurate al rischio.

REQ-CAN-EXACT-0155EXACT_NORMALIZED_TEXT · High

Le modalità di autenticazione per accedere ai sistemi informativi e di rete devono essere commisurate al rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 1
REQ-ATOM-IAM-004-013highaccess_controlcanonico

La valutazione delle modalità di autenticazione deve considerare i privilegi delle utenze.

REQ-CAN-EXACT-0303EXACT_NORMALIZED_TEXT · High

La valutazione delle modalità di autenticazione deve considerare i privilegi delle utenze.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 1a
REQ-ATOM-IAM-004-014mediumaccess_controlcanonico

La valutazione delle modalità di autenticazione deve considerare la criticità dei sistemi informativi e di rete.

REQ-CAN-EXACT-0302EXACT_NORMALIZED_TEXT · High

La valutazione delle modalità di autenticazione deve considerare la criticità dei sistemi informativi e di rete.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 1b
REQ-ATOM-IAM-004-015mediumaccess_controlcanonico

La valutazione delle modalità di autenticazione deve considerare la tipologia di operazioni consentite alle utenze.

REQ-CAN-EXACT-0304EXACT_NORMALIZED_TEXT · High

La valutazione delle modalità di autenticazione deve considerare la tipologia di operazioni consentite alle utenze.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 1c
REQ-ATOM-IAM-004-016highaccess_controlcanonico

Per i sistemi informativi e di rete rilevanti devono essere impiegate soluzioni di autenticazione multifattore in accordo al rischio.

REQ-CAN-EXACT-0267EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere impiegate soluzioni di autenticazione multifattore in accordo al rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 2
REQ-ATOM-IAM-004-017mediumevidencecanonico

Devono essere adottate e documentate procedure relative alla scelta e applicazione delle modalità di autenticazione e MFA.

REQ-CAN-EXACT-0016EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative alla scelta e applicazione delle modalità di autenticazione e MFA.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-03 · NIS2 Allegato 2 PR.AA-03 punto 3
REQ-ATOM-IAM-004-018mediumpolicycanonico

Per i sistemi informativi e di rete rilevanti devono essere definite e documentate le attività consentite da remoto.

REQ-CAN-EXACT-0263EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere definite e documentate le attività consentite da remoto.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

Risposta: yes_noEvidenza: policy approvata, comunicazione interna, registro accettazione, intranet o repository documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 1
REQ-ATOM-IAM-004-019hightechnical_controlcanonico

Devono essere implementate misure di sicurezza adeguate per l’accesso remoto.

REQ-CAN-EXACT-0138EXACT_NORMALIZED_TEXT · High

Devono essere implementate misure di sicurezza adeguate per l accesso remoto.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 1
REQ-ATOM-IAM-004-020mediumasset_managementcanonico

Deve essere mantenuto un elenco aggiornato dei sistemi informativi e di rete accessibili da remoto.

REQ-CAN-EXACT-0150EXACT_NORMALIZED_TEXT · High

Deve essere mantenuto un elenco aggiornato dei sistemi informativi e di rete accessibili da remoto.

Verifica: Il requisito è implementato e documentato?

Risposta: document_referenceEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 2
REQ-ATOM-IAM-004-021mediumasset_managementcanonico

L’elenco dei sistemi accessibili da remoto deve descrivere le relative modalità di accesso.

REQ-CAN-EXACT-0110EXACT_NORMALIZED_TEXT · High

L elenco dei sistemi accessibili da remoto deve descrivere le relative modalità di accesso.

Verifica: Il requisito è implementato e documentato?

Risposta: document_referenceEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 2
REQ-ATOM-IAM-004-022mediumtechnical_controlcanonico

Devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato i sistemi perimetrali, inclusi firewall.

REQ-CAN-EXACT-0205EXACT_NORMALIZED_TEXT · High

Devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato i sistemi perimetrali, inclusi firewall.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 3
REQ-ATOM-IAM-004-023mediumevidencecanonico

Devono essere adottate e documentate procedure relative ai sistemi accessibili da remoto e ai sistemi perimetrali.

REQ-CAN-EXACT-0017EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative ai sistemi accessibili da remoto e ai sistemi perimetrali.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 4
REQ-ATOM-IAM-004-024mediumaccess_controlcanonico

Devono essere determinati e soddisfatti i requisiti per la gestione dei mezzi di identificazione lungo l’intero ciclo di vita.

REQ-CAN-EXACT-0086EXACT_NORMALIZED_TEXT · High

Devono essere determinati e soddisfatti i requisiti per la gestione dei mezzi di identificazione lungo l intero ciclo di vita.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-IAM-004-025mediumprocesscanonico

La gestione dei mezzi di identificazione deve coprire creazione, consegna, restituzione e distruzione.

REQ-CAN-EXACT-0130EXACT_NORMALIZED_TEXT · High

La gestione dei mezzi di identificazione deve coprire creazione, consegna, restituzione e distruzione.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-IAM-004-026mediumprocesscanonico

La gestione dei mezzi di identificazione deve prevedere periodi di validità appropriati.

REQ-CAN-EXACT-0131EXACT_NORMALIZED_TEXT · High

La gestione dei mezzi di identificazione deve prevedere periodi di validità appropriati.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-IAM-004-027mediumevidencecanonico

La gestione dei mezzi di identificazione deve assicurare la tracciabilità.

REQ-CAN-EXACT-0129EXACT_NORMALIZED_TEXT · High

La gestione dei mezzi di identificazione deve assicurare la tracciabilità.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-IAM-004-028mediumincidentcanonico

Devono essere definite modalità per gestire la perdita dei mezzi di identificazione.

REQ-CAN-EXACT-0071EXACT_NORMALIZED_TEXT · High

Devono essere definite modalità per gestire la perdita dei mezzi di identificazione.

Verifica: Il meccanismo di segnalazione o risposta è attivo, comunicato e utilizzabile?

Risposta: yes_noEvidenza: procedura incident/event reporting, canale segnalazione, registro eventi, comunicazioni interneApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-IAM-004-029mediumaccess_control

I mezzi di identificazione devono essere protetti contro uso non autorizzato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-1 · TISAX ISA6 4.1.1
REQ-ATOM-IAM-004-030mediumaccess_controlcanonico

Le procedure di autenticazione utente devono essere selezionate sulla base di una valutazione del rischio.

REQ-CAN-EXACT-0211EXACT_NORMALIZED_TEXT · High

Le procedure di autenticazione utente devono essere selezionate sulla base di una valutazione del rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-IAM-004-031mediumprocesscanonico

Nella scelta dell’autenticazione devono essere considerati possibili scenari di attacco, inclusa l’accessibilità da Internet.

REQ-CAN-EXACT-0162EXACT_NORMALIZED_TEXT · High

Nella scelta dell autenticazione devono essere considerati possibili scenari di attacco, inclusa l accessibilità da Internet.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, workflow, ticket, registro operativo, evidenza di applicazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-IAM-004-032mediumaccess_controlcanonico

Devono essere applicate procedure di autenticazione allo stato dell’arte.

REQ-CAN-EXACT-0027EXACT_NORMALIZED_TEXT · High

Devono essere applicate procedure di autenticazione allo stato dell arte.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-IAM-004-033mediumaccess_controlcanonico

Gli utenti devono essere autenticati almeno tramite password robuste allo stato dell’arte, quando applicabile.

REQ-CAN-EXACT-0294EXACT_NORMALIZED_TEXT · High

Gli utenti devono essere autenticati almeno tramite password robuste allo stato dell arte, quando applicabile.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-IAM-004-034highaccess_control

Per account privilegiati devono essere usate procedure di autenticazione rafforzate, come PAM o autenticazione a più fattori.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-IAM-004-035mediumpolicycanonico

Le procedure di autenticazione devono essere definite e implementate in base a requisiti di business e sicurezza.

REQ-CAN-EXACT-0210EXACT_NORMALIZED_TEXT · High

Le procedure di autenticazione devono essere definite e implementate in base a requisiti di business e sicurezza.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

Risposta: yes_noEvidenza: policy approvata, comunicazione interna, registro accettazione, intranet o repository documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-IAM-004-036mediumdata_protection

Le informazioni di autenticazione devono essere protette contro divulgazione e uso non autorizzato.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-2 · TISAX ISA6 4.1.2
REQ-ATOM-IAM-004-037mediumaccess_control

La creazione, modifica ed eliminazione degli account utente deve essere gestita tramite processo controllato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-038mediumaccess_controlcanonico

Devono essere usati account utente univoci e personalizzati.

REQ-CAN-EXACT-0290EXACT_NORMALIZED_TEXT · High

Devono essere usati account utente univoci e personalizzati.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-039mediumaccess_controlcanonico

L’uso di account collettivi deve essere regolato e limitato ai casi consentiti.

REQ-CAN-EXACT-0292EXACT_NORMALIZED_TEXT · High

L uso di account collettivi deve essere regolato e limitato ai casi consentiti.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-040mediumaccess_controlcanonico

Gli account devono essere disabilitati immediatamente quando l’utente lascia l’Organizzazione.

REQ-CAN-EXACT-0003EXACT_NORMALIZED_TEXT · High

Gli account devono essere disabilitati immediatamente quando l utente lascia l Organizzazione.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-041mediumreviewcanonico

Gli account utente devono essere riesaminati regolarmente.

REQ-CAN-EXACT-0004EXACT_NORMALIZED_TEXT · High

Gli account utente devono essere riesaminati regolarmente.

Verifica: Il requisito è riesaminato con frequenza definita e tracciata?

Risposta: dateEvidenza: verbale di riesame, registro review, versione aggiornata del documento, piano azioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-042highaccess_control

Gli account privilegiati devono essere identificati e gestiti separatamente dagli account ordinari.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-043mediumaccess_control

Le informazioni di login devono essere trasmesse agli utenti in modo sicuro.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-044mediumaccess_control

Le password iniziali o temporanee devono essere cambiate al primo utilizzo quando applicabile.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-045mediumaccess_control

Le informazioni di login devono rispettare requisiti di complessità e protezione adeguati.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-046mediumaccess_control

L’assegnazione degli account deve essere approvata prima dell’attivazione.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-047mediumaccess_control

Gli account non più necessari devono essere rimossi o disabilitati tempestivamente.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
REQ-ATOM-IAM-004-048mediumaccess_control

Gli account tecnici o di servizio devono essere regolati e protetti in modo specifico.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-4-1-3 · TISAX ISA6 4.1.3
MC-IAM-005MA-IAM · Identity & Access ManagementHighIdentità, autenticazione, privilegi, accessi logici e fisici collegati.

Uso di programmi di utilità privilegiati

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-18Uso di programmi di utilità privilegiati

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici2
REQ-ATOM-IAM-005-001mediumtechnical_control

L’uso di programmi di utilità capaci di aggirare i controlli di sistema o applicativi deve essere limitato.

Verifica: Il requisito è implementato e documentato?

Risposta: yes_noEvidenza: procedura, registro, evidenza documentaleApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-18 · ISO27001 A.8.18 controllo
REQ-ATOM-IAM-005-002highaccess_control

L’uso di programmi di utilità privilegiati deve essere strettamente controllato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Risposta: yes_noEvidenza: policy accessi, procedura IAM, export sistema, registro approvazioni, evidenza di reviewApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-18 · ISO27001 A.8.18 controllo
MC-INC-001MA-RISK · Risk ManagementHighGestione del rischio, minacce, intelligence, trattamento e monitoraggio dei rischi.

Threat intelligence

1 controlli framework collegati

  • ISO27001FW-ISO-A-5-7Threat intelligence

Documenti pianificati

  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-INC-001-001mediummonitoring

Le informazioni relative alle minacce alla sicurezza delle informazioni devono essere raccolte.

Verifica: Il requisito di raccolta, analisi o monitoraggio è attivo e documentato?

Risposta: yes_noEvidenza: procedura threat intelligence, fonti monitorate, report analisi minacce, ticket o piano azioniApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-7 · ISO27001 A.5.7 controllo
REQ-ATOM-INC-001-002mediummonitoring

Le informazioni relative alle minacce devono essere analizzate.

Verifica: Il requisito di raccolta, analisi o monitoraggio è attivo e documentato?

Risposta: yes_noEvidenza: procedura threat intelligence, fonti monitorate, report analisi minacce, ticket o piano azioniApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-7 · ISO27001 A.5.7 controllo
REQ-ATOM-INC-001-003highmonitoring

La raccolta e l’analisi delle informazioni sulle minacce devono produrre threat intelligence utilizzabile.

Verifica: Il requisito di raccolta, analisi o monitoraggio è attivo e documentato?

Risposta: yes_noEvidenza: procedura threat intelligence, fonti monitorate, report analisi minacce, ticket o piano azioniApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-7 · ISO27001 A.5.7 controllo
MC-INC-002MA-GOV · GovernanceHighGoverno della sicurezza, responsabilità, politiche, processi e gestione organizzativa.

Sicurezza delle informazioni nella gestione dei progetti

3 controlli framework collegati

  • ISO27001FW-ISO-A-5-8Sicurezza delle informazioni nella gestione dei progetti
  • TISAX_ISA6FW-TISAX-TISAX-1-2-3Requisiti sicurezza nei progetti
  • TISAX_ISA6FW-TISAX-TISAX-5-3-1Sicurezza considerata in nuovi sistemi IT o evoluzioni

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 2 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-034 · Metodologia di valutazione rischio cyberDocumento metodologico · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-035 · Risk RegisterRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-042 · Registro log critici e tempi di conservazioneRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-065 · Registro riesame policyRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 10 requirement · di supporto, primario · WEAK_MATCH_SUPPORT_ONLY, OK_PRIMARY_PRESENT, OK_SUPPORTING · review Medium, Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 5 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e serviziPiano / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici19
REQ-ATOM-INC-002-001mediumgovernance

La sicurezza delle informazioni deve essere integrata nelle regole e nelle attività di gestione dei progetti.

Verifica: La sicurezza delle informazioni è inclusa nel metodo di project management?

Risposta: document_referenceEvidenza: metodologia progetto, procedura change/progetti, template progettoApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-8 · ISO27001 A.5.8 controllo
REQ-ATOM-INC-002-002mediumprocess

I progetti devono considerare i requisiti di sicurezza delle informazioni applicabili fin dalle fasi iniziali.

Verifica: I requisiti di sicurezza sono identificati all’avvio dei progetti?

Risposta: yes_noEvidenza: scheda progetto, analisi requisiti sicurezza, risk assessment progettoApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-5-8 · ISO27001 A.5.8 controllo
REQ-ATOM-INC-002-003mediumprocess

Le decisioni progettuali rilevanti devono tenere conto degli impatti su riservatezza, integrità e disponibilità delle informazioni.

Verifica: Le decisioni progettuali valutano gli impatti su riservatezza, integrità e disponibilità?

Risposta: yes_noEvidenza: verbali progetto, matrice rischi, valutazioni di sicurezzaApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-5-8 · ISO27001 A.5.8 controllo
REQ-ATOM-INC-002-004mediumgovernance

I progetti devono essere classificati considerando i requisiti di sicurezza delle informazioni.

Verifica: I progetti sono classificati considerando i requisiti di sicurezza?

Risposta: yes_noEvidenza: criteri classificazione progetti, schede progettoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-3 · TISAX ISA6 1.2.3
REQ-ATOM-INC-002-005mediumprocess

La procedura e i criteri per la classificazione dei progetti devono essere documentati.

Verifica: La procedura di classificazione dei progetti è documentata?

Risposta: document_referenceEvidenza: procedura project security, criteri classificazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-3 · TISAX ISA6 1.2.3
REQ-ATOM-INC-002-006mediumprocess

In una fase iniziale del progetto deve essere svolta una valutazione dei rischi secondo una procedura definita.

Verifica: Il rischio di sicurezza del progetto è valutato nelle fasi iniziali?

Risposta: yes_noEvidenza: risk assessment progetto, verbale kickoffApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-2-3 · TISAX ISA6 1.2.3
REQ-ATOM-INC-002-007mediumreview

La valutazione dei rischi di progetto deve essere ripetuta in caso di cambiamenti rilevanti.

Verifica: La valutazione dei rischi di progetto viene aggiornata in caso di cambiamenti?

Risposta: yes_noEvidenza: change log progetto, riesame rischio progettoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-3 · TISAX ISA6 1.2.3
REQ-ATOM-INC-002-008mediumprocess

Per i rischi di sicurezza identificati nel progetto devono essere derivate e considerate misure di trattamento.

Verifica: Per i rischi di progetto sono definite misure di trattamento?

Risposta: yes_noEvidenza: piano azioni progetto, risk treatment, misure sicurezzaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-1-2-3 · TISAX ISA6 1.2.3
REQ-ATOM-INC-002-009mediumreview

Le misure di sicurezza derivate dal rischio di progetto devono essere riesaminate regolarmente e rivalutate in caso di cambiamenti dei criteri di valutazione.

Verifica: Le misure di sicurezza del progetto sono riesaminate regolarmente e rivalutate quando cambiano i criteri?

Risposta: yes_noEvidenza: verbali progetto, review misure, risk registerApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-035 · Risk Register · evidenza · OK_EVIDENCE_OR_REGISTERDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-3 · TISAX ISA6 1.2.3
REQ-ATOM-INC-002-010mediumsecure_development

I requisiti di sicurezza delle informazioni per la progettazione e lo sviluppo di sistemi IT devono essere determinati e considerati.

Verifica: I requisiti di sicurezza per progettazione e sviluppo IT sono determinati e considerati?

Risposta: yes_noEvidenza: specifiche requisiti, security requirements, checklist sviluppoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-INC-002-011mediumsecure_development

I requisiti di sicurezza per l’acquisizione o l’estensione di sistemi e componenti IT devono essere determinati e considerati.

Verifica: I requisiti di sicurezza sono definiti per acquisizione o ampliamento di sistemi IT?

Risposta: yes_noEvidenza: capitolati, requisiti acquisto, valutazione fornitoriApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-INC-002-012mediumsecure_development

Le modifiche ai sistemi IT sviluppati devono considerare i requisiti di sicurezza delle informazioni.

Verifica: Le modifiche ai sistemi IT considerano i requisiti di sicurezza?

Risposta: yes_noEvidenza: change request, analisi impatto sicurezza, approvazioniApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-INC-002-013mediumsecure_development

I test di approvazione dei sistemi devono essere svolti tenendo conto dei requisiti di sicurezza.

Verifica: I test di approvazione del sistema includono verifiche di sicurezza?

Risposta: yes_noEvidenza: test report, UAT security, checklist go-liveApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-INC-002-014mediumsecure_development

Le specifiche dei requisiti devono includere requisiti di sicurezza, raccomandazioni del vendor, best practice, linee guida e criteri di fail safe.

Verifica: Le specifiche includono requisiti di sicurezza, raccomandazioni vendor, best practice e fail safe?

Risposta: document_referenceEvidenza: specifiche requisiti, standard sviluppo, guideline hardeningApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-INC-002-015mediumreviewcanonico

Le specifiche dei requisiti devono essere riesaminate rispetto ai requisiti di sicurezza delle informazioni.

REQ-CAN-EXACT-0276EXACT_NORMALIZED_TEXT · High

Le specifiche dei requisiti devono essere riesaminate rispetto ai requisiti di sicurezza delle informazioni.

Verifica: Le specifiche sono riesaminate rispetto ai requisiti di sicurezza?

Risposta: yes_noEvidenza: verbale review, approvazione security requirementsApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-065 · Registro riesame policy · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-INC-002-016mediumsecure_development

Il sistema IT deve essere verificato rispetto alle specifiche prima dell’uso produttivo.

Verifica: Il sistema IT è verificato rispetto alle specifiche prima del go-live?

Risposta: yes_noEvidenza: checklist go-live, test report, approvazione rilascioApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-INC-002-017highdata_protection

L’uso di dati produttivi a fini di test deve essere evitato per quanto possibile o protetto con anonimizzazione, pseudonimizzazione o misure equivalenti.

Verifica: L’uso di dati produttivi in test è evitato o protetto con misure adeguate?

Risposta: yes_noEvidenza: procedura test data, evidenza anonimizzazione, autorizzazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-INC-002-018mediumdata_protection

Per i dati di test devono essere definiti requisiti di ciclo di vita, inclusi cancellazione e tempo massimo di permanenza.

Verifica: Sono definiti requisiti di ciclo di vita per i dati di test?

Risposta: yes_noEvidenza: procedura test data, retention test data, log cancellazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-INC-002-019highsecure_development

La sicurezza del software purpose-built o significativamente personalizzato deve essere testata in commissioning, in caso di modifiche significative o a intervalli regolari.

Verifica: Il software custom o fortemente personalizzato è sottoposto a test di sicurezza nei momenti previsti?

Risposta: yes_noEvidenza: penetration test, security test report, vulnerability assessmentApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
MC-INC-003MA-INC · Incident ManagementHighEventi, incidenti, risposta, notifica, prove, lesson learned.

Pianificazione e preparazione alla gestione degli incidenti

6 controlli framework collegati

  • ISO27001FW-ISO-A-5-24Pianificazione e preparazione alla gestione degli incidenti
  • TISAX_ISA6FW-TISAX-TISAX-1-6-2Gestione degli eventi di sicurezza segnalati
  • TISAX_ISA6FW-TISAX-TISAX-1-6-3Preparazione alla gestione delle crisi
  • TISAX_ISA6FW-TISAX-TISAX-1-6-1Segnalazione eventi o osservazioni di sicurezza
  • NIS2_ESSENZIALEFW-NIS-RS-MA-01Piano di risposta agli incidenti eseguito e coordinato
  • NIS2_ESSENZIALEFW-NIS-ID-IM-04Piani incidenti e cybersecurity migliorati e mantenuti

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 2 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 18 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-011 · Processo di controllo documentaleProcedura · 4 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-014 · Inventario hardwareRegistro · 8 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 3 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-035 · Risk RegisterRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 11 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 74 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-044 · Registro eventi e incidenti di sicurezzaRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 21 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-047 · Business Continuity PlanPiano · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-048 · Disaster Recovery PlanPiano · 7 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-049 · Procedura backup e restoreProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-051 · Piano gestione crisi cyberPiano · 20 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-057 · Registro non conformità e azioni correttiveRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 3 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici74
REQ-ATOM-INC-003-001highincident

L’Organizzazione deve pianificare la gestione degli incidenti relativi alla sicurezza delle informazioni.

Verifica: Esiste una pianificazione per la gestione degli incidenti di sicurezza?

Risposta: document_referenceEvidenza: piano incident response, procedura incidentiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-24 · ISO27001 A.5.24 controllo
REQ-ATOM-INC-003-002highincident

L’Organizzazione deve prepararsi alla gestione degli incidenti definendo processi utilizzabili quando un evento viene gestito come incidente.

Verifica: Sono definiti processi operativi per gestire gli incidenti?

Risposta: document_referenceEvidenza: procedura incidenti, workflow ticketing, playbookApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-24 · ISO27001 A.5.24 controllo
REQ-ATOM-INC-003-003highincident

I ruoli e le responsabilità per la gestione degli incidenti devono essere definiti e stabiliti.

Verifica: I ruoli e le responsabilità di incident management sono assegnati?

Risposta: ownerEvidenza: RACI incidenti, organigramma sicurezza, piano incidentiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-24 · ISO27001 A.5.24 controllo
REQ-ATOM-INC-003-004mediumtraining

I processi, i ruoli e le responsabilità di gestione degli incidenti devono essere comunicati ai soggetti pertinenti.

Verifica: I ruoli e le modalità di gestione degli incidenti sono comunicati ai soggetti pertinenti?

Risposta: yes_noEvidenza: comunicazioni interne, training, presa visione proceduraApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-24 · ISO27001 A.5.24 controllo
REQ-ATOM-INC-003-005highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa.

REQ-CAN-EXACT-0264EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di continuità operativa.

Verifica: Esiste un piano di continuità operativa definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano continuità operativa, registro aggiornamentiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-016 · Registro sistemi informativi e di rete rilevanti · evidenza · OK_EVIDENCE_OR_REGISTERDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1
REQ-ATOM-INC-003-006highcontinuitycanonico

Il piano di continuità operativa deve indicare finalità, esigenze di continuità e ambito di applicazione.

REQ-CAN-EXACT-0186EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare finalità, esigenze di continuità e ambito di applicazione.

Verifica: Il piano di continuità indica finalità, esigenze e ambito?

Risposta: yes_noEvidenza: piano continuità operativaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.a
REQ-ATOM-INC-003-007highcontinuity

Il piano di continuità operativa deve indicare ruoli e responsabilità.

Verifica: Il piano di continuità assegna ruoli e responsabilità?

Risposta: yes_noEvidenza: RACI BCM, piano continuitàApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.b
REQ-ATOM-INC-003-008mediumcontinuity

Il piano di continuità operativa deve includere contatti principali e canali di comunicazione interni ed esterni.

Verifica: Il piano di continuità include contatti e canali di comunicazione interni ed esterni?

Risposta: yes_noEvidenza: rubrica emergenza, piano comunicazioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.c
REQ-ATOM-INC-003-009mediumcontinuitycanonico

Il piano di continuità operativa deve definire le condizioni di attivazione e disattivazione.

REQ-CAN-EXACT-0183EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve definire le condizioni di attivazione e disattivazione.

Verifica: Il piano di continuità definisce quando si attiva e si disattiva?

Risposta: yes_noEvidenza: piano continuità, criteri attivazioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.d
REQ-ATOM-INC-003-010highcontinuitycanonico

Il piano di continuità operativa deve indicare le risorse necessarie, inclusi backup e ridondanze.

REQ-CAN-EXACT-0187EXACT_NORMALIZED_TEXT · High

Il piano di continuità operativa deve indicare le risorse necessarie, inclusi backup e ridondanze.

Verifica: Il piano di continuità indica risorse, backup e ridondanze necessarie?

Risposta: yes_noEvidenza: piano continuità, inventario risorse, piano backupApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-047 · Business Continuity Plan · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 1.e
REQ-ATOM-INC-003-011highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di disaster recovery.

REQ-CAN-EXACT-0265EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di disaster recovery.

Verifica: Esiste un piano di disaster recovery definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano disaster recovery, registro versioniApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-011 · Processo di controllo documentale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2
REQ-ATOM-INC-003-012highcontinuity

Il piano di disaster recovery deve includere finalità, esigenze di ripristino e ambito di applicazione.

Verifica: Il piano di disaster recovery indica finalità, esigenze di ripristino e ambito?

Risposta: yes_noEvidenza: piano DRApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.a
REQ-ATOM-INC-003-013highcontinuity

Il piano di disaster recovery deve indicare ruoli e responsabilità.

Verifica: Il piano DR assegna ruoli e responsabilità?

Risposta: yes_noEvidenza: RACI DR, piano DRApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.b
REQ-ATOM-INC-003-014mediumcontinuity

Il piano di disaster recovery deve includere contatti principali e canali di comunicazione interni ed esterni.

Verifica: Il piano DR include contatti e canali di comunicazione interni ed esterni?

Risposta: yes_noEvidenza: rubrica emergenza, piano DRApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.c
REQ-ATOM-INC-003-015mediumcontinuity

Il piano di disaster recovery deve definire le condizioni di attivazione e disattivazione.

Verifica: Il piano DR definisce condizioni di attivazione e disattivazione?

Risposta: yes_noEvidenza: piano DR, criteri attivazioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.d
REQ-ATOM-INC-003-016highcontinuity

Il piano di disaster recovery deve indicare le risorse necessarie, inclusi backup e ridondanze.

Verifica: Il piano DR indica risorse, backup e ridondanze necessarie?

Risposta: yes_noEvidenza: piano DR, inventario risorse, configurazione backupApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.e
REQ-ATOM-INC-003-017highcontinuitycanonico

Il piano di disaster recovery deve definire l’ordine di ripristino delle operazioni.

REQ-CAN-EXACT-0188EXACT_NORMALIZED_TEXT · High

Il piano di disaster recovery deve definire l ordine di ripristino delle operazioni.

Verifica: Il piano DR definisce l’ordine di ripristino delle operazioni?

Risposta: yes_noEvidenza: runbook DR, priorità servizi, BIAApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.f
REQ-ATOM-INC-003-018highcontinuity

Il piano di disaster recovery deve includere procedure di ripristino specifiche e obiettivi di ripristino.

Verifica: Il piano DR include procedure di ripristino e obiettivi di ripristino?

Risposta: yes_noEvidenza: runbook restore, RTO/RPO, test restoreApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-048 · Disaster Recovery Plan · primario · OK_PRIMARY_PRESENTDOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 2.g
REQ-ATOM-INC-003-019highcontinuitycanonico

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di gestione delle crisi informatiche.

REQ-CAN-EXACT-0266EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti deve essere definito, attuato, aggiornato e documentato un piano di gestione delle crisi informatiche.

Verifica: Esiste un piano di gestione delle crisi informatiche definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano crisi cyberApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-051 · Piano gestione crisi cyber · primario · OK_PRIMARY_PRESENTDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3
REQ-ATOM-INC-003-020highcontinuity

Il piano di crisi informatica deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

Verifica: Il piano crisi definisce ruoli e responsabilità di personale e fornitori?

Risposta: yes_noEvidenza: piano crisi, RACI, elenco fornitori coinvoltiApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3.a
REQ-ATOM-INC-003-021highcontinuity

Il piano di crisi informatica deve definire le modalità di comunicazione tra soggetti e autorità competenti.

Verifica: Il piano crisi definisce le modalità di comunicazione con soggetti e autorità competenti?

Risposta: yes_noEvidenza: piano crisi, contatti autorità, piano comunicazioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 3.b
REQ-ATOM-INC-003-022highgovernance

I piani di continuità, disaster recovery e crisi informatica devono essere approvati dagli organi di amministrazione e direttivi.

Verifica: I piani BCM/DR/crisi sono approvati dagli organi competenti?

Risposta: yes_noEvidenza: verbale approvazione, firma piano, deliberaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 4
REQ-ATOM-INC-003-023mediumreview

I piani di continuità, disaster recovery e crisi informatica devono essere riesaminati e aggiornati almeno ogni due anni e in caso di incidenti significativi o mutamenti del rischio.

Verifica: I piani BCM/DR/crisi sono riesaminati e aggiornati almeno ogni due anni o al variare del rischio?

Risposta: dateEvidenza: registro riesami, versioni piano, verbali reviewApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-048 · Disaster Recovery Plan · di supporto · OK_SUPPORTINGDOC-011 · Processo di controllo documentale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-IM-04 · NIS2 Allegato 2 ID.IM-04 punto 5
REQ-ATOM-INC-003-024highincidentcanonico

Deve essere definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia.

REQ-CAN-EXACT-0077EXACT_NORMALIZED_TEXT · High

Deve essere definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia.

Verifica: Esiste un piano incidenti e notifica CSIRT definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano incidenti, procedura CSIRTApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1
REQ-ATOM-INC-003-025highincidentcanonico

Il piano incidenti deve definire fasi e procedure di gestione e notifica degli incidenti con ruoli e responsabilità.

REQ-CAN-EXACT-0193EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve definire fasi e procedure di gestione e notifica degli incidenti con ruoli e responsabilità.

Verifica: Il piano incidenti contiene fasi, procedure, ruoli e responsabilità?

Risposta: yes_noEvidenza: piano incidenti, RACI, playbookApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.a
REQ-ATOM-INC-003-026highincidentcanonico

Il piano incidenti deve prevedere procedure per predisporre e trasmettere le relazioni previste dal decreto NIS.

REQ-CAN-EXACT-0197EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve prevedere procedure per predisporre e trasmettere le relazioni previste dal decreto NIS.

Verifica: Il piano incidenti prevede la predisposizione e trasmissione delle relazioni previste?

Risposta: yes_noEvidenza: template notifiche, procedura comunicazioni CSIRTApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.b
REQ-ATOM-INC-003-027highincidentcanonico

Il piano incidenti deve includere le informazioni di contatto per la segnalazione degli incidenti.

REQ-CAN-EXACT-0196EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve includere le informazioni di contatto per la segnalazione degli incidenti.

Verifica: Il piano incidenti contiene i contatti per la segnalazione?

Risposta: yes_noEvidenza: rubrica incidenti, contatti CSIRT, contatti interniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.c
REQ-ATOM-INC-003-028highincidentcanonico

Il piano incidenti deve definire modalità di comunicazione interna ed esterna, incluso il coinvolgimento degli organi direttivi.

REQ-CAN-EXACT-0194EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve definire modalità di comunicazione interna ed esterna, incluso il coinvolgimento degli organi direttivi.

Verifica: Il piano incidenti definisce comunicazioni interne, esterne e coinvolgimento degli organi direttivi?

Risposta: yes_noEvidenza: piano comunicazione incidenti, escalation matrixApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.d
REQ-ATOM-INC-003-029mediumevidencecanonico

Il piano incidenti deve definire la reportistica da usare per documentare l’incidente.

REQ-CAN-EXACT-0195EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve definire la reportistica da usare per documentare l’incidente.

Verifica: Il piano incidenti prevede template o report per documentare l’incidente?

Risposta: document_referenceEvidenza: template report incidente, registro incidentiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.e
REQ-ATOM-INC-003-030highgovernancecanonico

Il piano incidenti deve essere approvato dagli organi di amministrazione e direttivi.

REQ-CAN-EXACT-0192EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano incidenti è approvato dagli organi competenti?

Risposta: yes_noEvidenza: verbale approvazione, piano firmatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 2
REQ-ATOM-INC-003-031mediumreviewcanonico

Il piano incidenti deve essere riesaminato e aggiornato almeno ogni due anni, in caso di incidenti significativi, lesson learned o mutamenti del rischio.

REQ-CAN-EXACT-0198EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve essere riesaminato e aggiornato almeno ogni due anni, in caso di incidenti significativi, lesson learned o mutamenti del rischio.

Verifica: Il piano incidenti è riesaminato e aggiornato almeno ogni due anni o quando necessario?

Risposta: dateEvidenza: registro riesame piano, versioni piano, lesson learnedApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-011 · Processo di controllo documentale · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 3
REQ-ATOM-INC-003-032mediumincident

Deve esistere una definizione di evento o osservazione di sicurezza segnalabile, nota a dipendenti e stakeholder rilevanti.

Verifica: Esiste una definizione nota di evento o osservazione di sicurezza segnalabile?

Risposta: document_referenceEvidenza: procedura segnalazione eventi, materiale awarenessApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-004 · Parti interessate e requisiti applicabili · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-033mediumincident

La definizione degli eventi segnalabili deve includere eventi relativi al personale, alla sicurezza fisica, alla sicurezza IT/cyber e a fornitori o partner.

Verifica: La definizione degli eventi segnalabili copre personale, fisico, IT/cyber e fornitori/partner?

Risposta: yes_noEvidenza: procedura incidenti, catalogo eventi, trainingApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-034mediumincident

Devono essere definiti, implementati e resi noti meccanismi adeguati per segnalare eventi di sicurezza.

Verifica: Sono disponibili meccanismi noti per segnalare eventi di sicurezza?

Risposta: yes_noEvidenza: canale segnalazione, ticketing, comunicazione internaApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-035mediumincident

Devono esistere canali adeguati per la comunicazione con chi segnala eventi di sicurezza.

Verifica: Esistono canali adeguati per comunicare con i segnalanti?

Risposta: yes_noEvidenza: mailbox sicurezza, portale segnalazioni, ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-036mediumincident

Deve esistere un punto di contatto comune per la segnalazione degli eventi.

Verifica: Esiste un punto di contatto comune per la segnalazione degli eventi?

Risposta: short_textEvidenza: contatto sicurezza, mailbox, proceduraApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-037mediumincident

Devono essere disponibili canali di segnalazione differenziati in base alla severità, inclusi canali in tempo reale per eventi significativi o emergenze.

Verifica: Sono disponibili canali differenziati per severità, inclusi canali urgenti?

Risposta: yes_noEvidenza: procedura escalation, telefono emergenza, ticketingApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-038mediumtraining

I dipendenti devono essere obbligati e formati a segnalare eventi rilevanti.

Verifica: I dipendenti sono formati e tenuti a segnalare eventi rilevanti?

Risposta: yes_noEvidenza: registro formazione, policy, presa visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-039mediumincident

Le segnalazioni di eventi di sicurezza provenienti da parti esterne devono essere considerate.

Verifica: Le segnalazioni esterne di eventi di sicurezza sono considerate?

Risposta: yes_noEvidenza: canale esterno, registro segnalazioni, proceduraApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-040lowincident

Le informazioni e i meccanismi per segnalare incidenti devono essere accessibili a tutti i segnalanti rilevanti.

Verifica: Le istruzioni per segnalare incidenti sono accessibili ai segnalanti rilevanti?

Risposta: yes_noEvidenza: intranet, procedura pubblicata, pagina segnalazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-041lowincident

Deve essere stabilita una procedura di feedback verso chi segnala eventi di sicurezza.

Verifica: Esiste una procedura di feedback verso i segnalanti?

Risposta: yes_noEvidenza: procedura feedback, ticket, notifiche di statoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-042lowreview

La segnalazione di eventi e osservazioni deve essere testata o esercitata regolarmente.

Verifica: La segnalazione di eventi è testata o esercitata regolarmente?

Risposta: yes_noEvidenza: report esercitazione, test canali, lesson learnedApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-1 · TISAX ISA6 1.6.1
REQ-ATOM-INC-003-043highincidentcanonico

Gli eventi di sicurezza segnalati devono essere processati senza indebito ritardo.

REQ-CAN-EXACT-0121EXACT_NORMALIZED_TEXT · High

Gli eventi di sicurezza segnalati devono essere processati senza indebito ritardo.

Verifica: Gli eventi segnalati sono processati senza indebito ritardo?

Risposta: yes_noEvidenza: ticket, registro eventi, SLA triageApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-044highincidentcanonico

Per gli eventi di sicurezza segnalati deve essere assicurata una reazione adeguata.

REQ-CAN-EXACT-0120EXACT_NORMALIZED_TEXT · High

Per gli eventi di sicurezza segnalati deve essere assicurata una reazione adeguata.

Verifica: Gli eventi segnalati ricevono una reazione adeguata?

Risposta: yes_noEvidenza: ticket, azioni di risposta, report eventoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-045mediumreviewcanonico

Le lesson learned dagli eventi gestiti devono essere incorporate nel miglioramento continuo.

REQ-CAN-EXACT-0146EXACT_NORMALIZED_TEXT · High

Le lesson learned dagli eventi gestiti devono essere incorporate nel miglioramento continuo.

Verifica: Le lesson learned degli eventi sono usate per il miglioramento continuo?

Risposta: yes_noEvidenza: lesson learned, azioni correttive, piano miglioramentoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-057 · Registro non conformità e azioni correttive · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-046mediumincidentcanonico

Durante il trattamento gli eventi devono essere categorizzati per ambito o responsabilità.

REQ-CAN-EXACT-0107EXACT_NORMALIZED_TEXT · High

Durante il trattamento gli eventi devono essere categorizzati per ambito o responsabilità.

Verifica: Gli eventi sono categorizzati durante il trattamento?

Risposta: yes_noEvidenza: registro eventi, categorie ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-047mediumincidentcanonico

Durante il trattamento gli eventi devono essere qualificati distinguendo, ad esempio, evento non rilevante, osservazione, miglioramento, vulnerabilità o incidente.

REQ-CAN-EXACT-0109EXACT_NORMALIZED_TEXT · High

Durante il trattamento gli eventi devono essere qualificati distinguendo, ad esempio, evento non rilevante, osservazione, miglioramento, vulnerabilità o incidente.

Verifica: Gli eventi sono qualificati secondo una tassonomia definita?

Risposta: yes_noEvidenza: schema classificazione eventi, ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-048mediumincidentcanonico

Durante il trattamento gli eventi devono essere prioritizzati in base alla severità.

REQ-CAN-EXACT-0108EXACT_NORMALIZED_TEXT · High

Durante il trattamento gli eventi devono essere prioritizzati in base alla severità.

Verifica: Gli eventi sono prioritizzati in base alla severità?

Risposta: yes_noEvidenza: priorità ticket, matrice severitàApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-049highincidentcanonico

Le responsabilità per la gestione degli eventi devono essere definite e assegnate in base alla categoria.

REQ-CAN-EXACT-0240EXACT_NORMALIZED_TEXT · High

Le responsabilità per la gestione degli eventi devono essere definite e assegnate in base alla categoria.

Verifica: Le responsabilità di gestione evento sono assegnate in base alla categoria?

Risposta: ownerEvidenza: RACI incidenti, assegnazioni ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-050mediumincidentcanonico

La gestione degli eventi deve considerare coordinamento tra categorie, qualifiche e risorse, canali di contatto e gestione delle assenze.

REQ-CAN-EXACT-0128EXACT_NORMALIZED_TEXT · High

La gestione degli eventi deve considerare coordinamento tra categorie, qualifiche e risorse, canali di contatto e gestione delle assenze.

Verifica: La procedura eventi considera coordinamento, risorse, contatti e assenze?

Risposta: yes_noEvidenza: procedura incidenti, RACI, escalation matrixApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-051mediumcompliancecanonico

Deve esistere una strategia per segnalazioni ufficiali e per eventuali azioni relative ad aspetti penalmente rilevanti degli incidenti.

REQ-CAN-EXACT-0118EXACT_NORMALIZED_TEXT · High

Deve esistere una strategia per segnalazioni ufficiali e per eventuali azioni relative ad aspetti penalmente rilevanti degli incidenti.

Verifica: Esiste una strategia per report ufficiali e aspetti penalmente rilevanti?

Risposta: document_referenceEvidenza: procedura escalation legale, contatti autorità, piano incidentiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-052mediumincidentcanonico

Devono essere definiti tempi massimi di risposta in base a classe, categoria e severità.

REQ-CAN-EXACT-0076EXACT_NORMALIZED_TEXT · High

Devono essere definiti tempi massimi di risposta in base a classe, categoria e severità.

Verifica: Sono definiti tempi massimi di risposta per classe, categoria e severità?

Risposta: yes_noEvidenza: SLA incidenti, matrice severità, proceduraApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-053highincidentcanonico

Gli eventi non gestiti in modo appropriato rispetto alla priorità devono essere escalati.

REQ-CAN-EXACT-0119EXACT_NORMALIZED_TEXT · High

Gli eventi non gestiti in modo appropriato rispetto alla priorità devono essere escalati.

Verifica: Gli eventi non gestiti nei tempi o modi previsti vengono escalati?

Risposta: yes_noEvidenza: regole escalation, ticket escalationApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-054highincidentcanonico

Le condizioni, le soglie, i meccanismi, i processi e i contatti di escalation devono essere definiti, inclusi percorsi fino al top management.

REQ-CAN-EXACT-0054EXACT_NORMALIZED_TEXT · High

Le condizioni, le soglie, i meccanismi, i processi e i contatti di escalation devono essere definiti, inclusi percorsi fino al top management.

Verifica: Sono definiti soglie, meccanismi, contatti e percorsi di escalation fino al top management?

Risposta: document_referenceEvidenza: escalation matrix, procedura incidenti, RACIApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-055highcompliancecanonico

Gli obblighi di reporting legali, regolamentari e contrattuali e i relativi contatti devono essere noti.

REQ-CAN-EXACT-0165EXACT_NORMALIZED_TEXT · High

Gli obblighi di reporting legali, regolamentari e contrattuali e i relativi contatti devono essere noti.

Verifica: Gli obblighi di reporting e i relativi contatti sono noti e documentati?

Risposta: document_referenceEvidenza: registro obblighi, contatti autorità/clienti, procedura notificheApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-056mediumincidentcanonico

Deve esistere una strategia di comunicazione per eventi di sicurezza che definisca destinatari, tempi, responsabilità, approvazioni, vincoli, contenuto e canali.

REQ-CAN-EXACT-0116EXACT_NORMALIZED_TEXT · High

Deve esistere una strategia di comunicazione per eventi di sicurezza che definisca destinatari, tempi, responsabilità, approvazioni, vincoli, contenuto e canali.

Verifica: Esiste una strategia di comunicazione per eventi di sicurezza con destinatari, tempi, responsabilità e canali?

Risposta: document_referenceEvidenza: piano comunicazione incidenti, template comunicazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-057mediumsuppliercanonico

Devono essere stabilite procedure di risposta agli incidenti di sicurezza dei fornitori, includendo analisi dell’impatto e necessità di reporting.

REQ-CAN-EXACT-0279EXACT_NORMALIZED_TEXT · High

Devono essere stabilite procedure di risposta agli incidenti di sicurezza dei fornitori, includendo analisi dell’impatto e necessità di reporting.

Verifica: Esistono procedure per rispondere agli incidenti di sicurezza dei fornitori?

Risposta: document_referenceEvidenza: procedura incidenti fornitori, registro fornitori, piano comunicazioniApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-058mediumreviewcanonico

La gestione di eventi con categorie e priorità differenti deve essere testata regolarmente, incluse simulazioni di casi rari e meccanismi di escalation.

REQ-CAN-EXACT-0127EXACT_NORMALIZED_TEXT · High

La gestione di eventi con categorie e priorità differenti deve essere testata regolarmente, incluse simulazioni di casi rari e meccanismi di escalation.

Verifica: La gestione di eventi e priorità differenti è testata regolarmente?

Risposta: yes_noEvidenza: report esercitazione incidenti, tabletop, lesson learnedApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-059mediumevidencecanonico

Devono essere stabiliti meccanismi standard per segnalare e tracciare gli eventi di sicurezza rilevanti.

REQ-CAN-EXACT-0280EXACT_NORMALIZED_TEXT · High

Devono essere stabiliti meccanismi standard per segnalare e tracciare gli eventi di sicurezza rilevanti.

Verifica: Esistono meccanismi standard per segnalare e tracciare eventi di sicurezza?

Risposta: yes_noEvidenza: ticketing, registro eventi, workflow incidentiApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-003-060highcontinuity

Deve esistere una pianificazione adeguata per reagire alle crisi e ripristinare le attività.

Verifica: Esiste una pianificazione per reagire e recuperare da crisi?

Risposta: document_referenceEvidenza: piano crisi, piano BCM/DRApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-061highcontinuitycanonico

Le risorse necessarie alla gestione delle crisi devono essere disponibili.

REQ-CAN-EXACT-0245EXACT_NORMALIZED_TEXT · High

Le risorse necessarie alla gestione della crisi devono essere disponibili.

Verifica: Le risorse necessarie per la crisi sono identificate e disponibili?

Risposta: yes_noEvidenza: piano crisi, inventario risorse, contatti emergenzaApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-051 · Piano gestione crisi cyber · primario · OK_PRIMARY_PRESENTDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-062highcontinuitycanonico

Responsabilità e autorità per la gestione della crisi devono essere definite, documentate e assegnate.

REQ-CAN-EXACT-0239EXACT_NORMALIZED_TEXT · High

Responsabilità e autorità per la gestione della crisi devono essere definite, documentate e assegnate.

Verifica: Responsabilità e autorità di crisi sono definite, documentate e assegnate?

Risposta: ownerEvidenza: RACI crisi, piano crisi, nomineApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-063mediumtraining

Le persone responsabili della gestione della crisi devono essere definite e qualificate per il proprio compito.

Verifica: Le persone responsabili della crisi sono definite e qualificate?

Risposta: yes_noEvidenza: elenco team crisi, formazione, qualificheApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-064mediummonitoring

Devono essere stabiliti metodi per rilevare situazioni di crisi o crisi imminenti.

Verifica: Sono definiti metodi per rilevare situazioni di crisi o crisi imminenti?

Risposta: yes_noEvidenza: criteri crisi, procedure escalation, monitoraggioApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-065highcontinuity

Deve esistere una procedura per invocare o escalare la gestione della crisi.

Verifica: Esiste una procedura per attivare o escalare la gestione della crisi?

Risposta: document_referenceEvidenza: procedura attivazione crisi, escalation matrixApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-066mediumgovernance

Gli obiettivi strategici e la loro priorità in situazioni di crisi devono essere definiti e noti al personale rilevante.

Verifica: Gli obiettivi e le priorità in crisi sono definiti e noti?

Risposta: yes_noEvidenza: piano crisi, comunicazioni interne, trainingApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-067highcontinuity

Deve essere definito e approvato un team di gestione della crisi con composizione, ruoli, competenze, autorità e procedure decisionali.

Verifica: Il team di crisi è definito e approvato con ruoli, competenze, autorità e procedure decisionali?

Risposta: document_referenceEvidenza: piano crisi, nomina team crisi, RACIApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-068highcontinuity

Devono essere definite e approvate politiche e procedure di crisi, incluse autorità eccezionali, comunicazioni, procedure operative, strutture e strumenti.

Verifica: Sono definite e approvate politiche e procedure operative di crisi?

Risposta: document_referenceEvidenza: piano crisi, procedure emergenza, template comunicazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-069mediumreview

La pianificazione di crisi deve essere riesaminata e aggiornata regolarmente.

Verifica: La pianificazione di crisi è riesaminata e aggiornata regolarmente?

Risposta: dateEvidenza: registro riesame crisi, versioni piano crisiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-011 · Processo di controllo documentale · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-070mediumcontinuity

Devono essere identificati scenari di crisi rilevanti, inclusa indisponibilità di personale, risorse fisiche o infrastrutture chiave.

Verifica: Sono identificati scenari di crisi rilevanti?

Risposta: yes_noEvidenza: analisi scenari crisi, BIA, risk assessmentApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-071mediumcontinuity

Devono essere identificate informazioni e risorse necessarie per gestire la crisi, inclusi contatti e rischi rilevanti per diversi scenari.

Verifica: Sono identificate risorse e informazioni necessarie per diversi scenari di crisi?

Risposta: yes_noEvidenza: rubrica emergenza, piano crisi, risk registerApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-035 · Risk Register · evidenza · OK_EVIDENCE_OR_REGISTERDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-072mediumcontinuity

Deve esistere una strategia di comunicazione per la crisi che definisca destinatari, tempi, responsabilità, approvazioni, vincoli, contenuti, canali e monitoraggio.

Verifica: Esiste una strategia di comunicazione di crisi completa?

Risposta: document_referenceEvidenza: piano comunicazione crisi, template statementApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-073mediumreview

L’efficienza, fattibilità e adeguatezza della pianificazione di crisi devono essere valutate regolarmente.

Verifica: L’efficienza e adeguatezza del piano crisi sono valutate regolarmente?

Risposta: yes_noEvidenza: report valutazione, verbali crisi, audit pianoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
REQ-ATOM-INC-003-074mediumreview

Devono essere svolti test, esercitazioni o simulazioni di crisi con le persone rilevanti e i decisori.

Verifica: Sono svolti test o simulazioni di crisi con persone rilevanti e decisori?

Risposta: yes_noEvidenza: report tabletop, esercitazione crisi, lesson learnedApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-3 · TISAX ISA6 1.6.3
MC-INC-004MA-INC · Incident ManagementHighEventi, incidenti, risposta, notifica, prove, lesson learned.

Valutazione e decisione sugli eventi di sicurezza delle informazioni

2 controlli framework collegati

  • ISO27001FW-ISO-A-5-25Valutazione e decisione sugli eventi di sicurezza delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-1-6-2Gestione degli eventi di sicurezza segnalati

Documenti pianificati

  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 18 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 18 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-044 · Registro eventi e incidenti di sicurezzaRegistro · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-057 · Registro non conformità e azioni correttiveRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici19
REQ-ATOM-INC-004-001highincident

Gli eventi relativi alla sicurezza delle informazioni devono essere valutati.

Verifica: Gli eventi di sicurezza sono valutati prima della loro classificazione?

Risposta: yes_noEvidenza: registro eventi, ticket di triage, analisi eventoApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-25 · ISO27001 A.5.25 controllo
REQ-ATOM-INC-004-002highincident

Per ogni evento valutato deve essere deciso se classificarlo come incidente di sicurezza delle informazioni.

Verifica: Per ogni evento valutato viene registrata la decisione di classificazione come incidente o non incidente?

Risposta: yes_noEvidenza: registro eventi, ticket, decisione di classificazioneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-25 · ISO27001 A.5.25 controllo
REQ-ATOM-INC-004-003highincidentcanonico

Gli eventi di sicurezza segnalati devono essere processati senza indebito ritardo.

REQ-CAN-EXACT-0121EXACT_NORMALIZED_TEXT · High

Gli eventi di sicurezza segnalati devono essere processati senza indebito ritardo.

Verifica: Gli eventi segnalati sono processati senza indebito ritardo?

Risposta: yes_noEvidenza: ticket, registro eventi, SLA triageApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-004highincidentcanonico

Per gli eventi di sicurezza segnalati deve essere assicurata una reazione adeguata.

REQ-CAN-EXACT-0120EXACT_NORMALIZED_TEXT · High

Per gli eventi di sicurezza segnalati deve essere assicurata una reazione adeguata.

Verifica: Gli eventi segnalati ricevono una reazione adeguata?

Risposta: yes_noEvidenza: ticket, azioni di risposta, report eventoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-005mediumreviewcanonico

Le lesson learned dagli eventi gestiti devono essere incorporate nel miglioramento continuo.

REQ-CAN-EXACT-0146EXACT_NORMALIZED_TEXT · High

Le lesson learned dagli eventi gestiti devono essere incorporate nel miglioramento continuo.

Verifica: Le lesson learned degli eventi sono usate per il miglioramento continuo?

Risposta: yes_noEvidenza: lesson learned, azioni correttive, piano miglioramentoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-057 · Registro non conformità e azioni correttive · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-006mediumincidentcanonico

Durante il trattamento gli eventi devono essere categorizzati per ambito o responsabilità.

REQ-CAN-EXACT-0107EXACT_NORMALIZED_TEXT · High

Durante il trattamento gli eventi devono essere categorizzati per ambito o responsabilità.

Verifica: Gli eventi sono categorizzati durante il trattamento?

Risposta: yes_noEvidenza: registro eventi, categorie ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-007mediumincidentcanonico

Durante il trattamento gli eventi devono essere qualificati distinguendo, ad esempio, evento non rilevante, osservazione, miglioramento, vulnerabilità o incidente.

REQ-CAN-EXACT-0109EXACT_NORMALIZED_TEXT · High

Durante il trattamento gli eventi devono essere qualificati distinguendo, ad esempio, evento non rilevante, osservazione, miglioramento, vulnerabilità o incidente.

Verifica: Gli eventi sono qualificati secondo una tassonomia definita?

Risposta: yes_noEvidenza: schema classificazione eventi, ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-008mediumincidentcanonico

Durante il trattamento gli eventi devono essere prioritizzati in base alla severità.

REQ-CAN-EXACT-0108EXACT_NORMALIZED_TEXT · High

Durante il trattamento gli eventi devono essere prioritizzati in base alla severità.

Verifica: Gli eventi sono prioritizzati in base alla severità?

Risposta: yes_noEvidenza: priorità ticket, matrice severitàApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-009highincidentcanonico

Le responsabilità per la gestione degli eventi devono essere definite e assegnate in base alla categoria.

REQ-CAN-EXACT-0240EXACT_NORMALIZED_TEXT · High

Le responsabilità per la gestione degli eventi devono essere definite e assegnate in base alla categoria.

Verifica: Le responsabilità di gestione evento sono assegnate in base alla categoria?

Risposta: ownerEvidenza: RACI incidenti, assegnazioni ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-010mediumincidentcanonico

La gestione degli eventi deve considerare coordinamento tra categorie, qualifiche e risorse, canali di contatto e gestione delle assenze.

REQ-CAN-EXACT-0128EXACT_NORMALIZED_TEXT · High

La gestione degli eventi deve considerare coordinamento tra categorie, qualifiche e risorse, canali di contatto e gestione delle assenze.

Verifica: La procedura eventi considera coordinamento, risorse, contatti e assenze?

Risposta: yes_noEvidenza: procedura incidenti, RACI, escalation matrixApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-011mediumcompliancecanonico

Deve esistere una strategia per segnalazioni ufficiali e per eventuali azioni relative ad aspetti penalmente rilevanti degli incidenti.

REQ-CAN-EXACT-0118EXACT_NORMALIZED_TEXT · High

Deve esistere una strategia per segnalazioni ufficiali e per eventuali azioni relative ad aspetti penalmente rilevanti degli incidenti.

Verifica: Esiste una strategia per report ufficiali e aspetti penalmente rilevanti?

Risposta: document_referenceEvidenza: procedura escalation legale, contatti autorità, piano incidentiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-012mediumincidentcanonico

Devono essere definiti tempi massimi di risposta in base a classe, categoria e severità.

REQ-CAN-EXACT-0076EXACT_NORMALIZED_TEXT · High

Devono essere definiti tempi massimi di risposta in base a classe, categoria e severità.

Verifica: Sono definiti tempi massimi di risposta per classe, categoria e severità?

Risposta: yes_noEvidenza: SLA incidenti, matrice severità, proceduraApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-013highincidentcanonico

Gli eventi non gestiti in modo appropriato rispetto alla priorità devono essere escalati.

REQ-CAN-EXACT-0119EXACT_NORMALIZED_TEXT · High

Gli eventi non gestiti in modo appropriato rispetto alla priorità devono essere escalati.

Verifica: Gli eventi non gestiti nei tempi o modi previsti vengono escalati?

Risposta: yes_noEvidenza: regole escalation, ticket escalationApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-014highincidentcanonico

Le condizioni, le soglie, i meccanismi, i processi e i contatti di escalation devono essere definiti, inclusi percorsi fino al top management.

REQ-CAN-EXACT-0054EXACT_NORMALIZED_TEXT · High

Le condizioni, le soglie, i meccanismi, i processi e i contatti di escalation devono essere definiti, inclusi percorsi fino al top management.

Verifica: Sono definiti soglie, meccanismi, contatti e percorsi di escalation fino al top management?

Risposta: document_referenceEvidenza: escalation matrix, procedura incidenti, RACIApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-015highcompliancecanonico

Gli obblighi di reporting legali, regolamentari e contrattuali e i relativi contatti devono essere noti.

REQ-CAN-EXACT-0165EXACT_NORMALIZED_TEXT · High

Gli obblighi di reporting legali, regolamentari e contrattuali e i relativi contatti devono essere noti.

Verifica: Gli obblighi di reporting e i relativi contatti sono noti e documentati?

Risposta: document_referenceEvidenza: registro obblighi, contatti autorità/clienti, procedura notificheApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-016mediumincidentcanonico

Deve esistere una strategia di comunicazione per eventi di sicurezza che definisca destinatari, tempi, responsabilità, approvazioni, vincoli, contenuto e canali.

REQ-CAN-EXACT-0116EXACT_NORMALIZED_TEXT · High

Deve esistere una strategia di comunicazione per eventi di sicurezza che definisca destinatari, tempi, responsabilità, approvazioni, vincoli, contenuto e canali.

Verifica: Esiste una strategia di comunicazione per eventi di sicurezza con destinatari, tempi, responsabilità e canali?

Risposta: document_referenceEvidenza: piano comunicazione incidenti, template comunicazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-017mediumsuppliercanonico

Devono essere stabilite procedure di risposta agli incidenti di sicurezza dei fornitori, includendo analisi dell’impatto e necessità di reporting.

REQ-CAN-EXACT-0279EXACT_NORMALIZED_TEXT · High

Devono essere stabilite procedure di risposta agli incidenti di sicurezza dei fornitori, includendo analisi dell’impatto e necessità di reporting.

Verifica: Esistono procedure per rispondere agli incidenti di sicurezza dei fornitori?

Risposta: document_referenceEvidenza: procedura incidenti fornitori, registro fornitori, piano comunicazioniApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-018mediumreviewcanonico

La gestione di eventi con categorie e priorità differenti deve essere testata regolarmente, incluse simulazioni di casi rari e meccanismi di escalation.

REQ-CAN-EXACT-0127EXACT_NORMALIZED_TEXT · High

La gestione di eventi con categorie e priorità differenti deve essere testata regolarmente, incluse simulazioni di casi rari e meccanismi di escalation.

Verifica: La gestione di eventi e priorità differenti è testata regolarmente?

Risposta: yes_noEvidenza: report esercitazione incidenti, tabletop, lesson learnedApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-004-019mediumevidencecanonico

Devono essere stabiliti meccanismi standard per segnalare e tracciare gli eventi di sicurezza rilevanti.

REQ-CAN-EXACT-0280EXACT_NORMALIZED_TEXT · High

Devono essere stabiliti meccanismi standard per segnalare e tracciare gli eventi di sicurezza rilevanti.

Verifica: Esistono meccanismi standard per segnalare e tracciare eventi di sicurezza?

Risposta: yes_noEvidenza: ticketing, registro eventi, workflow incidentiApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
MC-INC-005MA-INC · Incident ManagementHighEventi, incidenti, risposta, notifica, prove, lesson learned.

Risposta agli incidenti di sicurezza delle informazioni

7 controlli framework collegati

  • ISO27001FW-ISO-A-5-26Risposta agli incidenti di sicurezza delle informazioni
  • TISAX_ISA6FW-TISAX-TISAX-1-6-2Gestione degli eventi di sicurezza segnalati
  • TISAX_ISA6FW-TISAX-TISAX-9-6-2Incidenti data protection gestiti
  • NIS2_ESSENZIALEFW-NIS-RS-MA-01Piano di risposta agli incidenti eseguito e coordinato
  • NIS2_ESSENZIALEFW-NIS-RS-CO-02Stakeholder interni ed esterni informati sugli incidenti
  • NIS2_ESSENZIALEFW-NIS-RC-CO-03Avanzamento del ripristino comunicato
  • NIS2_ESSENZIALEFW-NIS-RC-RP-01Parte di ripristino del piano incidenti eseguita

Documenti pianificati

  • DOC-004 · Parti interessate e requisiti applicabiliRegistro / documento · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 3 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 9 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 15 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 40 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-044 · Registro eventi e incidenti di sicurezzaRegistro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 15 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-049 · Procedura backup e restoreProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-051 · Piano gestione crisi cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-057 · Registro non conformità e azioni correttiveRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-067 · Registro trattamenti GDPR art. 30Registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici40
REQ-ATOM-INC-005-001highincident

Gli incidenti relativi alla sicurezza delle informazioni devono essere gestiti e risolti secondo procedure documentate.

Verifica: Gli incidenti sono risolti secondo una procedura documentata?

Risposta: yes_noEvidenza: procedura incidenti, ticket, report incidenteApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-5-26 · ISO27001 A.5.26 controllo
REQ-ATOM-INC-005-002highevidence

Le attività di risposta agli incidenti devono essere tracciabili rispetto alla procedura applicata.

Verifica: Le attività svolte durante la risposta all’incidente sono tracciate?

Risposta: yes_noEvidenza: ticket, timeline incidente, report attività, logApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-26 · ISO27001 A.5.26 controllo
REQ-ATOM-INC-005-003mediumcontinuity

Devono essere adottate e documentate procedure per comunicare alle parti interne interessate le attività di ripristino successive a un incidente.

Verifica: Sono definite procedure per comunicare internamente le attività di ripristino post-incidente?

Risposta: document_referenceEvidenza: procedura comunicazione ripristino, piano incidentiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RC-CO-03 · NIS2 Allegato 2 RC.CO-03 punto 1
REQ-ATOM-INC-005-004mediumcontinuity

Le comunicazioni sul ripristino devono includere le articolazioni interne competenti.

Verifica: Le parti interne competenti sono incluse nelle comunicazioni sul ripristino?

Risposta: yes_noEvidenza: lista stakeholder interni, comunicazioni, verbali di crisiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-004 · Parti interessate e requisiti applicabili · di supporto · OK_SUPPORTINGDOC-051 · Piano gestione crisi cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RC-CO-03 · NIS2 Allegato 2 RC.CO-03 punto 1
REQ-ATOM-INC-005-005highcontinuity

Nel piano incidenti devono essere adottate e documentate procedure di ripristino a seguito di incidenti di sicurezza informatica.

Verifica: Il piano incidenti include procedure documentate di ripristino?

Risposta: document_referenceEvidenza: procedura ripristino, piano incidenti, runbookApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RC-RP-01 · NIS2 Allegato 2 RC.RP-01 punto 1
REQ-ATOM-INC-005-006highcontinuity

Le procedure di ripristino devono coprire almeno il ritorno al normale funzionamento dei sistemi informativi e di rete coinvolti dall’incidente.

Verifica: Le procedure di ripristino coprono il ritorno al normale funzionamento dei sistemi coinvolti?

Risposta: yes_noEvidenza: runbook ripristino, report restore, ticket incidenteApplicabilità: nis2_essenziale_onlyAutomazione: backup_system
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-049 · Procedura backup e restore · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RC-RP-01 · NIS2 Allegato 2 RC.RP-01 punto 1
REQ-ATOM-INC-005-007highincident

Devono essere documentate e adottate procedure per comunicare senza ingiustificato ritardo ai destinatari dei servizi gli incidenti significativi che possono impattare negativamente la fornitura dei servizi.

Verifica: Sono definite procedure per comunicare ai destinatari dei servizi gli incidenti significativi rilevanti?

Risposta: document_referenceEvidenza: procedura comunicazione incidenti, template comunicazioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-CO-02 · NIS2 Allegato 2 RS.CO-02 punto 1.a
REQ-ATOM-INC-005-008highincident

Devono essere documentate e adottate procedure per comunicare ai destinatari potenzialmente interessati da una minaccia significativa le misure o azioni correttive o di mitigazione adottabili e la natura della minaccia.

Verifica: Sono definite procedure per comunicare minacce significative e misure di mitigazione ai destinatari interessati?

Risposta: document_referenceEvidenza: template comunicazione minacce, procedura comunicazione esternaApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-057 · Registro non conformità e azioni correttive · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-CO-02 · NIS2 Allegato 2 RS.CO-02 punto 1.b
REQ-ATOM-INC-005-009mediumcompliance

Devono essere documentate e adottate procedure per informare il pubblico sugli incidenti quando richiesto dall’autorità competente.

Verifica: Esiste una procedura per informare il pubblico sugli incidenti quando richiesto dall’autorità?

Risposta: document_referenceEvidenza: procedura comunicazione pubblica, piano crisi, template statementApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-CO-02 · NIS2 Allegato 2 RS.CO-02 punto 2
REQ-ATOM-INC-005-010highincidentcanonico

Deve essere definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia.

REQ-CAN-EXACT-0077EXACT_NORMALIZED_TEXT · High

Deve essere definito, attuato, aggiornato e documentato un piano per la gestione degli incidenti di sicurezza informatica e la notifica al CSIRT Italia.

Verifica: Esiste un piano incidenti e notifica CSIRT definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano incidenti, procedura CSIRTApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1
REQ-ATOM-INC-005-011highincidentcanonico

Il piano incidenti deve definire fasi e procedure di gestione e notifica degli incidenti con ruoli e responsabilità.

REQ-CAN-EXACT-0193EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve definire fasi e procedure di gestione e notifica degli incidenti con ruoli e responsabilità.

Verifica: Il piano incidenti contiene fasi, procedure, ruoli e responsabilità?

Risposta: yes_noEvidenza: piano incidenti, RACI, playbookApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.a
REQ-ATOM-INC-005-012highincidentcanonico

Il piano incidenti deve prevedere procedure per predisporre e trasmettere le relazioni previste dal decreto NIS.

REQ-CAN-EXACT-0197EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve prevedere procedure per predisporre e trasmettere le relazioni previste dal decreto NIS.

Verifica: Il piano incidenti prevede la predisposizione e trasmissione delle relazioni previste?

Risposta: yes_noEvidenza: template notifiche, procedura comunicazioni CSIRTApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.b
REQ-ATOM-INC-005-013highincidentcanonico

Il piano incidenti deve includere le informazioni di contatto per la segnalazione degli incidenti.

REQ-CAN-EXACT-0196EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve includere le informazioni di contatto per la segnalazione degli incidenti.

Verifica: Il piano incidenti contiene i contatti per la segnalazione?

Risposta: yes_noEvidenza: rubrica incidenti, contatti CSIRT, contatti interniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.c
REQ-ATOM-INC-005-014highincidentcanonico

Il piano incidenti deve definire modalità di comunicazione interna ed esterna, incluso il coinvolgimento degli organi direttivi.

REQ-CAN-EXACT-0194EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve definire modalità di comunicazione interna ed esterna, incluso il coinvolgimento degli organi direttivi.

Verifica: Il piano incidenti definisce comunicazioni interne, esterne e coinvolgimento degli organi direttivi?

Risposta: yes_noEvidenza: piano comunicazione incidenti, escalation matrixApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.d
REQ-ATOM-INC-005-015mediumevidencecanonico

Il piano incidenti deve definire la reportistica da usare per documentare l’incidente.

REQ-CAN-EXACT-0195EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve definire la reportistica da usare per documentare l’incidente.

Verifica: Il piano incidenti prevede template o report per documentare l’incidente?

Risposta: document_referenceEvidenza: template report incidente, registro incidentiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 1.e
REQ-ATOM-INC-005-016highgovernancecanonico

Il piano incidenti deve essere approvato dagli organi di amministrazione e direttivi.

REQ-CAN-EXACT-0192EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano incidenti è approvato dagli organi competenti?

Risposta: yes_noEvidenza: verbale approvazione, piano firmatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 2
REQ-ATOM-INC-005-017mediumreviewcanonico

Il piano incidenti deve essere riesaminato e aggiornato almeno ogni due anni, in caso di incidenti significativi, lesson learned o mutamenti del rischio.

REQ-CAN-EXACT-0198EXACT_NORMALIZED_TEXT · High

Il piano incidenti deve essere riesaminato e aggiornato almeno ogni due anni, in caso di incidenti significativi, lesson learned o mutamenti del rischio.

Verifica: Il piano incidenti è riesaminato e aggiornato almeno ogni due anni o quando necessario?

Risposta: dateEvidenza: registro riesame piano, versioni piano, lesson learnedApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-011 · Processo di controllo documentale · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-RS-MA-01 · NIS2 Allegato 2 RS.MA-01 punto 3
REQ-ATOM-INC-005-018highincidentcanonico

Gli eventi di sicurezza segnalati devono essere processati senza indebito ritardo.

REQ-CAN-EXACT-0121EXACT_NORMALIZED_TEXT · High

Gli eventi di sicurezza segnalati devono essere processati senza indebito ritardo.

Verifica: Gli eventi segnalati sono processati senza indebito ritardo?

Risposta: yes_noEvidenza: ticket, registro eventi, SLA triageApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-019highincidentcanonico

Per gli eventi di sicurezza segnalati deve essere assicurata una reazione adeguata.

REQ-CAN-EXACT-0120EXACT_NORMALIZED_TEXT · High

Per gli eventi di sicurezza segnalati deve essere assicurata una reazione adeguata.

Verifica: Gli eventi segnalati ricevono una reazione adeguata?

Risposta: yes_noEvidenza: ticket, azioni di risposta, report eventoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-020mediumreviewcanonico

Le lesson learned dagli eventi gestiti devono essere incorporate nel miglioramento continuo.

REQ-CAN-EXACT-0146EXACT_NORMALIZED_TEXT · High

Le lesson learned dagli eventi gestiti devono essere incorporate nel miglioramento continuo.

Verifica: Le lesson learned degli eventi sono usate per il miglioramento continuo?

Risposta: yes_noEvidenza: lesson learned, azioni correttive, piano miglioramentoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-057 · Registro non conformità e azioni correttive · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-021mediumincidentcanonico

Durante il trattamento gli eventi devono essere categorizzati per ambito o responsabilità.

REQ-CAN-EXACT-0107EXACT_NORMALIZED_TEXT · High

Durante il trattamento gli eventi devono essere categorizzati per ambito o responsabilità.

Verifica: Gli eventi sono categorizzati durante il trattamento?

Risposta: yes_noEvidenza: registro eventi, categorie ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-022mediumincidentcanonico

Durante il trattamento gli eventi devono essere qualificati distinguendo, ad esempio, evento non rilevante, osservazione, miglioramento, vulnerabilità o incidente.

REQ-CAN-EXACT-0109EXACT_NORMALIZED_TEXT · High

Durante il trattamento gli eventi devono essere qualificati distinguendo, ad esempio, evento non rilevante, osservazione, miglioramento, vulnerabilità o incidente.

Verifica: Gli eventi sono qualificati secondo una tassonomia definita?

Risposta: yes_noEvidenza: schema classificazione eventi, ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-023mediumincidentcanonico

Durante il trattamento gli eventi devono essere prioritizzati in base alla severità.

REQ-CAN-EXACT-0108EXACT_NORMALIZED_TEXT · High

Durante il trattamento gli eventi devono essere prioritizzati in base alla severità.

Verifica: Gli eventi sono prioritizzati in base alla severità?

Risposta: yes_noEvidenza: priorità ticket, matrice severitàApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-024highincidentcanonico

Le responsabilità per la gestione degli eventi devono essere definite e assegnate in base alla categoria.

REQ-CAN-EXACT-0240EXACT_NORMALIZED_TEXT · High

Le responsabilità per la gestione degli eventi devono essere definite e assegnate in base alla categoria.

Verifica: Le responsabilità di gestione evento sono assegnate in base alla categoria?

Risposta: ownerEvidenza: RACI incidenti, assegnazioni ticketApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-025mediumincidentcanonico

La gestione degli eventi deve considerare coordinamento tra categorie, qualifiche e risorse, canali di contatto e gestione delle assenze.

REQ-CAN-EXACT-0128EXACT_NORMALIZED_TEXT · High

La gestione degli eventi deve considerare coordinamento tra categorie, qualifiche e risorse, canali di contatto e gestione delle assenze.

Verifica: La procedura eventi considera coordinamento, risorse, contatti e assenze?

Risposta: yes_noEvidenza: procedura incidenti, RACI, escalation matrixApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-026mediumcompliancecanonico

Deve esistere una strategia per segnalazioni ufficiali e per eventuali azioni relative ad aspetti penalmente rilevanti degli incidenti.

REQ-CAN-EXACT-0118EXACT_NORMALIZED_TEXT · High

Deve esistere una strategia per segnalazioni ufficiali e per eventuali azioni relative ad aspetti penalmente rilevanti degli incidenti.

Verifica: Esiste una strategia per report ufficiali e aspetti penalmente rilevanti?

Risposta: document_referenceEvidenza: procedura escalation legale, contatti autorità, piano incidentiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-027mediumincidentcanonico

Devono essere definiti tempi massimi di risposta in base a classe, categoria e severità.

REQ-CAN-EXACT-0076EXACT_NORMALIZED_TEXT · High

Devono essere definiti tempi massimi di risposta in base a classe, categoria e severità.

Verifica: Sono definiti tempi massimi di risposta per classe, categoria e severità?

Risposta: yes_noEvidenza: SLA incidenti, matrice severità, proceduraApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-028highincidentcanonico

Gli eventi non gestiti in modo appropriato rispetto alla priorità devono essere escalati.

REQ-CAN-EXACT-0119EXACT_NORMALIZED_TEXT · High

Gli eventi non gestiti in modo appropriato rispetto alla priorità devono essere escalati.

Verifica: Gli eventi non gestiti nei tempi o modi previsti vengono escalati?

Risposta: yes_noEvidenza: regole escalation, ticket escalationApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-029highincidentcanonico

Le condizioni, le soglie, i meccanismi, i processi e i contatti di escalation devono essere definiti, inclusi percorsi fino al top management.

REQ-CAN-EXACT-0054EXACT_NORMALIZED_TEXT · High

Le condizioni, le soglie, i meccanismi, i processi e i contatti di escalation devono essere definiti, inclusi percorsi fino al top management.

Verifica: Sono definiti soglie, meccanismi, contatti e percorsi di escalation fino al top management?

Risposta: document_referenceEvidenza: escalation matrix, procedura incidenti, RACIApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-030highcompliancecanonico

Gli obblighi di reporting legali, regolamentari e contrattuali e i relativi contatti devono essere noti.

REQ-CAN-EXACT-0165EXACT_NORMALIZED_TEXT · High

Gli obblighi di reporting legali, regolamentari e contrattuali e i relativi contatti devono essere noti.

Verifica: Gli obblighi di reporting e i relativi contatti sono noti e documentati?

Risposta: document_referenceEvidenza: registro obblighi, contatti autorità/clienti, procedura notificheApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-031mediumincidentcanonico

Deve esistere una strategia di comunicazione per eventi di sicurezza che definisca destinatari, tempi, responsabilità, approvazioni, vincoli, contenuto e canali.

REQ-CAN-EXACT-0116EXACT_NORMALIZED_TEXT · High

Deve esistere una strategia di comunicazione per eventi di sicurezza che definisca destinatari, tempi, responsabilità, approvazioni, vincoli, contenuto e canali.

Verifica: Esiste una strategia di comunicazione per eventi di sicurezza con destinatari, tempi, responsabilità e canali?

Risposta: document_referenceEvidenza: piano comunicazione incidenti, template comunicazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-032mediumsuppliercanonico

Devono essere stabilite procedure di risposta agli incidenti di sicurezza dei fornitori, includendo analisi dell’impatto e necessità di reporting.

REQ-CAN-EXACT-0279EXACT_NORMALIZED_TEXT · High

Devono essere stabilite procedure di risposta agli incidenti di sicurezza dei fornitori, includendo analisi dell’impatto e necessità di reporting.

Verifica: Esistono procedure per rispondere agli incidenti di sicurezza dei fornitori?

Risposta: document_referenceEvidenza: procedura incidenti fornitori, registro fornitori, piano comunicazioniApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-033mediumreviewcanonico

La gestione di eventi con categorie e priorità differenti deve essere testata regolarmente, incluse simulazioni di casi rari e meccanismi di escalation.

REQ-CAN-EXACT-0127EXACT_NORMALIZED_TEXT · High

La gestione di eventi con categorie e priorità differenti deve essere testata regolarmente, incluse simulazioni di casi rari e meccanismi di escalation.

Verifica: La gestione di eventi e priorità differenti è testata regolarmente?

Risposta: yes_noEvidenza: report esercitazione incidenti, tabletop, lesson learnedApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-034mediumevidencecanonico

Devono essere stabiliti meccanismi standard per segnalare e tracciare gli eventi di sicurezza rilevanti.

REQ-CAN-EXACT-0280EXACT_NORMALIZED_TEXT · High

Devono essere stabiliti meccanismi standard per segnalare e tracciare gli eventi di sicurezza rilevanti.

Verifica: Esistono meccanismi standard per segnalare e tracciare eventi di sicurezza?

Risposta: yes_noEvidenza: ticketing, registro eventi, workflow incidentiApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-6-2 · TISAX ISA6 1.6.2
REQ-ATOM-INC-005-035highdata_protection

Gli incidenti di protezione dei dati personali devono essere gestiti tempestivamente.

Verifica: Gli incidenti data protection sono gestiti tempestivamente?

Risposta: yes_noEvidenza: registro data breach, ticket privacy, report incidenteApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2
REQ-ATOM-INC-005-036highdata_protection

I requisiti di gestione eventi e incidenti di sicurezza devono includere anche gli incidenti di protezione dei dati o, in alternativa, deve esistere un piano di emergenza dedicato.

Verifica: Gli incidenti data protection sono coperti dal processo incidenti o da un piano dedicato?

Risposta: document_referenceEvidenza: procedura data breach, piano incidenti, piano emergenza privacyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2
REQ-ATOM-INC-005-037highdata_protection

Devono essere stabilite e documentate procedure per notificare immediatamente il responsabile competente quando il suo ambito è coinvolto.

Verifica: Le procedure prevedono la notifica immediata al responsabile competente?

Risposta: yes_noEvidenza: procedura data breach, registro notifiche interneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2
REQ-ATOM-INC-005-038highevidencecanonico

Le attività di gestione degli incidenti data protection devono essere documentate.

REQ-CAN-EXACT-0037EXACT_NORMALIZED_TEXT · High

Le attività di gestione degli incidenti data protection devono essere documentate.

Verifica: Le attività di gestione degli incidenti data protection sono documentate?

Risposta: yes_noEvidenza: registro data breach, report incidente, timeline attivitàApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2
REQ-ATOM-INC-005-039mediumtraining

I dipendenti devono essere formati sulle misure e sui processi definiti per gli incidenti data protection.

Verifica: I dipendenti sono formati sui processi di gestione degli incidenti data protection?

Risposta: yes_noEvidenza: registro formazione privacy, materiale trainingApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2
REQ-ATOM-INC-005-040mediumdata_protection

Il controller competente deve essere supportato nella gestione degli incidenti data protection.

Verifica: Il controller competente riceve supporto nella gestione degli incidenti data protection?

Risposta: yes_noEvidenza: procedura privacy, registro supporto, comunicazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-6-2 · TISAX ISA6 9.6.2
MC-INC-006MA-INC · Incident ManagementHighEventi, incidenti, risposta, notifica, prove, lesson learned.

Apprendimento dagli incidenti di sicurezza delle informazioni

1 controlli framework collegati

  • ISO27001FW-ISO-A-5-27Apprendimento dagli incidenti di sicurezza delle informazioni

Documenti pianificati

  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-057 · Registro non conformità e azioni correttiveRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici2
REQ-ATOM-INC-006-001mediumreview

Le conoscenze acquisite dagli incidenti di sicurezza devono essere raccolte come lesson learned.

Verifica: Le lesson learned degli incidenti sono raccolte e documentate?

Risposta: yes_noEvidenza: template lesson learned, report incidente, verbale post-incident reviewApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-27 · ISO27001 A.5.27 controllo
REQ-ATOM-INC-006-002mediumreview

Le lesson learned dagli incidenti devono essere usate per rafforzare e migliorare i controlli di sicurezza delle informazioni.

Verifica: Le lesson learned producono azioni di miglioramento sui controlli di sicurezza?

Risposta: yes_noEvidenza: azioni correttive, piano miglioramento, ticket, aggiornamento procedureApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-057 · Registro non conformità e azioni correttive · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-27 · ISO27001 A.5.27 controllo
MC-INC-007MA-INC · Incident ManagementHighEventi, incidenti, risposta, notifica, prove, lesson learned.

Raccolta delle prove

1 controlli framework collegati

  • ISO27001FW-ISO-A-5-28Raccolta delle prove

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 4 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
Requirement atomici4
REQ-ATOM-INC-007-001mediumevidence

Devono essere stabilite procedure per identificare le prove relative agli eventi di sicurezza delle informazioni.

Verifica: Sono definite modalità per identificare le prove relative agli eventi di sicurezza?

Risposta: document_referenceEvidenza: procedura raccolta prove, piano incidenti, registro evidenzeApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-28 · ISO27001 A.5.28 controllo
REQ-ATOM-INC-007-002mediumevidence

Devono essere attuate procedure per raccogliere le prove relative agli eventi di sicurezza delle informazioni.

Verifica: Le prove relative agli eventi di sicurezza vengono raccolte secondo procedura?

Risposta: yes_noEvidenza: registro evidenze, ticket, export log, screenshotApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-28 · ISO27001 A.5.28 controllo
REQ-ATOM-INC-007-003mediumevidence

Devono essere definite modalità per acquisire le prove in modo controllato.

Verifica: L’acquisizione delle prove avviene con modalità controllate e tracciabili?

Risposta: yes_noEvidenza: chain of custody, export forense, verbale acquisizioneApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-061 · Indice evidenze auditabili · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-5-28 · ISO27001 A.5.28 controllo
REQ-ATOM-INC-007-004mediumevidence

Devono essere definite modalità per conservare le prove relative agli eventi di sicurezza delle informazioni.

Verifica: Le prove sono conservate in modo protetto e rintracciabile?

Risposta: yes_noEvidenza: repository evidenze, registro conservazione, permessi repositoryApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-061 · Indice evidenze auditabili · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-28 · ISO27001 A.5.28 controllo
MC-NET-001MA-NET · Network & CommunicationsMediumReti, servizi di rete, segmentazione, filtro web e protezione comunicazioni.

Sicurezza delle reti

6 controlli framework collegati

  • ISO27001FW-ISO-A-8-20Sicurezza delle reti
  • TISAX_ISA6FW-TISAX-TISAX-5-1-2Informazioni protette durante il trasferimento
  • TISAX_ISA6FW-TISAX-TISAX-5-2-7Gestione rete organizzativa
  • TISAX_ISA6FW-TISAX-TISAX-5-3-2Requisiti per servizi di rete definiti
  • NIS2_ESSENZIALEFW-NIS-ID-AM-03Rappresentazioni delle comunicazioni di rete e dei flussi dati mantenute
  • NIS2_ESSENZIALEFW-NIS-PR-IR-01Reti e ambienti protetti da accessi e usi non autorizzati

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 9 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-013 · Procedura gestione assetProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 12 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-018 · Matrice flussi di rete e comunicazioni esterneMatrice · 2 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 9 requirement · primario, di supporto, evidenza · OK_PRIMARY_PRESENT, OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-027 · Procedura recertificazione accessiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 4 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 10 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 8 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici34
REQ-ATOM-NET-001-001hightechnical_control

Le reti devono essere protette per preservare le informazioni nei sistemi e nelle applicazioni.

Verifica: Le reti sono protette con controlli adeguati?

Risposta: yes_noEvidenza: configurazioni firewall, diagrammi rete, regole sicurezzaApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-20 · ISO27001 A.8.20 controllo
REQ-ATOM-NET-001-002hightechnical_control

I dispositivi di rete devono essere protetti per ridurre accessi o modifiche non autorizzate.

Verifica: I dispositivi di rete sono protetti da accessi o modifiche non autorizzate?

Risposta: yes_noEvidenza: configurazioni switch/router/firewall, access list, hardeningApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-20 · ISO27001 A.8.20 controllo
REQ-ATOM-NET-001-003mediumprocess

Le reti e i dispositivi di rete devono essere gestiti in modo controllato.

Verifica: La gestione delle reti e dei dispositivi di rete è controllata?

Risposta: yes_noEvidenza: procedura rete, change ticket, inventory networkApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-20 · ISO27001 A.8.20 controllo
REQ-ATOM-NET-001-004mediummonitoring

Le reti e i dispositivi di rete devono essere monitorati o controllati per proteggere le informazioni trattate dai sistemi e dalle applicazioni.

Verifica: Le reti e i dispositivi di rete sono controllati o monitorati ai fini di sicurezza?

Risposta: yes_noEvidenza: log firewall, monitoraggio rete, SIEM, report alertApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-20 · ISO27001 A.8.20 controllo
REQ-ATOM-NET-001-005mediumasset_management

Deve essere mantenuto un inventario aggiornato dei flussi di rete tra i sistemi informativi e di rete e l’esterno.

Verifica: Esiste un inventario aggiornato dei flussi di rete verso l’esterno?

Risposta: document_referenceEvidenza: matrice flussi rete, diagrammi rete, CMDBApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-03 · NIS2 Allegato 2 ID.AM-03 punto 1
REQ-ATOM-NET-001-006mediumgovernance

I flussi di rete censiti devono essere approvati da attori interni competenti.

Verifica: I flussi di rete censiti sono approvati da attori interni competenti?

Risposta: yes_noEvidenza: approvazioni flussi, change ticket, matrice autorizzazioniApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-03 · NIS2 Allegato 2 ID.AM-03 punto 1
REQ-ATOM-NET-001-007highaccess_controlcanonico

Per i sistemi informativi e di rete rilevanti devono essere definite e documentate le attività consentite da remoto.

REQ-CAN-EXACT-0263EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere definite e documentate le attività consentite da remoto.

Verifica: Le attività consentite da remoto sono definite e documentate?

Risposta: document_referenceEvidenza: procedura accesso remoto, elenco sistemi remotiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 1
REQ-ATOM-NET-001-008hightechnical_controlcanonico

Per le attività consentite da remoto devono essere implementate misure di sicurezza adeguate.

REQ-CAN-EXACT-0036EXACT_NORMALIZED_TEXT · High

Per le attività consentite da remoto devono essere implementate misure di sicurezza adeguate.

Verifica: Gli accessi remoti sono protetti con misure di sicurezza adeguate?

Risposta: yes_noEvidenza: configurazione VPN/MFA, policy accesso remoto, log accessiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 1
REQ-ATOM-NET-001-009highasset_managementcanonico

Deve essere mantenuto un elenco aggiornato dei sistemi informativi e di rete accessibili da remoto con le relative modalità di accesso.

REQ-CAN-EXACT-0151EXACT_NORMALIZED_TEXT · High

Deve essere mantenuto un elenco aggiornato dei sistemi informativi e di rete accessibili da remoto con le relative modalità di accesso.

Verifica: Esiste un elenco aggiornato dei sistemi accessibili da remoto e delle modalità di accesso?

Risposta: document_referenceEvidenza: registro sistemi accessibili da remoto, CMDB, inventarioApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 2
REQ-ATOM-NET-001-010hightechnical_controlcanonico

I sistemi perimetrali, quali firewall, devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato.

REQ-CAN-EXACT-0270EXACT_NORMALIZED_TEXT · High

I sistemi perimetrali, quali firewall, devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato.

Verifica: I sistemi perimetrali sono presenti, aggiornati, mantenuti e configurati adeguatamente?

Risposta: yes_noEvidenza: configurazioni firewall, versioni firmware, change log, report manutenzioneApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-011 · Processo di controllo documentale · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 3
REQ-ATOM-NET-001-011mediumprocesscanonico

Devono essere adottate e documentate procedure relative all’elenco dei sistemi accessibili da remoto e alla gestione dei sistemi perimetrali.

REQ-CAN-EXACT-0013EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative all’elenco dei sistemi accessibili da remoto e alla gestione dei sistemi perimetrali.

Verifica: Esistono procedure documentate per sistemi accessibili da remoto e sistemi perimetrali?

Risposta: document_referenceEvidenza: procedura accesso remoto, procedura firewall/perimetroApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 4
REQ-ATOM-NET-001-012mediumasset_managementcanonico

I servizi di rete usati per trasferire informazioni devono essere identificati e documentati.

REQ-CAN-EXACT-0257EXACT_NORMALIZED_TEXT · High

I servizi di rete usati per trasferire informazioni devono essere identificati e documentati.

Verifica: I servizi di rete usati per trasferire informazioni sono identificati e documentati?

Risposta: document_referenceEvidenza: matrice flussi, catalogo servizi rete, diagrammiApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-NET-001-013mediumprocess

Devono essere definite e attuate politiche e procedure per l’uso dei servizi di rete coerenti con i requisiti di classificazione.

Verifica: Esistono politiche e procedure per usare i servizi di rete in base alla classificazione?

Risposta: document_referenceEvidenza: procedura trasferimento informazioni, policy classificazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-NET-001-014hightechnical_controlcanonico

Devono essere implementate misure per proteggere i contenuti trasferiti da accessi non autorizzati.

REQ-CAN-EXACT-0137EXACT_NORMALIZED_TEXT · High

Devono essere implementate misure per proteggere i contenuti trasferiti da accessi non autorizzati.

Verifica: I contenuti trasferiti sono protetti da accessi non autorizzati?

Risposta: yes_noEvidenza: configurazioni cifratura, policy DLP, regole accessoApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-NET-001-015mediumtechnical_control

Devono essere implementate misure per assicurare corretto indirizzamento e corretto trasferimento delle informazioni.

Verifica: Sono implementate misure per garantire corretto indirizzamento e trasferimento?

Risposta: yes_noEvidenza: procedure invio, controlli indirizzamento, log trasferimentiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-NET-001-016highdata_protection

Lo scambio elettronico di dati deve usare cifratura del contenuto o del trasporto secondo la classificazione applicabile.

Verifica: Lo scambio elettronico usa cifratura adeguata alla classificazione?

Risposta: yes_noEvidenza: configurazioni TLS/VPN, policy cifratura, test sicurezzaApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-NET-001-017highaccess_control

Le connessioni di accesso remoto devono essere verificate per assicurare adeguate funzioni di sicurezza, inclusi cifratura, concessione e cessazione dell’accesso.

Verifica: Le connessioni remote sono verificate per cifratura, concessione e cessazione accesso?

Risposta: yes_noEvidenza: configurazione VPN, log accessi, review accessi remotiApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-027 · Procedura recertificazione accessi · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-1-2 · TISAX ISA6 5.1.2
REQ-ATOM-NET-001-018hightechnical_control

I requisiti per la gestione e il controllo delle reti devono essere determinati e soddisfatti.

Verifica: Sono determinati e soddisfatti i requisiti per gestione e controllo delle reti?

Risposta: yes_noEvidenza: requisiti rete, standard network security, evidenze configurazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-019hightechnical_control

I requisiti di segmentazione della rete devono essere determinati e soddisfatti.

Verifica: Sono determinati e soddisfatti i requisiti di segmentazione rete?

Risposta: yes_noEvidenza: diagrammi segmentazione, VLAN, firewall policyApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-020mediumprocess

Devono essere definite procedure per la gestione e il controllo delle reti.

Verifica: Esistono procedure per gestione e controllo delle reti?

Risposta: document_referenceEvidenza: procedura network management, standard firewall/routerApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-021mediumtechnical_control

La segmentazione di rete basata sul rischio deve considerare limitazioni alla connessione dei sistemi IT alla rete.

Verifica: La segmentazione considera limitazioni alla connessione dei sistemi IT?

Risposta: yes_noEvidenza: policy NAC, regole accesso rete, CMDBApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-022mediumtechnical_control

La segmentazione di rete basata sul rischio deve considerare l’uso di tecnologie di sicurezza e requisiti di performance, fiducia, disponibilità, sicurezza e safety.

Verifica: La segmentazione considera tecnologie di sicurezza e requisiti tecnici/operativi?

Risposta: yes_noEvidenza: architettura rete, firewall/IDS/IPS, analisi rischioApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-023hightechnical_control

La segmentazione deve limitare l’impatto di sistemi compromessi e supportare il rilevamento di attacchi o movimento laterale.

Verifica: La segmentazione limita impatti e supporta il rilevamento di attacchi o movimento laterale?

Risposta: yes_noEvidenza: diagrammi rete, regole firewall, alert SIEM/IDSApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-018 · Matrice flussi di rete e comunicazioni esterne · primario · OK_PRIMARY_PRESENTDOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-024mediumtechnical_control

Devono essere separate reti con finalità operative diverse, come sviluppo/test, ufficio e produzione/manufacturing.

Verifica: Le reti con finalità operative diverse sono separate?

Risposta: yes_noEvidenza: VLAN, diagrammi rete, policy firewallApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-025hightechnical_control

La gestione della rete deve considerare il rischio aumentato dei servizi di rete accessibili da internet.

Verifica: I servizi di rete esposti a internet sono gestiti considerando il rischio aumentato?

Risposta: yes_noEvidenza: inventario esposizioni, firewall policy, vulnerability scanApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-026mediumsupplier

Devono essere considerate opzioni di separazione tecnologica per servizi IT esterni e separazione adeguata tra reti proprie e reti clienti.

Verifica: La rete considera separazione per servizi esterni e reti clienti?

Risposta: yes_noEvidenza: diagrammi rete, requisiti cliente, architettura cloud/esterniApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-027mediumdata_protection

La gestione della rete deve includere requisiti per rilevare e prevenire perdita o fuoriuscita di dati.

Verifica: La rete include controlli per rilevare e prevenire data loss o leakage?

Risposta: yes_noEvidenza: DLP, firewall, proxy, log trafficoApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-028highaccess_control

Devono essere determinati e implementati requisiti estesi per autenticazione dei sistemi sulla rete e restrizione degli accessi alle interfacce di management.

Verifica: Sono implementati requisiti per autenticazione sistemi e restrizione accesso alle interfacce di management?

Risposta: yes_noEvidenza: configurazioni NAC, accessi management, ACL amministrativeApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-029mediumtechnical_control

La gestione della rete deve considerare rischi specifici come wireless e accesso remoto.

Verifica: Sono considerati rischi specifici come wireless e accesso remoto?

Risposta: yes_noEvidenza: policy Wi-Fi, VPN, analisi rischio accesso remotoApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-7 · TISAX ISA6 5.2.7
REQ-ATOM-NET-001-030mediumtechnical_controlcanonico

I requisiti relativi alla sicurezza delle informazioni dei servizi di rete devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0231EXACT_NORMALIZED_TEXT · High

I requisiti relativi alla sicurezza delle informazioni dei servizi di rete devono essere determinati e soddisfatti.

Verifica: Sono determinati e soddisfatti i requisiti di sicurezza dei servizi di rete?

Risposta: yes_noEvidenza: requisiti servizi rete, configurazioni, SLAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
REQ-ATOM-NET-001-031mediumprocesscanonico

Deve essere definita e implementata una procedura per rendere sicuro e usare correttamente i servizi di rete.

REQ-CAN-EXACT-0064EXACT_NORMALIZED_TEXT · High

Deve essere definita e implementata una procedura per rendere sicuro e usare correttamente i servizi di rete.

Verifica: Esiste una procedura definita e implementata per sicurezza e uso dei servizi di rete?

Risposta: document_referenceEvidenza: procedura servizi rete, standard configurazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
REQ-ATOM-NET-001-032mediumprocesscanonico

I requisiti dei servizi di rete devono essere concordati sotto forma di SLA.

REQ-CAN-EXACT-0233EXACT_NORMALIZED_TEXT · High

I requisiti dei servizi di rete devono essere concordati sotto forma di SLA.

Verifica: I requisiti dei servizi di rete sono formalizzati in SLA?

Risposta: document_referenceEvidenza: SLA, catalogo servizi, contrattiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
REQ-ATOM-NET-001-033mediumcontinuitycanonico

Devono essere implementate soluzioni di ridondanza adeguate per i servizi di rete.

REQ-CAN-EXACT-0139EXACT_NORMALIZED_TEXT · High

Devono essere implementate soluzioni di ridondanza adeguate per i servizi di rete.

Verifica: Sono implementate soluzioni di ridondanza adeguate per i servizi di rete?

Risposta: yes_noEvidenza: architettura rete, configurazione ridondanza, test failoverApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
REQ-ATOM-NET-001-034mediummonitoringcanonico

Devono essere definite ed eseguite procedure per monitorare la qualità del traffico di rete, come analisi dei flussi e misurazioni di disponibilità.

REQ-CAN-EXACT-0068EXACT_NORMALIZED_TEXT · High

Devono essere definite ed eseguite procedure per monitorare la qualità del traffico di rete, come analisi dei flussi e misurazioni di disponibilità.

Verifica: Sono monitorati qualità traffico, flussi e disponibilità dei servizi di rete?

Risposta: yes_noEvidenza: monitoring rete, report disponibilità, analisi flussiApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-018 · Matrice flussi di rete e comunicazioni esterne · primario · OK_PRIMARY_PRESENTDOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
MC-NET-002MA-NET · Network & CommunicationsMediumReti, servizi di rete, segmentazione, filtro web e protezione comunicazioni.

Sicurezza dei servizi di rete

3 controlli framework collegati

  • ISO27001FW-ISO-A-8-21Sicurezza dei servizi di rete
  • TISAX_ISA6FW-TISAX-TISAX-5-3-2Requisiti per servizi di rete definiti
  • NIS2_ESSENZIALEFW-NIS-PR-IR-01Reti e ambienti protetti da accessi e usi non autorizzati

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-007 · Obiettivi di sicurezza e KPIDocumento / registro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 5 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-018 · Matrice flussi di rete e comunicazioni esterneMatrice · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 4 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici14
REQ-ATOM-NET-002-001mediumtechnical_control

I meccanismi di sicurezza dei servizi di rete devono essere identificati.

Verifica: Sono identificati i meccanismi di sicurezza richiesti per i servizi di rete?

Risposta: yes_noEvidenza: catalogo servizi rete, standard sicurezza, SLAApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-21 · ISO27001 A.8.21 controllo
REQ-ATOM-NET-002-002mediumprocess

I livelli di servizio dei servizi di rete devono essere identificati.

Verifica: Sono identificati i livelli di servizio applicabili ai servizi di rete?

Risposta: yes_noEvidenza: SLA, contratto, catalogo servizi reteApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-21 · ISO27001 A.8.21 controllo
REQ-ATOM-NET-002-003mediumprocess

I requisiti dei servizi di rete devono essere identificati e attuati.

Verifica: I requisiti dei servizi di rete sono definiti e attuati?

Risposta: yes_noEvidenza: requisiti servizio, configurazioni, procedure reteApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-21 · ISO27001 A.8.21 controllo
REQ-ATOM-NET-002-004mediummonitoring

I meccanismi di sicurezza, i livelli di servizio e i requisiti dei servizi di rete devono essere monitorati.

Verifica: I servizi di rete sono monitorati rispetto ai requisiti e ai livelli di servizio definiti?

Risposta: yes_noEvidenza: report monitoraggio rete, KPI SLA, alertingApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-007 · Obiettivi di sicurezza e KPI · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-21 · ISO27001 A.8.21 controllo
REQ-ATOM-NET-002-005highaccess_controlcanonico

Per i sistemi informativi e di rete rilevanti devono essere definite e documentate le attività consentite da remoto.

REQ-CAN-EXACT-0263EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere definite e documentate le attività consentite da remoto.

Verifica: Le attività consentite da remoto sono definite e documentate?

Risposta: document_referenceEvidenza: procedura accesso remoto, elenco sistemi remotiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTERDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 1
REQ-ATOM-NET-002-006hightechnical_controlcanonico

Per le attività consentite da remoto devono essere implementate misure di sicurezza adeguate.

REQ-CAN-EXACT-0036EXACT_NORMALIZED_TEXT · High

Per le attività consentite da remoto devono essere implementate misure di sicurezza adeguate.

Verifica: Gli accessi remoti sono protetti con misure di sicurezza adeguate?

Risposta: yes_noEvidenza: configurazione VPN/MFA, policy accesso remoto, log accessiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 1
REQ-ATOM-NET-002-007highasset_managementcanonico

Deve essere mantenuto un elenco aggiornato dei sistemi informativi e di rete accessibili da remoto con le relative modalità di accesso.

REQ-CAN-EXACT-0151EXACT_NORMALIZED_TEXT · High

Deve essere mantenuto un elenco aggiornato dei sistemi informativi e di rete accessibili da remoto con le relative modalità di accesso.

Verifica: Esiste un elenco aggiornato dei sistemi accessibili da remoto e delle modalità di accesso?

Risposta: document_referenceEvidenza: registro sistemi accessibili da remoto, CMDB, inventarioApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 2
REQ-ATOM-NET-002-008hightechnical_controlcanonico

I sistemi perimetrali, quali firewall, devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato.

REQ-CAN-EXACT-0270EXACT_NORMALIZED_TEXT · High

I sistemi perimetrali, quali firewall, devono essere presenti, aggiornati, mantenuti e configurati in modo adeguato.

Verifica: I sistemi perimetrali sono presenti, aggiornati, mantenuti e configurati adeguatamente?

Risposta: yes_noEvidenza: configurazioni firewall, versioni firmware, change log, report manutenzioneApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-011 · Processo di controllo documentale · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 3
REQ-ATOM-NET-002-009mediumprocesscanonico

Devono essere adottate e documentate procedure relative all’elenco dei sistemi accessibili da remoto e alla gestione dei sistemi perimetrali.

REQ-CAN-EXACT-0013EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative all’elenco dei sistemi accessibili da remoto e alla gestione dei sistemi perimetrali.

Verifica: Esistono procedure documentate per sistemi accessibili da remoto e sistemi perimetrali?

Risposta: document_referenceEvidenza: procedura accesso remoto, procedura firewall/perimetroApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTERDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-IR-01 · NIS2 Allegato 2 PR.IR-01 punto 4
REQ-ATOM-NET-002-010mediumtechnical_controlcanonico

I requisiti relativi alla sicurezza delle informazioni dei servizi di rete devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0231EXACT_NORMALIZED_TEXT · High

I requisiti relativi alla sicurezza delle informazioni dei servizi di rete devono essere determinati e soddisfatti.

Verifica: Sono determinati e soddisfatti i requisiti di sicurezza dei servizi di rete?

Risposta: yes_noEvidenza: requisiti servizi rete, configurazioni, SLAApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
REQ-ATOM-NET-002-011mediumprocesscanonico

Deve essere definita e implementata una procedura per rendere sicuro e usare correttamente i servizi di rete.

REQ-CAN-EXACT-0064EXACT_NORMALIZED_TEXT · High

Deve essere definita e implementata una procedura per rendere sicuro e usare correttamente i servizi di rete.

Verifica: Esiste una procedura definita e implementata per sicurezza e uso dei servizi di rete?

Risposta: document_referenceEvidenza: procedura servizi rete, standard configurazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
REQ-ATOM-NET-002-012mediumprocesscanonico

I requisiti dei servizi di rete devono essere concordati sotto forma di SLA.

REQ-CAN-EXACT-0233EXACT_NORMALIZED_TEXT · High

I requisiti dei servizi di rete devono essere concordati sotto forma di SLA.

Verifica: I requisiti dei servizi di rete sono formalizzati in SLA?

Risposta: document_referenceEvidenza: SLA, catalogo servizi, contrattiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
REQ-ATOM-NET-002-013mediumcontinuitycanonico

Devono essere implementate soluzioni di ridondanza adeguate per i servizi di rete.

REQ-CAN-EXACT-0139EXACT_NORMALIZED_TEXT · High

Devono essere implementate soluzioni di ridondanza adeguate per i servizi di rete.

Verifica: Sono implementate soluzioni di ridondanza adeguate per i servizi di rete?

Risposta: yes_noEvidenza: architettura rete, configurazione ridondanza, test failoverApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
REQ-ATOM-NET-002-014mediummonitoringcanonico

Devono essere definite ed eseguite procedure per monitorare la qualità del traffico di rete, come analisi dei flussi e misurazioni di disponibilità.

REQ-CAN-EXACT-0068EXACT_NORMALIZED_TEXT · High

Devono essere definite ed eseguite procedure per monitorare la qualità del traffico di rete, come analisi dei flussi e misurazioni di disponibilità.

Verifica: Sono monitorati qualità traffico, flussi e disponibilità dei servizi di rete?

Risposta: yes_noEvidenza: monitoring rete, report disponibilità, analisi flussiApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-018 · Matrice flussi di rete e comunicazioni esterne · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-3-2 · TISAX ISA6 5.3.2
MC-NET-003MA-NET · Network & CommunicationsMediumReti, servizi di rete, segmentazione, filtro web e protezione comunicazioni.

Segregazione delle reti

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-22Segregazione delle reti

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-018 · Matrice flussi di rete e comunicazioni esterneMatrice · 2 requirement · primario · OK_PRIMARY_PRESENT · review Low
Requirement atomici3
REQ-ATOM-NET-003-001mediumtechnical_control

I gruppi di servizi informativi devono essere segregati nelle reti dell’Organizzazione.

Verifica: I gruppi di servizi informativi sono segregati a livello di rete?

Risposta: yes_noEvidenza: diagramma rete, VLAN, regole firewall, matrice segmentazioneApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-018 · Matrice flussi di rete e comunicazioni esterne · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-22 · ISO27001 A.8.22 controllo
REQ-ATOM-NET-003-002mediumaccess_control

I gruppi di utenti devono essere segregati nelle reti dell’Organizzazione quando necessario.

Verifica: I gruppi di utenti sono separati a livello di accesso o segmento di rete?

Risposta: yes_noEvidenza: gruppi accesso, VLAN, ACL, regole firewallApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-018 · Matrice flussi di rete e comunicazioni esterne · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-22 · ISO27001 A.8.22 controllo
REQ-ATOM-NET-003-003mediumtechnical_control

I gruppi di sistemi informativi devono essere segregati nelle reti dell’Organizzazione.

Verifica: I sistemi informativi con funzioni o rischi diversi sono segregati nella rete?

Risposta: yes_noEvidenza: segmentazione rete, diagrammi, firewall policyApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-8-22 · ISO27001 A.8.22 controllo
MC-NET-004MA-NET · Network & CommunicationsMediumReti, servizi di rete, segmentazione, filtro web e protezione comunicazioni.

Filtro web

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-23Filtro web

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-NET-004-001mediumtechnical_control

L’accesso a siti web esterni deve essere gestito.

Verifica: L’accesso a siti web esterni è gestito tramite regole o controlli dedicati?

Risposta: yes_noEvidenza: policy web filtering, configurazione proxy/DNS/filteringApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-8-23 · ISO27001 A.8.23 controllo
REQ-ATOM-NET-004-002mediumtechnical_control

Il filtro web deve ridurre l’esposizione a contenuti dannosi.

Verifica: Il filtro web riduce l’esposizione a contenuti malevoli o non sicuri?

Risposta: yes_noEvidenza: configurazione web filter, report blocchi, categorie filtrateApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-040 · Procedura hardening e configurazione sicura · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-8-23 · ISO27001 A.8.23 controllo
REQ-ATOM-NET-004-003lowprocess

Le regole di filtro web devono essere coerenti con il rischio e con le esigenze operative dell’Organizzazione.

Verifica: Le regole di web filtering sono definite e mantenute in modo coerente con rischio ed esigenze operative?

Risposta: yes_noEvidenza: policy navigazione, richieste eccezione, change log configurazioniApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-23 · ISO27001 A.8.23 controllo
MC-OPS-001MA-OPS · OperationsHighProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Dispositivi endpoint degli utenti

4 controlli framework collegati

  • ISO27001FW-ISO-A-8-1Dispositivi endpoint degli utenti
  • TISAX_ISA6FW-TISAX-TISAX-3-1-4Gestione dispositivi IT mobili e supporti dati mobili
  • TISAX_ISA6FW-TISAX-TISAX-8-2-7Uso dispositivi video/foto mobili in aree sicure
  • NIS2_ESSENZIALEFW-NIS-DE-CM-09Monitoraggio di endpoint, runtime e malware implementato

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 11 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-013 · Procedura gestione assetProcedura · 4 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-014 · Inventario hardwareRegistro · 15 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici17
REQ-ATOM-OPS001-001hightechnical_controlcanonico

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

REQ-CAN-EXACT-0063EXACT_NORMALIZED_TEXT · High

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Risposta: yes_noEvidenza: policy endpoint, configurazioni MDM/EDR, baseline endpoint, screenshot configurazioniApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-1 · ISO27001 A.8.1
REQ-ATOM-OPS001-002highprocesscanonico

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

REQ-CAN-EXACT-0100EXACT_NORMALIZED_TEXT · High

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

Verifica: I dispositivi endpoint degli utenti sono gestiti secondo regole di sicurezza formalizzate?

Risposta: yes_noEvidenza: procedura endpoint, inventario dispositivi, criteri MDM/IntuneApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-1 · ISO27001 A.8.1
REQ-ATOM-OPS001-003highevidencecanonico

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

REQ-CAN-EXACT-0055EXACT_NORMALIZED_TEXT · High

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

Risposta: file_attachmentEvidenza: export MDM/EDR, inventario asset, screenshot policy endpointApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-1 · ISO27001 A.8.1
REQ-ATOM-OPS001-004mediumtechnical_controlcanonico

Devono essere presenti sistemi di protezione degli endpoint per rilevare codice malevolo, salvo motivate ragioni normative o tecniche.

REQ-CAN-EXACT-0208EXACT_NORMALIZED_TEXT · High

Devono essere presenti sistemi di protezione degli endpoint per rilevare codice malevolo, salvo motivate ragioni normative o tecniche.

Verifica: Sono presenti sistemi di protezione endpoint per rilevare codice malevolo?

Risposta: yes_noEvidenza: console EDR/antivirus, policy endpoint, report copertura endpointApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-09 · NIS2 Allegato 2 DE.CM-09
REQ-ATOM-OPS001-005mediumtechnical_controlcanonico

I sistemi di protezione degli endpoint devono essere aggiornati, mantenuti e configurati in modo adeguato.

REQ-CAN-EXACT-0271EXACT_NORMALIZED_TEXT · High

I sistemi di protezione degli endpoint devono essere aggiornati, mantenuti e configurati in modo adeguato.

Verifica: I sistemi di protezione endpoint sono aggiornati, mantenuti e configurati adeguatamente?

Risposta: yes_noEvidenza: report aggiornamento EDR/antivirus, configurazioni policy, dashboard salute agentApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-09 · NIS2 Allegato 2 DE.CM-09
REQ-ATOM-OPS001-006mediumprocesscanonico

Devono essere adottate e documentate procedure relative alla protezione endpoint e al rilevamento del malware.

REQ-CAN-EXACT-0014EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative alla protezione endpoint e al rilevamento del malware.

Verifica: Sono documentate procedure per la protezione endpoint e il rilevamento malware?

Risposta: document_referenceEvidenza: procedura endpoint security, procedura hardening, policy antimalwareApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-09 · NIS2 Allegato 2 DE.CM-09
REQ-ATOM-OPS001-007hightechnical_control

L'Organizzazione deve determinare e soddisfare i requisiti per dispositivi IT mobili e supporti dati mobili.

Verifica: Sono determinati e applicati i requisiti per dispositivi IT mobili e supporti dati mobili?

Risposta: yes_noEvidenza: procedura dispositivi mobili, policy MDM, registro supportiApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-OPS001-008highdata_protection

I dispositivi IT mobili e i supporti dati mobili devono essere cifrati ove richiesto dal bisogno di protezione.

Verifica: I dispositivi mobili e i supporti dati mobili sono cifrati quando richiesto?

Risposta: yes_noEvidenza: report cifratura MDM, policy BitLocker/FileVault, eccezioni documentateApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-OPS001-009highaccess_control

I dispositivi IT mobili e i supporti dati mobili devono essere protetti da meccanismi di accesso come PIN o password.

Verifica: I dispositivi mobili e i supporti dati mobili hanno protezione di accesso adeguata?

Risposta: yes_noEvidenza: policy PIN/password MDM, configurazioni dispositiviApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-OPS001-010highasset_management

I dispositivi IT mobili e i supporti dati mobili devono essere marcati o identificabili secondo le regole applicabili, considerando anche l'uso presso clienti.

Verifica: I dispositivi mobili e i supporti dati mobili sono marcati o identificabili secondo le regole applicabili?

Risposta: yes_noEvidenza: inventario dispositivi, etichette asset, procedura assetApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-OPS001-011highasset_management

I dispositivi IT mobili devono essere registrati in un inventario o sistema equivalente.

Verifica: I dispositivi IT mobili sono registrati in un inventario o sistema equivalente?

Risposta: yes_noEvidenza: inventario asset, export MDM, registro dispositiviApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-OPS001-012hightraining

Gli utenti devono essere informati dei limiti o dell'assenza di protezione dei dati sui dispositivi mobili quando rilevante.

Verifica: Gli utenti sono informati dei limiti di protezione dei dati sui dispositivi mobili?

Risposta: yes_noEvidenza: comunicazioni utenti, materiale awareness, policy mobile deviceApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-OPS001-013highdata_protection

I supporti dati mobili o le informazioni su di essi devono essere cifrati in modo generale oppure protetti con misure equivalenti se la cifratura non è tecnicamente praticabile.

Verifica: I supporti dati mobili sono cifrati o protetti con misure equivalenti quando la cifratura non è praticabile?

Risposta: yes_noEvidenza: policy cifratura supporti, eccezioni tecniche, misure compensativeApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-OPS001-014lowprocesscanonico

Deve esistere un processo per portare dispositivi video o fotografici mobili nelle aree di sicurezza definite.

REQ-CAN-EXACT-0115EXACT_NORMALIZED_TEXT · High

Deve esistere un processo per portare dispositivi video o fotografici mobili nelle aree di sicurezza definite.

Verifica: Esiste un processo per autorizzare il trasporto di dispositivi video/foto mobili nelle aree sicure?

Risposta: document_referenceEvidenza: procedura aree sicure, regolamento visitatori, istruzioni operativeApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
REQ-ATOM-OPS001-015lowphysical_securitycanonico

Il processo deve specificare le condizioni di trasporto dei dispositivi video o fotografici mobili, ad esempio sigillati o non sigillati.

REQ-CAN-EXACT-0214EXACT_NORMALIZED_TEXT · High

Il processo deve specificare le condizioni di trasporto dei dispositivi video o fotografici mobili, ad esempio sigillati o non sigillati.

Verifica: Il processo specifica le condizioni di trasporto dei dispositivi video/foto mobili?

Risposta: yes_noEvidenza: procedura dispositivi foto/video, registro autorizzazioniApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
REQ-ATOM-OPS001-016lowphysical_securitycanonico

Il processo deve specificare le modalità d'uso consentite dei dispositivi video o fotografici mobili nelle aree sicure.

REQ-CAN-EXACT-0215EXACT_NORMALIZED_TEXT · High

Il processo deve specificare le modalità d'uso consentite dei dispositivi video o fotografici mobili nelle aree sicure.

Verifica: Il processo specifica gli usi consentiti dei dispositivi video/foto mobili nelle aree sicure?

Risposta: yes_noEvidenza: regolamento aree sicure, istruzioni utenti, segnaleticaApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
REQ-ATOM-OPS001-017lowphysical_securitycanonico

La creazione o trasmissione non autorizzata di materiale fotografico o video nelle aree sicure deve essere prevenuta.

REQ-CAN-EXACT-0060EXACT_NORMALIZED_TEXT · High

La creazione o trasmissione non autorizzata di materiale fotografico o video nelle aree sicure deve essere prevenuta.

Verifica: Sono adottate misure per prevenire foto o video non autorizzati nelle aree sicure?

Risposta: yes_noEvidenza: controlli fisici, policy dispositivi mobili, registri autorizzazioniApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
MC-OPS-002MA-OPS · OperationsHighProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Protezione dal malware

4 controlli framework collegati

  • ISO27001FW-ISO-A-8-7Protezione dal malware
  • TISAX_ISA6FW-TISAX-TISAX-5-2-3Protezione sistemi IT da malware
  • NIS2_ESSENZIALEFW-NIS-DE-CM-09Monitoraggio di endpoint, runtime e malware implementato
  • NIS2_ESSENZIALEFW-NIS-PR-DS-01Dati a riposo protetti

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 13 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-014 · Inventario hardwareRegistro · 21 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e serviziPiano / registro · 3 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici21
REQ-ATOM-OPS002-001hightechnical_control

L'Organizzazione deve implementare controlli tecnici per proteggere sistemi e informazioni dal malware.

Verifica: Sono implementati controlli tecnici antimalware sui sistemi pertinenti?

Risposta: yes_noEvidenza: console antimalware/EDR, policy antivirus, report protezione endpointApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-7 · ISO27001 A.8.7
REQ-ATOM-OPS002-002hightechnical_control

La protezione dal malware deve essere mantenuta aggiornata e coerente con l'esposizione al rischio.

Verifica: La protezione antimalware è mantenuta aggiornata e monitorata?

Risposta: yes_noEvidenza: report aggiornamento firme/engine, dashboard EDR, evidenze patch antimalwareApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-7 · ISO27001 A.8.7
REQ-ATOM-OPS002-003hightraining

La protezione dal malware deve essere supportata da misure di consapevolezza o indicazioni operative per gli utenti.

Verifica: Sono previste indicazioni o attività di awareness sul rischio malware?

Risposta: yes_noEvidenza: materiale awareness, comunicazioni agli utenti, piano formazione sicurezzaApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-7 · ISO27001 A.8.7
REQ-ATOM-OPS002-004hightechnical_controlcanonico

Devono essere presenti sistemi di protezione degli endpoint per rilevare codice malevolo, salvo motivate ragioni normative o tecniche.

REQ-CAN-EXACT-0208EXACT_NORMALIZED_TEXT · High

Devono essere presenti sistemi di protezione degli endpoint per rilevare codice malevolo, salvo motivate ragioni normative o tecniche.

Verifica: Sono presenti sistemi di protezione endpoint per rilevare codice malevolo?

Risposta: yes_noEvidenza: console EDR/antivirus, policy endpoint, report copertura endpointApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-09 · NIS2 Allegato 2 DE.CM-09
REQ-ATOM-OPS002-005hightechnical_controlcanonico

I sistemi di protezione degli endpoint devono essere aggiornati, mantenuti e configurati in modo adeguato.

REQ-CAN-EXACT-0271EXACT_NORMALIZED_TEXT · High

I sistemi di protezione degli endpoint devono essere aggiornati, mantenuti e configurati in modo adeguato.

Verifica: I sistemi di protezione endpoint sono aggiornati, mantenuti e configurati adeguatamente?

Risposta: yes_noEvidenza: report aggiornamento EDR/antivirus, configurazioni policy, dashboard salute agentApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-09 · NIS2 Allegato 2 DE.CM-09
REQ-ATOM-OPS002-006highprocesscanonico

Devono essere adottate e documentate procedure relative alla protezione endpoint e al rilevamento del malware.

REQ-CAN-EXACT-0014EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative alla protezione endpoint e al rilevamento del malware.

Verifica: Sono documentate procedure per la protezione endpoint e il rilevamento malware?

Risposta: document_referenceEvidenza: procedura endpoint security, procedura hardening, policy antimalwareApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-09 · NIS2 Allegato 2 DE.CM-09
REQ-ATOM-OPS002-007mediumdata_protection

I dati memorizzati su dispositivi portatili e supporti removibili devono essere cifrati con protocolli e algoritmi considerati sicuri, salvo motivate eccezioni.

Verifica: I dati su dispositivi portatili e supporti removibili sono cifrati con metodi adeguati?

Risposta: yes_noEvidenza: policy cifratura, report BitLocker/FileVault/MDM, eccezioni documentateApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01
REQ-ATOM-OPS002-008mediumtechnical_controlcanonico

L'auto-esecuzione dei supporti rimovibili deve essere disabilitata, salvo motivate ragioni normative o tecniche.

REQ-CAN-EXACT-0041EXACT_NORMALIZED_TEXT · High

L'auto-esecuzione dei supporti rimovibili deve essere disabilitata, salvo motivate ragioni normative o tecniche.

Verifica: L'auto-esecuzione dei supporti rimovibili è disabilitata?

Risposta: yes_noEvidenza: GPO/MDM policy, configurazioni endpoint, screenshot impostazioniApplicabilità: nis2_essenziale_onlyAutomazione: semi_automatic
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01
REQ-ATOM-OPS002-009mediumtechnical_control

I supporti rimovibili devono essere sottoposti a scansione antimalware prima dell'utilizzo sui sistemi informativi e di rete.

Verifica: I supporti rimovibili sono sottoposti a scansione prima dell'utilizzo?

Risposta: yes_noEvidenza: policy antimalware, configurazioni scansione dispositivi removibili, log scansioniApplicabilità: nis2_essenziale_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01
REQ-ATOM-OPS002-010mediumprocess

Devono essere adottate e documentate procedure relative alla cifratura dei dati a riposo e alla gestione sicura dei supporti rimovibili.

Verifica: Sono documentate procedure per dati a riposo e supporti rimovibili?

Risposta: document_referenceEvidenza: procedura sicurezza dati, procedura endpoint, policy supporti removibiliApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01
REQ-ATOM-OPS002-011hightechnical_control

Devono essere determinati i requisiti per la protezione dei sistemi IT dal malware.

Verifica: Sono determinati i requisiti per proteggere i sistemi IT dal malware?

Risposta: document_referenceEvidenza: policy antimalware, procedura endpoint security, risk assessmentApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-012hightechnical_control

Devono essere definite e implementate misure tecniche e organizzative per la protezione dal malware.

Verifica: Sono implementate misure tecniche e organizzative contro il malware?

Risposta: yes_noEvidenza: console EDR/antivirus, policy, procedure operativeApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-013hightechnical_control

I servizi di rete non necessari devono essere disabilitati.

Verifica: I servizi di rete non necessari sono disabilitati?

Risposta: yes_noEvidenza: baseline hardening, report configurazioni, vulnerability scanApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-014highaccess_control

L'accesso ai servizi di rete deve essere limitato a quanto necessario mediante misure protettive adeguate.

Verifica: L'accesso ai servizi di rete è limitato al necessario?

Risposta: yes_noEvidenza: firewall rules, ACL, configurazioni segmentazioneApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-015hightechnical_control

Il software antimalware deve essere installato e aggiornato automaticamente a intervalli regolari.

Verifica: Il software antimalware è installato e aggiornato automaticamente?

Risposta: yes_noEvidenza: dashboard EDR/antivirus, report update, policy agentApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-016hightechnical_control

File e software ricevuti devono essere ispezionati automaticamente per malware prima dell'esecuzione.

Verifica: File e software ricevuti sono controllati automaticamente prima dell'esecuzione?

Risposta: yes_noEvidenza: policy on-access scan, gateway security, log scansioneApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-017highmonitoring

Il contenuto dei sistemi deve essere ispezionato regolarmente per rilevare malware.

Verifica: I sistemi sono sottoposti a scansioni regolari contro malware?

Risposta: yes_noEvidenza: schedule scansioni, report scansione, dashboard EDRApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-018hightechnical_control

I dati trasferiti tramite gateway centrali devono essere ispezionati da strumenti di protezione, considerando anche connessioni cifrate quando applicabile.

Verifica: I gateway centrali ispezionano i dati trasferiti per rilevare malware?

Risposta: yes_noEvidenza: gateway email/web security, proxy, report filtraggioApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-019hightechnical_control

Devono essere definite e implementate misure per impedire agli utenti di disattivare o alterare la protezione antimalware.

Verifica: Gli utenti sono impediti dal disattivare o alterare la protezione antimalware?

Risposta: yes_noEvidenza: tamper protection EDR, policy privilegi, configurazioni agentApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-020hightraining

Devono essere previste misure di sensibilizzazione del personale correlate ai casi di rischio malware.

Verifica: Sono previste misure di awareness sul malware quando necessario?

Risposta: yes_noEvidenza: campagne awareness, comunicazioni phishing/malware, materiale formazioneApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
REQ-ATOM-OPS002-021highrisk_based

Per sistemi IT senza software antimalware devono essere implementate misure alternative adeguate.

Verifica: Per i sistemi senza antimalware sono documentate e implementate misure alternative?

Risposta: yes_noEvidenza: eccezioni antimalware, misure compensative, risk acceptanceApplicabilità: tisax_onlyAutomazione: defender
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-3 · TISAX ISA6 5.2.3
MC-OPS-003MA-OPS · OperationsHighProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Gestione delle vulnerabilità tecniche

4 controlli framework collegati

  • ISO27001FW-ISO-A-8-8Gestione delle vulnerabilità tecniche
  • TISAX_ISA6FW-TISAX-TISAX-5-2-5Vulnerabilità identificate e trattate
  • NIS2_ESSENZIALEFW-NIS-ID-RA-08Processi di divulgazione delle vulnerabilità stabiliti
  • NIS2_ESSENZIALEFW-NIS-PR-PS-02Software mantenuto, sostituito e rimosso in base al rischio

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 7 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-035 · Risk RegisterRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-036 · Piano di trattamento del rischioPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-038 · Registro accettazione rischi residuiRegistro · 3 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 24 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici24
REQ-ATOM-OPS003-001highmonitoring

L'Organizzazione deve acquisire informazioni sulle vulnerabilità tecniche dei sistemi e del software in uso.

Verifica: Sono raccolte informazioni sulle vulnerabilità tecniche rilevanti per sistemi e software in uso?

Risposta: yes_noEvidenza: feed vulnerabilità, report scanner, advisory vendor, ticket vulnerability managementApplicabilità: iso_onlyAutomazione: intune
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · primario · OK_PRIMARY_PRESENTDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-8 · ISO27001 A.8.8
REQ-ATOM-OPS003-002highprocess

L'Organizzazione deve valutare la propria esposizione alle vulnerabilità tecniche identificate.

Verifica: Le vulnerabilità identificate sono valutate rispetto agli asset effettivamente esposti?

Risposta: yes_noEvidenza: registro vulnerabilità, analisi impatto, correlazione asset-vulnerabilitàApplicabilità: iso_onlyAutomazione: intune
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-8 · ISO27001 A.8.8
REQ-ATOM-OPS003-003hightechnical_control

L'Organizzazione deve adottare misure appropriate per trattare le vulnerabilità tecniche rilevanti.

Verifica: Sono definite e attuate misure di trattamento per le vulnerabilità rilevanti?

Risposta: yes_noEvidenza: piano remediation, ticket patching, evidenze mitigazione, accettazione rischioApplicabilità: iso_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-038 · Registro accettazione rischi residui · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-8 · ISO27001 A.8.8
REQ-ATOM-OPS003-004mediummonitoring

Devono essere monitorati i canali CSIRT Italia e gli eventuali canali CERT o ISAC settoriali per acquisire informazioni sulle vulnerabilità.

Verifica: Sono monitorati i canali CSIRT/CERT/ISAC rilevanti per le vulnerabilità?

Risposta: yes_noEvidenza: registro fonti vulnerabilità, iscrizioni advisory, evidenze monitoraggioApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-005mediumprocess

Le informazioni sulle vulnerabilità devono essere analizzate e gestite con azioni di risposta appropriate.

Verifica: Le informazioni sulle vulnerabilità ricevute sono analizzate e gestite?

Risposta: yes_noEvidenza: registro vulnerabilità, ticket analisi, report vulnerability managementApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-006mediumtechnical_control

Le vulnerabilità identificate devono essere risolte tempestivamente tramite aggiornamenti di sicurezza o misure di mitigazione disponibili.

Verifica: Le vulnerabilità identificate sono trattate tempestivamente con patch o mitigazioni?

Risposta: yes_noEvidenza: ticket remediation, report patching, evidenze mitigazioniApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-007mediumrisk_based

Quando una vulnerabilità non viene risolta, il rischio deve essere accettato e documentato nel piano di trattamento dei rischi.

Verifica: Le vulnerabilità non risolte sono gestite tramite accettazione documentata del rischio?

Risposta: yes_noEvidenza: risk register, accettazione rischio, piano trattamentoApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-035 · Risk Register · evidenza · OK_EVIDENCE_OR_REGISTERDOC-036 · Piano di trattamento del rischio · di supporto · OK_SUPPORTINGDOC-038 · Registro accettazione rischi residui · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-008mediumprocess

Deve essere definito, attuato, aggiornato e documentato un piano di gestione delle vulnerabilità.

Verifica: Esiste un piano di gestione delle vulnerabilità definito, attuato, aggiornato e documentato?

Risposta: document_referenceEvidenza: piano vulnerabilità, procedura vulnerability managementApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-009mediumprocess

Il piano di gestione delle vulnerabilità deve includere modalità e pianificazione per identificare le vulnerabilità.

Verifica: Il piano vulnerabilità descrive modalità e pianificazione delle attività di identificazione?

Risposta: yes_noEvidenza: piano vulnerabilità, calendario assessment, procedura scansioniApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-010mediumprocess

Il piano di gestione delle vulnerabilità deve includere modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità.

Verifica: Il piano vulnerabilità descrive come monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità?

Risposta: yes_noEvidenza: piano vulnerabilità, procedura advisory, workflow ticketApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-011mediumgovernance

Il piano di gestione delle vulnerabilità deve indicare procedure, ruoli e responsabilità per le attività previste.

Verifica: Il piano vulnerabilità assegna procedure, ruoli e responsabilità?

Risposta: yes_noEvidenza: RACI vulnerability management, piano vulnerabilità, nomine ownerApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-012mediumgovernance

Il piano di gestione delle vulnerabilità deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano vulnerabilità è approvato dagli organi competenti?

Risposta: yes_noEvidenza: verbale approvazione, firma piano, deliberaApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-013mediumsupplier

Devono essere monitorati anche i canali dei fornitori del software ritenuto critico.

Verifica: Sono monitorati i canali dei fornitori del software critico?

Risposta: yes_noEvidenza: elenco software critico, advisory vendor, registro monitoraggio fornitoriApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-08 · NIS2 Allegato 2 ID.RA-08
REQ-ATOM-OPS003-014hightechnical_controlcanonico

Deve essere installato solo software per cui sia garantita la disponibilità di aggiornamenti di sicurezza, salvo motivate eccezioni.

REQ-CAN-EXACT-0143EXACT_NORMALIZED_TEXT · High

Deve essere installato solo software per cui sia garantita la disponibilità di aggiornamenti di sicurezza, salvo motivate eccezioni.

Verifica: Il software installato dispone di aggiornamenti di sicurezza disponibili?

Risposta: yes_noEvidenza: inventario software, report EOL/EOS, eccezioni documentateApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS003-015hightechnical_controlcanonico

Gli aggiornamenti di sicurezza rilasciati dal produttore devono essere installati senza ingiustificato ritardo e in coerenza con il piano vulnerabilità.

REQ-CAN-EXACT-0021EXACT_NORMALIZED_TEXT · High

Gli aggiornamenti di sicurezza rilasciati dal produttore devono essere installati senza ingiustificato ritardo e in coerenza con il piano vulnerabilità.

Verifica: Gli aggiornamenti di sicurezza sono installati senza ingiustificato ritardo?

Risposta: yes_noEvidenza: report patching, ticket aggiornamento, dashboard complianceApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS003-016highprocesscanonico

Devono essere adottate e documentate procedure per mantenere, sostituire e rimuovere il software in base al rischio.

REQ-CAN-EXACT-0011EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per mantenere, sostituire e rimuovere il software in base al rischio.

Verifica: Sono documentate procedure per mantenere, sostituire e rimuovere software in base al rischio?

Risposta: document_referenceEvidenza: procedura patching, procedura gestione software, piano vulnerabilitàApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS003-017hightechnical_controlcanonico

L'aggiornamento del software ritenuto critico deve essere verificato in ambiente di test prima dell'impiego operativo, salvo motivate eccezioni.

REQ-CAN-EXACT-0022EXACT_NORMALIZED_TEXT · High

L'aggiornamento del software ritenuto critico deve essere verificato in ambiente di test prima dell'impiego operativo, salvo motivate eccezioni.

Verifica: Gli aggiornamenti del software critico sono verificati in test prima della produzione?

Risposta: yes_noEvidenza: evidenze test patch, ticket change, verbali collaudoApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS003-018highprocesscanonico

Devono essere documentate procedure specifiche per la verifica in test degli aggiornamenti del software critico.

REQ-CAN-EXACT-0105EXACT_NORMALIZED_TEXT · High

Devono essere documentate procedure specifiche per la verifica in test degli aggiornamenti del software critico.

Verifica: Sono documentate procedure per testare gli aggiornamenti del software critico?

Risposta: document_referenceEvidenza: procedura patch test, processo change, checklist collaudoApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS003-019highmonitoring

Devono essere raccolte e valutate informazioni sulle vulnerabilità tecniche dei sistemi IT in uso.

Verifica: Sono raccolte e valutate informazioni sulle vulnerabilità tecniche dei sistemi in uso?

Risposta: yes_noEvidenza: feed vulnerabilità, report CVSS, advisory vendorApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-5 · TISAX ISA6 5.2.5
REQ-ATOM-OPS003-020highasset_management

Devono essere identificati e valutati sistemi e software potenzialmente interessati dalle vulnerabilità.

Verifica: I sistemi e software potenzialmente affetti da vulnerabilità sono identificati e valutati?

Risposta: yes_noEvidenza: correlazione asset-vulnerabilità, CMDB, report scannerApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-5 · TISAX ISA6 5.2.5
REQ-ATOM-OPS003-021hightechnical_control

Le vulnerabilità identificate devono essere trattate con misure appropriate.

Verifica: Le vulnerabilità identificate sono trattate con misure appropriate?

Risposta: yes_noEvidenza: ticket remediation, report patching, evidenze mitigazioneApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-5 · TISAX ISA6 5.2.5
REQ-ATOM-OPS003-022highprocess

Deve essere definito e implementato un patch management adeguato, includendo test e installazione delle patch quando applicabile.

Verifica: È definito e implementato un processo di patch management adeguato?

Risposta: yes_noEvidenza: procedura patching, calendario patch, ticket changeApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-5 · TISAX ISA6 5.2.5
REQ-ATOM-OPS003-023highrisk_based

Devono essere implementate misure di riduzione del rischio quando necessarie.

Verifica: Sono implementate misure di riduzione del rischio per vulnerabilità non immediatamente risolte?

Risposta: yes_noEvidenza: misure compensative, hardening, segmentazione, accettazione rischioApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-038 · Registro accettazione rischi residui · evidenza · OK_EVIDENCE_OR_REGISTERDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-5 · TISAX ISA6 5.2.5
REQ-ATOM-OPS003-024highevidence

La corretta installazione delle patch deve essere verificata in modo appropriato.

Verifica: La corretta installazione delle patch viene verificata?

Risposta: yes_noEvidenza: report compliance patch, scansioni post-remediation, ticket chiusuraApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-5 · TISAX ISA6 5.2.5
MC-OPS-004MA-OPS · OperationsHighProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Raccolta dei log

4 controlli framework collegati

  • ISO27001FW-ISO-A-8-15Raccolta dei log
  • TISAX_ISA6FW-TISAX-TISAX-5-2-4Log eventi registrati e analizzati
  • NIS2_ESSENZIALEFW-NIS-DE-CM-01Reti e servizi monitorati per eventi di sicurezza
  • NIS2_ESSENZIALEFW-NIS-PR-PS-04Log generati e resi disponibili per il monitoraggio

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 9 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 2 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 22 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-042 · Registro log critici e tempi di conservazioneRegistro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici22
REQ-ATOM-OPS004-001hightechnical_controlcanonico

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

REQ-CAN-EXACT-0063EXACT_NORMALIZED_TEXT · High

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Risposta: yes_noEvidenza: policy endpoint, configurazioni MDM/EDR, baseline endpoint, screenshot configurazioniApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-15 · ISO27001 A.8.15
REQ-ATOM-OPS004-002highprocesscanonico

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

REQ-CAN-EXACT-0100EXACT_NORMALIZED_TEXT · High

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

Verifica: I dispositivi endpoint degli utenti sono gestiti secondo regole di sicurezza formalizzate?

Risposta: yes_noEvidenza: procedura endpoint, inventario dispositivi, criteri MDM/IntuneApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-15 · ISO27001 A.8.15
REQ-ATOM-OPS004-003highevidencecanonico

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

REQ-CAN-EXACT-0055EXACT_NORMALIZED_TEXT · High

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

Risposta: file_attachmentEvidenza: export MDM/EDR, inventario asset, screenshot policy endpointApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-15 · ISO27001 A.8.15
REQ-ATOM-OPS004-004mediummonitoringcanonico

Devono essere presenti strumenti tecnici aggiornati, mantenuti e configurati per rilevare tempestivamente incidenti significativi sui sistemi rilevanti.

REQ-CAN-EXACT-0209EXACT_NORMALIZED_TEXT · High

Devono essere presenti strumenti tecnici aggiornati, mantenuti e configurati per rilevare tempestivamente incidenti significativi sui sistemi rilevanti.

Verifica: Sono presenti strumenti tecnici adeguati per rilevare tempestivamente incidenti significativi?

Risposta: yes_noEvidenza: console SIEM/EDR/NDR, configurazioni alert, dashboard monitoraggioApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS004-005mediummonitoringcanonico

Devono essere definiti e documentati livelli di servizio attesi per servizi e attività, anche ai fini del rilevamento di incidenti significativi.

REQ-CAN-EXACT-0074EXACT_NORMALIZED_TEXT · High

Devono essere definiti e documentati livelli di servizio attesi per servizi e attività, anche ai fini del rilevamento di incidenti significativi.

Verifica: Sono definiti livelli di servizio attesi utili anche al rilevamento degli incidenti?

Risposta: document_referenceEvidenza: SLA/SL, catalogo servizi, dashboard disponibilitàApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS004-006mediumprocesscanonico

Devono essere adottate e documentate procedure per gli strumenti tecnici di rilevamento degli incidenti.

REQ-CAN-EXACT-0018EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per gli strumenti tecnici di rilevamento degli incidenti.

Verifica: Sono documentate procedure per l'uso degli strumenti di rilevamento incidenti?

Risposta: document_referenceEvidenza: procedura monitoraggio, playbook SOC, procedura incident detectionApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS004-007mediumtechnical_controlcanonico

Devono essere utilizzati strumenti di analisi e filtraggio del traffico in ingresso, inclusa la posta elettronica, per i sistemi rilevanti.

REQ-CAN-EXACT-0301EXACT_NORMALIZED_TEXT · High

Devono essere utilizzati strumenti di analisi e filtraggio del traffico in ingresso, inclusa la posta elettronica, per i sistemi rilevanti.

Verifica: Sono attivi strumenti di analisi e filtraggio del traffico in ingresso, inclusa la posta elettronica?

Risposta: yes_noEvidenza: gateway email security, firewall, proxy, report filteringApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS004-008mediummonitoringcanonico

Devono essere monitorati accessi remoti, attività dei sistemi perimetrali, eventi amministrativi e accessi riusciti o falliti a risorse, endpoint e applicativi.

REQ-CAN-EXACT-0158EXACT_NORMALIZED_TEXT · High

Devono essere monitorati accessi remoti, attività dei sistemi perimetrali, eventi amministrativi e accessi riusciti o falliti a risorse, endpoint e applicativi.

Verifica: Sono monitorati accessi remoti, sistemi perimetrali, eventi amministrativi e accessi riusciti o falliti?

Risposta: yes_noEvidenza: regole SIEM, log firewall/VPN, log IAM, dashboard accessiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS004-009mediummonitoringcanonico

Devono essere definiti, monitorati e documentati parametri quali-quantitativi per rilevare accessi non autorizzati o abuso di privilegi.

REQ-CAN-EXACT-0075EXACT_NORMALIZED_TEXT · High

Devono essere definiti, monitorati e documentati parametri quali-quantitativi per rilevare accessi non autorizzati o abuso di privilegi.

Verifica: Sono definiti e monitorati parametri per rilevare accessi non autorizzati o abuso di privilegi?

Risposta: yes_noEvidenza: use case SIEM, soglie alert, report accessi anomaliApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS004-010mediumprocesscanonico

Devono essere adottate e documentate procedure relative all'analisi del traffico e al monitoraggio degli eventi di sicurezza.

REQ-CAN-EXACT-0012EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative all'analisi del traffico e al monitoraggio degli eventi di sicurezza.

Verifica: Sono documentate procedure per analisi traffico e monitoraggio eventi di sicurezza?

Risposta: document_referenceEvidenza: procedura logging e monitoraggio, playbook escalation, istruzioni operative SIEMApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS004-011highmonitoringcanonico

Tutti gli accessi remoti e gli accessi effettuati con utenze privilegiate devono essere registrati.

REQ-CAN-EXACT-0289EXACT_NORMALIZED_TEXT · High

Tutti gli accessi remoti e gli accessi effettuati con utenze privilegiate devono essere registrati.

Verifica: Gli accessi remoti e privilegiati sono registrati?

Risposta: yes_noEvidenza: log VPN/RDP/SSH, log amministratori, dashboard SIEMApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-04 · NIS2 Allegato 2 PR.PS-04
REQ-ATOM-OPS004-012highmonitoringcanonico

Devono essere acquisiti e conservati in modo sicuro, possibilmente centralizzato, i log necessari al monitoraggio degli eventi di sicurezza.

REQ-CAN-EXACT-0005EXACT_NORMALIZED_TEXT · High

Devono essere acquisiti e conservati in modo sicuro, possibilmente centralizzato, i log necessari al monitoraggio degli eventi di sicurezza.

Verifica: I log necessari al monitoraggio sono acquisiti e conservati in modo sicuro e possibilmente centralizzato?

Risposta: yes_noEvidenza: SIEM/log collector, architettura logging, configurazioni retentionApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-04 · NIS2 Allegato 2 PR.PS-04
REQ-ATOM-OPS004-013highprocesscanonico

Devono essere definite e documentate le tempistiche di conservazione dei log in accordo alla valutazione del rischio.

REQ-CAN-EXACT-0067EXACT_NORMALIZED_TEXT · High

Devono essere definite e documentate le tempistiche di conservazione dei log in accordo alla valutazione del rischio.

Verifica: Le tempistiche di conservazione dei log sono definite e documentate in base al rischio?

Risposta: document_referenceEvidenza: registro log critici, procedura logging, risk assessmentApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-04 · NIS2 Allegato 2 PR.PS-04
REQ-ATOM-OPS004-014highprocesscanonico

Devono essere adottate e documentate procedure relative alla registrazione degli accessi e alla conservazione dei log di sicurezza.

REQ-CAN-EXACT-0015EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative alla registrazione degli accessi e alla conservazione dei log di sicurezza.

Verifica: Sono documentate procedure per registrazione accessi e conservazione log?

Risposta: document_referenceEvidenza: procedura logging, policy accessi privilegiati, registro logApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-04 · NIS2 Allegato 2 PR.PS-04
REQ-ATOM-OPS004-015highmonitoringcanonico

Devono essere determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi.

REQ-CAN-EXACT-0088EXACT_NORMALIZED_TEXT · High

Devono essere determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi.

Verifica: Sono determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi?

Risposta: document_referenceEvidenza: procedura logging, registro log critici, policy SIEMApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS004-016highmonitoringcanonico

Devono essere determinati e soddisfatti i requisiti di logging delle attività di amministratori e utenti.

REQ-CAN-EXACT-0087EXACT_NORMALIZED_TEXT · High

Devono essere determinati e soddisfatti i requisiti di logging delle attività di amministratori e utenti.

Verifica: Sono determinati e applicati i requisiti di logging per attività di amministratori e utenti?

Risposta: yes_noEvidenza: configurazioni logging, log admin, use case SIEMApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS004-017highprocesscanonico

I sistemi IT devono essere valutati rispetto alla necessità di logging.

REQ-CAN-EXACT-0269EXACT_NORMALIZED_TEXT · High

I sistemi IT devono essere valutati rispetto alla necessità di logging.

Verifica: I sistemi IT sono valutati per stabilire quali log devono produrre?

Risposta: yes_noEvidenza: registro sorgenti log, risk assessment logging, CMDBApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS004-018highsuppliercanonico

Quando si usano servizi IT esterni, le opzioni di monitoraggio disponibili devono essere ottenute e considerate nella valutazione.

REQ-CAN-EXACT-0218EXACT_NORMALIZED_TEXT · High

Quando si usano servizi IT esterni, le opzioni di monitoraggio disponibili devono essere ottenute e considerate nella valutazione.

Verifica: Per i servizi IT esterni sono considerate le opzioni di monitoraggio disponibili?

Risposta: yes_noEvidenza: contratti fornitori, documentazione logging cloud, valutazione fornitoriApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS004-019highmonitoringcanonico

I log eventi devono essere controllati regolarmente per individuare violazioni delle regole e anomalie, nel rispetto delle norme applicabili.

REQ-CAN-EXACT-0147EXACT_NORMALIZED_TEXT · High

I log eventi devono essere controllati regolarmente per individuare violazioni delle regole e anomalie, nel rispetto delle norme applicabili.

Verifica: I log eventi sono controllati regolarmente per violazioni e anomalie?

Risposta: yes_noEvidenza: report SIEM, dashboard alert, evidenze review logApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS004-020highincidentcanonico

Deve essere definita una procedura di escalation degli eventi rilevanti verso la funzione responsabile.

REQ-CAN-EXACT-0065EXACT_NORMALIZED_TEXT · High

Deve essere definita una procedura di escalation degli eventi rilevanti verso la funzione responsabile.

Verifica: Esiste una procedura di escalation per eventi rilevanti rilevati dai log?

Risposta: document_referenceEvidenza: procedura escalation, playbook incident, matrice responsabilitàApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS004-021hightechnical_controlcanonico

I log eventi e i relativi metadati devono essere protetti contro alterazioni.

REQ-CAN-EXACT-0148EXACT_NORMALIZED_TEXT · High

I log eventi e i relativi metadati devono essere protetti contro alterazioni.

Verifica: I log eventi e i metadati sono protetti contro alterazioni?

Risposta: yes_noEvidenza: WORM storage, permessi SIEM, configurazioni integrità logApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS004-022highmonitoringcanonico

Devono essere registrate e monitorate azioni sulla rete rilevanti per la sicurezza delle informazioni.

REQ-CAN-EXACT-0220EXACT_NORMALIZED_TEXT · High

Devono essere registrate e monitorate azioni sulla rete rilevanti per la sicurezza delle informazioni.

Verifica: Le azioni di rete rilevanti per la sicurezza sono registrate e monitorate?

Risposta: yes_noEvidenza: log firewall/router, NDR, regole SIEMApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
MC-OPS-005MA-OPS · OperationsHighProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Attività di monitoraggio

4 controlli framework collegati

  • ISO27001FW-ISO-A-8-16Attività di monitoraggio
  • TISAX_ISA6FW-TISAX-TISAX-5-2-4Log eventi registrati e analizzati
  • NIS2_ESSENZIALEFW-NIS-DE-CM-01Reti e servizi monitorati per eventi di sicurezza
  • NIS2_ESSENZIALEFW-NIS-PR-PS-04Log generati e resi disponibili per il monitoraggio

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 9 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-024 · Registro utenze privilegiate / amministratoriRegistro · 2 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 22 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-042 · Registro log critici e tempi di conservazioneRegistro · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici22
REQ-ATOM-OPS005-001hightechnical_controlcanonico

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

REQ-CAN-EXACT-0063EXACT_NORMALIZED_TEXT · High

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Risposta: yes_noEvidenza: policy endpoint, configurazioni MDM/EDR, baseline endpoint, screenshot configurazioniApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-16 · ISO27001 A.8.16
REQ-ATOM-OPS005-002highprocesscanonico

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

REQ-CAN-EXACT-0100EXACT_NORMALIZED_TEXT · High

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

Verifica: I dispositivi endpoint degli utenti sono gestiti secondo regole di sicurezza formalizzate?

Risposta: yes_noEvidenza: procedura endpoint, inventario dispositivi, criteri MDM/IntuneApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-16 · ISO27001 A.8.16
REQ-ATOM-OPS005-003highevidencecanonico

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

REQ-CAN-EXACT-0055EXACT_NORMALIZED_TEXT · High

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

Risposta: file_attachmentEvidenza: export MDM/EDR, inventario asset, screenshot policy endpointApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-16 · ISO27001 A.8.16
REQ-ATOM-OPS005-004highmonitoringcanonico

Devono essere presenti strumenti tecnici aggiornati, mantenuti e configurati per rilevare tempestivamente incidenti significativi sui sistemi rilevanti.

REQ-CAN-EXACT-0209EXACT_NORMALIZED_TEXT · High

Devono essere presenti strumenti tecnici aggiornati, mantenuti e configurati per rilevare tempestivamente incidenti significativi sui sistemi rilevanti.

Verifica: Sono presenti strumenti tecnici adeguati per rilevare tempestivamente incidenti significativi?

Risposta: yes_noEvidenza: console SIEM/EDR/NDR, configurazioni alert, dashboard monitoraggioApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS005-005highmonitoringcanonico

Devono essere definiti e documentati livelli di servizio attesi per servizi e attività, anche ai fini del rilevamento di incidenti significativi.

REQ-CAN-EXACT-0074EXACT_NORMALIZED_TEXT · High

Devono essere definiti e documentati livelli di servizio attesi per servizi e attività, anche ai fini del rilevamento di incidenti significativi.

Verifica: Sono definiti livelli di servizio attesi utili anche al rilevamento degli incidenti?

Risposta: document_referenceEvidenza: SLA/SL, catalogo servizi, dashboard disponibilitàApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS005-006highprocesscanonico

Devono essere adottate e documentate procedure per gli strumenti tecnici di rilevamento degli incidenti.

REQ-CAN-EXACT-0018EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per gli strumenti tecnici di rilevamento degli incidenti.

Verifica: Sono documentate procedure per l'uso degli strumenti di rilevamento incidenti?

Risposta: document_referenceEvidenza: procedura monitoraggio, playbook SOC, procedura incident detectionApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS005-007hightechnical_controlcanonico

Devono essere utilizzati strumenti di analisi e filtraggio del traffico in ingresso, inclusa la posta elettronica, per i sistemi rilevanti.

REQ-CAN-EXACT-0301EXACT_NORMALIZED_TEXT · High

Devono essere utilizzati strumenti di analisi e filtraggio del traffico in ingresso, inclusa la posta elettronica, per i sistemi rilevanti.

Verifica: Sono attivi strumenti di analisi e filtraggio del traffico in ingresso, inclusa la posta elettronica?

Risposta: yes_noEvidenza: gateway email security, firewall, proxy, report filteringApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS005-008highmonitoringcanonico

Devono essere monitorati accessi remoti, attività dei sistemi perimetrali, eventi amministrativi e accessi riusciti o falliti a risorse, endpoint e applicativi.

REQ-CAN-EXACT-0158EXACT_NORMALIZED_TEXT · High

Devono essere monitorati accessi remoti, attività dei sistemi perimetrali, eventi amministrativi e accessi riusciti o falliti a risorse, endpoint e applicativi.

Verifica: Sono monitorati accessi remoti, sistemi perimetrali, eventi amministrativi e accessi riusciti o falliti?

Risposta: yes_noEvidenza: regole SIEM, log firewall/VPN, log IAM, dashboard accessiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS005-009highmonitoringcanonico

Devono essere definiti, monitorati e documentati parametri quali-quantitativi per rilevare accessi non autorizzati o abuso di privilegi.

REQ-CAN-EXACT-0075EXACT_NORMALIZED_TEXT · High

Devono essere definiti, monitorati e documentati parametri quali-quantitativi per rilevare accessi non autorizzati o abuso di privilegi.

Verifica: Sono definiti e monitorati parametri per rilevare accessi non autorizzati o abuso di privilegi?

Risposta: yes_noEvidenza: use case SIEM, soglie alert, report accessi anomaliApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS005-010highprocesscanonico

Devono essere adottate e documentate procedure relative all'analisi del traffico e al monitoraggio degli eventi di sicurezza.

REQ-CAN-EXACT-0012EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative all'analisi del traffico e al monitoraggio degli eventi di sicurezza.

Verifica: Sono documentate procedure per analisi traffico e monitoraggio eventi di sicurezza?

Risposta: document_referenceEvidenza: procedura logging e monitoraggio, playbook escalation, istruzioni operative SIEMApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-DE-CM-01 · NIS2 Allegato 2 DE.CM-01
REQ-ATOM-OPS005-011mediummonitoringcanonico

Tutti gli accessi remoti e gli accessi effettuati con utenze privilegiate devono essere registrati.

REQ-CAN-EXACT-0289EXACT_NORMALIZED_TEXT · High

Tutti gli accessi remoti e gli accessi effettuati con utenze privilegiate devono essere registrati.

Verifica: Gli accessi remoti e privilegiati sono registrati?

Risposta: yes_noEvidenza: log VPN/RDP/SSH, log amministratori, dashboard SIEMApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-024 · Registro utenze privilegiate / amministratori · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-025 · Registro sistemi accessibili da remoto · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-04 · NIS2 Allegato 2 PR.PS-04
REQ-ATOM-OPS005-012mediummonitoringcanonico

Devono essere acquisiti e conservati in modo sicuro, possibilmente centralizzato, i log necessari al monitoraggio degli eventi di sicurezza.

REQ-CAN-EXACT-0005EXACT_NORMALIZED_TEXT · High

Devono essere acquisiti e conservati in modo sicuro, possibilmente centralizzato, i log necessari al monitoraggio degli eventi di sicurezza.

Verifica: I log necessari al monitoraggio sono acquisiti e conservati in modo sicuro e possibilmente centralizzato?

Risposta: yes_noEvidenza: SIEM/log collector, architettura logging, configurazioni retentionApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-04 · NIS2 Allegato 2 PR.PS-04
REQ-ATOM-OPS005-013mediumprocesscanonico

Devono essere definite e documentate le tempistiche di conservazione dei log in accordo alla valutazione del rischio.

REQ-CAN-EXACT-0067EXACT_NORMALIZED_TEXT · High

Devono essere definite e documentate le tempistiche di conservazione dei log in accordo alla valutazione del rischio.

Verifica: Le tempistiche di conservazione dei log sono definite e documentate in base al rischio?

Risposta: document_referenceEvidenza: registro log critici, procedura logging, risk assessmentApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-04 · NIS2 Allegato 2 PR.PS-04
REQ-ATOM-OPS005-014mediumprocesscanonico

Devono essere adottate e documentate procedure relative alla registrazione degli accessi e alla conservazione dei log di sicurezza.

REQ-CAN-EXACT-0015EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure relative alla registrazione degli accessi e alla conservazione dei log di sicurezza.

Verifica: Sono documentate procedure per registrazione accessi e conservazione log?

Risposta: document_referenceEvidenza: procedura logging, policy accessi privilegiati, registro logApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-04 · NIS2 Allegato 2 PR.PS-04
REQ-ATOM-OPS005-015mediummonitoringcanonico

Devono essere determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi.

REQ-CAN-EXACT-0088EXACT_NORMALIZED_TEXT · High

Devono essere determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi.

Verifica: Sono determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi?

Risposta: document_referenceEvidenza: procedura logging, registro log critici, policy SIEMApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS005-016mediummonitoringcanonico

Devono essere determinati e soddisfatti i requisiti di logging delle attività di amministratori e utenti.

REQ-CAN-EXACT-0087EXACT_NORMALIZED_TEXT · High

Devono essere determinati e soddisfatti i requisiti di logging delle attività di amministratori e utenti.

Verifica: Sono determinati e applicati i requisiti di logging per attività di amministratori e utenti?

Risposta: yes_noEvidenza: configurazioni logging, log admin, use case SIEMApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-024 · Registro utenze privilegiate / amministratori · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS005-017mediumprocesscanonico

I sistemi IT devono essere valutati rispetto alla necessità di logging.

REQ-CAN-EXACT-0269EXACT_NORMALIZED_TEXT · High

I sistemi IT devono essere valutati rispetto alla necessità di logging.

Verifica: I sistemi IT sono valutati per stabilire quali log devono produrre?

Risposta: yes_noEvidenza: registro sorgenti log, risk assessment logging, CMDBApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS005-018mediumsuppliercanonico

Quando si usano servizi IT esterni, le opzioni di monitoraggio disponibili devono essere ottenute e considerate nella valutazione.

REQ-CAN-EXACT-0218EXACT_NORMALIZED_TEXT · High

Quando si usano servizi IT esterni, le opzioni di monitoraggio disponibili devono essere ottenute e considerate nella valutazione.

Verifica: Per i servizi IT esterni sono considerate le opzioni di monitoraggio disponibili?

Risposta: yes_noEvidenza: contratti fornitori, documentazione logging cloud, valutazione fornitoriApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS005-019mediummonitoringcanonico

I log eventi devono essere controllati regolarmente per individuare violazioni delle regole e anomalie, nel rispetto delle norme applicabili.

REQ-CAN-EXACT-0147EXACT_NORMALIZED_TEXT · High

I log eventi devono essere controllati regolarmente per individuare violazioni delle regole e anomalie, nel rispetto delle norme applicabili.

Verifica: I log eventi sono controllati regolarmente per violazioni e anomalie?

Risposta: yes_noEvidenza: report SIEM, dashboard alert, evidenze review logApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS005-020mediumincidentcanonico

Deve essere definita una procedura di escalation degli eventi rilevanti verso la funzione responsabile.

REQ-CAN-EXACT-0065EXACT_NORMALIZED_TEXT · High

Deve essere definita una procedura di escalation degli eventi rilevanti verso la funzione responsabile.

Verifica: Esiste una procedura di escalation per eventi rilevanti rilevati dai log?

Risposta: document_referenceEvidenza: procedura escalation, playbook incident, matrice responsabilitàApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS005-021mediumtechnical_controlcanonico

I log eventi e i relativi metadati devono essere protetti contro alterazioni.

REQ-CAN-EXACT-0148EXACT_NORMALIZED_TEXT · High

I log eventi e i relativi metadati devono essere protetti contro alterazioni.

Verifica: I log eventi e i metadati sono protetti contro alterazioni?

Risposta: yes_noEvidenza: WORM storage, permessi SIEM, configurazioni integrità logApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
REQ-ATOM-OPS005-022mediummonitoringcanonico

Devono essere registrate e monitorate azioni sulla rete rilevanti per la sicurezza delle informazioni.

REQ-CAN-EXACT-0220EXACT_NORMALIZED_TEXT · High

Devono essere registrate e monitorate azioni sulla rete rilevanti per la sicurezza delle informazioni.

Verifica: Le azioni di rete rilevanti per la sicurezza sono registrate e monitorate?

Risposta: yes_noEvidenza: log firewall/router, NDR, regole SIEMApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-4 · TISAX ISA6 5.2.4
MC-OPS-006MA-OPS · OperationsHighProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Sincronizzazione degli orologi

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-17Sincronizzazione degli orologi

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 3 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-OPS006-001hightechnical_controlcanonico

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

REQ-CAN-EXACT-0063EXACT_NORMALIZED_TEXT · High

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Risposta: yes_noEvidenza: policy endpoint, configurazioni MDM/EDR, baseline endpoint, screenshot configurazioniApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-17 · ISO27001 A.8.17
REQ-ATOM-OPS006-002highprocesscanonico

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

REQ-CAN-EXACT-0100EXACT_NORMALIZED_TEXT · High

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

Verifica: I dispositivi endpoint degli utenti sono gestiti secondo regole di sicurezza formalizzate?

Risposta: yes_noEvidenza: procedura endpoint, inventario dispositivi, criteri MDM/IntuneApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-17 · ISO27001 A.8.17
REQ-ATOM-OPS006-003highevidencecanonico

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

REQ-CAN-EXACT-0055EXACT_NORMALIZED_TEXT · High

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

Risposta: file_attachmentEvidenza: export MDM/EDR, inventario asset, screenshot policy endpointApplicabilità: iso_onlyAutomazione: siem_log
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-17 · ISO27001 A.8.17
MC-OPS-007MA-OPS · OperationsHighProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Installazione del software sui sistemi in esercizio

3 controlli framework collegati

  • ISO27001FW-ISO-A-8-19Installazione del software sui sistemi in esercizio
  • TISAX_ISA6FW-TISAX-TISAX-1-3-4Uso solo di software valutato e approvato
  • NIS2_ESSENZIALEFW-NIS-PR-PS-02Software mantenuto, sostituito e rimosso in base al rischio

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 4 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 4 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-011 · Processo di controllo documentaleProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-013 · Procedura gestione assetProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 6 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 19 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 6 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici19
REQ-ATOM-OPS007-001hightechnical_controlcanonico

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

REQ-CAN-EXACT-0063EXACT_NORMALIZED_TEXT · High

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Risposta: yes_noEvidenza: policy endpoint, configurazioni MDM/EDR, baseline endpoint, screenshot configurazioniApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-19 · ISO27001 A.8.19
REQ-ATOM-OPS007-002highprocesscanonico

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

REQ-CAN-EXACT-0100EXACT_NORMALIZED_TEXT · High

I dispositivi endpoint degli utenti devono essere gestiti in modo coerente con le regole di sicurezza applicabili.

Verifica: I dispositivi endpoint degli utenti sono gestiti secondo regole di sicurezza formalizzate?

Risposta: yes_noEvidenza: procedura endpoint, inventario dispositivi, criteri MDM/IntuneApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-19 · ISO27001 A.8.19
REQ-ATOM-OPS007-003highevidencecanonico

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

REQ-CAN-EXACT-0055EXACT_NORMALIZED_TEXT · High

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

Risposta: file_attachmentEvidenza: export MDM/EDR, inventario asset, screenshot policy endpointApplicabilità: iso_onlyAutomazione: defender
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-19 · ISO27001 A.8.19
REQ-ATOM-OPS007-004mediumtechnical_controlcanonico

Deve essere installato solo software per cui sia garantita la disponibilità di aggiornamenti di sicurezza, salvo motivate eccezioni.

REQ-CAN-EXACT-0143EXACT_NORMALIZED_TEXT · High

Deve essere installato solo software per cui sia garantita la disponibilità di aggiornamenti di sicurezza, salvo motivate eccezioni.

Verifica: Il software installato dispone di aggiornamenti di sicurezza disponibili?

Risposta: yes_noEvidenza: inventario software, report EOL/EOS, eccezioni documentateApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS007-005mediumtechnical_controlcanonico

Gli aggiornamenti di sicurezza rilasciati dal produttore devono essere installati senza ingiustificato ritardo e in coerenza con il piano vulnerabilità.

REQ-CAN-EXACT-0021EXACT_NORMALIZED_TEXT · High

Gli aggiornamenti di sicurezza rilasciati dal produttore devono essere installati senza ingiustificato ritardo e in coerenza con il piano vulnerabilità.

Verifica: Gli aggiornamenti di sicurezza sono installati senza ingiustificato ritardo?

Risposta: yes_noEvidenza: report patching, ticket aggiornamento, dashboard complianceApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS007-006mediumprocesscanonico

Devono essere adottate e documentate procedure per mantenere, sostituire e rimuovere il software in base al rischio.

REQ-CAN-EXACT-0011EXACT_NORMALIZED_TEXT · High

Devono essere adottate e documentate procedure per mantenere, sostituire e rimuovere il software in base al rischio.

Verifica: Sono documentate procedure per mantenere, sostituire e rimuovere software in base al rischio?

Risposta: document_referenceEvidenza: procedura patching, procedura gestione software, piano vulnerabilitàApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS007-007mediumtechnical_controlcanonico

L'aggiornamento del software ritenuto critico deve essere verificato in ambiente di test prima dell'impiego operativo, salvo motivate eccezioni.

REQ-CAN-EXACT-0022EXACT_NORMALIZED_TEXT · High

L'aggiornamento del software ritenuto critico deve essere verificato in ambiente di test prima dell'impiego operativo, salvo motivate eccezioni.

Verifica: Gli aggiornamenti del software critico sono verificati in test prima della produzione?

Risposta: yes_noEvidenza: evidenze test patch, ticket change, verbali collaudoApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS007-008mediumprocesscanonico

Devono essere documentate procedure specifiche per la verifica in test degli aggiornamenti del software critico.

REQ-CAN-EXACT-0105EXACT_NORMALIZED_TEXT · High

Devono essere documentate procedure specifiche per la verifica in test degli aggiornamenti del software critico.

Verifica: Sono documentate procedure per testare gli aggiornamenti del software critico?

Risposta: document_referenceEvidenza: procedura patch test, processo change, checklist collaudoApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-02 · NIS2 Allegato 2 PR.PS-02
REQ-ATOM-OPS007-009highprocesscanonico

Il software deve essere approvato prima dell'installazione o dell'uso.

REQ-CAN-EXACT-0273EXACT_NORMALIZED_TEXT · High

Il software deve essere approvato prima dell installazione o dell uso.

Verifica: Il software è approvato prima dell'installazione o dell'uso?

Risposta: yes_noEvidenza: registro software approvato, workflow approvazione, ticket autorizzativiApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-010highaccess_controlcanonico

L'approvazione del software deve considerare eventuali limitazioni per casi d'uso o ruoli specifici.

REQ-CAN-EXACT-0030EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare eventuali limitazioni per casi d uso o ruoli specifici.

Verifica: L'approvazione del software specifica eventuali casi d'uso o ruoli autorizzati?

Risposta: yes_noEvidenza: catalogo software approvato, regole assegnazione, policy softwareApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-011highcompliancecanonico

L'approvazione del software deve considerare la conformità ai requisiti di sicurezza delle informazioni.

REQ-CAN-EXACT-0028EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare la conformità ai requisiti di sicurezza delle informazioni.

Verifica: La valutazione del software considera i requisiti di sicurezza delle informazioni?

Risposta: yes_noEvidenza: checklist valutazione software, risk assessment, procedura approvazioneApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-012highcompliancecanonico

L'approvazione del software deve considerare diritti d'uso e licenze.

REQ-CAN-EXACT-0029EXACT_NORMALIZED_TEXT · High

L approvazione software deve considerare diritti d uso e licenze.

Verifica: La valutazione del software considera diritti d'uso e licenze?

Risposta: yes_noEvidenza: registro licenze, verifica licensing, approvazione acquistoApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-013highsupplier

L'approvazione del software deve considerare fonte e reputazione del software.

Verifica: La valutazione del software considera fonte e reputazione del fornitore o distributore?

Risposta: yes_noEvidenza: checklist valutazione, fonti vendor, analisi reputazionaleApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-014highprocess

L'approvazione del software deve includere anche software a scopo speciale, come strumenti di manutenzione.

Verifica: Gli strumenti speciali o di manutenzione sono soggetti ad approvazione software?

Risposta: yes_noEvidenza: registro tool amministrativi, approvazioni, policy privileged toolsApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-015highasset_management

Devono essere determinati i tipi di software da gestire, inclusi firmware, sistemi operativi, applicazioni, librerie e driver.

Verifica: Sono determinati i tipi di software inclusi nel processo di gestione?

Risposta: document_referenceEvidenza: procedura software management, inventario software, catalogo tipologieApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-016hightechnical_control

Devono esistere repository di software gestito.

Verifica: Esistono repository o canali gestiti per la distribuzione software?

Risposta: yes_noEvidenza: repository software, MDM/Intune, package managerApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-017hightechnical_control

I repository di software gestito devono essere protetti contro manipolazioni non autorizzate.

Verifica: I repository software sono protetti contro manipolazioni non autorizzate?

Risposta: yes_noEvidenza: permessi repository, log accesso, configurazioni sicurezzaApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-018highreview

L'approvazione del software deve essere riesaminata regolarmente.

Verifica: L'approvazione del software è riesaminata regolarmente?

Risposta: yes_noEvidenza: verbali review, registro software approvato aggiornato, audit softwareApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
REQ-ATOM-OPS007-019highasset_management

Versioni software e livelli di patch devono essere conosciuti.

Verifica: Versioni software e livelli di patch sono conosciuti?

Risposta: yes_noEvidenza: inventario software, report patch compliance, export endpoint managementApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-011 · Processo di controllo documentale · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-4 · TISAX ISA6 1.3.4
MC-OPS-008MA-OPS · OperationsHighProcessi operativi, procedure, capacità, esercizio e controllo dei servizi.

Verifiche tecniche di sicurezza di sistemi e servizi

Copre audit/verifiche tecniche di sistemi e servizi IT, distinto da policy e da riesame indipendente governance.

1 controlli framework collegati

  • TISAX_ISA6FW-TISAX-TISAX-5-2-6Verifiche tecniche / audit sistemi e servizi IT

Documenti pianificati

  • DOC-002 · Campo di applicazione SGSI / ISMS ScopeDocumento · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e serviziPiano / registro · 10 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici10
REQ-ATOM-OPS008-001highprocess

Devono essere determinati i requisiti per le verifiche tecniche di sistemi o servizi IT.

Verifica: Sono determinati i requisiti per audit tecnici di sistemi o servizi IT?

Risposta: document_referenceEvidenza: procedura technical assessment, piano audit tecnico, scope testApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTINGDOC-002 · Campo di applicazione SGSI / ISMS Scope · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
REQ-ATOM-OPS008-002highprocess

L'ambito dell'audit di sistema o servizio deve essere specificato tempestivamente.

Verifica: Lo scope degli audit tecnici è definito in tempo utile?

Risposta: yes_noEvidenza: piano audit, comunicazione scope, ticket assessmentApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-002 · Campo di applicazione SGSI / ISMS Scope · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
REQ-ATOM-OPS008-003highprocess

Gli audit tecnici devono essere coordinati con operatori e utenti dei sistemi o servizi coinvolti.

Verifica: Gli audit tecnici sono coordinati con operatori e utenti dei sistemi coinvolti?

Risposta: yes_noEvidenza: piano test, comunicazioni, approvazioni changeApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
REQ-ATOM-OPS008-004highevidence

I risultati degli audit tecnici devono essere conservati in modo tracciabile e riportati al management rilevante.

Verifica: I risultati degli audit tecnici sono conservati e comunicati al management?

Risposta: yes_noEvidenza: report audit tecnico, verbali management, registro findingsApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
REQ-ATOM-OPS008-005highprocess

Dai risultati degli audit tecnici devono essere derivate misure di trattamento o miglioramento.

Verifica: Dai risultati degli audit tecnici sono derivate misure di trattamento?

Risposta: yes_noEvidenza: piano remediation, ticket finding, action planApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
REQ-ATOM-OPS008-006highrisk_based

Gli audit tecnici devono essere pianificati considerando i rischi che possono introdurre, come disservizi o disturbi operativi.

Verifica: Gli audit tecnici sono pianificati considerando i rischi operativi che possono causare?

Risposta: yes_noEvidenza: risk assessment test, finestra manutenzione, piano rollbackApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
REQ-ATOM-OPS008-007highprocess

Gli audit tecnici devono essere svolti regolarmente da personale qualificato e con strumenti adeguati quando applicabile.

Verifica: Gli audit tecnici sono svolti regolarmente da personale qualificato con strumenti adeguati?

Risposta: yes_noEvidenza: piano audit, qualifiche auditor, output strumentiApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
REQ-ATOM-OPS008-008hightechnical_control

Le verifiche tecniche devono considerare, quando pertinente, prospettive interne ed esterne alla rete.

Verifica: Le verifiche tecniche considerano prospettive interne ed esterne quando pertinente?

Risposta: yes_noEvidenza: report vulnerability scan interno/esterno, piano testApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
REQ-ATOM-OPS008-009highevidence

Entro un periodo ragionevole dal completamento dell'audit tecnico deve essere prodotto un report.

Verifica: È prodotto un report entro un periodo ragionevole dopo l'audit tecnico?

Risposta: yes_noEvidenza: report audit tecnico, data chiusura test, registro assessmentApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
REQ-ATOM-OPS008-010highrisk_based

Per sistemi o servizi critici devono essere identificati e soddisfatti requisiti aggiuntivi di verifica tecnica.

Verifica: Per sistemi o servizi critici sono definiti requisiti aggiuntivi di verifica tecnica?

Risposta: yes_noEvidenza: classificazione criticità, piano penetration test, requisiti specificiApplicabilità: tisax_onlyAutomazione: semi_automatic
Copertura requirement
DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-6 · TISAX ISA6 5.2.6
MC-PHY-001MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Perimetro di sicurezza fisica

5 controlli framework collegati

  • ISO27001FW-ISO-A-7-1Perimetro di sicurezza fisica
  • TISAX_ISA6FW-TISAX-TISAX-3-1-1Zone di sicurezza per proteggere asset informativi
  • TISAX_ISA6FW-TISAX-TISAX-8-1-1Security concept fisico/ambientale per prototipi
  • TISAX_ISA6FW-TISAX-TISAX-8-1-2Perimetro fisico contro accesso non autorizzato
  • TISAX_ISA6FW-TISAX-TISAX-8-1-3Protezione involucro edifici / barriere fisiche

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-013 · Procedura gestione assetProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 16 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 26 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-073 · Security concept per protezione prototipi e informazioni TISAXDocumento / piano · 10 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 3 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici26
REQ-ATOM-PHY001-001highphysical_security

L'Organizzazione deve definire perimetri di sicurezza fisica per proteggere aree che contengono informazioni o asset rilevanti.

Verifica: Sono definiti perimetri di sicurezza fisica per le aree che contengono informazioni o asset rilevanti?

Risposta: yes_noEvidenza: planimetrie, procedura sicurezza fisica, classificazione areeApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-1 · ISO27001 A.7.1
REQ-ATOM-PHY001-002highphysical_security

I perimetri di sicurezza fisica devono essere utilizzati per prevenire accessi non autorizzati alle aree protette.

Verifica: I perimetri fisici sono effettivamente usati per prevenire accessi non autorizzati?

Risposta: yes_noEvidenza: evidenze barriere, controlli accesso, foto aree, audit fisicoApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-1 · ISO27001 A.7.1
REQ-ATOM-PHY001-003highphysical_securitycanonico

Deve essere definito un concetto di zone di sicurezza con misure protettive associate in base ai requisiti di trattamento degli asset informativi.

REQ-CAN-EXACT-0078EXACT_NORMALIZED_TEXT · High

Deve essere definito un concetto di zone di sicurezza con misure protettive associate in base ai requisiti di trattamento degli asset informativi.

Verifica: È definito un concetto di zone di sicurezza con misure protettive associate?

Risposta: document_referenceEvidenza: security zone concept, planimetrie aree, procedura sicurezza fisicaApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-004highphysical_securitycanonico

La definizione delle zone di sicurezza deve considerare condizioni fisiche come sedi, edifici e spazi.

REQ-CAN-EXACT-0081EXACT_NORMALIZED_TEXT · High

La definizione delle zone di sicurezza deve considerare condizioni fisiche come sedi, edifici e spazi.

Verifica: Le condizioni fisiche sono considerate nella definizione delle zone di sicurezza?

Risposta: yes_noEvidenza: planimetrie, classificazione aree, valutazione fisicaApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-005highphysical_securitycanonico

La definizione delle zone di sicurezza deve includere anche aree di consegna e spedizione quando rilevanti.

REQ-CAN-EXACT-0082EXACT_NORMALIZED_TEXT · High

La definizione delle zone di sicurezza deve includere anche aree di consegna e spedizione quando rilevanti.

Verifica: Le aree di consegna e spedizione sono considerate nel concetto di zone di sicurezza?

Risposta: yes_noEvidenza: planimetrie, procedura logistica, classificazione areeApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-006highphysical_securitycanonico

Le misure protettive definite per le zone di sicurezza devono essere implementate.

REQ-CAN-EXACT-0154EXACT_NORMALIZED_TEXT · High

Le misure protettive definite per le zone di sicurezza devono essere implementate.

Verifica: Le misure protettive previste per le zone di sicurezza sono implementate?

Risposta: yes_noEvidenza: audit fisico, foto misure, controlli accesso, sopralluogoApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-007hightrainingcanonico

Il codice di condotta per le zone di sicurezza deve essere noto alle persone coinvolte.

REQ-CAN-EXACT-0049EXACT_NORMALIZED_TEXT · High

Il codice di condotta per le zone di sicurezza deve essere noto alle persone coinvolte.

Verifica: Il codice di condotta per le zone di sicurezza è noto alle persone coinvolte?

Risposta: yes_noEvidenza: regolamento aree sicure, comunicazioni, attestazioni formazioneApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-008highaccess_controlcanonico

Devono essere definite procedure per assegnare e revocare i diritti di accesso alle zone di sicurezza.

REQ-CAN-EXACT-0072EXACT_NORMALIZED_TEXT · High

Devono essere definite procedure per assegnare e revocare i diritti di accesso alle zone di sicurezza.

Verifica: Sono definite procedure per assegnare e revocare accessi alle zone di sicurezza?

Risposta: document_referenceEvidenza: procedura accessi fisici, workflow autorizzazioni, registro revocheApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-009highphysical_securitycanonico

Devono essere definite regole di gestione visitatori, inclusi registrazione e accompagnamento.

REQ-CAN-EXACT-0073EXACT_NORMALIZED_TEXT · High

Devono essere definite regole di gestione visitatori, inclusi registrazione e accompagnamento.

Verifica: Sono definite regole per registrazione e accompagnamento dei visitatori?

Risposta: yes_noEvidenza: procedura visitor management, registro visitatori, badge visitorApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-010highphysical_securitycanonico

Devono essere definite e implementate regole per portare e usare dispositivi IT mobili e supporti dati mobili nelle zone di sicurezza.

REQ-CAN-EXACT-0070EXACT_NORMALIZED_TEXT · High

Devono essere definite e implementate regole per portare e usare dispositivi IT mobili e supporti dati mobili nelle zone di sicurezza.

Verifica: Sono definite e implementate regole per dispositivi mobili e supporti dati nelle zone di sicurezza?

Risposta: yes_noEvidenza: policy dispositivi mobili, regolamento aree sicure, registrazioni autorizzazioniApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-011highphysical_securitycanonico

I componenti di rete o infrastruttura devono essere protetti contro accessi non autorizzati.

REQ-CAN-EXACT-0050EXACT_NORMALIZED_TEXT · High

I componenti di rete o infrastruttura devono essere protetti contro accessi non autorizzati.

Verifica: I componenti di rete o infrastruttura sono protetti contro accessi non autorizzati?

Risposta: yes_noEvidenza: armadi rack chiusi, controlli accesso locali tecnici, audit fisicoApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-012highsuppliercanonico

Le proprietà esterne usate per conservare o trattare asset informativi devono essere considerate nel concetto di zone di sicurezza.

REQ-CAN-EXACT-0216EXACT_NORMALIZED_TEXT · High

Le proprietà esterne usate per conservare o trattare asset informativi devono essere considerate nel concetto di zone di sicurezza.

Verifica: Le proprietà esterne usate per asset informativi sono considerate nel concetto di zone di sicurezza?

Risposta: yes_noEvidenza: contratti sedi esterne, valutazioni fornitori, planimetrie depositiApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-013highphysical_securitycanonico

Devono essere implementate misure contro ascolto o visione semplice non autorizzata, quando richiesto dal bisogno di protezione.

REQ-CAN-EXACT-0136EXACT_NORMALIZED_TEXT · High

Devono essere implementate misure contro ascolto o visione semplice non autorizzata, quando richiesto dal bisogno di protezione.

Verifica: Sono implementate misure contro ascolto o visione non autorizzata quando richiesto?

Risposta: yes_noEvidenza: misure sight/sound protection, audit fisico, procedure aree riservateApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY001-014lowphysical_security

Deve essere stabilito un security concept fisico e ambientale per la protezione dei prototipi.

Verifica: Esiste un security concept per la protezione fisica e ambientale dei prototipi?

Risposta: document_referenceEvidenza: security concept prototipi, procedura fisica prototipiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY001-015lowphysical_securitycanonico

Il security concept deve considerare la stabilità dell'involucro esterno degli edifici o aree protette.

REQ-CAN-EXACT-0254EXACT_NORMALIZED_TEXT · High

Il security concept deve considerare la stabilità dell'involucro esterno degli edifici o aree protette.

Verifica: Il security concept considera la stabilità dell'involucro esterno?

Risposta: yes_noEvidenza: security concept, valutazione edificio, audit fisicoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY001-016lowphysical_security

Il security concept deve considerare protezioni da vista e osservazione non autorizzata.

Verifica: Il security concept considera protezioni da vista e osservazione non autorizzata?

Risposta: yes_noEvidenza: security concept, misure schermatura, sopralluogoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY001-017lowphysical_securitycanonico

Il security concept deve considerare protezione contro ingresso non autorizzato e controllo accessi.

REQ-CAN-EXACT-0252EXACT_NORMALIZED_TEXT · High

Il security concept deve considerare protezione contro ingresso non autorizzato e controllo accessi.

Verifica: Il security concept considera ingresso non autorizzato e access control?

Risposta: yes_noEvidenza: security concept, controlli accesso, planimetrieApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY001-018lowphysical_securitycanonico

Il security concept deve considerare il monitoraggio delle intrusioni.

REQ-CAN-EXACT-0251EXACT_NORMALIZED_TEXT · High

Il security concept deve considerare il monitoraggio delle intrusioni.

Verifica: Il security concept considera il monitoraggio intrusioni?

Risposta: yes_noEvidenza: security concept, impianto allarme, piani rispostaApplicabilità: tisax_onlyAutomazione: siem_log
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY001-019lowphysical_security

Il security concept deve considerare una gestione documentata dei visitatori.

Verifica: Il security concept include visitor management documentato?

Risposta: yes_noEvidenza: procedura visitatori, registro visitatori, security conceptApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY001-020lowphysical_securitycanonico

Il security concept deve considerare la segregazione dei clienti quando applicabile.

REQ-CAN-EXACT-0253EXACT_NORMALIZED_TEXT · High

Il security concept deve considerare la segregazione dei clienti quando applicabile.

Verifica: Il security concept considera la segregazione dei clienti quando applicabile?

Risposta: yes_noEvidenza: security concept, planimetrie segregazione, autorizzazioni clienteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY001-021lowphysical_security

La sicurezza perimetrale deve essere prevista come misura di supporto del security concept.

Verifica: La sicurezza perimetrale è prevista nel security concept?

Risposta: yes_noEvidenza: security concept, barriere perimetrali, audit fisicoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY001-022highphysical_securitycanonico

L'accesso non autorizzato alle proprietà dove sono prodotti, trattati o conservati prototipi protetti deve essere impedito.

REQ-CAN-EXACT-0001EXACT_NORMALIZED_TEXT · High

L'accesso non autorizzato alle proprietà dove sono prodotti, trattati o conservati prototipi protetti deve essere impedito.

Verifica: L'accesso non autorizzato alle proprietà con prototipi protetti è impedito?

Risposta: yes_noEvidenza: controlli perimetrali, audit fisico, registro accessiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-2 · TISAX ISA6 8.1.2
REQ-ATOM-PHY001-023highphysical_securitycanonico

Devono essere presenti barriere adeguate per la sicurezza perimetrale, come barriere artificiali, tecniche o naturali.

REQ-CAN-EXACT-0206EXACT_NORMALIZED_TEXT · High

Devono essere presenti barriere adeguate per la sicurezza perimetrale, come barriere artificiali, tecniche o naturali.

Verifica: Sono presenti barriere adeguate per la sicurezza perimetrale?

Risposta: yes_noEvidenza: foto barriere, planimetrie, audit fisicoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-2 · TISAX ISA6 8.1.2
REQ-ATOM-PHY001-024mediumphysical_security

L'accesso non autorizzato a edifici o aree sicure che trattano prototipi protetti deve essere impedito.

Verifica: L'accesso non autorizzato agli edifici o aree sicure è impedito?

Risposta: yes_noEvidenza: controlli accesso, barriere fisiche, audit fisicoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-3 · TISAX ISA6 8.1.3
REQ-ATOM-PHY001-025mediumphysical_security

L'involucro degli edifici o aree protette deve avere caratteristiche costruttive solide e adeguate.

Verifica: L'involucro degli edifici o aree protette è adeguatamente solido?

Risposta: yes_noEvidenza: valutazione edificio, materiali costruttivi, audit fisicoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-3 · TISAX ISA6 8.1.3
REQ-ATOM-PHY001-026mediumphysical_security

Finestre e porte dell'involucro esterno devono soddisfare requisiti di resistenza adeguati quando applicabile.

Verifica: Finestre e porte dell'involucro esterno soddisfano requisiti di resistenza adeguati?

Risposta: yes_noEvidenza: schede tecniche, audit fisico, certificazioni serramentiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-8-1-3 · TISAX ISA6 8.1.3
MC-PHY-002MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Controlli di accesso fisico

7 controlli framework collegati

  • ISO27001FW-ISO-A-7-2Controlli di accesso fisico
  • TISAX_ISA6FW-TISAX-TISAX-3-1-1Zone di sicurezza per proteggere asset informativi
  • TISAX_ISA6FW-TISAX-TISAX-8-1-2Perimetro fisico contro accesso non autorizzato
  • TISAX_ISA6FW-TISAX-TISAX-8-1-5Protezione contro ingresso non autorizzato tramite access control
  • TISAX_ISA6FW-TISAX-TISAX-8-1-7Visitor management documentato
  • TISAX_ISA6FW-TISAX-TISAX-8-2-5Processo concessione accesso ad aree sicure
  • NIS2_ESSENZIALEFW-NIS-PR-AA-06Accesso fisico agli asset gestito e monitorato

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 16 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 30 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-067 · Registro trattamenti GDPR art. 30Registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-073 · Security concept per protezione prototipi e informazioni TISAXDocumento / piano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 12 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici30
REQ-ATOM-PHY002-001highphysical_security

Le aree sicure devono essere protette mediante controlli di ingresso adeguati.

Verifica: Le aree sicure sono protette da controlli di ingresso adeguati?

Risposta: yes_noEvidenza: procedure accesso fisico, sistemi badge, registro chiaviApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-2 · ISO27001 A.7.2
REQ-ATOM-PHY002-002highaccess_control

L'accesso fisico alle aree sicure deve essere consentito solo a persone autorizzate.

Verifica: L'accesso fisico alle aree sicure è limitato alle sole persone autorizzate?

Risposta: yes_noEvidenza: elenco autorizzati, log badge, registro visitatoriApplicabilità: iso_onlyAutomazione: semi_automatic
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-2 · ISO27001 A.7.2
REQ-ATOM-PHY002-003highphysical_security

I punti di accesso alle aree sicure devono essere gestiti e controllati.

Verifica: I punti di accesso alle aree sicure sono gestiti e controllati?

Risposta: yes_noEvidenza: planimetrie accessi, controlli fisici, registro manutenzione access controlApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-2 · ISO27001 A.7.2
REQ-ATOM-PHY002-004highphysical_security

L'accesso fisico ai sistemi informativi e di rete rilevanti deve essere protetto.

Verifica: L'accesso fisico ai sistemi informativi e di rete rilevanti è protetto?

Risposta: yes_noEvidenza: procedura accessi fisici, controlli ingresso, planimetrie aree sicureApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-06 · NIS2 Allegato 2 PR.AA-06
REQ-ATOM-PHY002-005highprocess

Devono essere adottate e documentate procedure relative alla protezione dell'accesso fisico agli asset rilevanti.

Verifica: Sono documentate procedure per la protezione dell'accesso fisico agli asset rilevanti?

Risposta: document_referenceEvidenza: procedura gestione accessi fisici, registro autorizzazioni fisicheApplicabilità: nis2_essenziale_onlyAutomazione: siem_log
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-06 · NIS2 Allegato 2 PR.AA-06
REQ-ATOM-PHY002-006mediumphysical_securitycanonico

Deve essere definito un concetto di zone di sicurezza con misure protettive associate in base ai requisiti di trattamento degli asset informativi.

REQ-CAN-EXACT-0078EXACT_NORMALIZED_TEXT · High

Deve essere definito un concetto di zone di sicurezza con misure protettive associate in base ai requisiti di trattamento degli asset informativi.

Verifica: È definito un concetto di zone di sicurezza con misure protettive associate?

Risposta: document_referenceEvidenza: security zone concept, planimetrie aree, procedura sicurezza fisicaApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-007mediumphysical_securitycanonico

La definizione delle zone di sicurezza deve considerare condizioni fisiche come sedi, edifici e spazi.

REQ-CAN-EXACT-0081EXACT_NORMALIZED_TEXT · High

La definizione delle zone di sicurezza deve considerare condizioni fisiche come sedi, edifici e spazi.

Verifica: Le condizioni fisiche sono considerate nella definizione delle zone di sicurezza?

Risposta: yes_noEvidenza: planimetrie, classificazione aree, valutazione fisicaApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-008mediumphysical_securitycanonico

La definizione delle zone di sicurezza deve includere anche aree di consegna e spedizione quando rilevanti.

REQ-CAN-EXACT-0082EXACT_NORMALIZED_TEXT · High

La definizione delle zone di sicurezza deve includere anche aree di consegna e spedizione quando rilevanti.

Verifica: Le aree di consegna e spedizione sono considerate nel concetto di zone di sicurezza?

Risposta: yes_noEvidenza: planimetrie, procedura logistica, classificazione areeApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-009mediumphysical_securitycanonico

Le misure protettive definite per le zone di sicurezza devono essere implementate.

REQ-CAN-EXACT-0154EXACT_NORMALIZED_TEXT · High

Le misure protettive definite per le zone di sicurezza devono essere implementate.

Verifica: Le misure protettive previste per le zone di sicurezza sono implementate?

Risposta: yes_noEvidenza: audit fisico, foto misure, controlli accesso, sopralluogoApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-010mediumtrainingcanonico

Il codice di condotta per le zone di sicurezza deve essere noto alle persone coinvolte.

REQ-CAN-EXACT-0049EXACT_NORMALIZED_TEXT · High

Il codice di condotta per le zone di sicurezza deve essere noto alle persone coinvolte.

Verifica: Il codice di condotta per le zone di sicurezza è noto alle persone coinvolte?

Risposta: yes_noEvidenza: regolamento aree sicure, comunicazioni, attestazioni formazioneApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-011mediumaccess_controlcanonico

Devono essere definite procedure per assegnare e revocare i diritti di accesso alle zone di sicurezza.

REQ-CAN-EXACT-0072EXACT_NORMALIZED_TEXT · High

Devono essere definite procedure per assegnare e revocare i diritti di accesso alle zone di sicurezza.

Verifica: Sono definite procedure per assegnare e revocare accessi alle zone di sicurezza?

Risposta: document_referenceEvidenza: procedura accessi fisici, workflow autorizzazioni, registro revocheApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-012mediumphysical_securitycanonico

Devono essere definite regole di gestione visitatori, inclusi registrazione e accompagnamento.

REQ-CAN-EXACT-0073EXACT_NORMALIZED_TEXT · High

Devono essere definite regole di gestione visitatori, inclusi registrazione e accompagnamento.

Verifica: Sono definite regole per registrazione e accompagnamento dei visitatori?

Risposta: yes_noEvidenza: procedura visitor management, registro visitatori, badge visitorApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-013mediumphysical_securitycanonico

Devono essere definite e implementate regole per portare e usare dispositivi IT mobili e supporti dati mobili nelle zone di sicurezza.

REQ-CAN-EXACT-0070EXACT_NORMALIZED_TEXT · High

Devono essere definite e implementate regole per portare e usare dispositivi IT mobili e supporti dati mobili nelle zone di sicurezza.

Verifica: Sono definite e implementate regole per dispositivi mobili e supporti dati nelle zone di sicurezza?

Risposta: yes_noEvidenza: policy dispositivi mobili, regolamento aree sicure, registrazioni autorizzazioniApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-014mediumphysical_securitycanonico

I componenti di rete o infrastruttura devono essere protetti contro accessi non autorizzati.

REQ-CAN-EXACT-0050EXACT_NORMALIZED_TEXT · High

I componenti di rete o infrastruttura devono essere protetti contro accessi non autorizzati.

Verifica: I componenti di rete o infrastruttura sono protetti contro accessi non autorizzati?

Risposta: yes_noEvidenza: armadi rack chiusi, controlli accesso locali tecnici, audit fisicoApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-015mediumsuppliercanonico

Le proprietà esterne usate per conservare o trattare asset informativi devono essere considerate nel concetto di zone di sicurezza.

REQ-CAN-EXACT-0216EXACT_NORMALIZED_TEXT · High

Le proprietà esterne usate per conservare o trattare asset informativi devono essere considerate nel concetto di zone di sicurezza.

Verifica: Le proprietà esterne usate per asset informativi sono considerate nel concetto di zone di sicurezza?

Risposta: yes_noEvidenza: contratti sedi esterne, valutazioni fornitori, planimetrie depositiApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-016mediumphysical_securitycanonico

Devono essere implementate misure contro ascolto o visione semplice non autorizzata, quando richiesto dal bisogno di protezione.

REQ-CAN-EXACT-0136EXACT_NORMALIZED_TEXT · High

Devono essere implementate misure contro ascolto o visione semplice non autorizzata, quando richiesto dal bisogno di protezione.

Verifica: Sono implementate misure contro ascolto o visione non autorizzata quando richiesto?

Risposta: yes_noEvidenza: misure sight/sound protection, audit fisico, procedure aree riservateApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY002-017mediumphysical_securitycanonico

L'accesso non autorizzato alle proprietà dove sono prodotti, trattati o conservati prototipi protetti deve essere impedito.

REQ-CAN-EXACT-0001EXACT_NORMALIZED_TEXT · High

L'accesso non autorizzato alle proprietà dove sono prodotti, trattati o conservati prototipi protetti deve essere impedito.

Verifica: L'accesso non autorizzato alle proprietà con prototipi protetti è impedito?

Risposta: yes_noEvidenza: controlli perimetrali, audit fisico, registro accessiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-2 · TISAX ISA6 8.1.2
REQ-ATOM-PHY002-018mediumphysical_securitycanonico

Devono essere presenti barriere adeguate per la sicurezza perimetrale, come barriere artificiali, tecniche o naturali.

REQ-CAN-EXACT-0206EXACT_NORMALIZED_TEXT · High

Devono essere presenti barriere adeguate per la sicurezza perimetrale, come barriere artificiali, tecniche o naturali.

Verifica: Sono presenti barriere adeguate per la sicurezza perimetrale?

Risposta: yes_noEvidenza: foto barriere, planimetrie, audit fisicoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-2 · TISAX ISA6 8.1.2
REQ-ATOM-PHY002-019highphysical_security

I punti di accesso alle aree di sicurezza devono essere protetti contro ingresso non autorizzato con misure adeguate.

Verifica: I punti di accesso alle aree sicure sono protetti contro ingresso non autorizzato?

Risposta: yes_noEvidenza: controlli accesso, procedure, audit fisicoApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-5 · TISAX ISA6 8.1.5
REQ-ATOM-PHY002-020highphysical_security

Il controllo dell'accesso può basarsi su serrature meccaniche con assegnazione documentata delle chiavi.

Verifica: Sono usate serrature meccaniche con assegnazione documentata delle chiavi, se applicabile?

Risposta: yes_noEvidenza: registro chiavi, procedura chiaviApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-5 · TISAX ISA6 8.1.5
REQ-ATOM-PHY002-021highaccess_control

Il controllo dell'accesso può basarsi su sistemi elettronici con assegnazione documentata delle autorizzazioni.

Verifica: Sono usati sistemi elettronici con autorizzazioni documentate, se applicabile?

Risposta: yes_noEvidenza: export badge, matrice autorizzazioni, log accessoApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-5 · TISAX ISA6 8.1.5
REQ-ATOM-PHY002-022highphysical_security

Il controllo dell'accesso può basarsi su controllo personale degli accessi con relativa documentazione.

Verifica: È presente controllo personale degli accessi con documentazione, se applicabile?

Risposta: yes_noEvidenza: registro reception, registro visitatori, istruzioni guardiaApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-5 · TISAX ISA6 8.1.5
REQ-ATOM-PHY002-023highphysical_security

La situazione spaziale deve essere idonea a proteggere i veicoli classificati come richiedenti protezione contro accessi non autorizzati quando applicabile.

Verifica: La situazione spaziale è idonea a proteggere veicoli protetti contro accessi non autorizzati?

Risposta: yes_noEvidenza: planimetrie, audit fisico, valutazione area prototipiApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-5 · TISAX ISA6 8.1.5
REQ-ATOM-PHY002-024lowphysical_security

Tutti i visitatori devono essere soggetti a obbligo di registrazione prima dell'accesso alle aree protette.

Verifica: Tutti i visitatori sono registrati prima dell'accesso alle aree protette?

Risposta: yes_noEvidenza: registro visitatori, sistema visitor managementApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-7 · TISAX ISA6 8.1.7
REQ-ATOM-PHY002-025lowcompliance

I visitatori devono accettare o essere vincolati a obblighi di riservatezza documentati prima dell'accesso.

Verifica: I visitatori sono vincolati a obblighi di riservatezza documentati prima dell'accesso?

Risposta: yes_noEvidenza: NDA visitatori, modulo accesso, registro visitorApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-7 · TISAX ISA6 8.1.7
REQ-ATOM-PHY002-026lowphysical_security

Le regole di sicurezza e visita devono essere pubblicate o rese disponibili ai visitatori.

Verifica: Le regole di sicurezza e visita sono rese disponibili ai visitatori?

Risposta: yes_noEvidenza: regolamento visitatori, segnaletica, istruzioni receptionApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-7 · TISAX ISA6 8.1.7
REQ-ATOM-PHY002-027lowdata_protection

La gestione dei visitatori deve rispettare le norme applicabili in materia di protezione dei dati.

Verifica: La gestione dei visitatori rispetta le norme applicabili sulla protezione dei dati?

Risposta: yes_noEvidenza: informativa privacy visitatori, registro trattamenti, procedura visitor managementApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-7 · TISAX ISA6 8.1.7
REQ-ATOM-PHY002-028highgovernance

Le responsabilità per autorizzare l'accesso alle aree di sicurezza devono essere chiaramente specificate e documentate.

Verifica: Le responsabilità per autorizzare accessi alle aree sicure sono specificate e documentate?

Risposta: yes_noEvidenza: procedura accessi fisici, matrice autorizzativa, RACIApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-PHY002-029highaccess_control

Deve esistere un processo per nuove assegnazioni, modifiche e revoche dei diritti di accesso alle aree di sicurezza.

Verifica: Esiste un processo per assegnare, modificare e revocare accessi alle aree sicure?

Risposta: yes_noEvidenza: workflow accessi, registro autorizzazioni, ticket revocaApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-PHY002-030highprocess

Deve essere definito un codice di condotta da seguire in caso di perdita o furto dei mezzi di controllo accesso.

Verifica: Esiste una regola operativa per perdita o furto di badge, chiavi o altri mezzi di accesso?

Risposta: document_referenceEvidenza: procedura accessi fisici, istruzioni perdita badge/chiavi, registro incidenti fisiciApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
MC-PHY-003MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Messa in sicurezza di uffici, locali e strutture

3 controlli framework collegati

  • ISO27001FW-ISO-A-7-3Messa in sicurezza di uffici, locali e strutture
  • TISAX_ISA6FW-TISAX-TISAX-3-1-1Zone di sicurezza per proteggere asset informativi
  • TISAX_ISA6FW-TISAX-TISAX-8-1-3Protezione involucro edifici / barriere fisiche

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-013 · Procedura gestione assetProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 10 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 17 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 3 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici17
REQ-ATOM-PHY003-001highphysical_security

La sicurezza fisica di uffici, locali e strutture deve essere progettata in modo coerente con le esigenze di protezione delle informazioni e degli asset.

Verifica: La sicurezza fisica di uffici, locali e strutture è progettata sulla base delle esigenze di protezione?

Risposta: yes_noEvidenza: planimetrie aree, security design, valutazione rischio fisico, procedura accessi fisiciApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-3 · ISO27001 A.7.3
REQ-ATOM-PHY003-002highphysical_security

Le misure di sicurezza fisica previste per uffici, locali e strutture devono essere attuate operativamente.

Verifica: Le misure fisiche progettate per uffici, locali e strutture sono attuate?

Risposta: yes_noEvidenza: sopralluogo, checklist controlli fisici, fotografie autorizzate, verbali verificaApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-3 · ISO27001 A.7.3
REQ-ATOM-PHY003-003mediumasset_management

Le strutture che ospitano informazioni o asset critici devono essere incluse nel perimetro delle misure fisiche applicabili.

Verifica: Le strutture che ospitano informazioni o asset critici sono coperte dalle misure fisiche?

Risposta: yes_noEvidenza: inventario sedi/locali, mappa asset critici, matrice aree protetteApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-3 · ISO27001 A.7.3
REQ-ATOM-PHY003-004highphysical_security

Deve essere presente un concetto di zone di sicurezza fisica basato sui requisiti di trattamento degli asset informativi.

Verifica: Esiste un concetto di zone di sicurezza basato sui requisiti degli asset informativi?

Risposta: document_referenceEvidenza: security zone concept, planimetrie aree, classificazione assetApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-005mediumphysical_security

Il concetto di zone di sicurezza deve considerare condizioni fisiche come sedi, edifici e spazi.

Verifica: Il concetto di zone considera sedi, edifici e spazi fisici?

Risposta: yes_noEvidenza: planimetrie, classificazione locali, documentazione security zoneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-006mediumphysical_security

Il concetto di zone di sicurezza deve includere le aree di consegna e spedizione quando rilevanti.

Verifica: Le aree di consegna e spedizione sono considerate nel concetto di zone di sicurezza?

Risposta: yes_noEvidenza: planimetrie, procedura ricezione/spedizione, registro areeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-007highphysical_securitycanonico

Le misure protettive definite per le zone di sicurezza devono essere implementate.

REQ-CAN-EXACT-0154EXACT_NORMALIZED_TEXT · High

Le misure protettive definite per le zone di sicurezza devono essere implementate.

Verifica: Le misure protettive previste per le zone di sicurezza sono implementate?

Risposta: yes_noEvidenza: sopralluogo, checklist controlli fisici, evidenze access controlApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-008mediumtrainingcanonico

Il codice di condotta per le zone di sicurezza deve essere noto alle persone coinvolte.

REQ-CAN-EXACT-0049EXACT_NORMALIZED_TEXT · High

Il codice di condotta per le zone di sicurezza deve essere noto alle persone coinvolte.

Verifica: Il codice di condotta per le zone di sicurezza è comunicato alle persone coinvolte?

Risposta: yes_noEvidenza: istruzioni aree sicure, registro formazione, segnaleticaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-009highaccess_control

Devono essere stabilite procedure per assegnare e revocare diritti di accesso alle zone di sicurezza.

Verifica: Sono stabilite procedure per assegnare e revocare accessi alle zone di sicurezza?

Risposta: document_referenceEvidenza: procedura accessi fisici, workflow autorizzazioni, registro badgeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-010highphysical_security

Devono essere definite politiche di gestione visitatori, incluse registrazione e accompagnamento.

Verifica: Sono definite regole per registrazione e accompagnamento dei visitatori?

Risposta: yes_noEvidenza: registro visitatori, procedura visitatori, istruzioni receptionApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-011mediumtechnical_controlcanonico

Devono essere definite e implementate regole per portare e usare dispositivi IT mobili e supporti dati mobili nelle zone di sicurezza.

REQ-CAN-EXACT-0070EXACT_NORMALIZED_TEXT · High

Devono essere definite e implementate regole per portare e usare dispositivi IT mobili e supporti dati mobili nelle zone di sicurezza.

Verifica: Sono definite e implementate regole per dispositivi mobili e supporti nelle zone di sicurezza?

Risposta: yes_noEvidenza: policy dispositivi mobili, registro autorizzazioni, istruzioni aree sicureApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-012hightechnical_control

I componenti di rete e infrastruttura devono essere protetti da accesso non autorizzato nelle zone di sicurezza.

Verifica: I componenti di rete e infrastruttura sono protetti da accesso non autorizzato?

Risposta: yes_noEvidenza: rack chiusi, controllo accessi locali tecnici, planimetrie reteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-013mediumsupplier

Le proprietà esterne usate per archiviare o trattare asset informativi devono essere considerate nel concetto di zone di sicurezza.

Verifica: Le proprietà esterne usate per asset informativi sono considerate nelle zone di sicurezza?

Risposta: yes_noEvidenza: contratti fornitori, elenco siti esterni, valutazioni sedi terzeApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-1 · TISAX ISA6 3.1.1
REQ-ATOM-PHY003-014highphysical_security

L accesso non autorizzato agli edifici o alle aree di sicurezza in cui sono prodotti, trattati o conservati asset protetti deve essere impedito.

Verifica: L accesso non autorizzato agli edifici o aree di sicurezza è impedito?

Risposta: yes_noEvidenza: controllo accessi, barriere fisiche, sopralluogo, registro accessiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-3 · TISAX ISA6 8.1.3
REQ-ATOM-PHY003-015highphysical_security

L involucro esterno degli edifici protetti deve essere costruito in modo da impedire rimozione o apertura con strumenti standard.

Verifica: L involucro esterno degli edifici protetti impedisce rimozione o apertura con strumenti standard?

Risposta: yes_noEvidenza: specifiche edificio, sopralluogo, relazione tecnicaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-3 · TISAX ISA6 8.1.3
REQ-ATOM-PHY003-016mediumphysical_security

La costruzione delle aree protette deve usare elementi solidi adeguati, come muratura, calcestruzzo o soluzioni equivalenti.

Verifica: Le aree protette hanno costruzione solida o equivalente?

Risposta: yes_noEvidenza: relazione tecnica, foto autorizzate, specifiche edificioApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-3 · TISAX ISA6 8.1.3
REQ-ATOM-PHY003-017mediumphysical_security

Finestre e porte dell involucro esterno devono rispettare un livello di resistenza adeguato, almeno RC2 o superiore quando applicabile.

Verifica: Finestre e porte dell involucro esterno rispettano un livello di resistenza adeguato?

Risposta: yes_noEvidenza: schede tecniche porte/finestre, certificazioni RC2, sopralluogoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-8-1-3 · TISAX ISA6 8.1.3
MC-PHY-004MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Monitoraggio della sicurezza fisica

3 controlli framework collegati

  • ISO27001FW-ISO-A-7-4Monitoraggio della sicurezza fisica
  • TISAX_ISA6FW-TISAX-TISAX-8-1-6Monitoraggio intrusione locali protetti
  • NIS2_ESSENZIALEFW-NIS-PR-AA-06Accesso fisico agli asset gestito e monitorato

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 4 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 5 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 9 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-044 · Registro eventi e incidenti di sicurezzaRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici9
REQ-ATOM-PHY004-001highmonitoring

Le sedi devono essere monitorate in modo continuativo per individuare accessi fisici non autorizzati.

Verifica: Le sedi sono monitorate per rilevare accessi fisici non autorizzati?

Risposta: yes_noEvidenza: sistema allarme, CCTV, registro eventi fisici, contratto vigilanzaApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-4 · ISO27001 A.7.4
REQ-ATOM-PHY004-002mediumevidence

Il monitoraggio della sicurezza fisica deve produrre evidenze o registrazioni utilizzabili per verifiche successive.

Verifica: Il monitoraggio fisico produce registrazioni consultabili per verifiche successive?

Risposta: yes_noEvidenza: log accessi fisici, report allarme, registro ronda, registrazioni sistemi fisiciApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-4 · ISO27001 A.7.4
REQ-ATOM-PHY004-003highphysical_security

Per almeno i sistemi informativi e di rete rilevanti, l accesso fisico deve essere protetto.

Verifica: L accesso fisico ai sistemi informativi e di rete rilevanti è protetto?

Risposta: yes_noEvidenza: procedura accessi fisici, controllo accessi, registro visitatori, evidenze protezione localiApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-06 · NIS2 Allegato 2 PR.AA-06 punto 1
REQ-ATOM-PHY004-004highprocess

Devono essere adottate e documentate procedure per la protezione dell accesso fisico, coerenti con le politiche di sicurezza applicabili.

Verifica: Sono adottate e documentate procedure per proteggere l accesso fisico?

Risposta: document_referenceEvidenza: procedura gestione accessi fisici, policy sicurezza, registro approvazioniApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-AA-06 · NIS2 Allegato 2 PR.AA-06 punto 2
REQ-ATOM-PHY004-005highmonitoring

I locali da proteggere devono essere monitorati contro intrusioni quando ospitano veicoli, componenti o parti classificate come protette.

Verifica: I locali protetti sono monitorati contro intrusioni?

Risposta: yes_noEvidenza: impianto antintrusione, contratto vigilanza, report allarmiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-6 · TISAX ISA6 8.1.6
REQ-ATOM-PHY004-006mediumtechnical_control

Il monitoraggio intrusioni deve essere realizzato con sistema conforme a standard riconosciuti o soluzione equivalente.

Verifica: Il monitoraggio intrusioni usa un sistema conforme a standard riconosciuti o equivalente?

Risposta: yes_noEvidenza: certificazione impianto, schede tecniche, contratto installatoreApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-6 · TISAX ISA6 8.1.6
REQ-ATOM-PHY004-007highmonitoring

Il monitoraggio intrusioni deve prevedere inoltro o gestione dell allarme verso servizio di sicurezza o unità di controllo qualificata, oppure sorveglianza 24/7 equivalente.

Verifica: Gli allarmi sono inoltrati o gestiti da servizio qualificato o sorveglianza 24/7?

Risposta: yes_noEvidenza: contratto vigilanza, piano allarmi, registro interventiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-6 · TISAX ISA6 8.1.6
REQ-ATOM-PHY004-008mediumprocess

Devono essere disponibili piani di allarme per i locali protetti.

Verifica: Sono disponibili piani di allarme per i locali protetti?

Risposta: document_referenceEvidenza: piano allarme, procedura escalation, contatti emergenzaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-6 · TISAX ISA6 8.1.6
REQ-ATOM-PHY004-009highincident

La gestione degli allarmi deve avvenire tempestivamente.

Verifica: Gli allarmi fisici sono gestiti tempestivamente?

Risposta: yes_noEvidenza: SLA vigilanza, registro interventi, report allarmiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-6 · TISAX ISA6 8.1.6
MC-PHY-005MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Protezione dalle minacce fisiche e ambientali

2 controlli framework collegati

  • ISO27001FW-ISO-A-7-5Protezione dalle minacce fisiche e ambientali
  • TISAX_ISA6FW-TISAX-TISAX-8-1-1Security concept fisico/ambientale per prototipi

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 11 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-073 · Security concept per protezione prototipi e informazioni TISAXDocumento / piano · 8 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici11
REQ-ATOM-PHY005-001highphysical_security

La protezione contro minacce fisiche e ambientali deve essere progettata per le infrastrutture rilevanti.

Verifica: La protezione da minacce fisiche e ambientali è progettata per le infrastrutture rilevanti?

Risposta: yes_noEvidenza: valutazione rischio ambientale, piano protezioni fisiche, analisi sitoApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
ISO27001 · FW-ISO-A-7-5 · ISO27001 A.7.5
REQ-ATOM-PHY005-002highcontinuity

Devono essere attuate misure contro disastri naturali e altre minacce fisiche intenzionali o non intenzionali.

Verifica: Sono attuate misure contro disastri naturali e minacce fisiche intenzionali o accidentali?

Risposta: yes_noEvidenza: impianti antincendio, controllo clima, sensori ambientali, piano emergenzaApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
ISO27001 · FW-ISO-A-7-5 · ISO27001 A.7.5
REQ-ATOM-PHY005-003highphysical_security

Le misure di protezione fisica e ambientale devono coprire gli scenari che possono compromettere disponibilità, integrità o riservatezza dell infrastruttura.

Verifica: Le misure fisiche e ambientali coprono scenari che impattano disponibilità, integrità o riservatezza?

Risposta: yes_noEvidenza: risk assessment, BIA, piano continuità, verbali manutenzione impiantiApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-5 · ISO27001 A.7.5
REQ-ATOM-PHY005-004highphysical_security

Deve essere stabilito un security concept per la protezione fisica e ambientale dei prototipi.

Verifica: Esiste un security concept per la protezione fisica e ambientale dei prototipi?

Risposta: document_referenceEvidenza: security concept prototipi, procedura prototipi, piano misure fisicheApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY005-005mediumphysical_securitycanonico

Il security concept deve considerare la stabilità dell involucro esterno degli edifici o aree protette.

REQ-CAN-EXACT-0254EXACT_NORMALIZED_TEXT · High

Il security concept deve considerare la stabilità dell'involucro esterno degli edifici o aree protette.

Verifica: Il security concept considera la stabilità dell involucro esterno?

Risposta: yes_noEvidenza: security concept, sopralluogo, specifiche edificioApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY005-006mediumphysical_security

Il security concept deve considerare protezioni contro visione e osservazione non autorizzate.

Verifica: Il security concept considera protezioni contro visione e osservazione non autorizzate?

Risposta: yes_noEvidenza: schermature, planimetrie, istruzioni aree protetteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY005-007highaccess_controlcanonico

Il security concept deve considerare protezione contro ingresso non autorizzato e controllo accessi.

REQ-CAN-EXACT-0252EXACT_NORMALIZED_TEXT · High

Il security concept deve considerare protezione contro ingresso non autorizzato e controllo accessi.

Verifica: Il security concept include protezione da ingresso non autorizzato e controllo accessi?

Risposta: yes_noEvidenza: controllo accessi, registro badge, procedura aree protetteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY005-008highmonitoringcanonico

Il security concept deve considerare il monitoraggio delle intrusioni.

REQ-CAN-EXACT-0251EXACT_NORMALIZED_TEXT · High

Il security concept deve considerare il monitoraggio delle intrusioni.

Verifica: Il security concept include monitoraggio intrusioni?

Risposta: yes_noEvidenza: impianto allarme, contratto vigilanza, piano allarmiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY005-009highphysical_security

Il security concept deve prevedere gestione visitatori documentata.

Verifica: Il security concept prevede gestione visitatori documentata?

Risposta: yes_noEvidenza: registro visitatori, procedura visitatori, NDA visitatoriApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY005-010mediumphysical_securitycanonico

Il security concept deve considerare la segregazione dei clienti quando applicabile.

REQ-CAN-EXACT-0253EXACT_NORMALIZED_TEXT · High

Il security concept deve considerare la segregazione dei clienti quando applicabile.

Verifica: Il security concept considera la segregazione dei clienti quando applicabile?

Risposta: yes_noEvidenza: matrice clienti/progetti, planimetrie aree, autorizzazioni clienteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-PHY005-011mediumphysical_security

Devono essere definite misure di sicurezza perimetrale per le aree di protezione dei prototipi.

Verifica: Sono definite misure di sicurezza perimetrale per aree prototipi?

Risposta: yes_noEvidenza: recinzioni, barriere, controllo accessi perimetrale, planimetrieApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
MC-PHY-006MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Lavoro in aree sicure

5 controlli framework collegati

  • ISO27001FW-ISO-A-7-6Lavoro in aree sicure
  • TISAX_ISA6FW-TISAX-TISAX-8-1-4Protezione visuale in aree di sicurezza
  • TISAX_ISA6FW-TISAX-TISAX-8-1-8Segregazione cliente on-site
  • TISAX_ISA6FW-TISAX-TISAX-8-2-5Processo concessione accesso ad aree sicure
  • TISAX_ISA6FW-TISAX-TISAX-8-2-7Uso dispositivi video/foto mobili in aree sicure

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 2 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-013 · Procedura gestione assetProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 14 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 22 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 6 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici22
REQ-ATOM-PHY006-001mediumphysical_security

Devono essere progettate misure di sicurezza specifiche per lo svolgimento delle attività nelle aree sicure.

Verifica: Sono progettate misure di sicurezza per lavorare nelle aree sicure?

Risposta: yes_noEvidenza: procedura aree sicure, regole operative, istruzioni visitatoriApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
ISO27001 · FW-ISO-A-7-6 · ISO27001 A.7.6
REQ-ATOM-PHY006-002mediumtraining

Le misure di sicurezza per il lavoro in aree sicure devono essere attuate e rese note alle persone interessate.

Verifica: Le regole per lavorare nelle aree sicure sono attuate e comunicate?

Risposta: yes_noEvidenza: registro presa visione, formazione, segnaletica, procedura accesso aree sicureApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-6 · ISO27001 A.7.6
REQ-ATOM-PHY006-003mediumaccess_control

L accesso e il comportamento nelle aree sicure devono essere regolati in funzione del livello di protezione richiesto.

Verifica: Accesso e comportamento nelle aree sicure sono regolati in base al livello di protezione?

Risposta: yes_noEvidenza: policy aree sicure, autorizzazioni, matrice aree/ruoliApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-6 · ISO27001 A.7.6
REQ-ATOM-PHY006-004highphysical_security

La visione non autorizzata di veicoli, componenti o parti classificate come protette deve essere impedita.

Verifica: La visione non autorizzata di asset protetti è impedita?

Risposta: yes_noEvidenza: schermature, pellicole, barriere visive, sopralluogoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-4 · TISAX ISA6 8.1.4
REQ-ATOM-PHY006-005highphysical_security

La protezione visiva deve impedire l osservazione di nuovi sviluppi con elevato o molto elevato bisogno di protezione.

Verifica: La protezione visiva impedisce l osservazione di nuovi sviluppi sensibili?

Risposta: yes_noEvidenza: planimetrie, misure sight protection, verifica aree protetteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-4 · TISAX ISA6 8.1.4
REQ-ATOM-PHY006-006mediumphysical_security

La protezione visiva attraverso superfici vetrate rilevanti deve essere assicurata.

Verifica: Le superfici vetrate rilevanti sono protette dalla visione non autorizzata?

Risposta: yes_noEvidenza: pellicole oscuranti, tende, vetri trattati, sopralluogoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-4 · TISAX ISA6 8.1.4
REQ-ATOM-PHY006-007mediumphysical_security

La vista verso aree di sicurezza attraverso porte, cancelli o finestre aperte deve essere prevenuta.

Verifica: È prevenuta la vista verso aree sicure da porte, cancelli o finestre aperte?

Risposta: yes_noEvidenza: barriere interne, layout aree, istruzioni operativeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-8-1-4 · TISAX ISA6 8.1.4
REQ-ATOM-PHY006-008mediumphysical_security

La configurazione degli spazi deve essere adatta a proteggere veicoli o componenti classificati da visione non autorizzata.

Verifica: La configurazione degli spazi protegge asset classificati da visione non autorizzata?

Risposta: yes_noEvidenza: planimetrie, assessment visuale, verbali sopralluogoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-4 · TISAX ISA6 8.1.4
REQ-ATOM-PHY006-009mediumphysical_security

Deve essere assicurata la segregazione dei clienti per proteggere il know-how specifico del cliente.

Verifica: È assicurata la segregazione dei clienti per proteggere il know-how specifico?

Risposta: yes_noEvidenza: matrice segregazione clienti, planimetrie aree, istruzioni operativeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-8 · TISAX ISA6 8.1.8
REQ-ATOM-PHY006-010highphysical_security

La segregazione deve proteggere contro visione non autorizzata e accesso ad aree dove asset protetti sono trattati o conservati.

Verifica: La segregazione protegge da visione e accesso non autorizzati ad aree con asset protetti?

Risposta: yes_noEvidenza: controllo accessi, barriere visive, planimetrie segregazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-8 · TISAX ISA6 8.1.8
REQ-ATOM-PHY006-011mediumprocess

La separazione spaziale deve essere realizzata con misure organizzative, legate al personale o tecniche, distinguendo clienti e/o progetti.

Verifica: La separazione spaziale distingue clienti e/o progetti con misure organizzative o tecniche?

Risposta: yes_noEvidenza: layout aree, autorizzazioni, segregazione progetti, registro accessiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-8 · TISAX ISA6 8.1.8
REQ-ATOM-PHY006-012mediumsupplier

Quando la segregazione non è in essere, deve essere presente approvazione esplicita del cliente.

Verifica: In assenza di segregazione è presente approvazione esplicita del cliente?

Risposta: yes_noEvidenza: approvazione cliente, deroga documentata, accordo contrattualeApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-8-1-8 · TISAX ISA6 8.1.8
REQ-ATOM-PHY006-013mediumphysical_security

La configurazione degli spazi deve essere adatta a implementare la segregazione clienti per asset classificati.

Verifica: Gli spazi sono adatti a implementare la segregazione clienti per asset classificati?

Risposta: yes_noEvidenza: planimetrie, assessment fisico, verifica areeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-8 · TISAX ISA6 8.1.8
REQ-ATOM-PHY006-014highaccess_controlcanonico

Deve essere definito un processo per concedere accesso alle aree di sicurezza.

REQ-CAN-EXACT-0079EXACT_NORMALIZED_TEXT · High

Deve essere definito un processo per concedere accesso alle aree di sicurezza.

Verifica: Esiste un processo per concedere accesso alle aree di sicurezza?

Risposta: document_referenceEvidenza: procedura accessi aree sicure, workflow autorizzazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-PHY006-015highphysical_security

Il processo deve proteggere le aree di sicurezza da accessi non autorizzati.

Verifica: Il processo di accesso protegge le aree sicure da accessi non autorizzati?

Risposta: yes_noEvidenza: controllo accessi fisici, registro badge, audit accessiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-PHY006-016highgovernance

Le responsabilità per l autorizzazione degli accessi devono essere chiaramente specificate e documentate.

Verifica: Le responsabilità per autorizzare accessi alle aree sicure sono documentate?

Risposta: document_referenceEvidenza: matrice responsabilità, procedura accessi fisici, elenco approvatoriApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-PHY006-017highaccess_control

Deve esistere un processo per nuove assegnazioni, modifiche e revoche dei diritti di accesso alle aree sicure.

Verifica: Il processo copre nuove assegnazioni, modifiche e revoche degli accessi fisici?

Risposta: yes_noEvidenza: workflow accessi fisici, ticket, registro revoche badgeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-PHY006-018mediumincident

Deve essere definito un codice di condotta in caso di perdita o furto dei mezzi di controllo accesso.

Verifica: Esiste un codice di condotta per perdita o furto dei mezzi di accesso?

Risposta: document_referenceEvidenza: procedura smarrimento badge/chiavi, istruzioni utenti, ticket incidentApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-PHY006-019lowprocesscanonico

Deve esistere un processo per portare dispositivi video o fotografici mobili nelle aree di sicurezza definite.

REQ-CAN-EXACT-0115EXACT_NORMALIZED_TEXT · High

Deve esistere un processo per portare dispositivi video o fotografici mobili nelle aree di sicurezza definite.

Verifica: Esiste un processo per autorizzare il trasporto di dispositivi video/foto mobili nelle aree sicure?

Risposta: document_referenceEvidenza: procedura aree sicure, regolamento visitatori, istruzioni operativeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
REQ-ATOM-PHY006-020lowphysical_securitycanonico

Il processo deve specificare le condizioni di trasporto dei dispositivi video o fotografici mobili, ad esempio sigillati o non sigillati.

REQ-CAN-EXACT-0214EXACT_NORMALIZED_TEXT · High

Il processo deve specificare le condizioni di trasporto dei dispositivi video o fotografici mobili, ad esempio sigillati o non sigillati.

Verifica: Il processo specifica le condizioni di trasporto dei dispositivi video/foto mobili?

Risposta: yes_noEvidenza: procedura dispositivi foto/video, registro autorizzazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
REQ-ATOM-PHY006-021lowphysical_securitycanonico

Il processo deve specificare le modalità d uso consentite dei dispositivi video o fotografici mobili nelle aree sicure.

REQ-CAN-EXACT-0215EXACT_NORMALIZED_TEXT · High

Il processo deve specificare le modalità d'uso consentite dei dispositivi video o fotografici mobili nelle aree sicure.

Verifica: Il processo specifica gli usi consentiti dei dispositivi video/foto mobili nelle aree sicure?

Risposta: yes_noEvidenza: regolamento aree sicure, istruzioni utenti, segnaleticaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
REQ-ATOM-PHY006-022mediumphysical_securitycanonico

La creazione o trasmissione non autorizzata di materiale fotografico o video nelle aree sicure deve essere prevenuta.

REQ-CAN-EXACT-0060EXACT_NORMALIZED_TEXT · High

La creazione o trasmissione non autorizzata di materiale fotografico o video nelle aree sicure deve essere prevenuta.

Verifica: Sono adottate misure per prevenire foto o video non autorizzati nelle aree sicure?

Risposta: yes_noEvidenza: controlli fisici, policy dispositivi mobili, registri autorizzazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
MC-PHY-007MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Scrivania pulita e schermo pulito

1 controlli framework collegati

  • ISO27001FW-ISO-A-7-7Scrivania pulita e schermo pulito

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 3 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-014 · Inventario hardwareRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-054 · Programma audit interniPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici4
REQ-ATOM-PHY007-001mediumpolicy

Devono essere definite regole chiare per la gestione dei documenti cartacei sulle scrivanie e negli spazi di lavoro.

Verifica: Sono definite regole per la gestione dei documenti cartacei sulle scrivanie?

Risposta: document_referenceEvidenza: clean desk policy, politica sicurezza, istruzioni operativeApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-7-7 · ISO27001 A.7.7
REQ-ATOM-PHY007-002mediumpolicy

Devono essere definite regole chiare per l uso e la custodia dei supporti di memorizzazione rimovibili negli spazi di lavoro.

Verifica: Sono definite regole per supporti rimovibili negli spazi di lavoro?

Risposta: document_referenceEvidenza: clean desk policy, procedura supporti rimovibili, policy removable mediaApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-7-7 · ISO27001 A.7.7
REQ-ATOM-PHY007-003mediumdata_protection

Devono essere definite regole per lo schermo pulito e la protezione delle informazioni visualizzate sulle strutture di elaborazione.

Verifica: Sono definite regole per schermo pulito e protezione delle informazioni visualizzate?

Risposta: document_referenceEvidenza: clean screen policy, impostazioni blocco schermo, materiale awarenessApplicabilità: iso_onlyAutomazione: intune
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-7 · ISO27001 A.7.7
REQ-ATOM-PHY007-004lowreview

Le regole di scrivania pulita e schermo pulito devono essere opportunamente applicate.

Verifica: Le regole di scrivania pulita e schermo pulito sono applicate e verificate?

Risposta: yes_noEvidenza: audit interni, checklist walkthrough, evidenze formazioneApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-054 · Programma audit interni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-7 · ISO27001 A.7.7
MC-PHY-008MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Posizionamento e protezione delle apparecchiature

1 controlli framework collegati

  • ISO27001FW-ISO-A-7-8Posizionamento e protezione delle apparecchiature

Documenti pianificati

  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-014 · Inventario hardwareRegistro · 3 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-PHY008-001mediumphysical_security

Le apparecchiature devono essere posizionate in modo da ridurre i rischi fisici e ambientali.

Verifica: Le apparecchiature sono posizionate in modo sicuro rispetto ai rischi fisici e ambientali?

Risposta: yes_noEvidenza: planimetrie, checklist installazione, standard rack/locali tecniciApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-8 · ISO27001 A.7.8
REQ-ATOM-PHY008-002mediumtechnical_control

Le apparecchiature devono essere protette contro accessi, danni o interferenze non autorizzati.

Verifica: Le apparecchiature sono protette contro accessi, danni o interferenze non autorizzati?

Risposta: yes_noEvidenza: armadi chiusi, controllo accessi locale, protezioni rack, sopralluogoApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
ISO27001 · FW-ISO-A-7-8 · ISO27001 A.7.8
REQ-ATOM-PHY008-003mediumdata_protection

Il posizionamento delle apparecchiature deve considerare la protezione delle informazioni trattate o memorizzate.

Verifica: Il posizionamento delle apparecchiature considera la protezione delle informazioni trattate?

Risposta: yes_noEvidenza: classificazione asset, valutazione rischio, registro assetApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-8 · ISO27001 A.7.8
MC-PHY-009MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Sicurezza degli asset fuori sede

3 controlli framework collegati

  • ISO27001FW-ISO-A-7-9Sicurezza degli asset fuori sede
  • TISAX_ISA6FW-TISAX-TISAX-2-1-4Lavoro mobile regolamentato
  • TISAX_ISA6FW-TISAX-TISAX-3-1-4Gestione dispositivi IT mobili e supporti dati mobili

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 8 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-013 · Procedura gestione assetProcedura · 13 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-014 · Inventario hardwareRegistro · 10 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-025 · Registro sistemi accessibili da remotoRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-026 · Procedura MFA, password e autenticazioneProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 3 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
Requirement atomici13
REQ-ATOM-PHY009-001mediumasset_management

Gli asset utilizzati o conservati al di fuori delle sedi dell Organizzazione devono essere protetti.

Verifica: Gli asset fuori sede sono protetti secondo regole definite?

Risposta: yes_noEvidenza: procedura asset fuori sede, registro consegna, policy lavoro mobileApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-9 · ISO27001 A.7.9
REQ-ATOM-PHY009-002highphysical_security

La protezione degli asset fuori sede deve coprire perdita, furto, accesso non autorizzato e danneggiamento quando applicabile.

Verifica: La protezione degli asset fuori sede copre perdita, furto, accesso non autorizzato e danneggiamento?

Risposta: yes_noEvidenza: istruzioni utenti, MDM, cifratura, registro incidenti assetApplicabilità: iso_onlyAutomazione: intune
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-9 · ISO27001 A.7.9
REQ-ATOM-PHY009-003mediumdata_protection

Le regole per asset fuori sede devono essere coerenti con il livello di classificazione e trattamento delle informazioni.

Verifica: Le regole per asset fuori sede sono coerenti con classificazione e trattamento delle informazioni?

Risposta: yes_noEvidenza: schema classificazione, policy asset, standard mobile deviceApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-9 · ISO27001 A.7.9
REQ-ATOM-PHY009-004mediumprocesscanonico

I requisiti per lavoro mobile o telelavoro devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0228EXACT_NORMALIZED_TEXT · High

I requisiti per il lavoro mobile o telelavoro devono essere determinati e soddisfatti.

Verifica: I requisiti per lavoro mobile e telelavoro sono determinati e soddisfatti?

Risposta: yes_noEvidenza: policy lavoro mobile, procedura smart working, istruzioni operativeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
REQ-ATOM-PHY009-005mediumdata_protectioncanonico

Il lavoro mobile deve prevedere regole per gestione sicura e accesso alle informazioni in ambienti privati e pubblici.

REQ-CAN-EXACT-0145EXACT_NORMALIZED_TEXT · High

Il lavoro mobile deve prevedere regole per gestione sicura e accesso alle informazioni in ambienti privati e pubblici.

Verifica: Il lavoro mobile prevede regole per gestione sicura delle informazioni in ambienti privati e pubblici?

Risposta: yes_noEvidenza: policy lavoro mobile, istruzioni uso asset fuori sedeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
REQ-ATOM-PHY009-006highaccess_controlcanonico

L accesso alla rete dell Organizzazione da lavoro mobile deve usare una connessione sicura e autenticazione forte.

REQ-CAN-EXACT-0002EXACT_NORMALIZED_TEXT · High

L accesso alla rete dell Organizzazione da lavoro mobile deve usare connessione sicura e autenticazione forte.

Verifica: L accesso remoto alla rete usa connessione sicura e autenticazione forte?

Risposta: yes_noEvidenza: configurazioni VPN/ZTNA, MFA, conditional accessApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-025 · Registro sistemi accessibili da remoto · evidenza · OK_EVIDENCE_OR_REGISTERDOC-026 · Procedura MFA, password e autenticazione · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
REQ-ATOM-PHY009-007lowprocess

Devono essere considerate misure per viaggi e trasferte, inclusi viaggi verso paesi critici per la sicurezza.

Verifica: Sono considerate misure per viaggi e paesi critici per la sicurezza?

Risposta: yes_noEvidenza: travel security policy, istruzioni viaggio, comunicazioni awarenessApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
REQ-ATOM-PHY009-008mediumphysical_securitycanonico

Devono essere attuate misure contro ascolto e visione non autorizzati durante il lavoro mobile quando applicabile.

REQ-CAN-EXACT-0040EXACT_NORMALIZED_TEXT · High

Devono essere attuate misure contro ascolto e visione non autorizzati durante il lavoro mobile quando applicabile.

Verifica: Sono attuate misure contro ascolto e visione non autorizzati nel lavoro mobile?

Risposta: yes_noEvidenza: privacy screen, istruzioni lavoro in luoghi pubblici, formazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-2-1-4 · TISAX ISA6 2.1.4
REQ-ATOM-PHY009-009hightechnical_controlcanonico

I requisiti per dispositivi IT mobili e supporti dati mobili devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0225EXACT_NORMALIZED_TEXT · High

I requisiti per dispositivi IT mobili e supporti dati mobili devono essere determinati e soddisfatti.

Verifica: I requisiti per dispositivi mobili e supporti mobili sono determinati e soddisfatti?

Risposta: yes_noEvidenza: policy mobile device, configurazioni MDM, procedura supporti mobiliApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-PHY009-010hightechnical_controlcanonico

I dispositivi mobili e i supporti mobili devono considerare cifratura, protezione di accesso e marcatura quando applicabile.

REQ-CAN-EXACT-0102EXACT_NORMALIZED_TEXT · High

I dispositivi mobili e i supporti mobili devono considerare cifratura, protezione di accesso e marcatura quando applicabile.

Verifica: Dispositivi e supporti mobili prevedono cifratura, protezione accesso e marcatura?

Risposta: yes_noEvidenza: MDM, cifratura device, inventario dispositivi, etichette assetApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-PHY009-011highasset_managementcanonico

I dispositivi IT mobili devono essere registrati.

REQ-CAN-EXACT-0101EXACT_NORMALIZED_TEXT · High

I dispositivi IT mobili devono essere registrati.

Verifica: I dispositivi IT mobili sono registrati?

Risposta: yes_noEvidenza: inventario dispositivi mobili, export MDM, registro assetApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-PHY009-012mediumtrainingcanonico

Gli utenti devono essere informati delle eventuali carenze di protezione dati sui dispositivi mobili.

REQ-CAN-EXACT-0295EXACT_NORMALIZED_TEXT · High

Gli utenti devono essere informati delle eventuali carenze di protezione dati sui dispositivi mobili.

Verifica: Gli utenti sono informati delle carenze di protezione dati sui dispositivi mobili?

Risposta: yes_noEvidenza: istruzioni utenti, awareness mobile security, comunicazioni policyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-PHY009-013highdata_protectioncanonico

I supporti mobili o le informazioni ivi memorizzate devono essere cifrati o protetti con misure equivalenti quando la cifratura non è tecnicamente possibile.

REQ-CAN-EXACT-0284EXACT_NORMALIZED_TEXT · High

I supporti mobili o le informazioni ivi memorizzate devono essere cifrati o protetti con misure equivalenti quando la cifratura non è tecnicamente possibile.

Verifica: Supporti mobili o dati memorizzati sono cifrati o protetti con misure equivalenti?

Risposta: yes_noEvidenza: cifratura USB/device, policy removable media, registro eccezioniApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
MC-PHY-010MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Supporti di memorizzazione

4 controlli framework collegati

  • ISO27001FW-ISO-A-7-10Supporti di memorizzazione
  • TISAX_ISA6FW-TISAX-TISAX-3-1-4Gestione dispositivi IT mobili e supporti dati mobili
  • TISAX_ISA6FW-TISAX-TISAX-3-1-3Gestione degli asset di supporto
  • NIS2_ESSENZIALEFW-NIS-PR-DS-01Dati a riposo protetti

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 6 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-013 · Procedura gestione assetProcedura · 7 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 11 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-040 · Procedura hardening e configurazione sicuraProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-071 · Standard crittografia, cifratura e gestione delle chiaviStandard / procedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici17
REQ-ATOM-PHY010-001highasset_management

I supporti di memorizzazione devono essere gestiti lungo l intero ciclo di vita, dall acquisizione allo smaltimento.

Verifica: I supporti di memorizzazione sono gestiti lungo l intero ciclo di vita?

Risposta: yes_noEvidenza: procedura supporti, registro supporti, procedura dismissioneApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-10 · ISO27001 A.7.10
REQ-ATOM-PHY010-002highdata_protection

L uso dei supporti di memorizzazione deve essere conforme allo schema di classificazione dell Organizzazione.

Verifica: L uso dei supporti di memorizzazione è coerente con lo schema di classificazione?

Risposta: yes_noEvidenza: schema classificazione, istruzioni trattamento dati, registro supportiApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-10 · ISO27001 A.7.10
REQ-ATOM-PHY010-003mediumprocess

Il trasporto dei supporti di memorizzazione deve rispettare i requisiti di trattamento applicabili.

Verifica: Il trasporto dei supporti di memorizzazione è regolato e tracciato quando applicabile?

Risposta: yes_noEvidenza: procedura trasporto supporti, registro consegna, evidenze corriere sicuroApplicabilità: iso_onlyAutomazione: manual
ISO27001 · FW-ISO-A-7-10 · ISO27001 A.7.10
REQ-ATOM-PHY010-004highdata_protection

Lo smaltimento dei supporti di memorizzazione deve avvenire secondo modalità sicure coerenti con il contenuto e la classificazione.

Verifica: Lo smaltimento dei supporti avviene con modalità sicure coerenti con la classificazione?

Risposta: yes_noEvidenza: certificati distruzione, verbali wiping, procedura dismissione sicuraApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-10 · ISO27001 A.7.10
REQ-ATOM-PHY010-005highdata_protection

Per almeno i sistemi informativi e di rete rilevanti, i dati memorizzati su dispositivi portatili e supporti rimovibili devono essere cifrati con protocolli e algoritmi considerati sicuri, salvo motivate ragioni normative o tecniche.

Verifica: I dati su dispositivi portatili e supporti rimovibili sono cifrati con algoritmi sicuri?

Risposta: yes_noEvidenza: report cifratura endpoint, policy BitLocker/FileVault, configurazioni MDM, eccezioni documentateApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01 punto 1
REQ-ATOM-PHY010-006hightechnical_controlcanonico

L auto esecuzione dei supporti rimovibili deve essere disabilitata, salvo motivate ragioni normative o tecniche.

REQ-CAN-EXACT-0041EXACT_NORMALIZED_TEXT · High

L'auto-esecuzione dei supporti rimovibili deve essere disabilitata, salvo motivate ragioni normative o tecniche.

Verifica: L auto esecuzione dei supporti rimovibili è disabilitata?

Risposta: yes_noEvidenza: GPO/Intune, configurazioni endpoint, baseline hardeningApplicabilità: nis2_essenziale_onlyAutomazione: intune
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-040 · Procedura hardening e configurazione sicura · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01 punto 2
REQ-ATOM-PHY010-007hightechnical_control

I supporti rimovibili devono essere sottoposti a scansione per rilevare codice malevolo prima dell utilizzo nei sistemi informativi e di rete.

Verifica: I supporti rimovibili sono scansionati prima dell utilizzo?

Risposta: yes_noEvidenza: policy antivirus/EDR, configurazioni scansione USB, log EDRApplicabilità: nis2_essenziale_onlyAutomazione: defender
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01 punto 2
REQ-ATOM-PHY010-008mediumprocess

Devono essere adottate e documentate procedure per cifratura, disabilitazione auto esecuzione e scansione dei supporti rimovibili.

Verifica: Sono documentate procedure per cifratura e gestione sicura dei supporti rimovibili?

Risposta: document_referenceEvidenza: procedura sicurezza dati, policy removable media, baseline endpointApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-DS-01 · NIS2 Allegato 2 PR.DS-01 punto 3
REQ-ATOM-PHY010-009mediumasset_managementcanonico

Devono essere determinati e rispettati i requisiti per la gestione degli asset di supporto durante il loro ciclo di vita.

REQ-CAN-EXACT-0085EXACT_NORMALIZED_TEXT · High

Devono essere determinati e rispettati i requisiti per la gestione degli asset di supporto durante il loro ciclo di vita.

Verifica: Sono definiti e rispettati requisiti per la gestione degli asset di supporto?

Risposta: yes_noEvidenza: procedura gestione asset di supporto, registro assetApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3
REQ-ATOM-PHY010-010mediumasset_managementcanonico

I requisiti di gestione degli asset di supporto devono coprire trasporto, conservazione, riparazione, perdita, restituzione e dismissione quando applicabili.

REQ-CAN-EXACT-0226EXACT_NORMALIZED_TEXT · High

I requisiti di gestione degli asset di supporto devono coprire trasporto, conservazione, riparazione, perdita, restituzione e dismissione quando applicabili.

Verifica: La procedura copre trasporto, conservazione, riparazione, perdita, restituzione e dismissione degli asset di supporto?

Risposta: yes_noEvidenza: procedura asset, registro movimentazioni, ticket riparazione/dismissioneApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3
REQ-ATOM-PHY010-011mediumdata_protectioncanonico

Gli asset di supporto devono essere protetti durante uso e dismissione.

REQ-CAN-EXACT-0035EXACT_NORMALIZED_TEXT · High

Gli asset di supporto devono essere protetti durante uso e dismissione.

Verifica: Gli asset di supporto sono protetti durante uso e dismissione?

Risposta: yes_noEvidenza: procedura dismissione, evidenze wiping/distruzione, inventario assetApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3
REQ-ATOM-PHY010-012mediumprocess

La dismissione degli asset di supporto deve seguire modalità sicure adeguate al livello di protezione.

Verifica: La dismissione degli asset di supporto segue modalità sicure adeguate?

Risposta: yes_noEvidenza: certificati distruzione, verbali dismissione, standard disposalApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-3 · TISAX ISA6 3.1.3
REQ-ATOM-PHY010-013hightechnical_controlcanonico

I requisiti per dispositivi IT mobili e supporti dati mobili devono essere determinati e soddisfatti.

REQ-CAN-EXACT-0225EXACT_NORMALIZED_TEXT · High

I requisiti per dispositivi IT mobili e supporti dati mobili devono essere determinati e soddisfatti.

Verifica: I requisiti per dispositivi mobili e supporti mobili sono determinati e soddisfatti?

Risposta: yes_noEvidenza: policy mobile device, configurazioni MDM, procedura supporti mobiliApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-PHY010-014hightechnical_controlcanonico

I dispositivi mobili e i supporti mobili devono considerare cifratura, protezione di accesso e marcatura quando applicabile.

REQ-CAN-EXACT-0102EXACT_NORMALIZED_TEXT · High

I dispositivi mobili e i supporti mobili devono considerare cifratura, protezione di accesso e marcatura quando applicabile.

Verifica: Dispositivi e supporti mobili prevedono cifratura, protezione accesso e marcatura?

Risposta: yes_noEvidenza: MDM, cifratura device, inventario dispositivi, etichette assetApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-PHY010-015highasset_managementcanonico

I dispositivi IT mobili devono essere registrati.

REQ-CAN-EXACT-0101EXACT_NORMALIZED_TEXT · High

I dispositivi IT mobili devono essere registrati.

Verifica: I dispositivi IT mobili sono registrati?

Risposta: yes_noEvidenza: inventario dispositivi mobili, export MDM, registro assetApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-PHY010-016mediumtrainingcanonico

Gli utenti devono essere informati delle eventuali carenze di protezione dati sui dispositivi mobili.

REQ-CAN-EXACT-0295EXACT_NORMALIZED_TEXT · High

Gli utenti devono essere informati delle eventuali carenze di protezione dati sui dispositivi mobili.

Verifica: Gli utenti sono informati delle carenze di protezione dati sui dispositivi mobili?

Risposta: yes_noEvidenza: istruzioni utenti, awareness mobile security, comunicazioni policyApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
REQ-ATOM-PHY010-017highdata_protectioncanonico

I supporti mobili o le informazioni ivi memorizzate devono essere cifrati o protetti con misure equivalenti quando la cifratura non è tecnicamente possibile.

REQ-CAN-EXACT-0284EXACT_NORMALIZED_TEXT · High

I supporti mobili o le informazioni ivi memorizzate devono essere cifrati o protetti con misure equivalenti quando la cifratura non è tecnicamente possibile.

Verifica: Supporti mobili o dati memorizzati sono cifrati o protetti con misure equivalenti?

Risposta: yes_noEvidenza: cifratura USB/device, policy removable media, registro eccezioniApplicabilità: tisax_onlyAutomazione: intune
Copertura requirement
DOC-071 · Standard crittografia, cifratura e gestione delle chiavi · di supporto · OK_SUPPORTINGDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-3-1-4 · TISAX ISA6 3.1.4
MC-PHY-011MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Infrastrutture di supporto

1 controlli framework collegati

  • ISO27001FW-ISO-A-7-11Infrastrutture di supporto

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 3 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-PHY011-001highcontinuity

Le strutture di elaborazione delle informazioni devono essere protette da interruzioni di corrente.

Verifica: Le strutture di elaborazione sono protette da interruzioni di corrente?

Risposta: yes_noEvidenza: UPS, gruppo elettrogeno, test impianti, contratto manutenzioneApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-11 · ISO27001 A.7.11
REQ-ATOM-PHY011-002highcontinuity

Le strutture di elaborazione devono essere protette da guasti o interruzioni delle infrastrutture di supporto.

Verifica: Le strutture di elaborazione sono protette da guasti delle infrastrutture di supporto?

Risposta: yes_noEvidenza: manutenzione impianti, monitoraggio ambientale, piano continuitàApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-11 · ISO27001 A.7.11
REQ-ATOM-PHY011-003highcontinuity

Le protezioni delle infrastrutture di supporto devono essere adeguate alla continuità richiesta dai servizi informativi.

Verifica: Le protezioni delle infrastrutture di supporto sono adeguate ai requisiti di continuità?

Risposta: yes_noEvidenza: BIA, requisiti RTO/RPO, piano continuità, test periodiciApplicabilità: iso_onlyAutomazione: backup_system
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-11 · ISO27001 A.7.11
MC-PHY-012MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Sicurezza dei cablaggi

1 controlli framework collegati

  • ISO27001FW-ISO-A-7-12Sicurezza dei cablaggi

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 3 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 3 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-PHY012-001mediumphysical_security

I cavi che trasportano alimentazione devono essere protetti da danni, interferenze o accessi non autorizzati.

Verifica: I cavi di alimentazione sono protetti da danni, interferenze o accessi non autorizzati?

Risposta: yes_noEvidenza: planimetrie cablaggio, sopralluogo, canaline protette, rack chiusiApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-12 · ISO27001 A.7.12
REQ-ATOM-PHY012-002mediumtechnical_control

I cavi che trasportano dati o servizi informativi di supporto devono essere protetti da intercettazioni.

Verifica: I cavi dati sono protetti contro intercettazioni non autorizzate?

Risposta: yes_noEvidenza: documentazione rete, canalizzazioni, controlli locali tecniciApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-12 · ISO27001 A.7.12
REQ-ATOM-PHY012-003mediumcontinuity

I cablaggi devono essere protetti da interferenze o danneggiamenti che possano compromettere i servizi informativi.

Verifica: I cablaggi sono protetti da interferenze o danni che possano compromettere i servizi?

Risposta: yes_noEvidenza: standard cablaggio, report manutenzione, verifiche infrastrutturaliApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-12 · ISO27001 A.7.12
MC-PHY-013MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Manutenzione delle apparecchiature

2 controlli framework collegati

  • ISO27001FW-ISO-A-7-13Manutenzione delle apparecchiature
  • NIS2_ESSENZIALEFW-NIS-PR-PS-03Hardware mantenuto, sostituito e rimosso in base al rischio

Documenti pianificati

  • DOC-013 · Procedura gestione assetProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 3 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici6
REQ-ATOM-PHY013-001mediumprocess

Le apparecchiature rilevanti devono essere incluse in un perimetro di manutenzione definito e tracciabile.

Verifica: Le apparecchiature rilevanti sono incluse in un perimetro di manutenzione definito?

Risposta: document_referenceEvidenza: procedura manutenzione, elenco asset, piano manutenzioneApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-13 · ISO27001 A.7.13
REQ-ATOM-PHY013-002mediumtechnical_control

La manutenzione delle apparecchiature deve essere eseguita correttamente per preservare disponibilità, integrità e riservatezza delle informazioni trattate.

Verifica: La manutenzione delle apparecchiature è eseguita in modo da tutelare disponibilità, integrità e riservatezza delle informazioni?

Risposta: yes_noEvidenza: registro manutenzioni, ticket, report interventoApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-13 · ISO27001 A.7.13
REQ-ATOM-PHY013-003mediumevidence

Gli interventi di manutenzione devono essere registrati con informazioni sufficienti a dimostrare data, oggetto, esito e soggetto esecutore.

Verifica: Gli interventi di manutenzione sono registrati con data, oggetto, esito e soggetto esecutore?

Risposta: file_attachmentEvidenza: registro manutenzioni, ticket, verbale interventoApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-13 · ISO27001 A.7.13
REQ-ATOM-PHY013-004mediumprocesscanonico

Per i sistemi informativi e di rete rilevanti devono essere adottate e documentate procedure per trasferire fisicamente in modo sicuro i dispositivi che memorizzano dati.

REQ-CAN-EXACT-0260EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere adottate e documentate procedure per trasferire fisicamente in modo sicuro i dispositivi che memorizzano dati.

Verifica: Sono documentate procedure per il trasferimento fisico sicuro dei dispositivi che memorizzano dati?

Risposta: document_referenceEvidenza: procedura trasferimento asset, checklist movimentazioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-03 · NIS2 Allegato 2 PR.PS-03
REQ-ATOM-PHY013-005highprocesscanonico

Per i sistemi informativi e di rete rilevanti devono essere adottate e documentate procedure per dismettere in modo sicuro i dispositivi che memorizzano dati.

REQ-CAN-EXACT-0259EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere adottate e documentate procedure per dismettere in modo sicuro i dispositivi che memorizzano dati.

Verifica: Sono documentate procedure per la dismissione sicura dei dispositivi che memorizzano dati?

Risposta: document_referenceEvidenza: procedura dismissione asset, checklist dismissione, certificato cancellazioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-03 · NIS2 Allegato 2 PR.PS-03
REQ-ATOM-PHY013-006mediumevidencecanonico

Per l’hardware rilevante devono essere mantenuti uno o più registri delle manutenzioni effettuate.

REQ-CAN-EXACT-0132EXACT_NORMALIZED_TEXT · High

Per l’hardware rilevante devono essere mantenuti uno o più registri delle manutenzioni effettuate.

Verifica: È mantenuto un registro delle manutenzioni effettuate sull’hardware rilevante?

Risposta: file_attachmentEvidenza: registro manutenzioni, ticket, report interventiApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-03 · NIS2 Allegato 2 PR.PS-03
MC-PHY-014MA-PHY · Physical SecurityMediumPerimetri, accessi fisici, aree sicure, asset fuori sede, cablaggi, utilities.

Dismissione sicura o riutilizzo delle apparecchiature

2 controlli framework collegati

  • ISO27001FW-ISO-A-7-14Dismissione sicura o riutilizzo delle apparecchiature
  • NIS2_ESSENZIALEFW-NIS-PR-PS-03Hardware mantenuto, sostituito e rimosso in base al rischio

Documenti pianificati

  • DOC-013 · Procedura gestione assetProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 3 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-016 · Registro sistemi informativi e di rete rilevantiRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici7
REQ-ATOM-PHY014-001highprocess

Prima dello smaltimento o del riutilizzo, le apparecchiature con supporti di memorizzazione devono essere verificate per individuare dati sensibili o software soggetto a licenza.

Verifica: Prima dello smaltimento o riutilizzo viene verificata la presenza di dati sensibili o software soggetto a licenza?

Risposta: yes_noEvidenza: checklist dismissione, verbale verifica assetApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-14 · ISO27001 A.7.14
REQ-ATOM-PHY014-002highdata_protection

I dati sensibili presenti su apparecchiature da smaltire o riutilizzare devono essere rimossi o sovrascritti con modalità sicure.

Verifica: I dati sensibili sono rimossi o sovrascritti in modo sicuro prima di smaltire o riutilizzare l’apparecchiatura?

Risposta: yes_noEvidenza: certificato cancellazione, report wiping, verbale distruzioneApplicabilità: iso_onlyAutomazione: semi_automatic
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-14 · ISO27001 A.7.14
REQ-ATOM-PHY014-003mediumcompliance

Il software soggetto a licenza deve essere rimosso dalle apparecchiature prima del loro smaltimento o riutilizzo, quando applicabile.

Verifica: Il software soggetto a licenza viene rimosso prima dello smaltimento o riutilizzo dell’apparecchiatura?

Risposta: yes_noEvidenza: checklist dismissione, evidenza rimozione software, registro licenzeApplicabilità: iso_onlyAutomazione: asset_inventory
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-14 · ISO27001 A.7.14
REQ-ATOM-PHY014-004mediumevidence

La dismissione o il riutilizzo delle apparecchiature deve produrre un’evidenza conservabile dell’esito delle verifiche effettuate.

Verifica: È conservata evidenza dell’esito delle verifiche eseguite prima di dismettere o riutilizzare l’apparecchiatura?

Risposta: file_attachmentEvidenza: verbale dismissione, registro asset aggiornato, certificato cancellazioneApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-7-14 · ISO27001 A.7.14
REQ-ATOM-PHY014-005mediumprocesscanonico

Per i sistemi informativi e di rete rilevanti devono essere adottate e documentate procedure per trasferire fisicamente in modo sicuro i dispositivi che memorizzano dati.

REQ-CAN-EXACT-0260EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere adottate e documentate procedure per trasferire fisicamente in modo sicuro i dispositivi che memorizzano dati.

Verifica: Sono documentate procedure per il trasferimento fisico sicuro dei dispositivi che memorizzano dati?

Risposta: document_referenceEvidenza: procedura trasferimento asset, checklist movimentazioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-03 · NIS2 Allegato 2 PR.PS-03
REQ-ATOM-PHY014-006highprocesscanonico

Per i sistemi informativi e di rete rilevanti devono essere adottate e documentate procedure per dismettere in modo sicuro i dispositivi che memorizzano dati.

REQ-CAN-EXACT-0259EXACT_NORMALIZED_TEXT · High

Per i sistemi informativi e di rete rilevanti devono essere adottate e documentate procedure per dismettere in modo sicuro i dispositivi che memorizzano dati.

Verifica: Sono documentate procedure per la dismissione sicura dei dispositivi che memorizzano dati?

Risposta: document_referenceEvidenza: procedura dismissione asset, checklist dismissione, certificato cancellazioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-016 · Registro sistemi informativi e di rete rilevanti · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-03 · NIS2 Allegato 2 PR.PS-03
REQ-ATOM-PHY014-007mediumevidencecanonico

Per l’hardware rilevante devono essere mantenuti uno o più registri delle manutenzioni effettuate.

REQ-CAN-EXACT-0132EXACT_NORMALIZED_TEXT · High

Per l’hardware rilevante devono essere mantenuti uno o più registri delle manutenzioni effettuate.

Verifica: È mantenuto un registro delle manutenzioni effettuate sull’hardware rilevante?

Risposta: file_attachmentEvidenza: registro manutenzioni, ticket, report interventiApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
NIS2_ESSENZIALE · FW-NIS-PR-PS-03 · NIS2 Allegato 2 PR.PS-03
MC-RISK-001MA-RISK · Risk ManagementHighGestione del rischio, minacce, intelligence, trattamento e monitoraggio dei rischi.

Gestione del rischio per la sicurezza delle informazioni

Serve per piano, valutazione e trattamento del rischio NIS2; i mapping attuali su requisiti legali sono semanticamente deboli. Controlli NIS2 attivanti: FW-NIS-GV-RM-03, FW-NIS-ID-RA-05, FW-NIS-ID-RA-06. Stato audit: già candidato da file candidati_master.txt.

4 controlli framework collegati

  • TISAX_ISA6FW-TISAX-TISAX-1-4-1Rischi di sicurezza informazioni gestiti
  • NIS2_ESSENZIALEFW-NIS-GV-RM-03Piano di gestione dei rischi di cybersecurity definito e documentato
  • NIS2_ESSENZIALEFW-NIS-ID-RA-05Minacce, vulnerabilità, probabilità e impatti usati per comprendere il rischio
  • NIS2_ESSENZIALEFW-NIS-ID-RA-06Risposte al rischio selezionate, prioritizzate, pianificate e monitorate

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 3 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 2 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-034 · Metodologia di valutazione rischio cyberDocumento metodologico · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-035 · Risk RegisterRegistro · 10 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-036 · Piano di trattamento del rischioPiano · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-038 · Registro accettazione rischi residuiRegistro · 3 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-043 · Procedura gestione incidenti e notifica CSIRTProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici33
REQ-ATOM-RISK001-001highgovernance

Deve essere definito un piano di gestione dei rischi di sicurezza informatica integrato nei processi di gestione del rischio dell’Organizzazione.

Verifica: È definito un piano di gestione dei rischi di sicurezza informatica integrato nei processi di risk management?

Risposta: document_referenceEvidenza: piano gestione rischi, metodologia rischioApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RM-03 · NIS2 Allegato 2 GV.RM-03
REQ-ATOM-RISK001-002highprocess

Il piano di gestione dei rischi di sicurezza informatica deve essere attuato dall’Organizzazione.

Verifica: Il piano di gestione dei rischi di sicurezza informatica è attuato operativamente?

Risposta: yes_noEvidenza: registro rischi, piano trattamento, verbali avanzamentoApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-035 · Risk Register · evidenza · OK_EVIDENCE_OR_REGISTER
NIS2_ESSENZIALE · FW-NIS-GV-RM-03 · NIS2 Allegato 2 GV.RM-03
REQ-ATOM-RISK001-003mediumreview

Il piano di gestione dei rischi deve essere mantenuto aggiornato nel tempo.

Verifica: Il piano di gestione dei rischi di sicurezza informatica è aggiornato quando necessario?

Risposta: dateEvidenza: registro revisioni, versione piano, verbale riesameApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
NIS2_ESSENZIALE · FW-NIS-GV-RM-03 · NIS2 Allegato 2 GV.RM-03
REQ-ATOM-RISK001-004highevidence

Il piano di gestione dei rischi deve essere documentato e disponibile come evidenza verificabile.

Verifica: Il piano di gestione dei rischi è documentato e disponibile?

Risposta: document_referenceEvidenza: piano gestione rischi approvatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
NIS2_ESSENZIALE · FW-NIS-GV-RM-03 · NIS2 Allegato 2 GV.RM-03
REQ-ATOM-RISK001-005highprocess

Il piano deve coprire l’identificazione, l’analisi, la valutazione, il trattamento e il monitoraggio dei rischi di sicurezza informatica.

Verifica: Il piano copre identificazione, analisi, valutazione, trattamento e monitoraggio dei rischi?

Risposta: yes_noEvidenza: metodologia rischio, registro rischi, piano trattamentoApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-035 · Risk Register · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-RM-03 · NIS2 Allegato 2 GV.RM-03
REQ-ATOM-RISK001-006highprocess

La valutazione del rischio deve essere eseguita e documentata per la sicurezza dei sistemi informativi e di rete.

Verifica: È eseguita e documentata una valutazione del rischio sui sistemi informativi e di rete?

Risposta: document_referenceEvidenza: risk assessment, registro rischiApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-035 · Risk Register · evidenza · OK_EVIDENCE_OR_REGISTER
NIS2_ESSENZIALE · FW-NIS-ID-RA-05 · NIS2 Allegato 2 ID.RA-05
REQ-ATOM-RISK001-007mediumsupplier

La valutazione del rischio deve considerare anche dipendenze da fornitori e partner terzi, quando presenti.

Verifica: La valutazione del rischio considera le dipendenze da fornitori e partner terzi?

Risposta: yes_noEvidenza: risk assessment fornitori, registro fornitori criticiApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-05 · NIS2 Allegato 2 ID.RA-05
REQ-ATOM-RISK001-008highprocess

La valutazione del rischio deve includere l’identificazione dei rischi.

Verifica: La valutazione del rischio include l’identificazione dei rischi?

Risposta: yes_noEvidenza: registro rischi, metodologia rischioApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-035 · Risk Register · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-05 · NIS2 Allegato 2 ID.RA-05
REQ-ATOM-RISK001-009highprocess

La valutazione del rischio deve includere l’analisi dei rischi individuati.

Verifica: La valutazione del rischio include l’analisi dei rischi individuati?

Risposta: yes_noEvidenza: schede rischio, matrice impatto-probabilitàApplicabilità: nis2_essenziale_onlyAutomazione: manual
NIS2_ESSENZIALE · FW-NIS-ID-RA-05 · NIS2 Allegato 2 ID.RA-05
REQ-ATOM-RISK001-010highprocess

La valutazione del rischio deve includere la ponderazione o prioritizzazione dei rischi.

Verifica: La valutazione del rischio include la ponderazione o prioritizzazione dei rischi?

Risposta: yes_noEvidenza: matrice rischio, criteri accettazione rischioApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-038 · Registro accettazione rischi residui · evidenza · OK_EVIDENCE_OR_REGISTER
NIS2_ESSENZIALE · FW-NIS-ID-RA-05 · NIS2 Allegato 2 ID.RA-05
REQ-ATOM-RISK001-011mediumreview

La valutazione del rischio deve essere eseguita a intervalli pianificati e almeno ogni due anni.

Verifica: La valutazione del rischio è eseguita a intervalli pianificati e almeno ogni due anni?

Risposta: dateEvidenza: calendario riesami, ultima valutazione rischioApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
NIS2_ESSENZIALE · FW-NIS-ID-RA-05 · NIS2 Allegato 2 ID.RA-05
REQ-ATOM-RISK001-012mediumreview

La valutazione del rischio deve essere aggiornata in caso di incidenti significativi, variazioni organizzative o cambiamenti rilevanti dell’esposizione alle minacce.

Verifica: La valutazione del rischio viene riesaminata in caso di incidenti, variazioni organizzative o cambiamenti dell’esposizione alle minacce?

Risposta: yes_noEvidenza: verbali riesame, change record, incident reportApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-05 · NIS2 Allegato 2 ID.RA-05
REQ-ATOM-RISK001-013highgovernance

La valutazione del rischio deve essere approvata dagli organi di amministrazione e direttivi.

Verifica: La valutazione del rischio è approvata dagli organi di amministrazione e direttivi?

Risposta: document_referenceEvidenza: verbale approvazione, risk assessment approvatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · di supporto · WEAK_MATCH_SUPPORT_ONLY
NIS2_ESSENZIALE · FW-NIS-ID-RA-05 · NIS2 Allegato 2 ID.RA-05
REQ-ATOM-RISK001-014highprocess

La valutazione del rischio deve considerare minacce interne ed esterne, vulnerabilità non risolte e impatti conseguenti a possibili incidenti.

Verifica: La valutazione del rischio considera minacce interne ed esterne, vulnerabilità non risolte e impatti degli incidenti?

Risposta: yes_noEvidenza: risk assessment, vulnerability register, scenari di rischioApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-05 · NIS2 Allegato 2 ID.RA-05
REQ-ATOM-RISK001-015highprocess

Deve essere definito e documentato un piano di trattamento dei rischi di sicurezza informatica.

Verifica: È definito e documentato un piano di trattamento dei rischi di sicurezza informatica?

Risposta: document_referenceEvidenza: piano trattamento rischiApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-036 · Piano di trattamento del rischio · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06
REQ-ATOM-RISK001-016highmonitoring

Il piano di trattamento dei rischi deve essere eseguito e monitorato.

Verifica: Il piano di trattamento dei rischi è eseguito e monitorato?

Risposta: yes_noEvidenza: stato azioni, registro avanzamento, verbali follow-upApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-036 · Piano di trattamento del rischio · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06
REQ-ATOM-RISK001-017highprocess

Il piano deve indicare le opzioni di trattamento e le misure da attuare per ciascun rischio individuato.

Verifica: Il piano indica opzioni di trattamento e misure da attuare per ciascun rischio?

Risposta: yes_noEvidenza: piano trattamento, registro rischiApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-035 · Risk Register · evidenza · OK_EVIDENCE_OR_REGISTER
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06
REQ-ATOM-RISK001-018mediumprocess

Il piano deve indicare le priorità delle misure di trattamento dei rischi.

Verifica: Il piano indica le priorità delle misure di trattamento?

Risposta: yes_noEvidenza: piano trattamento con prioritàApplicabilità: nis2_essenziale_onlyAutomazione: manual
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06
REQ-ATOM-RISK001-019mediumowner

Il piano deve indicare le articolazioni o i responsabili competenti per l’attuazione delle misure.

Verifica: Il piano indica i responsabili o le funzioni competenti per attuare le misure?

Risposta: ownerEvidenza: piano trattamento con ownerApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-020 · Registro asset informativi e owner · evidenza · OK_EVIDENCE_OR_REGISTER
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06
REQ-ATOM-RISK001-020mediumprocess

Il piano deve indicare le tempistiche previste per attuare le misure di trattamento.

Verifica: Il piano indica le tempistiche di attuazione delle misure di trattamento?

Risposta: dateEvidenza: piano trattamento con scadenzeApplicabilità: nis2_essenziale_onlyAutomazione: manual
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06
REQ-ATOM-RISK001-021highgovernance

L’accettazione dei rischi residui deve essere descritta e motivata nel piano.

Verifica: L’accettazione dei rischi residui è descritta e motivata?

Risposta: long_textEvidenza: registro rischi residui, verbale accettazione rischioApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-038 · Registro accettazione rischi residui · evidenza · OK_EVIDENCE_OR_REGISTERDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-035 · Risk Register · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06
REQ-ATOM-RISK001-022mediumcompliance

Le misure compensative e il rischio residuo devono essere documentati quando requisiti applicabili non sono attuati per motivate ragioni normative o tecniche.

Verifica: Le misure compensative e il rischio residuo sono documentati quando requisiti applicabili non sono attuati?

Risposta: long_textEvidenza: piano trattamento, registro eccezioni, motivazioni tecniche/normativeApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06
REQ-ATOM-RISK001-023highgovernance

Il piano di trattamento, inclusa l’accettazione di eventuali rischi residui, deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano di trattamento e l’accettazione dei rischi residui sono approvati dagli organi competenti?

Risposta: document_referenceEvidenza: verbale approvazione, piano trattamento approvatoApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-064 · Registro approvazioni organi direttivi · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-036 · Piano di trattamento del rischio · di supporto · OK_SUPPORTINGDOC-038 · Registro accettazione rischi residui · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-RA-06 · NIS2 Allegato 2 ID.RA-06
REQ-ATOM-RISK001-024highprocess

Le valutazioni dei rischi di sicurezza delle informazioni devono essere eseguite periodicamente.

Verifica: Le valutazioni dei rischi di sicurezza delle informazioni sono eseguite a intervalli regolari?

Risposta: dateEvidenza: piano risk assessment, registro rischiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-035 · Risk Register · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
REQ-ATOM-RISK001-025mediumreview

Le valutazioni dei rischi di sicurezza delle informazioni devono essere eseguite anche in risposta a eventi rilevanti.

Verifica: Le valutazioni dei rischi sono aggiornate in risposta a eventi rilevanti?

Risposta: yes_noEvidenza: verbali riesame, incident report, change recordApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-043 · Procedura gestione incidenti e notifica CSIRT · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
REQ-ATOM-RISK001-026highprocess

I rischi di sicurezza delle informazioni devono essere valutati considerando probabilità di accadimento e potenziale danno.

Verifica: I rischi sono valutati considerando probabilità di accadimento e potenziale danno?

Risposta: yes_noEvidenza: matrice rischio, criteri valutazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
REQ-ATOM-RISK001-027highevidence

I rischi di sicurezza delle informazioni devono essere documentati.

Verifica: I rischi di sicurezza delle informazioni sono documentati?

Risposta: document_referenceEvidenza: registro rischiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-035 · Risk Register · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
REQ-ATOM-RISK001-028highowner

A ciascun rischio di sicurezza delle informazioni deve essere assegnato un risk owner responsabile della valutazione e del trattamento.

Verifica: A ciascun rischio è assegnato un risk owner responsabile?

Risposta: ownerEvidenza: registro rischi con ownerApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-020 · Registro asset informativi e owner · evidenza · OK_EVIDENCE_OR_REGISTERDOC-035 · Risk Register · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
REQ-ATOM-RISK001-029highprocess

Deve esistere una procedura che definisca come identificare, valutare e trattare i rischi di sicurezza.

Verifica: È presente una procedura per identificare, valutare e trattare i rischi di sicurezza?

Risposta: document_referenceEvidenza: procedura risk management, metodologia rischioApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
REQ-ATOM-RISK001-030highgovernance

Devono essere definiti criteri per valutare e gestire i rischi di sicurezza.

Verifica: Sono definiti criteri per la valutazione e gestione dei rischi?

Risposta: document_referenceEvidenza: criteri rischio, metodologia, soglie accettazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
REQ-ATOM-RISK001-031highprocess

Le misure di trattamento dei rischi e i relativi responsabili devono essere specificati e documentati.

Verifica: Le misure di trattamento dei rischi e i responsabili sono specificati e documentati?

Risposta: yes_noEvidenza: piano trattamento, registro azioniApplicabilità: tisax_onlyAutomazione: manual
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
REQ-ATOM-RISK001-032mediummonitoring

Lo stato di implementazione delle misure di trattamento deve essere seguito tramite piano o vista di avanzamento.

Verifica: Lo stato di implementazione delle misure di trattamento è monitorato?

Risposta: yes_noEvidenza: piano azioni, report avanzamentoApplicabilità: tisax_onlyAutomazione: manual
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
REQ-ATOM-RISK001-033mediumreview

In caso di cambiamenti rilevanti del contesto, i rischi devono essere rivalutati tempestivamente.

Verifica: I rischi sono rivalutati tempestivamente in caso di cambiamenti rilevanti del contesto?

Risposta: yes_noEvidenza: verbali change/risk review, registro rischi aggiornatoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-035 · Risk Register · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-4-1 · TISAX ISA6 1.4.1
MC-SDLC-001MA-SDLC · Secure DevelopmentMediumSviluppo sicuro, test, ambienti, codice, cambiamenti applicativi.

Ciclo di vita dello sviluppo sicuro

3 controlli framework collegati

  • ISO27001FW-ISO-A-8-25Ciclo di vita dello sviluppo sicuro
  • TISAX_ISA6FW-TISAX-TISAX-5-2-2Separazione ambienti sviluppo/test/produzione
  • NIS2_ESSENZIALEFW-NIS-PR-PS-06Pratiche di sviluppo sicuro del software integrate

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 4 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 11 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici11
REQ-ATOM-SDLC001-001mediumsecure_development

Devono essere stabilite regole per lo sviluppo sicuro di software e sistemi.

Verifica: Sono stabilite regole per lo sviluppo sicuro di software e sistemi?

Risposta: document_referenceEvidenza: procedura sviluppo sicuro, standard SDLCApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-25 · ISO27001 A.8.25
REQ-ATOM-SDLC001-002mediumsecure_development

Le regole di sviluppo sicuro devono essere applicate lungo il ciclo di vita di software e sistemi.

Verifica: Le regole di sviluppo sicuro sono applicate lungo il ciclo di vita di software e sistemi?

Risposta: yes_noEvidenza: procedure SDLC, checklist progetto, ticket changeApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-25 · ISO27001 A.8.25
REQ-ATOM-SDLC001-003mediumevidence

L’applicazione delle regole di sviluppo sicuro deve essere dimostrabile tramite evidenze di progetto o processo.

Verifica: L’applicazione delle regole di sviluppo sicuro è dimostrabile con evidenze di progetto o processo?

Risposta: file_attachmentEvidenza: checklist SDLC, ticket, repository, verbale reviewApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-061 · Indice evidenze auditabili · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-25 · ISO27001 A.8.25
REQ-ATOM-SDLC001-004mediumsecure_developmentcanonico

Devono essere adottate pratiche di sviluppo sicuro del codice nello sviluppo del software.

REQ-CAN-EXACT-0020EXACT_NORMALIZED_TEXT · High

Devono essere adottate pratiche di sviluppo sicuro del codice nello sviluppo del software.

Verifica: Sono adottate pratiche di sviluppo sicuro del codice nello sviluppo software?

Risposta: yes_noEvidenza: procedura sviluppo sicuro, linee guida coding, repository evidenceApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-06 · NIS2 Allegato 2 PR.PS-06
REQ-ATOM-SDLC001-005mediumevidencecanonico

Le pratiche di sviluppo sicuro del codice devono essere documentate.

REQ-CAN-EXACT-0204EXACT_NORMALIZED_TEXT · High

Le pratiche di sviluppo sicuro del codice devono essere documentate.

Verifica: Le pratiche di sviluppo sicuro del codice sono documentate?

Risposta: document_referenceEvidenza: standard secure coding, procedura SDLCApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-06 · NIS2 Allegato 2 PR.PS-06
REQ-ATOM-SDLC001-006mediumrisk_basedcanonico

I sistemi IT devono essere sottoposti a valutazione del rischio per determinare la necessità di separare ambienti di sviluppo, test e produzione.

REQ-CAN-EXACT-0268EXACT_NORMALIZED_TEXT · High

I sistemi IT devono essere sottoposti a valutazione del rischio per determinare la necessità di separare ambienti di sviluppo, test e produzione.

Verifica: È stata valutata la necessità di separare ambienti di sviluppo, test e produzione in base al rischio?

Risposta: yes_noEvidenza: risk assessment IT, architettura ambientiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC001-007mediumtechnical_controlcanonico

La segmentazione tra ambienti deve essere implementata sulla base dei risultati dell’analisi del rischio.

REQ-CAN-EXACT-0255EXACT_NORMALIZED_TEXT · High

La segmentazione tra ambienti deve essere implementata sulla base dei risultati dell’analisi del rischio.

Verifica: La segmentazione tra ambienti è implementata in base all’analisi del rischio?

Risposta: yes_noEvidenza: diagramma architetturale, configurazioni rete, policy accessiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC001-008mediumprocesscanonico

I requisiti per gli ambienti di sviluppo e test devono essere determinati e attuati.

REQ-CAN-EXACT-0222EXACT_NORMALIZED_TEXT · High

I requisiti per gli ambienti di sviluppo e test devono essere determinati e attuati.

Verifica: I requisiti per gli ambienti di sviluppo e test sono determinati e attuati?

Risposta: document_referenceEvidenza: procedura SDLC, requisiti ambienti, checklist progettoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC001-009mediumtechnical_controlcanonico

Gli ambienti di sviluppo, test e produzione devono essere separati quando richiesto dai requisiti e dal rischio.

REQ-CAN-EXACT-0023EXACT_NORMALIZED_TEXT · High

Gli ambienti di sviluppo, test e produzione devono essere separati quando richiesto dai requisiti e dal rischio.

Verifica: Gli ambienti di sviluppo, test e produzione sono separati quando richiesto dal rischio?

Risposta: yes_noEvidenza: diagramma ambienti, configurazioni, evidenza segregazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC001-010mediumtechnical_controlcanonico

Gli strumenti di sviluppo e di sistema non necessari non devono essere presenti sugli ambienti operativi.

REQ-CAN-EXACT-0282EXACT_NORMALIZED_TEXT · High

Gli strumenti di sviluppo e di sistema non necessari non devono essere presenti sugli ambienti operativi.

Verifica: Gli strumenti di sviluppo o di sistema non necessari sono esclusi dagli ambienti operativi?

Risposta: yes_noEvidenza: inventario software, baseline sistemi, verifica configurazioneApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC001-011mediumaccess_controlcanonico

Devono essere usati profili utente distinti per ambienti di sviluppo, test e produzione, quando applicabile.

REQ-CAN-EXACT-0291EXACT_NORMALIZED_TEXT · High

Devono essere usati profili utente distinti per ambienti di sviluppo, test e produzione, quando applicabile.

Verifica: Sono usati profili utente distinti per sviluppo, test e produzione quando applicabile?

Risposta: yes_noEvidenza: export IAM, matrice accessi, policy ambientiApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
MC-SDLC-002MA-SDLC · Secure DevelopmentMediumSviluppo sicuro, test, ambienti, codice, cambiamenti applicativi.

Requisiti di sicurezza delle applicazioni

2 controlli framework collegati

  • ISO27001FW-ISO-A-8-26Requisiti di sicurezza delle applicazioni
  • TISAX_ISA6FW-TISAX-TISAX-5-3-1Sicurezza considerata in nuovi sistemi IT o evoluzioni

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 14 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 14 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e serviziPiano / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici14
REQ-ATOM-SDLC002-001mediumsecure_development

I requisiti di sicurezza delle informazioni devono essere identificati durante lo sviluppo o l’acquisizione di applicazioni.

Verifica: I requisiti di sicurezza sono identificati durante lo sviluppo o l’acquisizione di applicazioni?

Risposta: yes_noEvidenza: specifica requisiti, checklist progettoApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-26 · ISO27001 A.8.26
REQ-ATOM-SDLC002-002mediumsecure_development

I requisiti di sicurezza delle applicazioni devono essere specificati in modo tracciabile.

Verifica: I requisiti di sicurezza delle applicazioni sono specificati in modo tracciabile?

Risposta: document_referenceEvidenza: specifica requisiti, backlog, user story sicurezzaApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-26 · ISO27001 A.8.26
REQ-ATOM-SDLC002-003mediumgovernance

I requisiti di sicurezza delle applicazioni devono essere approvati prima o durante le fasi rilevanti del ciclo di sviluppo o acquisizione.

Verifica: I requisiti di sicurezza delle applicazioni sono approvati nelle fasi rilevanti del ciclo di sviluppo o acquisizione?

Risposta: document_referenceEvidenza: approvazione requisiti, verbale progetto, ticket approvatoApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-26 · ISO27001 A.8.26
REQ-ATOM-SDLC002-004mediumsecure_developmentcanonico

I requisiti di sicurezza relativi alla progettazione e allo sviluppo dei sistemi IT devono essere determinati e considerati.

REQ-CAN-EXACT-0238EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza relativi alla progettazione e allo sviluppo dei sistemi IT devono essere determinati e considerati.

Verifica: I requisiti di sicurezza per progettazione e sviluppo dei sistemi IT sono determinati e considerati?

Risposta: yes_noEvidenza: specifiche progetto, security requirementsApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-005mediumsecure_developmentcanonico

I requisiti di sicurezza relativi all’acquisizione o all’estensione di sistemi e componenti IT devono essere determinati e considerati.

REQ-CAN-EXACT-0237EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza relativi all’acquisizione o all’estensione di sistemi e componenti IT devono essere determinati e considerati.

Verifica: I requisiti di sicurezza per acquisizione o estensione di sistemi e componenti IT sono determinati e considerati?

Risposta: yes_noEvidenza: specifiche acquisto, requisiti fornitore, checklist progettoApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-006mediumprocesscanonico

I requisiti di sicurezza associati alle modifiche dei sistemi IT sviluppati devono essere considerati.

REQ-CAN-EXACT-0234EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza associati alle modifiche dei sistemi IT sviluppati devono essere considerati.

Verifica: I requisiti di sicurezza sono considerati nelle modifiche ai sistemi IT sviluppati?

Risposta: yes_noEvidenza: change request, impact assessment, checklist sicurezzaApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-007mediumtechnical_controlcanonico

I test di approvazione del sistema devono considerare i requisiti di sicurezza delle informazioni.

REQ-CAN-EXACT-0287EXACT_NORMALIZED_TEXT · High

I test di approvazione del sistema devono considerare i requisiti di sicurezza delle informazioni.

Verifica: I test di approvazione del sistema considerano i requisiti di sicurezza delle informazioni?

Risposta: yes_noEvidenza: piano test, verbale accettazione, report security testApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-008mediumsecure_developmentcanonico

Le specifiche dei requisiti devono considerare raccomandazioni del fornitore, best practice e linee guida di sicurezza applicabili.

REQ-CAN-EXACT-0275EXACT_NORMALIZED_TEXT · High

Le specifiche dei requisiti devono considerare raccomandazioni del fornitore, best practice e linee guida di sicurezza applicabili.

Verifica: Le specifiche dei requisiti considerano raccomandazioni del fornitore, best practice e linee guida di sicurezza?

Risposta: yes_noEvidenza: specifiche requisiti, standard tecnici, checklist progettoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-009mediumreviewcanonico

Le specifiche dei requisiti devono essere riesaminate rispetto ai requisiti di sicurezza delle informazioni.

REQ-CAN-EXACT-0276EXACT_NORMALIZED_TEXT · High

Le specifiche dei requisiti devono essere riesaminate rispetto ai requisiti di sicurezza delle informazioni.

Verifica: Le specifiche dei requisiti sono riesaminate rispetto ai requisiti di sicurezza?

Risposta: yes_noEvidenza: verbale review, approvazione requisitiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-010mediumtechnical_controlcanonico

Il sistema IT deve essere verificato rispetto alle specifiche prima dell’utilizzo produttivo.

REQ-CAN-EXACT-0258EXACT_NORMALIZED_TEXT · High

Il sistema IT deve essere verificato rispetto alle specifiche prima dell’utilizzo produttivo.

Verifica: Il sistema IT è verificato rispetto alle specifiche prima dell’utilizzo produttivo?

Risposta: yes_noEvidenza: verbale collaudo, checklist go-live, report testApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-011highdata_protectioncanonico

L’uso di dati produttivi per test deve essere evitato ove possibile oppure protetto con anonimizzazione, pseudonimizzazione o controlli equivalenti.

REQ-CAN-EXACT-0293EXACT_NORMALIZED_TEXT · High

L’uso di dati produttivi per test deve essere evitato ove possibile oppure protetto con anonimizzazione, pseudonimizzazione o controlli equivalenti.

Verifica: L’uso di dati produttivi per test è evitato o protetto con misure adeguate?

Risposta: yes_noEvidenza: procedura test data, evidenza anonimizzazione, controllo accessi ambiente testApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-012highdata_protectioncanonico

Quando sono usati dati produttivi in test, l’ambiente di test deve avere protezioni comparabili all’ambiente operativo.

REQ-CAN-EXACT-0219EXACT_NORMALIZED_TEXT · High

Quando sono usati dati produttivi in test, l’ambiente di test deve avere protezioni comparabili all’ambiente operativo.

Verifica: Quando si usano dati produttivi in test, l’ambiente di test ha protezioni comparabili all’ambiente operativo?

Risposta: yes_noEvidenza: configurazioni ambiente test, matrice controlli, risk assessmentApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-013mediumdata_protectioncanonico

Per i dati di test devono essere definite regole sul ciclo di vita, inclusi cancellazione e tempo massimo di permanenza.

REQ-CAN-EXACT-0062EXACT_NORMALIZED_TEXT · High

Per i dati di test devono essere definite regole sul ciclo di vita, inclusi cancellazione e tempo massimo di permanenza.

Verifica: Sono definite regole sul ciclo di vita dei dati di test, inclusi cancellazione e tempo massimo di permanenza?

Risposta: document_referenceEvidenza: procedura test data, registro cancellazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC002-014hightechnical_controlcanonico

Per software dedicato o significativamente personalizzato con protezione molto alta, la sicurezza deve essere testata in commissioning, dopo modifiche significative o a intervalli regolari.

REQ-CAN-EXACT-0274EXACT_NORMALIZED_TEXT · High

Per software dedicato o significativamente personalizzato con protezione molto alta, la sicurezza deve essere testata in commissioning, dopo modifiche significative o a intervalli regolari.

Verifica: Per software dedicato o significativamente personalizzato con protezione molto alta sono previsti test di sicurezza in commissioning, dopo modifiche rilevanti o periodicamente?

Risposta: yes_noEvidenza: report penetration test, piano test sicurezza, registro modificheApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
MC-SDLC-003MA-SDLC · Secure DevelopmentMediumSviluppo sicuro, test, ambienti, codice, cambiamenti applicativi.

Architettura sicura dei sistemi e principi di ingegneria sicura

2 controlli framework collegati

  • ISO27001FW-ISO-A-8-27Architettura sicura dei sistemi e principi di ingegneria sicura
  • TISAX_ISA6FW-TISAX-TISAX-5-3-1Sicurezza considerata in nuovi sistemi IT o evoluzioni

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 4 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 8 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e serviziPiano / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici14
REQ-ATOM-SDLC003-001mediumsecure_development

Devono essere stabiliti principi di ingegnerizzazione sicura dei sistemi.

Verifica: Sono stabiliti principi di ingegnerizzazione sicura dei sistemi?

Risposta: document_referenceEvidenza: standard architetturale, principi secure engineeringApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-8-27 · ISO27001 A.8.27
REQ-ATOM-SDLC003-002mediumevidence

I principi di ingegnerizzazione sicura devono essere documentati e mantenuti aggiornati.

Verifica: I principi di ingegnerizzazione sicura sono documentati e mantenuti aggiornati?

Risposta: dateEvidenza: standard secure engineering, registro revisioniApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLY
ISO27001 · FW-ISO-A-8-27 · ISO27001 A.8.27
REQ-ATOM-SDLC003-003mediumsecure_development

I principi di ingegnerizzazione sicura devono essere applicati alle attività di sviluppo dei sistemi informativi.

Verifica: I principi di ingegnerizzazione sicura sono applicati alle attività di sviluppo dei sistemi informativi?

Risposta: yes_noEvidenza: architecture review, checklist progetto, verbali tecniciApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-27 · ISO27001 A.8.27
REQ-ATOM-SDLC003-004mediumsecure_developmentcanonico

I requisiti di sicurezza relativi alla progettazione e allo sviluppo dei sistemi IT devono essere determinati e considerati.

REQ-CAN-EXACT-0238EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza relativi alla progettazione e allo sviluppo dei sistemi IT devono essere determinati e considerati.

Verifica: I requisiti di sicurezza per progettazione e sviluppo dei sistemi IT sono determinati e considerati?

Risposta: yes_noEvidenza: specifiche progetto, security requirementsApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-005mediumsecure_developmentcanonico

I requisiti di sicurezza relativi all’acquisizione o all’estensione di sistemi e componenti IT devono essere determinati e considerati.

REQ-CAN-EXACT-0237EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza relativi all’acquisizione o all’estensione di sistemi e componenti IT devono essere determinati e considerati.

Verifica: I requisiti di sicurezza per acquisizione o estensione di sistemi e componenti IT sono determinati e considerati?

Risposta: yes_noEvidenza: specifiche acquisto, requisiti fornitore, checklist progettoApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-006mediumprocesscanonico

I requisiti di sicurezza associati alle modifiche dei sistemi IT sviluppati devono essere considerati.

REQ-CAN-EXACT-0234EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza associati alle modifiche dei sistemi IT sviluppati devono essere considerati.

Verifica: I requisiti di sicurezza sono considerati nelle modifiche ai sistemi IT sviluppati?

Risposta: yes_noEvidenza: change request, impact assessment, checklist sicurezzaApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-007mediumtechnical_controlcanonico

I test di approvazione del sistema devono considerare i requisiti di sicurezza delle informazioni.

REQ-CAN-EXACT-0287EXACT_NORMALIZED_TEXT · High

I test di approvazione del sistema devono considerare i requisiti di sicurezza delle informazioni.

Verifica: I test di approvazione del sistema considerano i requisiti di sicurezza delle informazioni?

Risposta: yes_noEvidenza: piano test, verbale accettazione, report security testApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-008mediumsecure_developmentcanonico

Le specifiche dei requisiti devono considerare raccomandazioni del fornitore, best practice e linee guida di sicurezza applicabili.

REQ-CAN-EXACT-0275EXACT_NORMALIZED_TEXT · High

Le specifiche dei requisiti devono considerare raccomandazioni del fornitore, best practice e linee guida di sicurezza applicabili.

Verifica: Le specifiche dei requisiti considerano raccomandazioni del fornitore, best practice e linee guida di sicurezza?

Risposta: yes_noEvidenza: specifiche requisiti, standard tecnici, checklist progettoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-009mediumreviewcanonico

Le specifiche dei requisiti devono essere riesaminate rispetto ai requisiti di sicurezza delle informazioni.

REQ-CAN-EXACT-0276EXACT_NORMALIZED_TEXT · High

Le specifiche dei requisiti devono essere riesaminate rispetto ai requisiti di sicurezza delle informazioni.

Verifica: Le specifiche dei requisiti sono riesaminate rispetto ai requisiti di sicurezza?

Risposta: yes_noEvidenza: verbale review, approvazione requisitiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-065 · Registro riesame policy · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-010mediumtechnical_controlcanonico

Il sistema IT deve essere verificato rispetto alle specifiche prima dell’utilizzo produttivo.

REQ-CAN-EXACT-0258EXACT_NORMALIZED_TEXT · High

Il sistema IT deve essere verificato rispetto alle specifiche prima dell’utilizzo produttivo.

Verifica: Il sistema IT è verificato rispetto alle specifiche prima dell’utilizzo produttivo?

Risposta: yes_noEvidenza: verbale collaudo, checklist go-live, report testApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-011highdata_protectioncanonico

L’uso di dati produttivi per test deve essere evitato ove possibile oppure protetto con anonimizzazione, pseudonimizzazione o controlli equivalenti.

REQ-CAN-EXACT-0293EXACT_NORMALIZED_TEXT · High

L’uso di dati produttivi per test deve essere evitato ove possibile oppure protetto con anonimizzazione, pseudonimizzazione o controlli equivalenti.

Verifica: L’uso di dati produttivi per test è evitato o protetto con misure adeguate?

Risposta: yes_noEvidenza: procedura test data, evidenza anonimizzazione, controllo accessi ambiente testApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-012highdata_protectioncanonico

Quando sono usati dati produttivi in test, l’ambiente di test deve avere protezioni comparabili all’ambiente operativo.

REQ-CAN-EXACT-0219EXACT_NORMALIZED_TEXT · High

Quando sono usati dati produttivi in test, l’ambiente di test deve avere protezioni comparabili all’ambiente operativo.

Verifica: Quando si usano dati produttivi in test, l’ambiente di test ha protezioni comparabili all’ambiente operativo?

Risposta: yes_noEvidenza: configurazioni ambiente test, matrice controlli, risk assessmentApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-013mediumdata_protectioncanonico

Per i dati di test devono essere definite regole sul ciclo di vita, inclusi cancellazione e tempo massimo di permanenza.

REQ-CAN-EXACT-0062EXACT_NORMALIZED_TEXT · High

Per i dati di test devono essere definite regole sul ciclo di vita, inclusi cancellazione e tempo massimo di permanenza.

Verifica: Sono definite regole sul ciclo di vita dei dati di test, inclusi cancellazione e tempo massimo di permanenza?

Risposta: document_referenceEvidenza: procedura test data, registro cancellazioniApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
REQ-ATOM-SDLC003-014hightechnical_controlcanonico

Per software dedicato o significativamente personalizzato con protezione molto alta, la sicurezza deve essere testata in commissioning, dopo modifiche significative o a intervalli regolari.

REQ-CAN-EXACT-0274EXACT_NORMALIZED_TEXT · High

Per software dedicato o significativamente personalizzato con protezione molto alta, la sicurezza deve essere testata in commissioning, dopo modifiche significative o a intervalli regolari.

Verifica: Per software dedicato o significativamente personalizzato con protezione molto alta sono previsti test di sicurezza in commissioning, dopo modifiche rilevanti o periodicamente?

Risposta: yes_noEvidenza: report penetration test, piano test sicurezza, registro modificheApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-1 · TISAX ISA6 5.3.1
MC-SDLC-004MA-SDLC · Secure DevelopmentMediumSviluppo sicuro, test, ambienti, codice, cambiamenti applicativi.

Codifica sicura

2 controlli framework collegati

  • ISO27001FW-ISO-A-8-28Codifica sicura
  • NIS2_ESSENZIALEFW-NIS-PR-PS-06Pratiche di sviluppo sicuro del software integrate

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 2 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 5 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
Requirement atomici5
REQ-ATOM-SDLC004-001mediumsecure_development

I principi di sviluppo sicuro devono essere definiti per lo sviluppo del software.

Verifica: Sono definiti principi di sviluppo sicuro per il software?

Risposta: document_referenceEvidenza: linee guida secure coding, procedura SDLCApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-015 · Inventario software, applicazioni, sistemi e servizi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-28 · ISO27001 A.8.28
REQ-ATOM-SDLC004-002mediumsecure_development

I principi di sviluppo sicuro devono essere applicati nelle attività di codifica.

Verifica: I principi di sviluppo sicuro sono applicati nelle attività di codifica?

Risposta: yes_noEvidenza: repository, pull request, checklist secure codingApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENT
ISO27001 · FW-ISO-A-8-28 · ISO27001 A.8.28
REQ-ATOM-SDLC004-003mediumevidence

L’applicazione dei principi di sviluppo sicuro deve essere verificabile tramite evidenze di processo o revisione.

Verifica: L’applicazione dei principi di sviluppo sicuro è verificabile tramite evidenze di processo o revisione?

Risposta: file_attachmentEvidenza: code review, checklist, ticket, report static analysisApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-061 · Indice evidenze auditabili · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-28 · ISO27001 A.8.28
REQ-ATOM-SDLC004-004mediumsecure_developmentcanonico

Devono essere adottate pratiche di sviluppo sicuro del codice nello sviluppo del software.

REQ-CAN-EXACT-0020EXACT_NORMALIZED_TEXT · High

Devono essere adottate pratiche di sviluppo sicuro del codice nello sviluppo del software.

Verifica: Sono adottate pratiche di sviluppo sicuro del codice nello sviluppo software?

Risposta: yes_noEvidenza: procedura sviluppo sicuro, linee guida coding, repository evidenceApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-06 · NIS2 Allegato 2 PR.PS-06
REQ-ATOM-SDLC004-005mediumevidencecanonico

Le pratiche di sviluppo sicuro del codice devono essere documentate.

REQ-CAN-EXACT-0204EXACT_NORMALIZED_TEXT · High

Le pratiche di sviluppo sicuro del codice devono essere documentate.

Verifica: Le pratiche di sviluppo sicuro del codice sono documentate?

Risposta: document_referenceEvidenza: standard secure coding, procedura SDLCApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-06 · NIS2 Allegato 2 PR.PS-06
MC-SDLC-005MA-SDLC · Secure DevelopmentMediumSviluppo sicuro, test, ambienti, codice, cambiamenti applicativi.

Test di sicurezza nello sviluppo e nell’accettazione

2 controlli framework collegati

  • ISO27001FW-ISO-A-8-29Test di sicurezza nello sviluppo e nell’accettazione
  • NIS2_ESSENZIALEFW-NIS-PR-PS-06Pratiche di sviluppo sicuro del software integrate

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-059 · Roadmap miglioramento / piano remediationPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 5 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e serviziPiano / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici5
REQ-ATOM-SDLC005-001mediumsecure_development

Devono essere definiti processi di test di sicurezza nel ciclo di vita dello sviluppo.

Verifica: Sono definiti processi di test di sicurezza nel ciclo di vita dello sviluppo?

Risposta: document_referenceEvidenza: procedura test sicurezza, piano testApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-072 · Piano e registro verifiche tecniche di sicurezza sistemi e servizi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-29 · ISO27001 A.8.29
REQ-ATOM-SDLC005-002mediumtechnical_control

I test di sicurezza devono essere attuati durante lo sviluppo e l’accettazione.

Verifica: I test di sicurezza sono attuati durante sviluppo e accettazione?

Risposta: yes_noEvidenza: report test, checklist accettazione, evidenze CI/CDApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-29 · ISO27001 A.8.29
REQ-ATOM-SDLC005-003mediumevidence

Gli esiti dei test di sicurezza devono essere registrati e gestiti prima del rilascio o dell’accettazione.

Verifica: Gli esiti dei test di sicurezza sono registrati e gestiti prima del rilascio o dell’accettazione?

Risposta: file_attachmentEvidenza: report test, ticket remediation, verbale accettazioneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-059 · Roadmap miglioramento / piano remediation · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-29 · ISO27001 A.8.29
REQ-ATOM-SDLC005-004mediumsecure_developmentcanonico

Devono essere adottate pratiche di sviluppo sicuro del codice nello sviluppo del software.

REQ-CAN-EXACT-0020EXACT_NORMALIZED_TEXT · High

Devono essere adottate pratiche di sviluppo sicuro del codice nello sviluppo del software.

Verifica: Sono adottate pratiche di sviluppo sicuro del codice nello sviluppo software?

Risposta: yes_noEvidenza: procedura sviluppo sicuro, linee guida coding, repository evidenceApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-06 · NIS2 Allegato 2 PR.PS-06
REQ-ATOM-SDLC005-005mediumevidencecanonico

Le pratiche di sviluppo sicuro del codice devono essere documentate.

REQ-CAN-EXACT-0204EXACT_NORMALIZED_TEXT · High

Le pratiche di sviluppo sicuro del codice devono essere documentate.

Verifica: Le pratiche di sviluppo sicuro del codice sono documentate?

Risposta: document_referenceEvidenza: standard secure coding, procedura SDLCApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-PR-PS-06 · NIS2 Allegato 2 PR.PS-06
MC-SDLC-006MA-SDLC · Secure DevelopmentMediumSviluppo sicuro, test, ambienti, codice, cambiamenti applicativi.

Separazione degli ambienti di sviluppo, test e produzione

2 controlli framework collegati

  • ISO27001FW-ISO-A-8-31Separazione degli ambienti di sviluppo, test e produzione
  • TISAX_ISA6FW-TISAX-TISAX-5-2-2Separazione ambienti sviluppo/test/produzione

Documenti pianificati

  • DOC-001 · Stato Zero, perimetro, governance e baseline inizialeDocumento quadro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-015 · Inventario software, applicazioni, sistemi e serviziRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 9 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 5 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici9
REQ-ATOM-SDLC006-001mediumtechnical_control

Gli ambienti di sviluppo devono essere separati dagli ambienti di test e produzione.

Verifica: Gli ambienti di sviluppo sono separati dagli ambienti di test e produzione?

Risposta: yes_noEvidenza: diagramma ambienti, configurazioni, regole accessoApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-31 · ISO27001 A.8.31
REQ-ATOM-SDLC006-002mediumtechnical_control

Gli ambienti di test devono essere separati dagli ambienti di produzione.

Verifica: Gli ambienti di test sono separati dagli ambienti di produzione?

Risposta: yes_noEvidenza: diagramma ambienti, configurazioni, regole accessoApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-31 · ISO27001 A.8.31
REQ-ATOM-SDLC006-003mediumtechnical_control

Gli ambienti di sviluppo, test e produzione devono essere protetti con controlli coerenti con il rischio e la criticità dei dati trattati.

Verifica: Gli ambienti separati sono protetti con controlli coerenti con rischio e criticità dei dati?

Risposta: yes_noEvidenza: policy ambienti, configurazioni sicurezza, matrice accessiApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-31 · ISO27001 A.8.31
REQ-ATOM-SDLC006-004mediumrisk_basedcanonico

I sistemi IT devono essere sottoposti a valutazione del rischio per determinare la necessità di separare ambienti di sviluppo, test e produzione.

REQ-CAN-EXACT-0268EXACT_NORMALIZED_TEXT · High

I sistemi IT devono essere sottoposti a valutazione del rischio per determinare la necessità di separare ambienti di sviluppo, test e produzione.

Verifica: È stata valutata la necessità di separare ambienti di sviluppo, test e produzione in base al rischio?

Risposta: yes_noEvidenza: risk assessment IT, architettura ambientiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC006-005mediumtechnical_controlcanonico

La segmentazione tra ambienti deve essere implementata sulla base dei risultati dell’analisi del rischio.

REQ-CAN-EXACT-0255EXACT_NORMALIZED_TEXT · High

La segmentazione tra ambienti deve essere implementata sulla base dei risultati dell’analisi del rischio.

Verifica: La segmentazione tra ambienti è implementata in base all’analisi del rischio?

Risposta: yes_noEvidenza: diagramma architetturale, configurazioni rete, policy accessiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC006-006mediumprocesscanonico

I requisiti per gli ambienti di sviluppo e test devono essere determinati e attuati.

REQ-CAN-EXACT-0222EXACT_NORMALIZED_TEXT · High

I requisiti per gli ambienti di sviluppo e test devono essere determinati e attuati.

Verifica: I requisiti per gli ambienti di sviluppo e test sono determinati e attuati?

Risposta: document_referenceEvidenza: procedura SDLC, requisiti ambienti, checklist progettoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC006-007mediumtechnical_controlcanonico

Gli ambienti di sviluppo, test e produzione devono essere separati quando richiesto dai requisiti e dal rischio.

REQ-CAN-EXACT-0023EXACT_NORMALIZED_TEXT · High

Gli ambienti di sviluppo, test e produzione devono essere separati quando richiesto dai requisiti e dal rischio.

Verifica: Gli ambienti di sviluppo, test e produzione sono separati quando richiesto dal rischio?

Risposta: yes_noEvidenza: diagramma ambienti, configurazioni, evidenza segregazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC006-008mediumtechnical_controlcanonico

Gli strumenti di sviluppo e di sistema non necessari non devono essere presenti sugli ambienti operativi.

REQ-CAN-EXACT-0282EXACT_NORMALIZED_TEXT · High

Gli strumenti di sviluppo e di sistema non necessari non devono essere presenti sugli ambienti operativi.

Verifica: Gli strumenti di sviluppo o di sistema non necessari sono esclusi dagli ambienti operativi?

Risposta: yes_noEvidenza: inventario software, baseline sistemi, verifica configurazioneApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-001 · Stato Zero, perimetro, governance e baseline iniziale · di supporto · OK_SUPPORTINGDOC-015 · Inventario software, applicazioni, sistemi e servizi · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
REQ-ATOM-SDLC006-009mediumaccess_controlcanonico

Devono essere usati profili utente distinti per ambienti di sviluppo, test e produzione, quando applicabile.

REQ-CAN-EXACT-0291EXACT_NORMALIZED_TEXT · High

Devono essere usati profili utente distinti per ambienti di sviluppo, test e produzione, quando applicabile.

Verifica: Sono usati profili utente distinti per sviluppo, test e produzione quando applicabile?

Risposta: yes_noEvidenza: export IAM, matrice accessi, policy ambientiApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-2-2 · TISAX ISA6 5.2.2
MC-SDLC-007MA-SDLC · Secure DevelopmentMediumSviluppo sicuro, test, ambienti, codice, cambiamenti applicativi.

Informazioni di test

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-33Informazioni di test

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-042 · Registro log critici e tempi di conservazioneRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 4 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici4
REQ-ATOM-SDLC007-001mediumdata_protection

I dati utilizzati per i test devono essere selezionati e gestiti in modo da ridurre l'esposizione non necessaria di informazioni sensibili o operative.

Verifica: I dati di test sono selezionati e gestiti per limitare l'esposizione di informazioni sensibili o operative?

Risposta: yes_noEvidenza: procedura test, registro dataset di test, evidenza mascheramento/anonymizzazioneApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-33 · ISO27001 A.8.33
REQ-ATOM-SDLC007-002mediumtechnical_control

Quando sono usati dati reali o simil-reali nei test, devono essere applicate misure di protezione coerenti con la criticità delle informazioni.

Verifica: Quando si usano dati reali o simil-reali nei test, sono applicate misure di protezione coerenti con la loro criticità?

Risposta: yes_noEvidenza: policy dati di test, configurazioni ambiente, evidenze di cifratura o maskingApplicabilità: iso_onlyAutomazione: semi_automatic
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-33 · ISO27001 A.8.33
REQ-ATOM-SDLC007-003mediumaccess_control

L'accesso alle informazioni di test deve essere limitato al personale autorizzato e tracciabile.

Verifica: L'accesso ai dati di test è limitato a personale autorizzato e tracciabile?

Risposta: yes_noEvidenza: elenco autorizzazioni, export IAM, registro accessi ambiente testApplicabilità: iso_onlyAutomazione: entra_id
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
ISO27001 · FW-ISO-A-8-33 · ISO27001 A.8.33
REQ-ATOM-SDLC007-004mediumprocess

Le informazioni di test devono essere eliminate, archiviate o ripulite quando non sono più necessarie.

Verifica: I dati di test sono rimossi, archiviati o ripuliti quando non sono più necessari?

Risposta: yes_noEvidenza: procedura retention test data, ticket di cleanup, log cancellazioneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-042 · Registro log critici e tempi di conservazione · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-33 · ISO27001 A.8.33
MC-SDLC-008MA-AUD · Audit e ComplianceMediumAudit, verifiche, conformità, controlli indipendenti e protezione delle attività di verifica.

Protezione dei sistemi informativi durante i test di audit

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-34Protezione dei sistemi informativi durante i test di audit

Documenti pianificati

  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 4 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-054 · Programma audit interniPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici4
REQ-ATOM-SDLC008-001mediumprocess

I test di audit sui sistemi informativi devono essere pianificati prima dell'esecuzione, definendo ambito, modalità, responsabilità e finestre operative.

Verifica: I test di audit sui sistemi informativi sono pianificati con ambito, modalità, responsabilità e finestra operativa?

Risposta: yes_noEvidenza: programma audit, piano test, autorizzazione attivitàApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-054 · Programma audit interni · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-34 · ISO27001 A.8.34
REQ-ATOM-SDLC008-002mediumcompliance

I test di audit devono essere autorizzati dai ruoli competenti prima di essere eseguiti su sistemi in esercizio o ambienti critici.

Verifica: I test di audit su sistemi in esercizio o critici sono autorizzati prima dell'esecuzione?

Risposta: yes_noEvidenza: approvazione audit, ticket autorizzativo, verbale di approvazioneApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-34 · ISO27001 A.8.34
REQ-ATOM-SDLC008-003hightechnical_control

Durante i test di audit devono essere applicate misure per prevenire impatti non autorizzati su disponibilità, integrità o riservatezza dei sistemi e dei dati.

Verifica: Durante i test di audit sono previste misure per evitare impatti non autorizzati su sistemi e dati?

Risposta: yes_noEvidenza: piano di rollback, misure di contenimento, procedure operative di testApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-34 · ISO27001 A.8.34
REQ-ATOM-SDLC008-004mediumevidence

Gli esiti dei test di audit devono essere documentati e gestiti come evidenza controllata.

Verifica: Gli esiti dei test di audit sono documentati e conservati come evidenza controllata?

Risposta: yes_noEvidenza: report audit, verbale test, repository documentaleApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-34 · ISO27001 A.8.34
MC-SUP-001MA-SUP · Supplier & Cloud SecurityHighFornitori, outsourcing, cloud, supply chain ICT e requisiti contrattuali.

Sicurezza delle informazioni negli accordi con i fornitori

11 controlli framework collegati

  • ISO27001FW-ISO-A-5-20Sicurezza delle informazioni negli accordi con i fornitori
  • TISAX_ISA6FW-TISAX-TISAX-5-3-4Protezione informazioni in servizi IT esterni condivisi
  • TISAX_ISA6FW-TISAX-TISAX-6-1-2NDA per scambio informazioni
  • TISAX_ISA6FW-TISAX-TISAX-8-2-2Requisiti per subappaltatori conosciuti e rispettati
  • TISAX_ISA6FW-TISAX-TISAX-9-5-2Obblighi contrattuali verso subappaltatori/partner
  • TISAX_ISA6FW-TISAX-TISAX-9-8-1Rapporti di trattamento e istruzioni gestiti
  • TISAX_ISA6FW-TISAX-TISAX-1-2-4Responsabilità tra provider IT esterni e organizzazione
  • TISAX_ISA6FW-TISAX-TISAX-5-3-3Restituzione e cancellazione sicura asset informativi da servizi IT esterni
  • TISAX_ISA6FW-TISAX-TISAX-6-1-1Sicurezza informazioni con contractor e partner
  • NIS2_ESSENZIALEFW-NIS-GV-SC-05Requisiti di cybersecurity integrati nei contratti con i fornitori
  • NIS2_ESSENZIALEFW-NIS-GV-SC-01Programma e requisiti di cybersecurity della catena di fornitura stabiliti

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 9 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 7 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-013 · Procedura gestione assetProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 13 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-020 · Registro asset informativi e ownerRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 34 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 3 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 35 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 4 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-067 · Registro trattamenti GDPR art. 30Registro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-073 · Security concept per protezione prototipi e informazioni TISAXDocumento / piano · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici35
REQ-ATOM-SUP001-001highsupplier

I requisiti di sicurezza delle informazioni applicabili devono essere definiti per ciascun rapporto rilevante con fornitori o terze parti.

Verifica: I requisiti di sicurezza applicabili sono definiti per ciascun rapporto rilevante con fornitori o terze parti?

Risposta: yes_noEvidenza: matrice requisiti fornitori, contratto, capitolato, accordo di servizioApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-20 · ISO27001 A.5.20
REQ-ATOM-SUP001-002highsupplier

I requisiti di sicurezza definiti devono essere concordati formalmente con il fornitore prima o durante la stipula dell'accordo.

Verifica: I requisiti di sicurezza sono formalmente concordati con il fornitore?

Risposta: yes_noEvidenza: contratto firmato, allegato sicurezza, ordine o convenzioneApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-20 · ISO27001 A.5.20
REQ-ATOM-SUP001-003highsupplier

Gli accordi con i fornitori devono includere responsabilità, obblighi e modalità operative coerenti con il tipo di servizio o prodotto fornito.

Verifica: Gli accordi con i fornitori includono responsabilità, obblighi e modalità operative coerenti con il servizio o prodotto fornito?

Risposta: yes_noEvidenza: contratto, SLA, RACI fornitore, allegato sicurezzaApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-20 · ISO27001 A.5.20
REQ-ATOM-SUP001-004mediumevidence

La documentazione contrattuale dei fornitori deve essere conservata e collegabile ai servizi, asset o dati interessati.

Verifica: La documentazione contrattuale dei fornitori è conservata e collegabile a servizi, asset o dati interessati?

Risposta: yes_noEvidenza: repository contratti, registro fornitori, inventario serviziApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
ISO27001 · FW-ISO-A-5-20 · ISO27001 A.5.20
REQ-ATOM-SUP001-005highsuppliercanonico

Nei processi di approvvigionamento con potenziali impatti sui sistemi informativi e di rete deve essere coinvolta l'organizzazione per la sicurezza informatica fin dalla definizione o progettazione della fornitura.

REQ-CAN-EXACT-0160EXACT_NORMALIZED_TEXT · High

Nei processi di approvvigionamento con potenziali impatti sui sistemi informativi e di rete deve essere coinvolta l'organizzazione per la sicurezza informatica fin dalla definizione o progettazione della fornitura.

Verifica: L'organizzazione per la sicurezza informatica è coinvolta nei processi di approvvigionamento con impatto cyber fin dalla fase iniziale?

Risposta: yes_noEvidenza: procedura procurement, verbali, ticket approvvigionamento, RACI sicurezzaApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP001-006highsuppliercanonico

Per le forniture con impatti potenziali sulla sicurezza devono essere definiti requisiti di sicurezza coerenti con le misure applicate ai sistemi informativi e di rete.

REQ-CAN-EXACT-0123EXACT_NORMALIZED_TEXT · High

Per le forniture con impatti potenziali sulla sicurezza devono essere definiti requisiti di sicurezza coerenti con le misure applicate ai sistemi informativi e di rete.

Verifica: Per le forniture rilevanti sono definiti requisiti di sicurezza coerenti con le misure interne?

Risposta: yes_noEvidenza: matrice requisiti sicurezza, capitolato, contrattoApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP001-007highrisk_basedcanonico

La definizione dei requisiti di sicurezza della fornitura deve considerare gli esiti della valutazione del rischio associata alla fornitura.

REQ-CAN-EXACT-0080EXACT_NORMALIZED_TEXT · High

La definizione dei requisiti di sicurezza della fornitura deve considerare gli esiti della valutazione del rischio associata alla fornitura.

Verifica: I requisiti di sicurezza della fornitura tengono conto della valutazione del rischio associata?

Risposta: yes_noEvidenza: risk assessment fornitore, scheda valutazione fornituraApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP001-008highsuppliercanonico

Quando applicabile, i requisiti di sicurezza della fornitura devono coprire affidabilità del fornitore, ruoli, responsabilità, vulnerabilità, continuità, accessi, dati, monitoraggio, incidenti, sviluppo sicuro, manutenzione, dismissione e subfornitura.

REQ-CAN-EXACT-0217EXACT_NORMALIZED_TEXT · High

Quando applicabile, i requisiti di sicurezza della fornitura devono coprire affidabilità del fornitore, ruoli, responsabilità, vulnerabilità, continuità, accessi, dati, monitoraggio, incidenti, sviluppo sicuro, manutenzione, dismissione e subfornitura.

Verifica: I requisiti di sicurezza della fornitura coprono gli ambiti applicabili richiesti dalla misura?

Risposta: yes_noEvidenza: checklist requisiti fornitore, contratto, allegato sicurezzaApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP001-009highsuppliercanonico

I requisiti di sicurezza definiti per la fornitura devono essere inseriti nei documenti di gara, richieste di offerta, contratti, accordi o convenzioni, salvo motivate ragioni normative o tecniche.

REQ-CAN-EXACT-0235EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza definiti per la fornitura devono essere inseriti nei documenti di gara, richieste di offerta, contratti, accordi o convenzioni, salvo motivate ragioni normative o tecniche.

Verifica: I requisiti di sicurezza sono inseriti nei documenti contrattuali o di gara della fornitura?

Risposta: yes_noEvidenza: RFP, bando, contratto, accordo, convenzioneApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-05 · NIS2 Allegato 2 GV-SC-05
REQ-ATOM-SUP001-010mediumcompliancecanonico

Eventuali esclusioni dei requisiti di sicurezza dai documenti contrattuali devono essere motivate e documentate.

REQ-CAN-EXACT-0122EXACT_NORMALIZED_TEXT · High

Eventuali esclusioni dei requisiti di sicurezza dai documenti contrattuali devono essere motivate e documentate.

Verifica: Le eventuali esclusioni dei requisiti di sicurezza dai documenti contrattuali sono motivate e documentate?

Risposta: yes_noEvidenza: deroga approvata, nota tecnica/normativa, verbale decisioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-05 · NIS2 Allegato 2 GV-SC-05
REQ-ATOM-SUP001-011highevidencecanonico

I documenti contrattuali devono rendere tracciabile quali requisiti di sicurezza sono applicabili alla singola fornitura.

REQ-CAN-EXACT-0106EXACT_NORMALIZED_TEXT · High

I documenti contrattuali devono rendere tracciabile quali requisiti di sicurezza sono applicabili alla singola fornitura.

Verifica: È tracciabile quali requisiti di sicurezza si applicano alla singola fornitura?

Risposta: yes_noEvidenza: matrice requisiti, allegato contrattuale, registro fornitoriApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTERDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-05 · NIS2 Allegato 2 GV-SC-05
REQ-ATOM-SUP001-012highsupplier

Le responsabilità tra Organizzazione e provider IT esterni devono essere definite in modo chiaro per i servizi rilevanti.

Verifica: Le responsabilità tra Organizzazione e provider IT esterni sono definite chiaramente?

Risposta: yes_noEvidenza: contratto provider, RACI, SLA, allegato responsabilitàApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4
REQ-ATOM-SUP001-013mediumprocess

Le responsabilità del provider IT esterno devono essere comunicate alle funzioni interne coinvolte nella gestione del servizio.

Verifica: Le responsabilità del provider IT esterno sono comunicate alle funzioni interne coinvolte?

Risposta: yes_noEvidenza: procedura servizio, verbale onboarding, RACI condivisaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4
REQ-ATOM-SUP001-014mediumsupplier

Gli accordi con provider IT esterni devono rendere verificabili obblighi, interfacce operative e punti di contatto.

Verifica: Gli accordi con provider IT esterni rendono verificabili obblighi, interfacce e punti di contatto?

Risposta: yes_noEvidenza: contratto, SLA, elenco contatti, matrice escalationApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-2-4 · TISAX ISA6 1.2.4
REQ-ATOM-SUP001-015mediumsupplier

Alla cessazione di servizi IT esterni devono essere definite modalità di restituzione degli asset informativi dell'Organizzazione.

Verifica: Alla cessazione di servizi IT esterni sono definite modalità di restituzione degli asset informativi?

Risposta: yes_noEvidenza: exit plan, clausole contrattuali, verbale restituzioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-020 · Registro asset informativi e owner · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-3 · TISAX ISA6 5.3.3
REQ-ATOM-SUP001-016highdata_protection

Alla cessazione di servizi IT esterni deve essere prevista la cancellazione sicura delle informazioni non più necessarie presso il fornitore.

Verifica: È prevista la cancellazione sicura delle informazioni non più necessarie presso il fornitore?

Risposta: yes_noEvidenza: certificato cancellazione, clausole data deletion, verbale cessazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-3 · TISAX ISA6 5.3.3
REQ-ATOM-SUP001-017mediumevidence

Le attività di restituzione o cancellazione devono essere documentate come evidenza di chiusura del servizio.

Verifica: Le attività di restituzione o cancellazione sono documentate come evidenza di chiusura?

Risposta: yes_noEvidenza: verbale offboarding, ticket chiusura, attestazione fornitoreApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-3 · TISAX ISA6 5.3.3
REQ-ATOM-SUP001-018highdata_protectioncanonico

Le informazioni trattate tramite servizi IT esterni condivisi devono essere protette contro accessi o commistioni non autorizzate.

REQ-CAN-EXACT-0142EXACT_NORMALIZED_TEXT · High

Le informazioni trattate tramite servizi IT esterni condivisi devono essere protette contro accessi o commistioni non autorizzate.

Verifica: Le informazioni in servizi IT esterni condivisi sono protette contro accessi o commistioni non autorizzate?

Risposta: yes_noEvidenza: configurazioni tenant, matrice segregazione, report accessiApplicabilità: tisax_onlyAutomazione: microsoft_api
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-4 · TISAX ISA6 5.3.4
REQ-ATOM-SUP001-019highsuppliercanonico

Le responsabilità di protezione nei servizi IT esterni condivisi devono essere chiarite con il provider.

REQ-CAN-EXACT-0241EXACT_NORMALIZED_TEXT · High

Le responsabilità di protezione nei servizi IT esterni condivisi devono essere chiarite con il provider.

Verifica: Le responsabilità di protezione nei servizi IT esterni condivisi sono chiarite con il provider?

Risposta: yes_noEvidenza: matrice responsabilità condivisa, contratto, SLAApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-4 · TISAX ISA6 5.3.4
REQ-ATOM-SUP001-020mediumevidencecanonico

Devono essere disponibili evidenze delle misure applicate per separazione, accesso e protezione nei servizi IT esterni condivisi.

REQ-CAN-EXACT-0098EXACT_NORMALIZED_TEXT · High

Devono essere disponibili evidenze delle misure applicate per separazione, accesso e protezione nei servizi IT esterni condivisi.

Verifica: Sono disponibili evidenze delle misure di separazione, accesso e protezione nei servizi IT esterni condivisi?

Risposta: yes_noEvidenza: screenshot configurazioni, export accessi, report audit providerApplicabilità: tisax_onlyAutomazione: microsoft_api
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-4 · TISAX ISA6 5.3.4
REQ-ATOM-SUP001-021highsupplier

La collaborazione con contractor e partner deve prevedere requisiti di sicurezza delle informazioni coerenti con la natura dello scambio informativo.

Verifica: La collaborazione con contractor e partner prevede requisiti di sicurezza coerenti con lo scambio informativo?

Risposta: yes_noEvidenza: contratto partner, NDA, allegato sicurezzaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1
REQ-ATOM-SUP001-022mediumtraining

Contractor e partner devono essere informati degli obblighi di protezione applicabili alle informazioni ricevute o trattate.

Verifica: Contractor e partner sono informati degli obblighi di protezione applicabili?

Risposta: yes_noEvidenza: informativa sicurezza, presa visione, clausole contrattualiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1
REQ-ATOM-SUP001-023highaccess_control

L'accesso di contractor e partner alle informazioni deve essere limitato al necessario per lo scopo autorizzato.

Verifica: L'accesso di contractor e partner alle informazioni è limitato al necessario?

Risposta: yes_noEvidenza: matrice accessi, elenco autorizzazioni, export IAMApplicabilità: tisax_onlyAutomazione: entra_id
Copertura requirement
DOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-1 · TISAX ISA6 6.1.1
REQ-ATOM-SUP001-024highsupplier

Quando vengono scambiate informazioni con terze parti, devono essere presenti accordi o obblighi di riservatezza applicabili.

Verifica: Per lo scambio di informazioni con terze parti sono presenti accordi o obblighi di riservatezza?

Risposta: yes_noEvidenza: NDA, clausole riservatezza, contrattoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-SUP001-025highcompliance

Gli accordi di riservatezza devono essere disponibili prima dello scambio di informazioni protette.

Verifica: Gli accordi di riservatezza sono disponibili prima dello scambio di informazioni protette?

Risposta: yes_noEvidenza: NDA firmato, workflow approvazione, repository contrattiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-SUP001-026mediumsupplier

L'ambito degli obblighi di riservatezza deve essere coerente con le informazioni e i progetti coinvolti.

Verifica: L'ambito degli obblighi di riservatezza è coerente con informazioni e progetti coinvolti?

Risposta: yes_noEvidenza: NDA, allegato progetto, classificazione informazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · primario · OK_PRIMARY_PRESENTDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-6-1-2 · TISAX ISA6 6.1.2
REQ-ATOM-SUP001-027highsuppliercanonico

I requisiti applicabili ai subappaltatori devono essere conosciuti prima dell'affidamento di attività con impatto su informazioni o prototipi protetti.

REQ-CAN-EXACT-0223EXACT_NORMALIZED_TEXT · High

I requisiti applicabili ai subappaltatori devono essere conosciuti prima dell'affidamento di attività con impatto su informazioni o prototipi protetti.

Verifica: I requisiti per subappaltatori sono conosciuti prima dell'affidamento di attività rilevanti?

Risposta: yes_noEvidenza: procedura subappalto, checklist requisiti, contrattoApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-2 · TISAX ISA6 8.2.2
REQ-ATOM-SUP001-028highsuppliercanonico

I subappaltatori devono rispettare i requisiti di protezione applicabili alle attività affidate.

REQ-CAN-EXACT-0283EXACT_NORMALIZED_TEXT · High

I subappaltatori devono rispettare i requisiti di protezione applicabili alle attività affidate.

Verifica: I subappaltatori rispettano i requisiti di protezione applicabili alle attività affidate?

Risposta: yes_noEvidenza: contratto subappaltatore, evidenze controllo, dichiarazione conformitàApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-2 · TISAX ISA6 8.2.2
REQ-ATOM-SUP001-029mediumevidencecanonico

L'Organizzazione deve mantenere evidenza della verifica dei requisiti applicabili ai subappaltatori.

REQ-CAN-EXACT-0149EXACT_NORMALIZED_TEXT · High

L'Organizzazione deve mantenere evidenza della verifica dei requisiti applicabili ai subappaltatori.

Verifica: È mantenuta evidenza della verifica dei requisiti applicabili ai subappaltatori?

Risposta: yes_noEvidenza: registro subappaltatori, report verifica, audit fornitoreApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-2 · TISAX ISA6 8.2.2
REQ-ATOM-SUP001-030highsuppliercanonico

Gli obblighi contrattuali rilevanti per la protezione dei dati devono essere trasferiti a subappaltatori e partner di cooperazione quando applicabile.

REQ-CAN-EXACT-0164EXACT_NORMALIZED_TEXT · High

Gli obblighi contrattuali rilevanti per la protezione dei dati devono essere trasferiti a subappaltatori e partner di cooperazione quando applicabile.

Verifica: Gli obblighi contrattuali rilevanti sono trasferiti a subappaltatori e partner quando applicabile?

Risposta: yes_noEvidenza: clausole flow-down, contratto subappaltatore, accordo partnerApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-2 · TISAX ISA6 9.5.2
REQ-ATOM-SUP001-031mediumreviewcanonico

Il rispetto degli obblighi trasferiti a subappaltatori e partner deve essere reso verificabile.

REQ-CAN-EXACT-0246EXACT_NORMALIZED_TEXT · High

Il rispetto degli obblighi trasferiti a subappaltatori e partner deve essere reso verificabile.

Verifica: Il rispetto degli obblighi trasferiti a subappaltatori e partner è verificabile?

Risposta: yes_noEvidenza: audit report, attestazioni, evidenze di controlloApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-2 · TISAX ISA6 9.5.2
REQ-ATOM-SUP001-032mediumevidencecanonico

Le responsabilità verso subappaltatori e partner devono essere documentate e collegate al rapporto contrattuale principale.

REQ-CAN-EXACT-0242EXACT_NORMALIZED_TEXT · High

Le responsabilità verso subappaltatori e partner devono essere documentate e collegate al rapporto contrattuale principale.

Verifica: Le responsabilità verso subappaltatori e partner sono documentate e collegate al contratto principale?

Risposta: yes_noEvidenza: contratto principale, allegati subappalto, registro fornitoriApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTERDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-2 · TISAX ISA6 9.5.2
REQ-ATOM-SUP001-033highdata_protection

I rapporti di trattamento dei dati con terze parti devono essere regolati da istruzioni documentate quando applicabile.

Verifica: I rapporti di trattamento con terze parti sono regolati da istruzioni documentate quando applicabile?

Risposta: yes_noEvidenza: DPA, nomina responsabile, istruzioni trattamentoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-8-1 · TISAX ISA6 9.8.1
REQ-ATOM-SUP001-034highdata_protection

Le istruzioni ai responsabili o partner di trattamento devono essere coerenti con finalità, dati e misure di sicurezza applicabili.

Verifica: Le istruzioni di trattamento sono coerenti con finalità, dati e misure di sicurezza applicabili?

Risposta: yes_noEvidenza: DPA, registro trattamenti, allegato misure tecniche e organizzativeApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-067 · Registro trattamenti GDPR art. 30 · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-8-1 · TISAX ISA6 9.8.1
REQ-ATOM-SUP001-035mediumevidence

La documentazione dei rapporti di trattamento deve essere conservata e riesaminabile.

Verifica: La documentazione dei rapporti di trattamento è conservata e riesaminabile?

Risposta: yes_noEvidenza: repository contratti privacy, registro responsabili, verbale riesameApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-8-1 · TISAX ISA6 9.8.1
MC-SUP-002MA-SUP · Supplier & Cloud SecurityHighFornitori, outsourcing, cloud, supply chain ICT e requisiti contrattuali.

Sicurezza della filiera di fornitura ICT

5 controlli framework collegati

  • ISO27001FW-ISO-A-5-21Sicurezza della filiera di fornitura ICT
  • TISAX_ISA6FW-TISAX-TISAX-8-2-2Requisiti per subappaltatori conosciuti e rispettati
  • TISAX_ISA6FW-TISAX-TISAX-9-5-2Obblighi contrattuali verso subappaltatori/partner
  • NIS2_ESSENZIALEFW-NIS-GV-SC-05Requisiti di cybersecurity integrati nei contratti con i fornitori
  • NIS2_ESSENZIALEFW-NIS-GV-SC-01Programma e requisiti di cybersecurity della catena di fornitura stabiliti

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 4 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 2 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-014 · Inventario hardwareRegistro · 8 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 9 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 2 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 5 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-034 · Metodologia di valutazione rischio cyberDocumento metodologico · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-073 · Security concept per protezione prototipi e informazioni TISAXDocumento / piano · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici17
REQ-ATOM-SUP002-001highsupplier

Devono essere definiti processi per gestire i rischi di sicurezza associati alla filiera di fornitura ICT.

Verifica: Sono definiti processi per gestire i rischi di sicurezza della filiera ICT?

Risposta: yes_noEvidenza: procedura fornitori ICT, metodologia valutazione rischio fornituraApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-034 · Metodologia di valutazione rischio cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-21 · ISO27001 A.5.21
REQ-ATOM-SUP002-002highsupplier

I rischi relativi a prodotti, componenti e servizi ICT forniti da terze parti devono essere valutati in base alla criticità per l'Organizzazione.

Verifica: I rischi relativi a prodotti, componenti e servizi ICT forniti da terze parti sono valutati in base alla criticità?

Risposta: yes_noEvidenza: scheda valutazione fornitore, risk assessment fornitura, registro criticitàApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-21 · ISO27001 A.5.21
REQ-ATOM-SUP002-003highprocess

Le misure di sicurezza richieste alla filiera ICT devono essere comunicate e integrate nei processi di approvvigionamento e gestione dei fornitori.

Verifica: Le misure di sicurezza richieste alla filiera ICT sono integrate nei processi di acquisto e gestione fornitori?

Risposta: yes_noEvidenza: procedura procurement, requisiti in RFP/contratti, checklist fornitoreApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-21 · ISO27001 A.5.21
REQ-ATOM-SUP002-004mediumsupplier

La gestione della filiera ICT deve considerare anche subfornitori o dipendenze rilevanti quando incidono sulla sicurezza delle informazioni.

Verifica: La gestione della filiera ICT considera subfornitori o dipendenze rilevanti quando incidono sulla sicurezza?

Risposta: yes_noEvidenza: mappa subfornitori, clausole flow-down, dichiarazioni fornitoreApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-21 · ISO27001 A.5.21
REQ-ATOM-SUP002-005highsuppliercanonico

Nei processi di approvvigionamento con potenziali impatti sui sistemi informativi e di rete deve essere coinvolta l'organizzazione per la sicurezza informatica fin dalla definizione o progettazione della fornitura.

REQ-CAN-EXACT-0160EXACT_NORMALIZED_TEXT · High

Nei processi di approvvigionamento con potenziali impatti sui sistemi informativi e di rete deve essere coinvolta l'organizzazione per la sicurezza informatica fin dalla definizione o progettazione della fornitura.

Verifica: L'organizzazione per la sicurezza informatica è coinvolta nei processi di approvvigionamento con impatto cyber fin dalla fase iniziale?

Risposta: yes_noEvidenza: procedura procurement, verbali, ticket approvvigionamento, RACI sicurezzaApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP002-006highsuppliercanonico

Per le forniture con impatti potenziali sulla sicurezza devono essere definiti requisiti di sicurezza coerenti con le misure applicate ai sistemi informativi e di rete.

REQ-CAN-EXACT-0123EXACT_NORMALIZED_TEXT · High

Per le forniture con impatti potenziali sulla sicurezza devono essere definiti requisiti di sicurezza coerenti con le misure applicate ai sistemi informativi e di rete.

Verifica: Per le forniture rilevanti sono definiti requisiti di sicurezza coerenti con le misure interne?

Risposta: yes_noEvidenza: matrice requisiti sicurezza, capitolato, contrattoApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP002-007highrisk_basedcanonico

La definizione dei requisiti di sicurezza della fornitura deve considerare gli esiti della valutazione del rischio associata alla fornitura.

REQ-CAN-EXACT-0080EXACT_NORMALIZED_TEXT · High

La definizione dei requisiti di sicurezza della fornitura deve considerare gli esiti della valutazione del rischio associata alla fornitura.

Verifica: I requisiti di sicurezza della fornitura tengono conto della valutazione del rischio associata?

Risposta: yes_noEvidenza: risk assessment fornitore, scheda valutazione fornituraApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENT
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP002-008highsuppliercanonico

Quando applicabile, i requisiti di sicurezza della fornitura devono coprire affidabilità del fornitore, ruoli, responsabilità, vulnerabilità, continuità, accessi, dati, monitoraggio, incidenti, sviluppo sicuro, manutenzione, dismissione e subfornitura.

REQ-CAN-EXACT-0217EXACT_NORMALIZED_TEXT · High

Quando applicabile, i requisiti di sicurezza della fornitura devono coprire affidabilità del fornitore, ruoli, responsabilità, vulnerabilità, continuità, accessi, dati, monitoraggio, incidenti, sviluppo sicuro, manutenzione, dismissione e subfornitura.

Verifica: I requisiti di sicurezza della fornitura coprono gli ambiti applicabili richiesti dalla misura?

Risposta: yes_noEvidenza: checklist requisiti fornitore, contratto, allegato sicurezzaApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP002-009highsuppliercanonico

I requisiti di sicurezza definiti per la fornitura devono essere inseriti nei documenti di gara, richieste di offerta, contratti, accordi o convenzioni, salvo motivate ragioni normative o tecniche.

REQ-CAN-EXACT-0235EXACT_NORMALIZED_TEXT · High

I requisiti di sicurezza definiti per la fornitura devono essere inseriti nei documenti di gara, richieste di offerta, contratti, accordi o convenzioni, salvo motivate ragioni normative o tecniche.

Verifica: I requisiti di sicurezza sono inseriti nei documenti contrattuali o di gara della fornitura?

Risposta: yes_noEvidenza: RFP, bando, contratto, accordo, convenzioneApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-05 · NIS2 Allegato 2 GV-SC-05
REQ-ATOM-SUP002-010mediumcompliancecanonico

Eventuali esclusioni dei requisiti di sicurezza dai documenti contrattuali devono essere motivate e documentate.

REQ-CAN-EXACT-0122EXACT_NORMALIZED_TEXT · High

Eventuali esclusioni dei requisiti di sicurezza dai documenti contrattuali devono essere motivate e documentate.

Verifica: Le eventuali esclusioni dei requisiti di sicurezza dai documenti contrattuali sono motivate e documentate?

Risposta: yes_noEvidenza: deroga approvata, nota tecnica/normativa, verbale decisioneApplicabilità: nis2_essenziale_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-05 · NIS2 Allegato 2 GV-SC-05
REQ-ATOM-SUP002-011highevidencecanonico

I documenti contrattuali devono rendere tracciabile quali requisiti di sicurezza sono applicabili alla singola fornitura.

REQ-CAN-EXACT-0106EXACT_NORMALIZED_TEXT · High

I documenti contrattuali devono rendere tracciabile quali requisiti di sicurezza sono applicabili alla singola fornitura.

Verifica: È tracciabile quali requisiti di sicurezza si applicano alla singola fornitura?

Risposta: yes_noEvidenza: matrice requisiti, allegato contrattuale, registro fornitoriApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
NIS2_ESSENZIALE · FW-NIS-GV-SC-05 · NIS2 Allegato 2 GV-SC-05
REQ-ATOM-SUP002-012highsuppliercanonico

I requisiti applicabili ai subappaltatori devono essere conosciuti prima dell'affidamento di attività con impatto su informazioni o prototipi protetti.

REQ-CAN-EXACT-0223EXACT_NORMALIZED_TEXT · High

I requisiti applicabili ai subappaltatori devono essere conosciuti prima dell'affidamento di attività con impatto su informazioni o prototipi protetti.

Verifica: I requisiti per subappaltatori sono conosciuti prima dell'affidamento di attività rilevanti?

Risposta: yes_noEvidenza: procedura subappalto, checklist requisiti, contrattoApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-2 · TISAX ISA6 8.2.2
REQ-ATOM-SUP002-013highsuppliercanonico

I subappaltatori devono rispettare i requisiti di protezione applicabili alle attività affidate.

REQ-CAN-EXACT-0283EXACT_NORMALIZED_TEXT · High

I subappaltatori devono rispettare i requisiti di protezione applicabili alle attività affidate.

Verifica: I subappaltatori rispettano i requisiti di protezione applicabili alle attività affidate?

Risposta: yes_noEvidenza: contratto subappaltatore, evidenze controllo, dichiarazione conformitàApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-2-2 · TISAX ISA6 8.2.2
REQ-ATOM-SUP002-014mediumevidencecanonico

L'Organizzazione deve mantenere evidenza della verifica dei requisiti applicabili ai subappaltatori.

REQ-CAN-EXACT-0149EXACT_NORMALIZED_TEXT · High

L'Organizzazione deve mantenere evidenza della verifica dei requisiti applicabili ai subappaltatori.

Verifica: È mantenuta evidenza della verifica dei requisiti applicabili ai subappaltatori?

Risposta: yes_noEvidenza: registro subappaltatori, report verifica, audit fornitoreApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-2 · TISAX ISA6 8.2.2
REQ-ATOM-SUP002-015highsuppliercanonico

Gli obblighi contrattuali rilevanti per la protezione dei dati devono essere trasferiti a subappaltatori e partner di cooperazione quando applicabile.

REQ-CAN-EXACT-0164EXACT_NORMALIZED_TEXT · High

Gli obblighi contrattuali rilevanti per la protezione dei dati devono essere trasferiti a subappaltatori e partner di cooperazione quando applicabile.

Verifica: Gli obblighi contrattuali rilevanti sono trasferiti a subappaltatori e partner quando applicabile?

Risposta: yes_noEvidenza: clausole flow-down, contratto subappaltatore, accordo partnerApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-2 · TISAX ISA6 9.5.2
REQ-ATOM-SUP002-016mediumreviewcanonico

Il rispetto degli obblighi trasferiti a subappaltatori e partner deve essere reso verificabile.

REQ-CAN-EXACT-0246EXACT_NORMALIZED_TEXT · High

Il rispetto degli obblighi trasferiti a subappaltatori e partner deve essere reso verificabile.

Verifica: Il rispetto degli obblighi trasferiti a subappaltatori e partner è verificabile?

Risposta: yes_noEvidenza: audit report, attestazioni, evidenze di controlloApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-9-5-2 · TISAX ISA6 9.5.2
REQ-ATOM-SUP002-017mediumevidencecanonico

Le responsabilità verso subappaltatori e partner devono essere documentate e collegate al rapporto contrattuale principale.

REQ-CAN-EXACT-0242EXACT_NORMALIZED_TEXT · High

Le responsabilità verso subappaltatori e partner devono essere documentate e collegate al rapporto contrattuale principale.

Verifica: Le responsabilità verso subappaltatori e partner sono documentate e collegate al contratto principale?

Risposta: yes_noEvidenza: contratto principale, allegati subappalto, registro fornitoriApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-9-5-2 · TISAX ISA6 9.5.2
MC-SUP-003MA-SUP · Supplier & Cloud SecurityHighFornitori, outsourcing, cloud, supply chain ICT e requisiti contrattuali.

Monitoraggio dei servizi dei fornitori e gestione dei cambiamenti

4 controlli framework collegati

  • ISO27001FW-ISO-A-5-22Monitoraggio dei servizi dei fornitori e gestione dei cambiamenti
  • NIS2_ESSENZIALEFW-NIS-ID-AM-04Inventario dei servizi erogati dai fornitori mantenuto
  • NIS2_ESSENZIALEFW-NIS-GV-SC-01Programma e requisiti di cybersecurity della catena di fornitura stabiliti
  • NIS2_ESSENZIALEFW-NIS-GV-SC-07Rischi dei fornitori valutati, trattati e monitorati

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 2 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-013 · Procedura gestione assetProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 2 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 4 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 16 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-030 · Registro fornitori critici / forniture con impatto cyberRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · primario · OK_PRIMARY_PRESENT · review Low
  • DOC-033 · Procedura valutazione rischio fornitoriProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-035 · Risk RegisterRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 15 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-046 · Piano comunicazione interna/esterna in caso di incidentePiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-065 · Registro riesame policyRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 13 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 8 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici16
REQ-ATOM-SUP003-001highmonitoring

I servizi dei fornitori devono essere monitorati rispetto ai requisiti di sicurezza concordati.

Verifica: I servizi dei fornitori sono monitorati rispetto ai requisiti di sicurezza concordati?

Risposta: yes_noEvidenza: report servizio, SLA, evidenze di controllo periodicoApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-22 · ISO27001 A.5.22
REQ-ATOM-SUP003-002mediumreview

Le prestazioni e le pratiche di sicurezza dei fornitori devono essere riesaminate a intervalli definiti.

Verifica: Le pratiche di sicurezza dei fornitori sono riesaminate a intervalli definiti?

Risposta: yes_noEvidenza: verbali review fornitore, audit report, scheda riesameApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-065 · Registro riesame policy · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-22 · ISO27001 A.5.22
REQ-ATOM-SUP003-003highprocess

Le modifiche nei servizi erogati dai fornitori devono essere valutate e gestite quando possono impattare la sicurezza delle informazioni.

Verifica: Le modifiche dei servizi dei fornitori sono valutate e gestite quando impattano la sicurezza?

Risposta: yes_noEvidenza: ticket change, comunicazione fornitore, valutazione impattoApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-046 · Piano comunicazione interna/esterna in caso di incidente · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-22 · ISO27001 A.5.22
REQ-ATOM-SUP003-004mediumevidence

Gli esiti del monitoraggio e delle valutazioni sui fornitori devono essere documentati e mantenuti disponibili.

Verifica: Gli esiti del monitoraggio e delle valutazioni sui fornitori sono documentati e disponibili?

Risposta: yes_noEvidenza: registro fornitori, report di monitoraggio, repository documentaleApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-030 · Registro fornitori critici / forniture con impatto cyber · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-22 · ISO27001 A.5.22
REQ-ATOM-SUP003-005highsuppliercanonico

Nei processi di approvvigionamento con potenziali impatti sui sistemi informativi e di rete deve essere coinvolta l'organizzazione per la sicurezza informatica fin dalla definizione o progettazione della fornitura.

REQ-CAN-EXACT-0160EXACT_NORMALIZED_TEXT · High

Nei processi di approvvigionamento con potenziali impatti sui sistemi informativi e di rete deve essere coinvolta l'organizzazione per la sicurezza informatica fin dalla definizione o progettazione della fornitura.

Verifica: L'organizzazione per la sicurezza informatica è coinvolta nei processi di approvvigionamento con impatto cyber fin dalla fase iniziale?

Risposta: yes_noEvidenza: procedura procurement, verbali, ticket approvvigionamento, RACI sicurezzaApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP003-006highsuppliercanonico

Per le forniture con impatti potenziali sulla sicurezza devono essere definiti requisiti di sicurezza coerenti con le misure applicate ai sistemi informativi e di rete.

REQ-CAN-EXACT-0123EXACT_NORMALIZED_TEXT · High

Per le forniture con impatti potenziali sulla sicurezza devono essere definiti requisiti di sicurezza coerenti con le misure applicate ai sistemi informativi e di rete.

Verifica: Per le forniture rilevanti sono definiti requisiti di sicurezza coerenti con le misure interne?

Risposta: yes_noEvidenza: matrice requisiti sicurezza, capitolato, contrattoApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP003-007highrisk_basedcanonico

La definizione dei requisiti di sicurezza della fornitura deve considerare gli esiti della valutazione del rischio associata alla fornitura.

REQ-CAN-EXACT-0080EXACT_NORMALIZED_TEXT · High

La definizione dei requisiti di sicurezza della fornitura deve considerare gli esiti della valutazione del rischio associata alla fornitura.

Verifica: I requisiti di sicurezza della fornitura tengono conto della valutazione del rischio associata?

Risposta: yes_noEvidenza: risk assessment fornitore, scheda valutazione fornituraApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP003-008highsuppliercanonico

Quando applicabile, i requisiti di sicurezza della fornitura devono coprire affidabilità del fornitore, ruoli, responsabilità, vulnerabilità, continuità, accessi, dati, monitoraggio, incidenti, sviluppo sicuro, manutenzione, dismissione e subfornitura.

REQ-CAN-EXACT-0217EXACT_NORMALIZED_TEXT · High

Quando applicabile, i requisiti di sicurezza della fornitura devono coprire affidabilità del fornitore, ruoli, responsabilità, vulnerabilità, continuità, accessi, dati, monitoraggio, incidenti, sviluppo sicuro, manutenzione, dismissione e subfornitura.

Verifica: I requisiti di sicurezza della fornitura coprono gli ambiti applicabili richiesti dalla misura?

Risposta: yes_noEvidenza: checklist requisiti fornitore, contratto, allegato sicurezzaApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-01 · NIS2 Allegato 2 GV-SC-01
REQ-ATOM-SUP003-009highsupplier

Il rischio associato alle forniture deve essere valutato e documentato nell'ambito della valutazione del rischio.

Verifica: Il rischio delle forniture è valutato e documentato nel processo di risk assessment?

Risposta: yes_noEvidenza: risk assessment fornitori, registro rischi, scheda fornituraApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-033 · Procedura valutazione rischio fornitori · di supporto · OK_SUPPORTINGDOC-035 · Risk Register · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-07 · NIS2 Allegato 2 GV-SC-07
REQ-ATOM-SUP003-010highaccess_control

La valutazione del rischio della fornitura deve considerare il livello di accesso del fornitore ai sistemi informativi e di rete.

Verifica: La valutazione del rischio considera il livello di accesso del fornitore ai sistemi informativi e di rete?

Risposta: yes_noEvidenza: scheda accessi fornitore, export utenze, matrice accessiApplicabilità: nis2_essenziale_onlyAutomazione: entra_id
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-07 · NIS2 Allegato 2 GV-SC-07
REQ-ATOM-SUP003-011highdata_protection

La valutazione del rischio della fornitura deve considerare l'accesso del fornitore a proprietà intellettuale e dati, anche in base alla loro criticità.

Verifica: La valutazione del rischio considera accesso a proprietà intellettuale e dati in base alla criticità?

Risposta: yes_noEvidenza: classificazione dati, contratto, scheda trattamento/fornituraApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-07 · NIS2 Allegato 2 GV-SC-07
REQ-ATOM-SUP003-012highcontinuity

La valutazione del rischio della fornitura deve considerare impatto, tempi e costi di ripristino in caso di grave interruzione o indisponibilità del servizio.

Verifica: La valutazione del rischio considera impatto, tempi e costi di ripristino in caso di interruzione del servizio?

Risposta: yes_noEvidenza: BIA fornitura, piano continuità, valutazione servizio criticoApplicabilità: nis2_essenziale_onlyAutomazione: manual
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-07 · NIS2 Allegato 2 GV-SC-07
REQ-ATOM-SUP003-013mediumreview

La conformità delle forniture ai requisiti di sicurezza contrattualizzati deve essere verificata periodicamente e documentata.

Verifica: La conformità delle forniture ai requisiti di sicurezza è verificata periodicamente e documentata?

Risposta: yes_noEvidenza: review fornitore, audit report, registro monitoraggio fornitoriApplicabilità: nis2_essenziale_onlyAutomazione: supplier_register
Copertura requirement
DOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-GV-SC-07 · NIS2 Allegato 2 GV-SC-07
REQ-ATOM-SUP003-014highasset_managementcanonico

Deve essere mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori.

REQ-CAN-EXACT-0152EXACT_NORMALIZED_TEXT · High

Deve essere mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori.

Verifica: È mantenuto un inventario aggiornato dei servizi informatici erogati dai fornitori?

Risposta: yes_noEvidenza: inventario servizi fornitori, CMDB, registro SaaS/cloudApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-04 · NIS2 Allegato 2 ID-AM-04
REQ-ATOM-SUP003-015highasset_management

L'inventario dei servizi dei fornitori deve includere anche i servizi cloud.

Verifica: L'inventario dei servizi dei fornitori include anche i servizi cloud?

Risposta: yes_noEvidenza: registro cloud/SaaS, inventario servizi esterniApplicabilità: nis2_essenziale_onlyAutomazione: asset_inventory
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-04 · NIS2 Allegato 2 ID-AM-04
REQ-ATOM-SUP003-016mediumprocess

L'inventario dei servizi dei fornitori deve essere aggiornato quando vengono attivati, modificati o cessati servizi esterni rilevanti.

Verifica: L'inventario è aggiornato quando servizi esterni sono attivati, modificati o cessati?

Risposta: yes_noEvidenza: ticket onboarding/offboarding servizio, registro aggiornamentiApplicabilità: nis2_essenziale_onlyAutomazione: ticketing
Copertura requirement
DOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTING
NIS2_ESSENZIALE · FW-NIS-ID-AM-04 · NIS2 Allegato 2 ID-AM-04
MC-SUP-004MA-SUP · Supplier & Cloud SecurityHighFornitori, outsourcing, cloud, supply chain ICT e requisiti contrattuali.

Sicurezza delle informazioni per i servizi cloud

3 controlli framework collegati

  • ISO27001FW-ISO-A-5-23Sicurezza delle informazioni per i servizi cloud
  • TISAX_ISA6FW-TISAX-TISAX-5-3-4Protezione informazioni in servizi IT esterni condivisi
  • TISAX_ISA6FW-TISAX-TISAX-1-3-3Uso solo di servizi IT esterni valutati e approvati

Documenti pianificati

  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 1 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-009 · Ruoli, responsabilità e autorità cyberMatrice RACI · 3 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY · review Medium
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 3 requirement · evidenza, di supporto · OK_EVIDENCE_OR_REGISTER, OK_SUPPORTING · review Low
  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 10 requirement · primario, di supporto · OK_PRIMARY_PRESENT, OK_SUPPORTING · review Low
  • DOC-021 · Procedura trattamento e protezione datiProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-064 · Registro approvazioni organi direttiviRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici10
REQ-ATOM-SUP004-001highsupplier

Devono essere stabiliti processi per acquisire servizi cloud in coerenza con i requisiti di sicurezza dell'Organizzazione.

Verifica: Esiste un processo per acquisire servizi cloud in coerenza con i requisiti di sicurezza?

Risposta: yes_noEvidenza: procedura cloud, checklist approvazione SaaS/IaaS/PaaS, valutazione fornitoreApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-23 · ISO27001 A.5.23
REQ-ATOM-SUP004-002highprocess

L'utilizzo dei servizi cloud deve essere regolato e autorizzato in base ai requisiti di sicurezza applicabili.

Verifica: L'utilizzo dei servizi cloud è regolato e autorizzato in base ai requisiti di sicurezza applicabili?

Risposta: yes_noEvidenza: registro servizi cloud, approvazioni, policy cloudApplicabilità: iso_onlyAutomazione: supplier_register
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-064 · Registro approvazioni organi direttivi · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-23 · ISO27001 A.5.23
REQ-ATOM-SUP004-003hightechnical_control

La gestione operativa dei servizi cloud deve includere controlli su accessi, configurazioni, dati e responsabilità condivise.

Verifica: La gestione dei servizi cloud include controlli su accessi, configurazioni, dati e responsabilità condivise?

Risposta: yes_noEvidenza: matrice responsabilità cloud, configurazioni tenant, export accessiApplicabilità: iso_onlyAutomazione: microsoft_api
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · primario · OK_PRIMARY_PRESENTDOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-23 · ISO27001 A.5.23
REQ-ATOM-SUP004-004mediumdata_protection

L'uscita o cessazione da servizi cloud deve prevedere restituzione, migrazione o cancellazione sicura delle informazioni.

Verifica: La cessazione di servizi cloud prevede restituzione, migrazione o cancellazione sicura delle informazioni?

Risposta: yes_noEvidenza: exit plan cloud, verbale cessazione, conferma cancellazione datiApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-021 · Procedura trattamento e protezione dati · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-5-23 · ISO27001 A.5.23
REQ-ATOM-SUP004-005highsupplier

I servizi IT esterni devono essere valutati prima dell'utilizzo rispetto ai requisiti di sicurezza applicabili.

Verifica: I servizi IT esterni sono valutati prima dell'utilizzo rispetto ai requisiti di sicurezza?

Risposta: yes_noEvidenza: valutazione servizio esterno, checklist approvazione, risk assessmentApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · primario · OK_PRIMARY_PRESENT
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3
REQ-ATOM-SUP004-006highprocess

L'utilizzo di servizi IT esterni deve essere approvato da ruoli competenti prima dell'attivazione.

Verifica: L'utilizzo di servizi IT esterni è approvato da ruoli competenti prima dell'attivazione?

Risposta: yes_noEvidenza: approvazione servizio, ticket procurement, registro servizi approvatiApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3
REQ-ATOM-SUP004-007mediumasset_management

Deve essere mantenuta traccia dei servizi IT esterni approvati e del relativo ambito di utilizzo.

Verifica: È mantenuta traccia dei servizi IT esterni approvati e del relativo ambito?

Risposta: yes_noEvidenza: inventario servizi esterni, registro cloud/SaaSApplicabilità: tisax_onlyAutomazione: asset_inventory
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · primario · OK_PRIMARY_PRESENTDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-1-3-3 · TISAX ISA6 1.3.3
REQ-ATOM-SUP004-008highdata_protectioncanonico

Le informazioni trattate tramite servizi IT esterni condivisi devono essere protette contro accessi o commistioni non autorizzate.

REQ-CAN-EXACT-0142EXACT_NORMALIZED_TEXT · High

Le informazioni trattate tramite servizi IT esterni condivisi devono essere protette contro accessi o commistioni non autorizzate.

Verifica: Le informazioni in servizi IT esterni condivisi sono protette contro accessi o commistioni non autorizzate?

Risposta: yes_noEvidenza: configurazioni tenant, matrice segregazione, report accessiApplicabilità: tisax_onlyAutomazione: microsoft_api
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-4 · TISAX ISA6 5.3.4
REQ-ATOM-SUP004-009highsuppliercanonico

Le responsabilità di protezione nei servizi IT esterni condivisi devono essere chiarite con il provider.

REQ-CAN-EXACT-0241EXACT_NORMALIZED_TEXT · High

Le responsabilità di protezione nei servizi IT esterni condivisi devono essere chiarite con il provider.

Verifica: Le responsabilità di protezione nei servizi IT esterni condivisi sono chiarite con il provider?

Risposta: yes_noEvidenza: matrice responsabilità condivisa, contratto, SLAApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-009 · Ruoli, responsabilità e autorità cyber · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-4 · TISAX ISA6 5.3.4
REQ-ATOM-SUP004-010mediumevidencecanonico

Devono essere disponibili evidenze delle misure applicate per separazione, accesso e protezione nei servizi IT esterni condivisi.

REQ-CAN-EXACT-0098EXACT_NORMALIZED_TEXT · High

Devono essere disponibili evidenze delle misure applicate per separazione, accesso e protezione nei servizi IT esterni condivisi.

Verifica: Sono disponibili evidenze delle misure di separazione, accesso e protezione nei servizi IT esterni condivisi?

Risposta: yes_noEvidenza: screenshot configurazioni, export accessi, report audit providerApplicabilità: tisax_onlyAutomazione: microsoft_api
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-5-3-4 · TISAX ISA6 5.3.4
MC-SUP-005MA-SUP · Supplier & Cloud SecurityHighFornitori, outsourcing, cloud, supply chain ICT e requisiti contrattuali.

Sviluppo esternalizzato

1 controlli framework collegati

  • ISO27001FW-ISO-A-8-30Sviluppo esternalizzato

Documenti pianificati

  • DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterniRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 2 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-061 · Indice evidenze auditabiliRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 4 requirement · di supporto, primario · OK_SUPPORTING, OK_PRIMARY_PRESENT · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici4
REQ-ATOM-SUP005-001highsupplier

Lo sviluppo esternalizzato deve essere regolato da accordi che includono requisiti di sicurezza applicabili al ciclo di sviluppo.

Verifica: Lo sviluppo esternalizzato è regolato da accordi con requisiti di sicurezza per il ciclo di sviluppo?

Risposta: yes_noEvidenza: contratto sviluppo, allegato sicurezza, capitolato tecnicoApplicabilità: iso_onlyAutomazione: manual
Copertura requirement
DOC-017 · Inventario servizi cloud / SaaS / API / servizi esterni · evidenza · OK_EVIDENCE_OR_REGISTERDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-30 · ISO27001 A.8.30
REQ-ATOM-SUP005-002highsecure_development

I fornitori coinvolti nello sviluppo devono rispettare le pratiche di sviluppo sicuro richieste dall'Organizzazione.

Verifica: I fornitori di sviluppo rispettano le pratiche di sviluppo sicuro richieste?

Risposta: yes_noEvidenza: procedura sviluppo sicuro, attestazione fornitore, evidenze code review/testApplicabilità: iso_onlyAutomazione: document_repository
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-061 · Indice evidenze auditabili · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-30 · ISO27001 A.8.30
REQ-ATOM-SUP005-003highprocess

L'Organizzazione deve mantenere controllo su requisiti, consegne, accessi e ambienti utilizzati nello sviluppo esternalizzato.

Verifica: L'Organizzazione mantiene controllo su requisiti, consegne, accessi e ambienti usati nello sviluppo esternalizzato?

Risposta: yes_noEvidenza: registro accessi fornitore, piano progetto, repository commit, ticketApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-029 · Procedura gestione fornitori cyber · primario · OK_PRIMARY_PRESENTDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTER
ISO27001 · FW-ISO-A-8-30 · ISO27001 A.8.30
REQ-ATOM-SUP005-004highreview

I risultati dello sviluppo esternalizzato devono essere verificati prima dell'accettazione o del rilascio.

Verifica: I risultati dello sviluppo esternalizzato sono verificati prima dell'accettazione o del rilascio?

Risposta: yes_noEvidenza: verbale collaudo, report test sicurezza, approvazione rilascioApplicabilità: iso_onlyAutomazione: ticketing
Copertura requirement
DOC-068 · Procedura sviluppo sicuro e change management applicativo · primario · OK_PRIMARY_PRESENTDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTING
ISO27001 · FW-ISO-A-8-30 · ISO27001 A.8.30
MC-TIS-002MA-TISAX · TISAX & Prototype ProtectionMediumScope TISAX, obiettivi, prototipi, veicoli test, eventi e segregazione clienti.

Segregazione di clienti e progetti per le informazioni protette

1 controlli framework collegati

  • TISAX_ISA6FW-TISAX-TISAX-8-1-8Segregazione cliente on-site

Documenti pianificati

  • DOC-014 · Inventario hardwareRegistro · 3 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
Requirement atomici3
REQ-ATOM-TIS002-001mediumphysical_security

Quando richiesto, devono essere previste misure di segregazione on-site tra clienti, progetti o informazioni protette.

Verifica: Sono previste misure di segregazione on-site tra clienti, progetti o informazioni protette quando richiesto?

Risposta: yes_noEvidenza: layout aree, regole progetto, matrice segregazioneApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-8 · TISAX ISA6 8.1.8
REQ-ATOM-TIS002-002mediumprocess

La segregazione on-site deve essere documentata e comprensibile al personale coinvolto.

Verifica: La segregazione on-site è documentata e comunicata al personale coinvolto?

Risposta: yes_noEvidenza: procedura aree, istruzioni operative, presa visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTER
TISAX_ISA6 · FW-TISAX-TISAX-8-1-8 · TISAX ISA6 8.1.8
REQ-ATOM-TIS002-003highaccess_control

Gli accessi alle aree o informazioni segregate devono essere concessi solo a soggetti autorizzati.

Verifica: Gli accessi alle aree o informazioni segregate sono concessi solo a soggetti autorizzati?

Risposta: yes_noEvidenza: lista autorizzazioni, badge log, matrice accessi progettoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-8 · TISAX ISA6 8.1.8
MC-TIS-003MA-TISAX · TISAX & Prototype ProtectionMediumScope TISAX, obiettivi, prototipi, veicoli test, eventi e segregazione clienti.

Concetto di sicurezza per la protezione dei prototipi

20 controlli framework collegati

  • TISAX_ISA6FW-TISAX-TISAX-8-2-6Regole per registrazioni immagini e materiale prodotto
  • TISAX_ISA6FW-TISAX-TISAX-8-3-1Trasporto veicoli/componenti protetti secondo requisiti cliente
  • TISAX_ISA6FW-TISAX-TISAX-8-4-1Regole di camuffamento prototipi
  • TISAX_ISA6FW-TISAX-TISAX-8-4-2Misure su test/trial grounds approvati
  • TISAX_ISA6FW-TISAX-TISAX-8-5-1Requisiti eventi/presentazioni con prototipi
  • TISAX_ISA6FW-TISAX-TISAX-8-4-3Misure per test drive pubblici
  • TISAX_ISA6FW-TISAX-TISAX-8-5-2Misure per film/photo shooting con prototipi
  • TISAX_ISA6FW-TISAX-TISAX-8-2-7Uso dispositivi video/foto mobili in aree sicure
  • TISAX_ISA6FW-TISAX-TISAX-8-3-2Parcheggio/stoccaggio veicoli/componenti protetti
  • TISAX_ISA6FW-TISAX-TISAX-8-1-1Security concept fisico/ambientale per prototipi
  • TISAX_ISA6FW-TISAX-TISAX-8-1-2Perimetro fisico contro accesso non autorizzato
  • TISAX_ISA6FW-TISAX-TISAX-8-1-4Protezione visuale in aree di sicurezza
  • TISAX_ISA6FW-TISAX-TISAX-8-1-5Protezione contro ingresso non autorizzato tramite access control
  • TISAX_ISA6FW-TISAX-TISAX-8-2-2Requisiti per subappaltatori conosciuti e rispettati
  • TISAX_ISA6FW-TISAX-TISAX-8-2-4Classificazione sicurezza progetto e misure note
  • TISAX_ISA6FW-TISAX-TISAX-8-2-5Processo concessione accesso ad aree sicure
  • TISAX_ISA6FW-TISAX-TISAX-8-1-6Monitoraggio intrusione locali protetti
  • TISAX_ISA6FW-TISAX-TISAX-8-1-3Protezione involucro edifici / barriere fisiche
  • TISAX_ISA6FW-TISAX-TISAX-8-2-1NDA/obblighi di riservatezza per prototipi
  • TISAX_ISA6FW-TISAX-TISAX-8-2-3Training/awareness su gestione prototipi

Documenti pianificati

  • DOC-005 · Registro requisiti legali, normativi e contrattualiRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-006 · Politica per la sicurezza delle informazioniPolicy · 4 requirement · di supporto · WEAK_MATCH_SUPPORT_ONLY, OK_SUPPORTING · review Medium, Low
  • DOC-013 · Procedura gestione assetProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-014 · Inventario hardwareRegistro · 60 requirement · di supporto, evidenza · OK_SUPPORTING, OK_EVIDENCE_OR_REGISTER · review Low
  • DOC-019 · Classificazione informazioni e datiPolicy · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-022 · Procedura gestione accessi logiciProcedura · 8 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-023 · Procedura gestione accessi fisiciProcedura · 9 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-028 · Procedura onboarding, variazione ruolo e offboardingProcedura · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-029 · Procedura gestione fornitori cyberProcedura · 4 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-031 · Matrice requisiti contrattuali di sicurezza fornitoriMatrice · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-032 · Template NDA / clausole riservatezza / sicurezzaTemplate / modulo · 4 requirement · di supporto · OK_SUPPORTING, WEAK_MATCH_SUPPORT_ONLY · review Low, Medium
  • DOC-039 · Piano gestione vulnerabilità e patchingPiano · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-041 · Procedura logging e monitoraggio eventi sicurezzaProcedura · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-044 · Registro eventi e incidenti di sicurezzaRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-052 · Piano formazione e consapevolezza cyberPiano · 6 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-053 · Registro formazione, presenze, verificheRegistro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-063 · Registro scostamenti, eccezioni e non applicabilità motivateRegistro · 1 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-066 · Business Impact Analysis — BIAAnalisi / registro · 2 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-068 · Procedura sviluppo sicuro e change management applicativoProcedura · 8 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-069 · Procedura change management infrastrutturale e configurazioniProcedura · 3 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-073 · Security concept per protezione prototipi e informazioni TISAXDocumento / piano · 60 requirement · di supporto · OK_SUPPORTING · review Low
  • DOC-074 · Registro accessi fisici, visitatori, badge e chiaviRegistro · 1 requirement · evidenza · OK_EVIDENCE_OR_REGISTER · review Low
Requirement atomici60
REQ-ATOM-TIS003-001highphysical_security

Deve essere disponibile un concetto di sicurezza per la protezione dei prototipi che descriva i requisiti minimi fisici e ambientali.

Verifica: È disponibile un concetto di sicurezza che descrive i requisiti minimi fisici e ambientali per la protezione dei prototipi?

Risposta: yes_noEvidenza: security concept prototipi, procedura TISAX, piano aree protetteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-TIS003-002highprocess

Il concetto di sicurezza per i prototipi deve definire l'ambito di applicazione, inclusi veicoli, componenti, parti o informazioni classificate come protette.

Verifica: Il concetto di sicurezza definisce l'ambito di applicazione per prototipi, componenti, parti o informazioni protette?

Risposta: yes_noEvidenza: security concept, classificazione progetto, elenco asset prototipaliApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-013 · Procedura gestione asset · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-TIS003-003mediumtraining

Le misure previste dal concetto di sicurezza devono essere conosciute dai soggetti coinvolti nella gestione dei prototipi.

Verifica: Le misure del concetto di sicurezza sono conosciute dai soggetti coinvolti?

Risposta: yes_noEvidenza: presa visione, formazione prototipi, istruzioni progettoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-TIS003-004mediumreview

Il concetto di sicurezza deve essere riesaminato o aggiornato quando cambiano requisiti cliente, aree, progetti o modalità operative.

Verifica: Il concetto di sicurezza è riesaminato o aggiornato quando cambiano requisiti o condizioni operative?

Risposta: yes_noEvidenza: registro revisioni, verbale aggiornamento, change requestApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-1 · TISAX ISA6 8.1.1
REQ-ATOM-TIS003-005highphysical_security

Le aree o proprietà protette devono disporre di un perimetro fisico volto a impedire accessi non autorizzati.

Verifica: Le aree o proprietà protette dispongono di un perimetro fisico contro accessi non autorizzati?

Risposta: yes_noEvidenza: planimetria, foto barriere, policy accessi fisiciApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-2 · TISAX ISA6 8.1.2
REQ-ATOM-TIS003-006mediumphysical_security

Il perimetro di sicurezza deve essere definito in modo coerente con la classificazione degli oggetti o informazioni da proteggere.

Verifica: Il perimetro di sicurezza è coerente con la classificazione degli oggetti o informazioni da proteggere?

Risposta: yes_noEvidenza: classificazione progetto, security concept, planimetria areeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-2 · TISAX ISA6 8.1.2
REQ-ATOM-TIS003-007mediumevidence

L'efficacia del perimetro deve essere verificabile attraverso evidenze fisiche o documentali.

Verifica: L'efficacia del perimetro è verificabile con evidenze fisiche o documentali?

Risposta: yes_noEvidenza: report sopralluogo, audit fisico, foto controllateApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-2 · TISAX ISA6 8.1.2
REQ-ATOM-TIS003-008mediumphysical_security

L'involucro esterno degli edifici protetti deve ostacolare la rimozione o apertura non autorizzata di componenti con strumenti standard.

Verifica: L'involucro esterno degli edifici protetti ostacola apertura o rimozione non autorizzata con strumenti standard?

Risposta: yes_noEvidenza: relazione tecnica, sopralluogo, descrizione barriere fisicheApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-3 · TISAX ISA6 8.1.3
REQ-ATOM-TIS003-009mediumphysical_security

Le aperture, accessi e componenti esterni delle aree protette devono essere considerati nel disegno delle misure fisiche.

Verifica: Aperture, accessi e componenti esterni sono considerati nel disegno delle misure fisiche?

Risposta: yes_noEvidenza: planimetria, checklist sicurezza fisica, report auditApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-3 · TISAX ISA6 8.1.3
REQ-ATOM-TIS003-010highphysical_security

Nelle aree di sicurezza definite deve essere garantita protezione contro osservazione o visibilità non autorizzata.

Verifica: Nelle aree di sicurezza è garantita protezione contro visibilità non autorizzata?

Risposta: yes_noEvidenza: planimetria, foto oscuramenti, procedura aree protetteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-4 · TISAX ISA6 8.1.4
REQ-ATOM-TIS003-011mediumrisk_based

Le misure di protezione visuale devono essere adeguate al tipo di prototipo, componente o informazione protetta presente nell'area.

Verifica: Le misure di protezione visuale sono adeguate al tipo di materiale protetto presente?

Risposta: yes_noEvidenza: classificazione progetto, security concept, valutazione areaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-4 · TISAX ISA6 8.1.4
REQ-ATOM-TIS003-012mediumtraining

Le regole sulla protezione visuale devono essere comunicate a personale, visitatori o terze parti coinvolte.

Verifica: Le regole sulla protezione visuale sono comunicate a personale, visitatori o terze parti?

Risposta: yes_noEvidenza: istruzioni operative, cartellonistica, presa visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-4 · TISAX ISA6 8.1.4
REQ-ATOM-TIS003-013highaccess_control

L'ingresso non autorizzato nelle aree protette deve essere regolato tramite controlli di accesso.

Verifica: L'ingresso nelle aree protette è regolato tramite controlli di accesso?

Risposta: yes_noEvidenza: sistema badge, lista autorizzati, policy accessi fisiciApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-5 · TISAX ISA6 8.1.5
REQ-ATOM-TIS003-014highaccess_control

Le autorizzazioni di accesso alle aree protette devono essere concesse in base a necessità operative o progetto autorizzato.

Verifica: Le autorizzazioni alle aree protette sono concesse in base a necessità operative o progetto autorizzato?

Risposta: yes_noEvidenza: matrice accessi fisici, richiesta autorizzazione, elenco progettoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-5 · TISAX ISA6 8.1.5
REQ-ATOM-TIS003-015mediumreview

Gli accessi alle aree protette devono essere riesaminati o revocati quando cambiano ruolo, progetto o necessità operative.

Verifica: Gli accessi alle aree protette sono riesaminati o revocati quando cambia la necessità?

Risposta: yes_noEvidenza: registro access review, ticket revoca, elenco badgeApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-066 · Business Impact Analysis — BIA · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-5 · TISAX ISA6 8.1.5
REQ-ATOM-TIS003-016highphysical_security

I locali da proteggere devono essere monitorati per rilevare intrusioni.

Verifica: I locali da proteggere sono monitorati per rilevare intrusioni?

Risposta: yes_noEvidenza: sistema antintrusione, report manutenzione, configurazione allarmiApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-6 · TISAX ISA6 8.1.6
REQ-ATOM-TIS003-017mediumincident

Gli eventi di intrusione o allarme relativi ai locali protetti devono essere gestiti secondo una procedura definita.

Verifica: Gli eventi di intrusione o allarme sono gestiti secondo una procedura definita?

Risposta: yes_noEvidenza: procedura gestione allarmi, registro eventi, ticket interventoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-044 · Registro eventi e incidenti di sicurezza · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-6 · TISAX ISA6 8.1.6
REQ-ATOM-TIS003-018mediummonitoring

Le misure di monitoraggio intrusione devono essere mantenute operative e verificabili.

Verifica: Le misure di monitoraggio intrusione sono mantenute operative e verificabili?

Risposta: yes_noEvidenza: report test allarme, manutenzione impianto, registro verificheApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-069 · Procedura change management infrastrutturale e configurazioni · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-1-6 · TISAX ISA6 8.1.6
REQ-ATOM-TIS003-019highcompliance

Per prototipi o informazioni protette devono esistere obblighi di riservatezza o NDA conformi al quadro contrattuale applicabile.

Verifica: Per prototipi o informazioni protette esistono NDA o obblighi di riservatezza applicabili?

Risposta: yes_noEvidenza: NDA, clausole riservatezza, contratto progettoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-1 · TISAX ISA6 8.2.1
REQ-ATOM-TIS003-020highprocess

Gli obblighi di riservatezza devono essere formalizzati prima dell'accesso a prototipi o informazioni protette.

Verifica: Gli obblighi di riservatezza sono formalizzati prima dell'accesso a prototipi o informazioni protette?

Risposta: yes_noEvidenza: NDA firmato, onboarding progetto, presa visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-028 · Procedura onboarding, variazione ruolo e offboarding · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-1 · TISAX ISA6 8.2.1
REQ-ATOM-TIS003-021highsupplier

La copertura degli obblighi di riservatezza deve includere personale interno, terze parti e subappaltatori quando coinvolti.

Verifica: Gli obblighi di riservatezza coprono personale interno, terze parti e subappaltatori coinvolti?

Risposta: yes_noEvidenza: elenco soggetti, NDA, contratti partnerApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-032 · Template NDA / clausole riservatezza / sicurezza · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-031 · Matrice requisiti contrattuali di sicurezza fornitori · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-1 · TISAX ISA6 8.2.1
REQ-ATOM-TIS003-022highsuppliercanonico

I requisiti applicabili ai subappaltatori devono essere conosciuti prima dell'affidamento di attività con impatto su informazioni o prototipi protetti.

REQ-CAN-EXACT-0223EXACT_NORMALIZED_TEXT · High

I requisiti applicabili ai subappaltatori devono essere conosciuti prima dell'affidamento di attività con impatto su informazioni o prototipi protetti.

Verifica: I requisiti per subappaltatori sono conosciuti prima dell'affidamento di attività rilevanti?

Risposta: yes_noEvidenza: procedura subappalto, checklist requisiti, contrattoApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-2 · TISAX ISA6 8.2.2
REQ-ATOM-TIS003-023highsuppliercanonico

I subappaltatori devono rispettare i requisiti di protezione applicabili alle attività affidate.

REQ-CAN-EXACT-0283EXACT_NORMALIZED_TEXT · High

I subappaltatori devono rispettare i requisiti di protezione applicabili alle attività affidate.

Verifica: I subappaltatori rispettano i requisiti di protezione applicabili alle attività affidate?

Risposta: yes_noEvidenza: contratto subappaltatore, evidenze controllo, dichiarazione conformitàApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-2 · TISAX ISA6 8.2.2
REQ-ATOM-TIS003-024mediumevidencecanonico

L'Organizzazione deve mantenere evidenza della verifica dei requisiti applicabili ai subappaltatori.

REQ-CAN-EXACT-0149EXACT_NORMALIZED_TEXT · High

L'Organizzazione deve mantenere evidenza della verifica dei requisiti applicabili ai subappaltatori.

Verifica: È mantenuta evidenza della verifica dei requisiti applicabili ai subappaltatori?

Risposta: yes_noEvidenza: registro subappaltatori, report verifica, audit fornitoreApplicabilità: tisax_onlyAutomazione: supplier_register
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-2 · TISAX ISA6 8.2.2
REQ-ATOM-TIS003-025mediumtraining

Dipendenti e membri di progetto coinvolti nella gestione dei prototipi devono partecipare a misure di formazione o awareness dedicate.

Verifica: Dipendenti e membri di progetto coinvolti nei prototipi partecipano a formazione o awareness dedicata?

Risposta: yes_noEvidenza: registro formazione, materiale awareness, elenco partecipantiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3
REQ-ATOM-TIS003-026mediumtraining

La formazione sulla gestione dei prototipi deve coprire regole operative, rischi e comportamenti attesi.

Verifica: La formazione prototipi copre regole operative, rischi e comportamenti attesi?

Risposta: yes_noEvidenza: programma formazione, slide, quiz/verificaApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3
REQ-ATOM-TIS003-027mediumevidence

La partecipazione alle misure di formazione o awareness sui prototipi deve essere dimostrabile.

Verifica: La partecipazione alla formazione o awareness sui prototipi è dimostrabile?

Risposta: yes_noEvidenza: registro presenze, attestazioni, report LMSApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-053 · Registro formazione, presenze, verifiche · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-3 · TISAX ISA6 8.2.3
REQ-ATOM-TIS003-028mediumprocess

Le classificazioni di sicurezza del progetto devono essere conosciute dai soggetti coinvolti.

Verifica: Le classificazioni di sicurezza del progetto sono conosciute dai soggetti coinvolti?

Risposta: yes_noEvidenza: scheda progetto, classificazione cliente, comunicazioni progettoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-4 · TISAX ISA6 8.2.4
REQ-ATOM-TIS003-029highphysical_security

Le misure di sicurezza derivanti dalla classificazione del progetto devono essere definite e rese disponibili.

Verifica: Le misure di sicurezza derivanti dalla classificazione del progetto sono definite e disponibili?

Risposta: yes_noEvidenza: security concept, istruzioni progetto, matrice misureApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-4 · TISAX ISA6 8.2.4
REQ-ATOM-TIS003-030highcompliance

Le misure di sicurezza del progetto devono essere applicate coerentemente alla classificazione assegnata.

Verifica: Le misure di sicurezza del progetto sono applicate coerentemente alla classificazione assegnata?

Risposta: yes_noEvidenza: checklist progetto, audit interno, evidenze operativeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-019 · Classificazione informazioni e dati · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-4 · TISAX ISA6 8.2.4
REQ-ATOM-TIS003-031highaccess_controlcanonico

Deve essere definito un processo per concedere accesso alle aree di sicurezza.

REQ-CAN-EXACT-0079EXACT_NORMALIZED_TEXT · High

Deve essere definito un processo per concedere accesso alle aree di sicurezza.

Verifica: È definito un processo per concedere accesso alle aree di sicurezza?

Risposta: yes_noEvidenza: procedura accessi fisici, workflow autorizzazione, modulo richiestaApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-TIS003-032highaccess_control

L'accesso alle aree di sicurezza deve essere approvato da ruoli competenti prima dell'abilitazione.

Verifica: L'accesso alle aree di sicurezza è approvato da ruoli competenti prima dell'abilitazione?

Risposta: yes_noEvidenza: richiesta approvata, ticket accesso, matrice autorizzatoriApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-TIS003-033mediumevidence

Le concessioni di accesso alle aree di sicurezza devono essere registrate e riesaminabili.

Verifica: Le concessioni di accesso alle aree di sicurezza sono registrate e riesaminabili?

Risposta: yes_noEvidenza: registro accessi, export badge, storico autorizzazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-074 · Registro accessi fisici, visitatori, badge e chiavi · evidenza · OK_EVIDENCE_OR_REGISTERDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-5 · TISAX ISA6 8.2.5
REQ-ATOM-TIS003-034highprocess

Devono esistere regole per la registrazione di immagini relative a prototipi, aree protette o materiali prodotti.

Verifica: Esistono regole per la registrazione di immagini relative a prototipi, aree protette o materiali prodotti?

Risposta: yes_noEvidenza: procedura foto/video, policy aree protette, istruzioni progettoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-006 · Politica per la sicurezza delle informazioni · di supporto · WEAK_MATCH_SUPPORT_ONLYDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-6 · TISAX ISA6 8.2.6
REQ-ATOM-TIS003-035highdata_protection

Il materiale immagine prodotto deve essere gestito, conservato e condiviso secondo regole definite.

Verifica: Il materiale immagine prodotto è gestito, conservato e condiviso secondo regole definite?

Risposta: yes_noEvidenza: registro immagini, repository controllato, autorizzazioni accessoApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-6 · TISAX ISA6 8.2.6
REQ-ATOM-TIS003-036highcompliance

Eventuali registrazioni immagini devono essere autorizzate quando riguardano prototipi o aree sicure.

Verifica: Le registrazioni immagini di prototipi o aree sicure sono autorizzate?

Risposta: yes_noEvidenza: approvazione riprese, permesso progetto, registro autorizzazioniApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-6 · TISAX ISA6 8.2.6
REQ-ATOM-TIS003-037highprocess

Deve essere stabilito un processo per introdurre e utilizzare dispositivi mobili video o fotografici nelle aree di sicurezza definite.

Verifica: È stabilito un processo per introdurre e usare dispositivi video/foto mobili nelle aree di sicurezza?

Risposta: yes_noEvidenza: procedura dispositivi foto/video, modulo autorizzazione, istruzioni accessoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
REQ-ATOM-TIS003-038highphysical_security

L'uso di dispositivi mobili per video o fotografie in aree sicure deve essere autorizzato e controllato.

Verifica: L'uso di dispositivi video/foto mobili in aree sicure è autorizzato e controllato?

Risposta: yes_noEvidenza: registro autorizzazioni, controlli ingresso, policy dispositiviApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-006 · Politica per la sicurezza delle informazioni · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
REQ-ATOM-TIS003-039mediumtraining

Le restrizioni sui dispositivi video/foto mobili devono essere comunicate a personale, visitatori e terze parti.

Verifica: Le restrizioni sui dispositivi video/foto mobili sono comunicate a personale, visitatori e terze parti?

Risposta: yes_noEvidenza: cartellonistica, istruzioni visitatori, presa visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-023 · Procedura gestione accessi fisici · di supporto · OK_SUPPORTINGDOC-029 · Procedura gestione fornitori cyber · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-2-7 · TISAX ISA6 8.2.7
REQ-ATOM-TIS003-040highphysical_security

Il trasporto di veicoli, componenti o parti classificati come protetti deve essere organizzato secondo i requisiti del cliente.

Verifica: Il trasporto di veicoli, componenti o parti protette è organizzato secondo requisiti cliente?

Risposta: yes_noEvidenza: istruzioni trasporto, requisiti cliente, ordine trasportoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-3-1 · TISAX ISA6 8.3.1
REQ-ATOM-TIS003-041mediumtraining

Le misure di protezione durante il trasporto devono essere note ai soggetti coinvolti nella movimentazione.

Verifica: Le misure di protezione durante il trasporto sono note ai soggetti coinvolti?

Risposta: yes_noEvidenza: istruzioni operative, briefing trasporto, presa visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-3-1 · TISAX ISA6 8.3.1
REQ-ATOM-TIS003-042mediumevidence

Le attività di trasporto di materiale protetto devono essere tracciabili.

Verifica: Le attività di trasporto di materiale protetto sono tracciabili?

Risposta: yes_noEvidenza: documento trasporto, registro movimentazioni, conferma consegnaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-3-1 · TISAX ISA6 8.3.1
REQ-ATOM-TIS003-043highphysical_security

Il parcheggio o stoccaggio di veicoli, componenti e parti protette deve avvenire secondo i requisiti del cliente.

Verifica: Parcheggio o stoccaggio di veicoli, componenti e parti protette avviene secondo requisiti cliente?

Risposta: yes_noEvidenza: procedura stoccaggio, requisiti cliente, planimetria areaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-3-2 · TISAX ISA6 8.3.2
REQ-ATOM-TIS003-044highphysical_security

Le aree di parcheggio o stoccaggio per materiale protetto devono essere controllate rispetto ad accesso e visibilità.

Verifica: Le aree di parcheggio o stoccaggio protette sono controllate per accesso e visibilità?

Risposta: yes_noEvidenza: controlli accesso, foto area, misure schermaturaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-3-2 · TISAX ISA6 8.3.2
REQ-ATOM-TIS003-045mediumevidence

Le attività di parcheggio o stoccaggio di materiale protetto devono essere documentabili quando richiesto.

Verifica: Le attività di parcheggio o stoccaggio di materiale protetto sono documentabili quando richiesto?

Risposta: yes_noEvidenza: registro deposito, log accessi, checklist areaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-041 · Procedura logging e monitoraggio eventi sicurezza · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-3-2 · TISAX ISA6 8.3.2
REQ-ATOM-TIS003-046highphysical_security

Le regole di camuffamento predefinite per prototipi devono essere applicate dai membri del progetto.

Verifica: Le regole di camuffamento predefinite sono applicate dai membri del progetto?

Risposta: yes_noEvidenza: istruzioni camuffamento, foto controllate, checklist progettoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-4-1 · TISAX ISA6 8.4.1
REQ-ATOM-TIS003-047mediumtraining

Le regole di camuffamento devono essere conosciute dai soggetti che gestiscono o utilizzano prototipi.

Verifica: Le regole di camuffamento sono conosciute dai soggetti che gestiscono o utilizzano prototipi?

Risposta: yes_noEvidenza: briefing progetto, presa visione, formazione prototipiApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-052 · Piano formazione e consapevolezza cyber · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-4-1 · TISAX ISA6 8.4.1
REQ-ATOM-TIS003-048mediumcompliance

Eventuali eccezioni alle regole di camuffamento devono essere autorizzate e documentate.

Verifica: Le eccezioni alle regole di camuffamento sono autorizzate e documentate?

Risposta: yes_noEvidenza: approvazione eccezione, ticket, verbale progettoApplicabilità: tisax_onlyAutomazione: ticketing
Copertura requirement
DOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTINGDOC-005 · Registro requisiti legali, normativi e contrattuali · di supporto · OK_SUPPORTINGDOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-063 · Registro scostamenti, eccezioni e non applicabilità motivate · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-4-1 · TISAX ISA6 8.4.1
REQ-ATOM-TIS003-049highphysical_security

Nei test o trial grounds approvati devono essere osservate le misure di protezione previste.

Verifica: Nei test o trial grounds approvati sono osservate le misure di protezione previste?

Risposta: yes_noEvidenza: istruzioni trial ground, checklist sito, requisiti clienteApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-4-2 · TISAX ISA6 8.4.2
REQ-ATOM-TIS003-050highprocess

L'utilizzo di test o trial grounds deve essere limitato ad aree approvate quando richiesto dai requisiti di protezione.

Verifica: L'utilizzo di test o trial grounds è limitato ad aree approvate quando richiesto?

Risposta: yes_noEvidenza: elenco aree approvate, autorizzazione test, piano provaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-4-2 · TISAX ISA6 8.4.2
REQ-ATOM-TIS003-051mediumtraining

Le misure applicate nei test o trial grounds devono essere comunicate ai partecipanti.

Verifica: Le misure nei test o trial grounds sono comunicate ai partecipanti?

Risposta: yes_noEvidenza: briefing prova, istruzioni operative, presa visioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-4-2 · TISAX ISA6 8.4.2
REQ-ATOM-TIS003-052highphysical_security

Durante test drive pubblici devono essere applicate le misure di protezione previste per prototipi o componenti protetti.

Verifica: Durante test drive pubblici sono applicate le misure di protezione previste?

Risposta: yes_noEvidenza: piano test drive, istruzioni progetto, checklist sicurezzaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-4-3 · TISAX ISA6 8.4.3
REQ-ATOM-TIS003-053highrisk_based

I test drive pubblici devono considerare rischi di osservazione, fotografia, accesso non autorizzato o divulgazione.

Verifica: I test drive pubblici considerano rischi di osservazione, fotografia, accesso non autorizzato o divulgazione?

Risposta: yes_noEvidenza: risk assessment test drive, piano mitigazione, briefingApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-039 · Piano gestione vulnerabilità e patching · di supporto · OK_SUPPORTINGDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-4-3 · TISAX ISA6 8.4.3
REQ-ATOM-TIS003-054mediumevidence

Le attività di test drive pubblico devono essere autorizzate e tracciabili quando coinvolgono materiale protetto.

Verifica: I test drive pubblici con materiale protetto sono autorizzati e tracciabili?

Risposta: yes_noEvidenza: autorizzazione prova, registro test, report uscitaApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-068 · Procedura sviluppo sicuro e change management applicativo · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-4-3 · TISAX ISA6 8.4.3
REQ-ATOM-TIS003-055highprocess

I requisiti di sicurezza per eventi o presentazioni con veicoli, componenti o parti protette devono essere conosciuti prima dell'evento.

Verifica: I requisiti di sicurezza per eventi o presentazioni con materiale protetto sono conosciuti prima dell'evento?

Risposta: yes_noEvidenza: piano evento, requisiti cliente, checklist sicurezza eventoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-5-1 · TISAX ISA6 8.5.1
REQ-ATOM-TIS003-056highphysical_security

Eventi o presentazioni con materiale protetto devono essere pianificati con misure su accesso, visibilità, riprese e gestione dei partecipanti.

Verifica: Eventi o presentazioni con materiale protetto prevedono misure su accesso, visibilità, riprese e partecipanti?

Risposta: yes_noEvidenza: piano sicurezza evento, lista partecipanti, autorizzazioni foto/videoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-5-1 · TISAX ISA6 8.5.1
REQ-ATOM-TIS003-057mediumgovernance

Le responsabilità operative per eventi o presentazioni con materiale protetto devono essere assegnate.

Verifica: Le responsabilità operative per eventi o presentazioni con materiale protetto sono assegnate?

Risposta: yes_noEvidenza: RACI evento, piano operativo, verbale organizzativoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-5-1 · TISAX ISA6 8.5.1
REQ-ATOM-TIS003-058highprocess

Le misure di protezione per film o photo shooting con veicoli, componenti o parti protette devono essere conosciute prima delle riprese.

Verifica: Le misure di protezione per film o photo shooting con materiale protetto sono conosciute prima delle riprese?

Risposta: yes_noEvidenza: piano shooting, requisiti cliente, istruzioni operativeApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-5-2 · TISAX ISA6 8.5.2
REQ-ATOM-TIS003-059highcompliance

Le riprese foto/video con materiale protetto devono essere autorizzate e controllate.

Verifica: Le riprese foto/video con materiale protetto sono autorizzate e controllate?

Risposta: yes_noEvidenza: autorizzazione shooting, registro riprese, permessi accessoApplicabilità: tisax_onlyAutomazione: manual
Copertura requirement
DOC-014 · Inventario hardware · di supporto · OK_SUPPORTINGDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-5-2 · TISAX ISA6 8.5.2
REQ-ATOM-TIS003-060highdata_protection

Il materiale prodotto durante film o photo shooting deve essere gestito secondo regole di protezione, conservazione e distribuzione.

Verifica: Il materiale prodotto durante film o photo shooting è gestito secondo regole di protezione e distribuzione?

Risposta: yes_noEvidenza: repository controllato, registro consegne, autorizzazioni pubblicazioneApplicabilità: tisax_onlyAutomazione: document_repository
Copertura requirement
DOC-014 · Inventario hardware · evidenza · OK_EVIDENCE_OR_REGISTERDOC-022 · Procedura gestione accessi logici · di supporto · OK_SUPPORTINGDOC-073 · Security concept per protezione prototipi e informazioni TISAX · di supporto · OK_SUPPORTING
TISAX_ISA6 · FW-TISAX-TISAX-8-5-2 · TISAX ISA6 8.5.2