Documenti

Le configurazioni di hardware, software, servizi e reti devono essere stabilite.

Verifica: Sono definite le configurazioni attese di hardware, software, servizi e reti?

Le configurazioni, incluse quelle di sicurezza, devono essere documentate.

Verifica: Le configurazioni sono documentate in modo aggiornato?

Per i sistemi informativi e di rete rilevanti devono essere definite configurazioni di riferimento sicure.

Verifica: Sono definite configurazioni di riferimento sicure per i sistemi rilevanti?

Le configurazioni di riferimento sicure devono essere documentate in un elenco aggiornato.

Verifica: Le configurazioni sicure sono documentate in un elenco aggiornato?

Deve esistere una procedura per identificare, valutare e trattare i rischi di sicurezza.

Verifica: Esiste una procedura per identificare, valutare e trattare i rischi di sicurezza?

Le misure di trattamento dei rischi e i responsabili devono essere specificati e documentati.

Verifica: Le misure di trattamento e i responsabili sono specificati e documentati?

Gli account predefiniti e le password dei produttori devono essere disabilitati o modificati.

Verifica: Account e password predefiniti dei produttori sono disabilitati o modificati?

Le password predefinite di account o prodotti devono essere disabilitate o cambiate.

Verifica: Le password predefinite sono disabilitate o cambiate?

La conformità ai requisiti di sicurezza, incluse specifiche tecniche, deve essere verificata a intervalli regolari.

Verifica: La conformità ai requisiti tecnici di sicurezza è verificata regolarmente?

L approccio alla gestione della sicurezza delle informazioni deve essere riesaminato da un soggetto indipendente.

Verifica: L approccio alla gestione della sicurezza viene riesaminato in modo indipendente?

Le revisioni di sicurezza devono essere svolte da un organismo indipendente e competente a intervalli regolari.

Verifica: Le revisioni di sicurezza sono svolte da un soggetto indipendente e competente a intervalli regolari?

La conformità ai requisiti di sicurezza, incluse specifiche tecniche, deve essere verificata a intervalli regolari.

Verifica: La conformità ai requisiti tecnici di sicurezza è verificata regolarmente?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

I servizi di rete non necessari devono essere disabilitati.

Verifica: I servizi di rete non necessari sono disabilitati?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

L auto esecuzione dei supporti rimovibili deve essere disabilitata, salvo motivate ragioni normative o tecniche.

Verifica: L auto esecuzione dei supporti rimovibili è disabilitata?

Devono essere adottate e documentate procedure per cifratura, disabilitazione auto esecuzione e scansione dei supporti rimovibili.

Verifica: Sono documentate procedure per cifratura e gestione sicura dei supporti rimovibili?

Gli strumenti di sviluppo e di sistema non necessari non devono essere presenti sugli ambienti operativi.

Verifica: Gli strumenti di sviluppo o di sistema non necessari sono esclusi dagli ambienti operativi?

Gli strumenti di sviluppo e di sistema non necessari non devono essere presenti sugli ambienti operativi.

Verifica: Gli strumenti di sviluppo o di sistema non necessari sono esclusi dagli ambienti operativi?

L approvazione software deve considerare eventuali limitazioni per casi d uso o ruoli specifici.

Verifica: Le approvazioni software indicano eventuali limiti di uso o ruolo?

L approvazione software deve considerare eventuali limitazioni per casi d uso o ruoli specifici.

Verifica: Le approvazioni software indicano eventuali limiti di uso o ruolo?

I processi e le procedure per proteggere i dati personali devono essere considerati nell ISMS.

Verifica: I processi privacy sono integrati o considerati nel sistema di gestione della sicurezza?

Il perimetro del sistema di gestione della sicurezza delle informazioni deve essere definito.

Verifica: Il perimetro del sistema di gestione della sicurezza delle informazioni è definito?

Il perimetro del sistema di gestione della sicurezza delle informazioni deve essere definito.

Verifica: Il perimetro del sistema di gestione della sicurezza delle informazioni è definito?

Il riesame indipendente deve considerare l attuazione della sicurezza su personale, processi e tecnologie.

Verifica: Il riesame indipendente copre personale, processi e tecnologie?

Devono essere determinati i requisiti per le verifiche tecniche di sistemi o servizi IT.

Verifica: Sono determinati i requisiti per audit tecnici di sistemi o servizi IT?

L'ambito dell'audit di sistema o servizio deve essere specificato tempestivamente.

Verifica: Lo scope degli audit tecnici è definito in tempo utile?

Requisiti e responsabilità per continuità e recovery dei servizi IT critici devono essere noti agli stakeholder rilevanti.

Verifica: Requisiti e responsabilità di continuità/recovery sono noti agli stakeholder?

Le politiche devono essere comunicate e accettate dal personale e dalle parti interessate pertinenti.

Verifica: Le politiche sono comunicate e accettate dal personale e dalle parti interessate pertinenti?

I requisiti dell Organizzazione per il sistema di gestione della sicurezza delle informazioni devono essere determinati.

Verifica: I requisiti dell Organizzazione per il sistema di gestione sono determinati?

L Organizzazione deve stabilire contatti con le autorità competenti rilevanti per la sicurezza delle informazioni.

Verifica: Sono identificati i contatti con le autorità competenti rilevanti?

L Organizzazione deve stabilire contatti con gruppi specialistici o forum professionali pertinenti alla sicurezza delle informazioni.

Verifica: Sono identificati gruppi specialistici o forum professionali rilevanti per la sicurezza?

Le regole di uso accettabile devono essere attuate dal personale e dalle parti interessate pertinenti.

Verifica: Le regole di uso accettabile risultano attuate dai soggetti interessati?

Le parti interessate esterne devono restituire gli asset dell Organizzazione quando termina o cambia il contratto o accordo applicabile.

Verifica: I soggetti esterni restituiscono gli asset alla fine o modifica dell accordo?

La classificazione deve considerare i requisiti delle parti interessate pertinenti.

Verifica: La classificazione tiene conto dei requisiti delle parti interessate pertinenti?

Le parti interessate pertinenti devono ricevere consapevolezza, istruzione o formazione quando rilevante.

Verifica: Le parti interessate pertinenti ricevono formazione o awareness quando necessario?

Il processo disciplinare deve essere comunicato al personale e alle altre parti interessate pertinenti.

Verifica: Il processo disciplinare è comunicato al personale e alle parti interessate pertinenti?

Le responsabilità e gli obblighi post-rapporto devono essere applicati al personale e alle parti interessate pertinenti.

Verifica: Il requisito è implementato e documentato?

Gli accordi di riservatezza o non divulgazione devono essere firmati dal personale e dalle altre parti interessate pertinenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Deve esistere una definizione di evento o osservazione di sicurezza segnalabile, nota a dipendenti e stakeholder rilevanti.

Verifica: Esiste una definizione nota di evento o osservazione di sicurezza segnalabile?

Le comunicazioni sul ripristino devono includere le articolazioni interne competenti.

Verifica: Le parti interne competenti sono incluse nelle comunicazioni sul ripristino?

L approvazione software deve considerare la conformità ai requisiti di sicurezza delle informazioni.

Verifica: La conformità ai requisiti di sicurezza è verificata prima di approvare il software?

L approvazione software deve considerare diritti d uso e licenze.

Verifica: Licenze e diritti d uso sono verificati prima dell approvazione software?

La conformità ai requisiti di sicurezza deve essere verificata durante e dopo l applicazione delle modifiche.

Verifica: La conformità sicurezza viene verificata durante e dopo i cambiamenti?

Le configurazioni devono essere monitorate nel tempo.

Verifica: Le configurazioni vengono monitorate per rilevare deviazioni?

La conformità ai requisiti di sicurezza deve essere verificata durante e dopo l applicazione delle modifiche.

Verifica: La conformità sicurezza viene verificata durante e dopo i cambiamenti?

L approvazione software deve considerare la conformità ai requisiti di sicurezza delle informazioni.

Verifica: La conformità ai requisiti di sicurezza è verificata prima di approvare il software?

L approvazione software deve considerare diritti d uso e licenze.

Verifica: Licenze e diritti d uso sono verificati prima dell approvazione software?

La conformità ai requisiti di sicurezza deve essere verificata durante e dopo l applicazione delle modifiche.

Verifica: La conformità sicurezza viene verificata durante e dopo i cambiamenti?

L Organizzazione deve attuare procedure per proteggere i diritti di proprietà intellettuale.

Verifica: Sono definite procedure per proteggere i diritti di proprietà intellettuale?

Le procedure devono coprire l uso lecito di software, contenuti, documentazione e altri materiali soggetti a diritti.

Verifica: Le procedure coprono l uso lecito di software, contenuti, documentazione e materiali soggetti a diritti?

L Organizzazione deve identificare i requisiti applicabili in materia di privacy e protezione dei dati personali.

Verifica: Sono identificati i requisiti applicabili in materia di privacy e protezione dei dati personali?

L Organizzazione deve soddisfare i requisiti privacy derivanti da leggi e regolamenti applicabili.

Verifica: I requisiti privacy derivanti da leggi e regolamenti applicabili sono gestiti e soddisfatti?

L Organizzazione deve soddisfare i requisiti privacy e data protection previsti dai contratti applicabili.

Verifica: I requisiti privacy contrattuali applicabili sono gestiti e soddisfatti?

I requisiti legali e contrattuali relativi al trattamento di dati personali devono essere determinati.

Verifica: Sono determinati i requisiti legali e contrattuali sul trattamento dei dati personali?

I trasferimenti devono basarsi su strumenti o presupposti adeguati, come contratti, clausole, TIA o decisioni di adeguatezza quando applicabili.

Verifica: I trasferimenti dati usano basi e strumenti adeguati quando applicabili?

Gli obblighi contrattuali verso i clienti devono essere trasferiti a subappaltatori e partner di cooperazione applicabili.

Verifica: Gli obblighi contrattuali privacy sono trasferiti a subappaltatori e partner?

La conformità agli accordi contrattuali dei subappaltatori e partner deve essere verificata.

Verifica: La conformità contrattuale dei subappaltatori e partner viene verificata?

Per i trasferimenti verso paesi terzi devono essere disponibili garanzie sufficienti quando richiesto.

Verifica: Sono disponibili garanzie sufficienti per i trasferimenti verso paesi terzi?

Il mascheramento deve essere coerente con le norme di legge applicabili.

Verifica: Il mascheramento dei dati è coerente con le norme di legge applicabili?

Le regole di crittografia definite devono essere attuate nei contesti applicabili.

Verifica: Le regole crittografiche sono attuate nei contesti applicabili?

I dati memorizzati su dispositivi portatili e supporti rimovibili devono essere cifrati quando richiesto dalla valutazione del rischio.

Verifica: I dati su dispositivi portatili e supporti rimovibili sono cifrati in base al rischio?

La policy deve considerare strategia, legislazione e contratti applicabili.

Verifica: La policy considera strategia, legislazione e contratti applicabili?

L obbligo di riservatezza deve restare valido oltre il contratto o incarico quando richiesto.

Verifica: L obbligo di riservatezza resta valido oltre il rapporto quando richiesto?

L applicazione delle procedure di sicurezza deve poter essere verificata con evidenze organizzative o operative.

Verifica: L applicazione delle procedure di sicurezza è verificabile tramite evidenze?

Le politiche devono coprire almeno gestione del rischio, ruoli, risorse umane, conformità, fornitori, asset, vulnerabilità e continuità.

Verifica: Le politiche coprono rischio, ruoli, persone, compliance, fornitori, asset, vulnerabilità e continuità?

Le politiche devono includere almeno i requisiti applicabili indicati nella tabella di appendice dell allegato.

Verifica: Le politiche includono i requisiti minimi applicabili della tabella in appendice?

I controlli applicabili devono essere determinati e documentati.

Verifica: I controlli applicabili sono determinati e documentati?

L Organizzazione deve stabilire contatti con le autorità competenti rilevanti per la sicurezza delle informazioni.

Verifica: Sono identificati i contatti con le autorità competenti rilevanti?

Deve essere predisposto un concetto di awareness e formazione che copra politica, segnalazione eventi, malware, account, compliance, NDA e servizi IT esterni.

Verifica: Il piano awareness copre politica, eventi, malware, account, compliance, NDA e servizi IT esterni?

Per ogni servizio IT esterno deve essere definita e attuata una procedura di restituzione e rimozione sicura degli asset informativi.

Verifica: Per ogni servizio IT esterno esiste una procedura per restituzione e rimozione sicura degli asset informativi?

La classificazione deve considerare i requisiti delle parti interessate pertinenti.

Verifica: La classificazione tiene conto dei requisiti delle parti interessate pertinenti?

I requisiti del progetto devono essere trattati come requisiti di sicurezza delle informazioni del progetto.

Verifica: I requisiti di progetto sono integrati nei requisiti di sicurezza delle informazioni?

I trasferimenti di dati devono essere supportati da basi contrattuali o strumenti di trasferimento adeguati quando richiesto.

Verifica: I trasferimenti dati sono supportati da contratti o strumenti di trasferimento adeguati?

Le credenziali delle utenze devono essere robuste e aggiornate in base alla valutazione del rischio.

Verifica: Le credenziali sono robuste e aggiornate secondo il rischio?

Le credenziali delle utenze devono essere robuste in accordo alla valutazione del rischio.

Verifica: Le credenziali sono robuste in accordo alla valutazione del rischio?

L applicabilità dei controlli ISA ai servizi IT deve essere verificata e documentata.

Verifica: L applicabilità dei controlli ISA ai servizi IT è verificata e documentata?

Nella valutazione dei servizi IT esterni devono essere considerati requisiti legali, regolatori e contrattuali.

Verifica: La valutazione dei servizi IT esterni considera requisiti legali, regolatori e contrattuali?

Un livello adeguato di sicurezza delle informazioni deve essere assicurato mediante accordi contrattuali con contractor e partner.

Verifica: Gli accordi contrattuali assicurano un livello adeguato di sicurezza?

I requisiti contrattuali dei clienti devono essere trasferiti a contractor e partner quando applicabile.

Verifica: I requisiti cliente sono trasferiti a contractor e partner quando applicabile?

La conformità agli accordi contrattuali deve essere verificata.

Verifica: La conformità dei contractor agli accordi contrattuali viene verificata?

I requisiti legali, statutari, regolamentari e contrattuali relativi alla sicurezza delle informazioni devono essere identificati.

Verifica: I requisiti legali, statutari, regolamentari e contrattuali di sicurezza sono identificati?

L approccio dell Organizzazione per soddisfare tali requisiti deve essere documentato.

Verifica: È documentato l approccio per soddisfare i requisiti di sicurezza applicabili?

I requisiti di conformità relativi alla sicurezza delle informazioni devono essere mantenuti aggiornati.

Verifica: Il registro dei requisiti di conformità sicurezza è mantenuto aggiornato?

L osservanza delle policy deve essere verificata nell intera Organizzazione.

Verifica: L osservanza delle policy è verificata nell intera Organizzazione?

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

Verifica: Policy e procedure di sicurezza sono riesaminate a intervalli regolari?

Devono essere avviate e seguite misure per correggere potenziali non conformità o deviazioni.

Verifica: Le non conformità generano azioni correttive tracciate e seguite?

La conformità ai requisiti di sicurezza, incluse specifiche tecniche, deve essere verificata a intervalli regolari.

Verifica: La conformità ai requisiti tecnici di sicurezza è verificata regolarmente?

I risultati delle verifiche devono essere registrati e conservati.

Verifica: I risultati delle verifiche sono registrati e conservati?

Deve essere disponibile un piano che definisce contenuti e condizioni delle verifiche da svolgere.

Verifica: Esiste un piano con contenuti, tempi, ambito e controlli delle verifiche?

Le disposizioni legali, regolatorie e contrattuali rilevanti per la sicurezza delle informazioni devono essere determinate a intervalli regolari.

Verifica: Le disposizioni rilevanti per la sicurezza sono determinate a intervalli regolari?

Devono essere definite, implementate e comunicate policy per rispettare tali disposizioni.

Verifica: Esistono policy definite, implementate e comunicate per rispettare le disposizioni applicabili?

Le policy di conformità devono essere comunicate alle persone responsabili.

Verifica: Le policy di conformità sono comunicate alle persone responsabili?

L integrità delle registrazioni deve essere considerata in accordo con disposizioni legali, regolatorie, contrattuali e requisiti di business.

Verifica: L integrità delle registrazioni è considerata rispetto a requisiti legali, contrattuali e di business?

La conformità a regole e standard di sicurezza applicabili deve essere riesaminata regolarmente.

Verifica: La conformità a regole e standard di sicurezza applicabili è riesaminata regolarmente?

L osservanza delle policy deve essere verificata nell intera Organizzazione.

Verifica: L osservanza delle policy è verificata nell intera Organizzazione?

La conformità ai requisiti di sicurezza, incluse specifiche tecniche, deve essere verificata a intervalli regolari.

Verifica: La conformità ai requisiti tecnici di sicurezza è verificata regolarmente?

L obbligo di riservatezza deve restare valido oltre il rapporto di lavoro o incarico quando richiesto.

Verifica: L obbligo di riservatezza resta valido oltre il rapporto quando richiesto?

Il concetto formativo deve includere temi di conformità della sicurezza delle informazioni.

Verifica: La formazione copre temi di conformità della sicurezza?

Le responsabilità e gli obblighi di sicurezza delle informazioni che restano validi dopo cessazione o cambio di impiego devono essere definiti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Le responsabilità e gli obblighi post-rapporto devono essere comunicati ai soggetti pertinenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Il personale autorizzato ad accedere ai sistemi rilevanti deve fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli accordi di riservatezza o non divulgazione devono riflettere le esigenze dell’Organizzazione per la protezione delle informazioni.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli accordi di riservatezza o non divulgazione devono essere firmati dal personale e dalle altre parti interessate pertinenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Il personale autorizzato ad accedere ai sistemi rilevanti deve fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Deve essere attivo un obbligo di riservatezza per il personale.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

L’obbligo di riservatezza deve restare valido oltre il rapporto di lavoro o incarico quando richiesto.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli aspetti di sicurezza delle informazioni devono essere considerati nei contratti del personale.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

I requisiti di riservatezza per lo scambio di informazioni devono essere determinati e soddisfatti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

I requisiti e le procedure per applicare NDA devono essere noti a chi trasferisce informazioni da proteggere.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli NDA validi devono essere conclusi prima di trasmettere informazioni sensibili.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

La durata degli NDA deve essere definita in modo appropriato rispetto all’esigenza di protezione.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Le informazioni protette devono essere scambiate solo dopo verifica dell’obbligo di riservatezza applicabile.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Prima di trattare prototipi o componenti riservati devono essere definiti obblighi di riservatezza applicabili.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Le persone e le terze parti coinvolte nella gestione dei prototipi devono essere vincolate da NDA o obblighi equivalenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

I dipendenti che trattano dati personali devono essere obbligati alla riservatezza anche oltre la durata del rapporto.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Deve esistere una strategia per segnalazioni ufficiali e per eventuali azioni relative ad aspetti penalmente rilevanti degli incidenti.

Verifica: Esiste una strategia per report ufficiali e aspetti penalmente rilevanti?

Gli obblighi di reporting legali, regolamentari e contrattuali e i relativi contatti devono essere noti.

Verifica: Gli obblighi di reporting e i relativi contatti sono noti e documentati?

Devono essere documentate e adottate procedure per informare il pubblico sugli incidenti quando richiesto dall’autorità competente.

Verifica: Esiste una procedura per informare il pubblico sugli incidenti quando richiesto dall’autorità?

Deve esistere una strategia per segnalazioni ufficiali e per eventuali azioni relative ad aspetti penalmente rilevanti degli incidenti.

Verifica: Esiste una strategia per report ufficiali e aspetti penalmente rilevanti?

Gli obblighi di reporting legali, regolamentari e contrattuali e i relativi contatti devono essere noti.

Verifica: Gli obblighi di reporting e i relativi contatti sono noti e documentati?

Gli aggiornamenti di sicurezza rilasciati dal produttore devono essere installati senza ingiustificato ritardo e in coerenza con il piano vulnerabilità.

Verifica: Gli aggiornamenti di sicurezza sono installati senza ingiustificato ritardo?

La corretta installazione delle patch deve essere verificata in modo appropriato.

Verifica: La corretta installazione delle patch viene verificata?

Gli aggiornamenti di sicurezza rilasciati dal produttore devono essere installati senza ingiustificato ritardo e in coerenza con il piano vulnerabilità.

Verifica: Gli aggiornamenti di sicurezza sono installati senza ingiustificato ritardo?

L'approvazione del software deve considerare la conformità ai requisiti di sicurezza delle informazioni.

Verifica: La valutazione del software considera i requisiti di sicurezza delle informazioni?

L'approvazione del software deve considerare diritti d'uso e licenze.

Verifica: La valutazione del software considera diritti d'uso e licenze?

Versioni software e livelli di patch devono essere conosciuti.

Verifica: Versioni software e livelli di patch sono conosciuti?

I visitatori devono accettare o essere vincolati a obblighi di riservatezza documentati prima dell'accesso.

Verifica: I visitatori sono vincolati a obblighi di riservatezza documentati prima dell'accesso?

Le misure compensative e il rischio residuo devono essere documentati quando requisiti applicabili non sono attuati per motivate ragioni normative o tecniche.

Verifica: Le misure compensative e il rischio residuo sono documentati quando requisiti applicabili non sono attuati?

I requisiti di sicurezza definiti per la fornitura devono essere inseriti nei documenti di gara, richieste di offerta, contratti, accordi o convenzioni, salvo motivate ragioni normative o tecniche.

Verifica: I requisiti di sicurezza sono inseriti nei documenti contrattuali o di gara della fornitura?

Eventuali esclusioni dei requisiti di sicurezza dai documenti contrattuali devono essere motivate e documentate.

Verifica: Le eventuali esclusioni dei requisiti di sicurezza dai documenti contrattuali sono motivate e documentate?

I documenti contrattuali devono rendere tracciabile quali requisiti di sicurezza sono applicabili alla singola fornitura.

Verifica: È tracciabile quali requisiti di sicurezza si applicano alla singola fornitura?

Alla cessazione di servizi IT esterni devono essere definite modalità di restituzione degli asset informativi dell'Organizzazione.

Verifica: Alla cessazione di servizi IT esterni sono definite modalità di restituzione degli asset informativi?

Contractor e partner devono essere informati degli obblighi di protezione applicabili alle informazioni ricevute o trattate.

Verifica: Contractor e partner sono informati degli obblighi di protezione applicabili?

Gli accordi di riservatezza devono essere disponibili prima dello scambio di informazioni protette.

Verifica: Gli accordi di riservatezza sono disponibili prima dello scambio di informazioni protette?

I requisiti applicabili ai subappaltatori devono essere conosciuti prima dell'affidamento di attività con impatto su informazioni o prototipi protetti.

Verifica: I requisiti per subappaltatori sono conosciuti prima dell'affidamento di attività rilevanti?

L'Organizzazione deve mantenere evidenza della verifica dei requisiti applicabili ai subappaltatori.

Verifica: È mantenuta evidenza della verifica dei requisiti applicabili ai subappaltatori?

Gli obblighi contrattuali rilevanti per la protezione dei dati devono essere trasferiti a subappaltatori e partner di cooperazione quando applicabile.

Verifica: Gli obblighi contrattuali rilevanti sono trasferiti a subappaltatori e partner quando applicabile?

I requisiti di sicurezza definiti per la fornitura devono essere inseriti nei documenti di gara, richieste di offerta, contratti, accordi o convenzioni, salvo motivate ragioni normative o tecniche.

Verifica: I requisiti di sicurezza sono inseriti nei documenti contrattuali o di gara della fornitura?

I documenti contrattuali devono rendere tracciabile quali requisiti di sicurezza sono applicabili alla singola fornitura.

Verifica: È tracciabile quali requisiti di sicurezza si applicano alla singola fornitura?

L'Organizzazione deve mantenere evidenza della verifica dei requisiti applicabili ai subappaltatori.

Verifica: È mantenuta evidenza della verifica dei requisiti applicabili ai subappaltatori?

Gli obblighi contrattuali rilevanti per la protezione dei dati devono essere trasferiti a subappaltatori e partner di cooperazione quando applicabile.

Verifica: Gli obblighi contrattuali rilevanti sono trasferiti a subappaltatori e partner quando applicabile?

La conformità delle forniture ai requisiti di sicurezza contrattualizzati deve essere verificata periodicamente e documentata.

Verifica: La conformità delle forniture ai requisiti di sicurezza è verificata periodicamente e documentata?

Eventuali eccezioni alle regole di camuffamento devono essere autorizzate e documentate.

Verifica: Le eccezioni alle regole di camuffamento sono autorizzate e documentate?

Componenti di rete e infrastruttura devono essere protetti da accesso non autorizzato.

Verifica: Componenti di rete e infrastruttura sono protetti da accesso fisico non autorizzato?

Politiche e procedure di crisi devono essere definite e approvate.

Verifica: Le politiche e procedure di crisi sono definite e approvate?

I backup di dati e configurazioni devono essere eseguiti periodicamente in coerenza con esigenze di continuità e disaster recovery.

Verifica: I backup di dati e configurazioni sono eseguiti periodicamente secondo le esigenze BCM/DR?

Devono esistere concetti di backup per i sistemi IT rilevanti.

Verifica: Esistono concetti di backup per i sistemi IT rilevanti?

Devono essere mantenute copie di backup delle informazioni, del software e dei sistemi rilevanti.

Verifica: Sono mantenute copie di backup di informazioni, software e sistemi rilevanti?

I backup devono essere eseguiti secondo quanto definito dalla politica o procedura di backup.

Verifica: I backup sono eseguiti secondo la politica specifica di backup?

I backup di dati e configurazioni devono essere eseguiti periodicamente in coerenza con esigenze di continuità e disaster recovery.

Verifica: I backup di dati e configurazioni sono eseguiti periodicamente secondo le esigenze BCM/DR?

Devono esistere concetti di backup per i sistemi IT rilevanti.

Verifica: Esistono concetti di backup per i sistemi IT rilevanti?

Politiche e procedure di crisi devono essere definite e approvate.

Verifica: Le politiche e procedure di crisi sono definite e approvate?

L osservanza di policy e procedure di sicurezza deve essere verificata nell Organizzazione.

Verifica: L osservanza di policy e procedure viene verificata?

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

Verifica: Policy e procedure di sicurezza sono riesaminate regolarmente?

Le configurazioni definite devono essere attuate sui sistemi interessati.

Verifica: Le configurazioni definite sono applicate sui sistemi interessati?

L Organizzazione deve attuare procedure per proteggere i diritti di proprietà intellettuale.

Verifica: Sono definite procedure per proteggere i diritti di proprietà intellettuale?

Le procedure devono coprire l uso lecito di software, contenuti, documentazione e altri materiali soggetti a diritti.

Verifica: Le procedure coprono l uso lecito di software, contenuti, documentazione e materiali soggetti a diritti?

Le regole per rispettare i requisiti privacy e data protection devono essere definite e note alle persone incaricate.

Verifica: Le regole privacy sono definite e note alle persone incaricate?

Deve esistere almeno una policy per la protezione dei dati personali.

Verifica: È disponibile almeno una policy per la protezione dei dati personali?

La policy privacy deve essere creata, mantenuta aggiornata e approvata dal management.

Verifica: La policy privacy è creata, aggiornata e approvata dal management?

Il mascheramento dei dati deve essere utilizzato quando richiesto dalla politica di controllo accessi o da requisiti specifici.

Verifica: Il mascheramento dei dati viene usato quando richiesto da policy o requisiti specifici?

Devono essere applicate misure per prevenire la fuoriuscita di informazioni sensibili dai sistemi.

Verifica: Sono applicate misure per prevenire la fuoriuscita di informazioni sensibili dai sistemi?

Devono essere definite regole per l uso efficace della crittografia.

Verifica: Sono definite regole per l uso della crittografia?

La cifratura dei dati a riposo deve usare protocolli e algoritmi allo stato dell arte e considerati sicuri.

Verifica: La cifratura dei dati a riposo usa algoritmi e protocolli considerati sicuri?

L autoesecuzione dei supporti rimovibili deve essere disabilitata, salvo motivate eccezioni documentate.

Verifica: L autoesecuzione dei supporti rimovibili è disabilitata, salvo eccezioni motivate?

I supporti rimovibili devono essere sottoposti a scansione antimalware prima dell uso nei sistemi informativi e di rete.

Verifica: I supporti rimovibili vengono scansionati prima dell uso sui sistemi?

Devono essere adottate e documentate procedure per cifratura, autoesecuzione e scansione dei supporti rimovibili.

Verifica: Sono documentate procedure per protezione dei dati a riposo e supporti rimovibili?

La protezione dei dati in transito deve coprire anche comunicazioni vocali, video e testuali ove rilevanti.

Verifica: La protezione dei dati in transito copre anche comunicazioni voce, video e testo rilevanti?

Devono essere adottate e documentate procedure per la protezione dei dati in transito.

Verifica: Sono documentate procedure per proteggere i dati in transito?

I backup di dati e configurazioni devono essere eseguiti periodicamente in coerenza con esigenze di continuità e disaster recovery.

Verifica: I backup di dati e configurazioni sono eseguiti periodicamente secondo le esigenze BCM/DR?

I requisiti per il lavoro mobile o telelavoro devono essere determinati e soddisfatti.

Verifica: I requisiti per lavoro mobile e telelavoro sono determinati e soddisfatti?

Il lavoro mobile deve prevedere regole per gestione sicura e accesso alle informazioni in ambienti privati e pubblici.

Verifica: Il lavoro mobile prevede regole per gestione sicura delle informazioni in ambienti privati e pubblici?

Devono essere considerate misure per viaggi e viaggi verso paesi critici per la sicurezza.

Verifica: Sono considerate misure per viaggi e paesi critici per la sicurezza?

I requisiti per dispositivi IT mobili e supporti dati mobili devono essere determinati e soddisfatti.

Verifica: I requisiti per dispositivi mobili e supporti mobili sono determinati e soddisfatti?

I supporti mobili o le informazioni ivi memorizzate devono essere cifrati o protetti con misure equivalenti quando la cifratura non è tecnicamente possibile.

Verifica: Supporti mobili o dati memorizzati sono cifrati o protetti con misure equivalenti?

Devono essere predisposte regole tecniche per l uso della cifratura in base alla classificazione delle informazioni.

Verifica: Sono definite regole tecniche di cifratura basate sulla classificazione delle informazioni?

Devono essere definite e attuate policy e procedure per l uso dei servizi di rete coerenti con la classificazione delle informazioni.

Verifica: Sono definite e attuate policy/procedure per l uso dei servizi di rete coerenti con la classificazione?

Lo scambio elettronico dei dati deve usare cifratura di contenuto o trasporto in base alla classificazione.

Verifica: Lo scambio elettronico usa cifratura di contenuto o trasporto in base alla classificazione?

Le connessioni di accesso remoto devono essere verificate per adeguate caratteristiche di sicurezza.

Verifica: Le connessioni di accesso remoto sono verificate per cifratura, concessione e revoca accessi?

La politica per la sicurezza delle informazioni e le eventuali politiche specifiche devono essere definite.

Verifica: La politica per la sicurezza delle informazioni e le politiche specifiche sono definite?

Le politiche di sicurezza devono essere approvate dalla direzione.

Verifica: Le politiche di sicurezza sono approvate dalla direzione?

Le politiche di sicurezza devono essere pubblicate o rese disponibili ai destinatari pertinenti.

Verifica: Le politiche sono pubblicate o disponibili ai destinatari pertinenti?

Le politiche devono essere riesaminate a intervalli pianificati e in caso di cambiamenti significativi.

Verifica: Le politiche sono riesaminate periodicamente e dopo cambiamenti significativi?

Devono essere adottate e documentate politiche di sicurezza informatica per gli ambiti richiesti.

Verifica: Sono adottate e documentate politiche di sicurezza informatica per gli ambiti richiesti?

Le politiche devono coprire almeno gestione del rischio, ruoli, risorse umane, conformità, fornitori, asset e vulnerabilità.

Verifica: Le politiche coprono rischio, ruoli, HR, conformità, fornitori, asset e vulnerabilità?

Le politiche devono coprire continuità, accessi, sicurezza fisica, formazione, dati, ciclo di vita sistemi, reti, monitoraggio e incidenti.

Verifica: Le politiche coprono continuità, accessi, fisica, formazione, dati, sistemi, reti, monitoraggio e incidenti?

Le politiche devono essere rese note alle articolazioni competenti secondo necessità di conoscere.

Verifica: Le politiche sono rese note alle articolazioni competenti secondo need-to-know?

Le politiche di sicurezza devono essere riesaminate e, se opportuno, aggiornate almeno annualmente.

Verifica: Le politiche sono riesaminate e aggiornate almeno annualmente se necessario?

Le politiche devono essere riesaminate quando cambiano normativa, organizzazione, minacce, rischi o dopo incidenti significativi.

Verifica: Le politiche vengono riesaminate dopo cambiamenti rilevanti o incidenti significativi?

Deve essere mantenuto un registro aggiornato degli esiti del riesame delle politiche.

Verifica: È mantenuto un registro aggiornato degli esiti del riesame delle policy?

I requisiti di sicurezza delle informazioni devono essere determinati e documentati.

Verifica: I requisiti di sicurezza delle informazioni sono determinati e documentati?

I requisiti devono essere adattati agli obiettivi dell Organizzazione.

Verifica: I requisiti di sicurezza sono adattati agli obiettivi dell Organizzazione?

La policy deve considerare strategia, legislazione e contratti applicabili.

Verifica: La policy considera strategia, legislazione e contratti applicabili?

Le policy devono essere pubblicate e implementate nell ambito di assessment.

Verifica: Le policy sono pubblicate e implementate nell ambito di assessment?

Deve esistere una procedura per identificare, valutare e trattare i rischi di sicurezza.

Verifica: Esiste una procedura per identificare, valutare e trattare i rischi di sicurezza?

Le misure di trattamento dei rischi e i responsabili devono essere specificati e documentati.

Verifica: Le misure di trattamento e i responsabili sono specificati e documentati?

Deve essere attivo un obbligo di riservatezza per il personale.

Verifica: È attivo un obbligo di riservatezza per il personale?

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

Verifica: Il personale è contrattualmente obbligato a rispettare le policy di sicurezza?

L obbligo di riservatezza deve restare valido oltre il contratto o incarico quando richiesto.

Verifica: L obbligo di riservatezza resta valido oltre il rapporto quando richiesto?

Deve esistere almeno una policy per la protezione dei dati personali.

Verifica: È disponibile almeno una policy per la protezione dei dati personali?

La policy privacy deve essere creata, mantenuta aggiornata e approvata dal management.

Verifica: La policy privacy è creata, aggiornata e approvata dal management?

I requisiti dell Organizzazione per il sistema di gestione della sicurezza devono essere determinati.

Verifica: I requisiti dell Organizzazione per l ISMS sono determinati?

I permessi devono essere assegnati secondo minimo privilegio, separazione delle funzioni e necessità di conoscere.

Verifica: I permessi sono assegnati secondo minimo privilegio, separazione delle funzioni e need-to-know?

Le utenze amministrative devono essere distinte dalle utenze non amministrative.

Verifica: Le utenze amministrative sono distinte dalle utenze ordinarie?

La direzione deve richiedere al personale di applicare la sicurezza delle informazioni secondo le politiche e le procedure vigenti dell Organizzazione.

Verifica: La direzione richiede formalmente al personale il rispetto delle politiche e procedure di sicurezza?

Le responsabilità della direzione in materia di sicurezza devono essere coerenti con le politiche specifiche applicabili.

Verifica: Le responsabilità della direzione sono coerenti con le politiche specifiche applicabili?

La richiesta della direzione deve essere comunicata in modo comprensibile al personale interessato.

Verifica: Il personale interessato riceve una comunicazione chiara sugli obblighi di sicurezza?

Devono essere adottate e documentate politiche di sicurezza informatica per gli ambiti richiesti dalla misura.

Verifica: Sono adottate e documentate politiche di sicurezza per gli ambiti richiesti?

Le politiche devono coprire almeno gestione del rischio, ruoli, risorse umane, conformità, fornitori, asset, vulnerabilità e continuità.

Verifica: Le politiche coprono rischio, ruoli, persone, compliance, fornitori, asset, vulnerabilità e continuità?

Le politiche devono coprire autenticazione, identità digitali, controllo accessi, sicurezza fisica, formazione, dati, sviluppo, reti, monitoraggio e incidenti.

Verifica: Le politiche coprono identità, accessi, fisica, formazione, dati, sviluppo, reti, monitoraggio e incidenti?

Le politiche devono includere almeno i requisiti applicabili indicati nella tabella di appendice dell allegato.

Verifica: Le politiche includono i requisiti minimi applicabili della tabella in appendice?

Le politiche devono essere rese note alle articolazioni competenti secondo il principio need to know.

Verifica: Le politiche sono comunicate alle articolazioni competenti secondo need to know?

A seguito del riesame delle politiche deve essere definito un piano di adeguamento per assicurare l attuazione delle politiche di sicurezza.

Verifica: È definito un piano di adeguamento derivante dal riesame delle politiche?

Devono essere identificate le regole per l uso accettabile delle informazioni e degli asset associati.

Verifica: Sono definite regole per l uso accettabile di informazioni e asset associati?

Le regole devono coprire il trattamento corretto delle informazioni in funzione del contesto di utilizzo.

Verifica: Le regole indicano come trattare correttamente le informazioni nel contesto d uso?

Deve essere predisposto un concetto di awareness e formazione che copra politica, segnalazione eventi, malware, account, compliance, NDA e servizi IT esterni.

Verifica: Il piano awareness copre politica, eventi, malware, account, compliance, NDA e servizi IT esterni?

Lo schema di classificazione deve guidare il livello di protezione richiesto per le informazioni.

Verifica: Lo schema di classificazione determina le misure di protezione da applicare?

Deve essere disponibile uno schema coerente di classificazione degli asset informativi rispetto alla riservatezza.

Verifica: È disponibile uno schema coerente di classificazione rispetto alla riservatezza?

Deve essere disponibile uno schema coerente di classificazione degli asset informativi rispetto alla riservatezza.

Verifica: È disponibile uno schema coerente di classificazione rispetto alla riservatezza?

Devono essere definite regole per il trasferimento delle informazioni all interno dell Organizzazione.

Verifica: Sono definite regole per trasferire informazioni internamente?

Devono essere definite regole per il trasferimento delle informazioni tra l Organizzazione e soggetti esterni.

Verifica: Sono definite regole per trasferire informazioni verso o da soggetti esterni?

Per i sistemi informativi e di rete rilevanti devono essere usati protocolli e algoritmi di cifratura sicuri per trasmettere dati verso l esterno.

Verifica: La trasmissione dei dati verso l esterno usa protocolli e algoritmi di cifratura sicuri?

La protezione dei dati in transito deve includere, ove rilevante, comunicazioni vocali, video e testuali.

Verifica: La protezione dei dati in transito copre comunicazioni vocali, video e testuali rilevanti?

Devono essere definite e implementate policy e procedure per usare i servizi di rete in base ai requisiti di classificazione.

Verifica: Policy e procedure per i servizi di rete rispettano i requisiti di classificazione?

Lo scambio elettronico di dati deve usare cifratura di contenuto o di trasporto in base alla classificazione.

Verifica: Lo scambio elettronico usa cifratura di contenuto o trasporto secondo classificazione?

Per esigenze di protezione elevate, il trasferimento deve avvenire in forma cifrata o con misure equivalenti.

Verifica: Le informazioni ad alta protezione sono trasferite cifrate o protette con misure equivalenti?

Devono essere stabilite regole per controllare l accesso fisico e logico alle informazioni e agli asset associati.

Verifica: Sono stabilite regole per il controllo degli accessi fisici e logici?

Le procedure di autenticazione degli utenti devono essere selezionate sulla base di una valutazione del rischio.

Verifica: Le procedure di autenticazione sono selezionate in base a una valutazione del rischio?

Devono essere applicate procedure di autenticazione allo stato dell arte.

Verifica: Sono applicate procedure di autenticazione allo stato dell arte?

Le procedure di autenticazione devono essere definite e implementate in base a requisiti di business e sicurezza.

Verifica: Le procedure di autenticazione sono definite e implementate secondo requisiti business e sicurezza?

Gli utenti devono essere autenticati almeno tramite password robuste secondo lo stato dell arte.

Verifica: Gli utenti sono autenticati almeno tramite password robuste secondo lo stato dell arte?

Devono essere determinati e soddisfatti i requisiti per la gestione dei diritti di accesso.

Verifica: Sono determinati e soddisfatti i requisiti per gestire i diritti di accesso?

Le strategie di autorizzazione all accesso alle informazioni devono essere predisposte.

Verifica: Sono predisposte strategie di autorizzazione per l accesso alle informazioni?

Le credenziali delle utenze devono essere robuste e aggiornate in base alla valutazione del rischio.

Verifica: Le credenziali sono robuste e aggiornate secondo il rischio?

Devono essere usati account utente univoci e personalizzati.

Verifica: Gli account utente sono univoci e personalizzati?

Deve essere definita e attuata una policy per il trattamento delle informazioni di login.

Verifica: È definita e attuata una policy per il trattamento delle informazioni di login?

La policy deve vietare la divulgazione delle informazioni di login a terzi.

Verifica: La policy vieta la divulgazione delle informazioni di login a terzi?

La policy deve vietare la conservazione non cifrata o annotazione non sicura delle informazioni di login.

Verifica: La policy vieta la conservazione non cifrata o annotazione non sicura delle credenziali?

Non devono essere usate le stesse informazioni di login per scopi aziendali e non aziendali.

Verifica: La policy vieta il riuso delle credenziali aziendali per scopi non aziendali?

Le credenziali temporanee o iniziali devono essere cambiate al primo accesso.

Verifica: Le credenziali temporanee o iniziali vengono cambiate al primo accesso?

La qualità delle informazioni di autenticazione deve essere definita, includendo requisiti come lunghezza e tipi di caratteri.

Verifica: Sono definiti requisiti di qualità per le informazioni di autenticazione?

Le credenziali di un account personale devono essere conosciute solo dall utente assegnato.

Verifica: Le credenziali degli account personali sono conosciute solo dall utente assegnato?

Il login interattivo per account tecnici o di servizio deve essere impedito tecnicamente.

Verifica: Il login interattivo degli account tecnici è impedito tecnicamente?

Il personale deve essere informato sulle modalità corrette di trattamento delle informazioni di autenticazione.

Verifica: Il personale è informato sul trattamento corretto delle informazioni di autenticazione?

Le credenziali delle utenze devono essere robuste in accordo alla valutazione del rischio.

Verifica: Le credenziali sono robuste in accordo alla valutazione del rischio?

Le credenziali devono essere aggiornate quando richiesto dagli esiti della valutazione del rischio.

Verifica: Le credenziali sono aggiornate quando richiesto dal rischio?

La valutazione delle modalità di autenticazione deve considerare i privilegi delle utenze.

Verifica: La scelta dell autenticazione considera i privilegi delle utenze?

La valutazione delle modalità di autenticazione deve considerare la criticità dei sistemi informativi e di rete.

Verifica: La scelta dell autenticazione considera la criticità dei sistemi?

Devono essere adottate e documentate procedure relative alla scelta e applicazione delle modalità di autenticazione e MFA.

Verifica: Esistono procedure documentate per autenticazione e MFA?

Devono essere usati account utente univoci e personalizzati.

Verifica: Sono usati account utente univoci e personalizzati?

Deve essere definita e implementata una policy per la gestione delle informazioni di login.

Verifica: Esiste una policy implementata per la gestione delle informazioni di login?

La policy di login deve vietare la divulgazione delle informazioni di autenticazione a terzi.

Verifica: La policy vieta la divulgazione delle informazioni di autenticazione a terzi?

La policy di login deve vietare la conservazione non cifrata o non protetta delle informazioni di autenticazione.

Verifica: La policy vieta la conservazione non cifrata o non protetta delle credenziali?

Le credenziali business non devono essere riutilizzate per scopi non lavorativi.

Verifica: La policy vieta il riuso delle credenziali business per scopi non lavorativi?

Le credenziali temporanee o iniziali devono essere cambiate dopo il primo accesso.

Verifica: Le credenziali temporanee o iniziali sono cambiate dopo il primo accesso?

I requisiti di qualità delle informazioni di autenticazione devono essere definiti.

Verifica: Sono definiti requisiti di qualità per le informazioni di autenticazione?

L accesso interattivo per account di servizio deve essere impedito tecnicamente.

Verifica: L accesso interattivo per account di servizio è impedito tecnicamente?

I diritti di accesso devono essere concessi in accordo con la politica e le regole di controllo accessi dell Organizzazione.

Verifica: I diritti di accesso sono concessi secondo policy e regole di controllo accessi?

I permessi devono essere assegnati in base al principio del minimo privilegio.

Verifica: I permessi sono assegnati secondo il principio del minimo privilegio?

Le utenze con privilegi amministrativi devono essere distinte da quelle senza privilegi amministrativi.

Verifica: Le utenze amministrative sono distinte dalle utenze ordinarie?

Le utenze amministrative e ordinarie degli amministratori di sistema devono usare credenziali diverse.

Verifica: Gli amministratori usano credenziali diverse per account amministrativi e ordinari?

Devono essere applicate procedure di autenticazione allo stato dell arte.

Verifica: Sono applicate procedure di autenticazione allo stato dell arte?

Gli utenti devono essere autenticati almeno tramite password robuste allo stato dell arte, quando applicabile.

Verifica: Gli utenti sono autenticati almeno con password robuste allo stato dell arte quando applicabile?

Prima dell accesso a dati con protezione molto alta deve essere richiesta autenticazione forte allo stato dell arte.

Verifica: Per dati a protezione molto alta è richiesta autenticazione forte?

I requisiti per la gestione dei diritti di accesso devono essere determinati e soddisfatti.

Verifica: Sono determinati e soddisfatti i requisiti per la gestione dei diritti di accesso?

Devono essere predisposte strategie per autorizzare l accesso alle informazioni.

Verifica: Sono predisposte strategie per autorizzare l accesso alle informazioni?

Gli account normali non devono ricevere diritti privilegiati.

Verifica: Gli account normali sono esclusi dai diritti privilegiati?

L osservanza delle policy deve essere verificata nell intera Organizzazione.

Verifica: L osservanza delle policy è verificata nell intera Organizzazione?

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

Verifica: Policy e procedure di sicurezza sono riesaminate a intervalli regolari?

Devono essere definite, implementate e comunicate policy per rispettare tali disposizioni.

Verifica: Esistono policy definite, implementate e comunicate per rispettare le disposizioni applicabili?

Le policy di conformità devono essere comunicate alle persone responsabili.

Verifica: Le policy di conformità sono comunicate alle persone responsabili?

L integrità delle registrazioni deve essere considerata in accordo con disposizioni legali, regolatorie, contrattuali e requisiti di business.

Verifica: L integrità delle registrazioni è considerata rispetto a requisiti legali, contrattuali e di business?

La conformità alla politica per la sicurezza delle informazioni deve essere riesaminata regolarmente.

Verifica: La conformità alla politica di sicurezza è riesaminata regolarmente?

A seguito del riesame delle politiche deve essere definito un piano di adeguamento per assicurare l attuazione delle politiche di sicurezza.

Verifica: Dopo il riesame delle policy viene definito un piano di adeguamento?

L osservanza delle policy deve essere verificata nell intera Organizzazione.

Verifica: L osservanza delle policy è verificata nell intera Organizzazione?

Policy e procedure di sicurezza devono essere riesaminate a intervalli regolari.

Verifica: Policy e procedure di sicurezza sono riesaminate a intervalli regolari?

Devono essere definite, implementate e comunicate policy per rispettare tali disposizioni.

Verifica: Esistono policy definite, implementate e comunicate per rispettare le disposizioni applicabili?

Le policy di conformità devono essere comunicate alle persone responsabili.

Verifica: Le policy di conformità sono comunicate alle persone responsabili?

L integrità delle registrazioni deve essere considerata in accordo con disposizioni legali, regolatorie, contrattuali e requisiti di business.

Verifica: L integrità delle registrazioni è considerata rispetto a requisiti legali, contrattuali e di business?

Le verifiche del personale devono essere effettuate anche su base continuativa quando applicabile.

Verifica: Le verifiche del personale sono ripetute su base continuativa quando applicabile?

Il personale autorizzato deve fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il personale autorizzato garantisce il rispetto della normativa di sicurezza informatica?

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Gli amministratori di sistema garantiscono il rispetto della normativa di sicurezza informatica?

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

Verifica: Gli obblighi post-rapporto sono definiti contrattualmente in base al rischio?

Gli accordi contrattuali devono indicare le responsabilità dell Organizzazione relative alla sicurezza delle informazioni.

Verifica: I contratti indicano le responsabilità dell Organizzazione sulla sicurezza delle informazioni?

Deve essere attivo un obbligo di riservatezza per il personale.

Verifica: È attivo un obbligo di riservatezza per il personale?

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

Verifica: Il personale è contrattualmente obbligato a rispettare le policy di sicurezza?

L obbligo di riservatezza deve restare valido oltre il rapporto di lavoro o incarico quando richiesto.

Verifica: L obbligo di riservatezza resta valido oltre il rapporto quando richiesto?

Gli aspetti di sicurezza delle informazioni devono essere considerati nei contratti del personale.

Verifica: Gli aspetti di sicurezza sono considerati nei contratti del personale?

Il personale deve ricevere aggiornamenti regolari su politica, politiche specifiche e procedure di sicurezza pertinenti.

Verifica: Il personale riceve aggiornamenti regolari su policy e procedure pertinenti?

Il concetto formativo deve includere la policy di sicurezza delle informazioni.

Verifica: Il concetto formativo include la policy di sicurezza?

Il concetto formativo deve includere policy su account utente e informazioni di login.

Verifica: La formazione copre account utente, password e informazioni di login?

Il concetto formativo deve includere temi di conformità della sicurezza delle informazioni.

Verifica: La formazione copre temi di conformità della sicurezza?

Il concetto formativo deve includere l uso di servizi IT esterni.

Verifica: La formazione copre l uso di servizi IT esterni?

La partecipazione alla formazione e awareness sui prototipi deve essere obbligatoria per ogni dipendente e membro di progetto coinvolto.

Verifica: La partecipazione alla formazione sui prototipi è obbligatoria per gli interessati?

Deve essere formalizzato un processo disciplinare per violazioni della politica di sicurezza delle informazioni.

Verifica: Esiste un processo disciplinare formalizzato per violazioni della politica di sicurezza?

Il processo disciplinare deve permettere di intraprendere azioni verso chi ha commesso una violazione della politica di sicurezza.

Verifica: Il processo disciplinare consente azioni verso chi viola la policy di sicurezza?

Le responsabilità e gli obblighi di sicurezza delle informazioni che restano validi dopo cessazione o cambio di impiego devono essere definiti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Le responsabilità e gli obblighi post-rapporto devono essere comunicati ai soggetti pertinenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Il personale autorizzato ad accedere ai sistemi rilevanti deve fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli accordi di riservatezza o non divulgazione devono riflettere le esigenze dell’Organizzazione per la protezione delle informazioni.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli accordi di riservatezza o non divulgazione devono essere firmati dal personale e dalle altre parti interessate pertinenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Il personale autorizzato ad accedere ai sistemi rilevanti deve fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli amministratori di sistema devono fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Deve essere attivo un obbligo di riservatezza per il personale.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Deve essere attivo un obbligo di rispettare le policy di sicurezza delle informazioni.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

L’obbligo di riservatezza deve restare valido oltre il rapporto di lavoro o incarico quando richiesto.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli aspetti di sicurezza delle informazioni devono essere considerati nei contratti del personale.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

I requisiti di riservatezza per lo scambio di informazioni devono essere determinati e soddisfatti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

I requisiti e le procedure per applicare NDA devono essere noti a chi trasferisce informazioni da proteggere.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli NDA validi devono essere conclusi prima di trasmettere informazioni sensibili.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

La durata degli NDA deve essere definita in modo appropriato rispetto all’esigenza di protezione.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Le informazioni protette devono essere scambiate solo dopo verifica dell’obbligo di riservatezza applicabile.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Prima di trattare prototipi o componenti riservati devono essere definiti obblighi di riservatezza applicabili.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Le persone e le terze parti coinvolte nella gestione dei prototipi devono essere vincolate da NDA o obblighi equivalenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

I dipendenti che trattano dati personali devono essere obbligati alla riservatezza anche oltre la durata del rapporto.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

I requisiti per il lavoro mobile o telelavoro devono essere determinati e soddisfatti.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

Il lavoro mobile deve prevedere regole per gestione sicura e accesso alle informazioni in ambienti privati e pubblici.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

L’assegnazione dei diritti di accesso privilegiato deve essere limitata ai casi necessari.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

L’uso dei diritti di accesso privilegiato deve essere limitato e controllato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

I diritti di accesso privilegiato devono essere gestiti tramite processo controllato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

I permessi devono essere assegnati secondo minimo privilegio, separazione delle funzioni e necessità di conoscere.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le utenze amministrative devono essere distinte dalle utenze non amministrative.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le utenze amministrative e non amministrative devono usare credenziali diverse.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

I requisiti per la gestione dei diritti di accesso devono essere determinati e soddisfatti.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

La gestione dei diritti deve includere richiesta, verifica e approvazione.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

I diritti devono essere assegnati secondo need to know e least privilege.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

I diritti di accesso devono essere revocati quando non più necessari.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

I diritti privilegiati devono essere limitati e assegnati solo a persone o account autorizzati.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

I diritti di accesso devono essere aggiornati tempestivamente in caso di cambio ruolo o cessazione.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

La gestione dei diritti deve coprire anche account tecnici o di servizio quando presenti.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

L’accesso alle informazioni deve essere limitato secondo la policy specifica di controllo degli accessi.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

L’accesso agli asset associati alle informazioni deve essere limitato secondo le regole di controllo accessi.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Devono essere attuate tecnologie di autenticazione sicura.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Devono essere attuate procedure di autenticazione sicura.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le tecnologie e le procedure di autenticazione devono essere coerenti con le limitazioni di accesso alle informazioni.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le tecnologie e le procedure di autenticazione devono essere coerenti con la policy di controllo degli accessi.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

Tutte le utenze, incluse quelle amministrative e di accesso remoto, devono essere censite.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le utenze devono essere approvate da attori interni competenti.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le utenze degli utenti devono essere individuali, salvo motivate ragioni tecniche documentate e in base al rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le credenziali delle utenze devono essere robuste e aggiornate in base alla valutazione del rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Utenze e autorizzazioni devono essere aggiornate o revocate in caso di trasferimento, cessazione o altra variazione del personale.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le modalità di autenticazione per accedere ai sistemi informativi e di rete devono essere commisurate al rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

La valutazione delle modalità di autenticazione deve considerare i privilegi delle utenze.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

La valutazione delle modalità di autenticazione deve considerare la criticità dei sistemi informativi e di rete.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

La valutazione delle modalità di autenticazione deve considerare la tipologia di operazioni consentite alle utenze.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Per i sistemi informativi e di rete rilevanti devono essere impiegate soluzioni di autenticazione multifattore in accordo al rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Per i sistemi informativi e di rete rilevanti devono essere definite e documentate le attività consentite da remoto.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

Devono essere determinati e soddisfatti i requisiti per la gestione dei mezzi di identificazione lungo l’intero ciclo di vita.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

I mezzi di identificazione devono essere protetti contro uso non autorizzato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le procedure di autenticazione utente devono essere selezionate sulla base di una valutazione del rischio.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Devono essere applicate procedure di autenticazione allo stato dell’arte.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Gli utenti devono essere autenticati almeno tramite password robuste allo stato dell’arte, quando applicabile.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Per account privilegiati devono essere usate procedure di autenticazione rafforzate, come PAM o autenticazione a più fattori.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le procedure di autenticazione devono essere definite e implementate in base a requisiti di business e sicurezza.

Verifica: La policy o regola richiesta è definita, approvata e comunicata?

La creazione, modifica ed eliminazione degli account utente deve essere gestita tramite processo controllato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Devono essere usati account utente univoci e personalizzati.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

L’uso di account collettivi deve essere regolato e limitato ai casi consentiti.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Gli account devono essere disabilitati immediatamente quando l’utente lascia l’Organizzazione.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Gli account privilegiati devono essere identificati e gestiti separatamente dagli account ordinari.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le informazioni di login devono essere trasmesse agli utenti in modo sicuro.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le password iniziali o temporanee devono essere cambiate al primo utilizzo quando applicabile.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Le informazioni di login devono rispettare requisiti di complessità e protezione adeguati.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

L’assegnazione degli account deve essere approvata prima dell’attivazione.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Gli account non più necessari devono essere rimossi o disabilitati tempestivamente.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

Gli account tecnici o di servizio devono essere regolati e protetti in modo specifico.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

L’uso di programmi di utilità privilegiati deve essere strettamente controllato.

Verifica: Il requisito di gestione degli accessi è applicato e tracciabile?

I dipendenti devono essere obbligati e formati a segnalare eventi rilevanti.

Verifica: I dipendenti sono formati e tenuti a segnalare eventi rilevanti?

Per le attività consentite da remoto devono essere implementate misure di sicurezza adeguate.

Verifica: Gli accessi remoti sono protetti con misure di sicurezza adeguate?

Devono essere definite e attuate politiche e procedure per l’uso dei servizi di rete coerenti con i requisiti di classificazione.

Verifica: Esistono politiche e procedure per usare i servizi di rete in base alla classificazione?

Devono essere implementate misure per proteggere i contenuti trasferiti da accessi non autorizzati.

Verifica: I contenuti trasferiti sono protetti da accessi non autorizzati?

Lo scambio elettronico di dati deve usare cifratura del contenuto o del trasporto secondo la classificazione applicabile.

Verifica: Lo scambio elettronico usa cifratura adeguata alla classificazione?

I requisiti di segmentazione della rete devono essere determinati e soddisfatti.

Verifica: Sono determinati e soddisfatti i requisiti di segmentazione rete?

La segmentazione di rete basata sul rischio deve considerare limitazioni alla connessione dei sistemi IT alla rete.

Verifica: La segmentazione considera limitazioni alla connessione dei sistemi IT?

Devono essere separate reti con finalità operative diverse, come sviluppo/test, ufficio e produzione/manufacturing.

Verifica: Le reti con finalità operative diverse sono separate?

La gestione della rete deve considerare il rischio aumentato dei servizi di rete accessibili da internet.

Verifica: I servizi di rete esposti a internet sono gestiti considerando il rischio aumentato?

La gestione della rete deve considerare rischi specifici come wireless e accesso remoto.

Verifica: Sono considerati rischi specifici come wireless e accesso remoto?

Per le attività consentite da remoto devono essere implementate misure di sicurezza adeguate.

Verifica: Gli accessi remoti sono protetti con misure di sicurezza adeguate?

I gruppi di sistemi informativi devono essere segregati nelle reti dell’Organizzazione.

Verifica: I sistemi informativi con funzioni o rischi diversi sono segregati nella rete?

L’accesso a siti web esterni deve essere gestito.

Verifica: L’accesso a siti web esterni è gestito tramite regole o controlli dedicati?

Le regole di filtro web devono essere coerenti con il rischio e con le esigenze operative dell’Organizzazione.

Verifica: Le regole di web filtering sono definite e mantenute in modo coerente con rischio ed esigenze operative?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

Devono essere presenti sistemi di protezione degli endpoint per rilevare codice malevolo, salvo motivate ragioni normative o tecniche.

Verifica: Sono presenti sistemi di protezione endpoint per rilevare codice malevolo?

I sistemi di protezione degli endpoint devono essere aggiornati, mantenuti e configurati in modo adeguato.

Verifica: I sistemi di protezione endpoint sono aggiornati, mantenuti e configurati adeguatamente?

Devono essere adottate e documentate procedure relative alla protezione endpoint e al rilevamento del malware.

Verifica: Sono documentate procedure per la protezione endpoint e il rilevamento malware?

L'Organizzazione deve determinare e soddisfare i requisiti per dispositivi IT mobili e supporti dati mobili.

Verifica: Sono determinati e applicati i requisiti per dispositivi IT mobili e supporti dati mobili?

I dispositivi IT mobili e i supporti dati mobili devono essere cifrati ove richiesto dal bisogno di protezione.

Verifica: I dispositivi mobili e i supporti dati mobili sono cifrati quando richiesto?

I dispositivi IT mobili e i supporti dati mobili devono essere protetti da meccanismi di accesso come PIN o password.

Verifica: I dispositivi mobili e i supporti dati mobili hanno protezione di accesso adeguata?

Gli utenti devono essere informati dei limiti o dell'assenza di protezione dei dati sui dispositivi mobili quando rilevante.

Verifica: Gli utenti sono informati dei limiti di protezione dei dati sui dispositivi mobili?

I supporti dati mobili o le informazioni su di essi devono essere cifrati in modo generale oppure protetti con misure equivalenti se la cifratura non è tecnicamente praticabile.

Verifica: I supporti dati mobili sono cifrati o protetti con misure equivalenti quando la cifratura non è praticabile?

La creazione o trasmissione non autorizzata di materiale fotografico o video nelle aree sicure deve essere prevenuta.

Verifica: Sono adottate misure per prevenire foto o video non autorizzati nelle aree sicure?

L'Organizzazione deve implementare controlli tecnici per proteggere sistemi e informazioni dal malware.

Verifica: Sono implementati controlli tecnici antimalware sui sistemi pertinenti?

Devono essere presenti sistemi di protezione degli endpoint per rilevare codice malevolo, salvo motivate ragioni normative o tecniche.

Verifica: Sono presenti sistemi di protezione endpoint per rilevare codice malevolo?

I sistemi di protezione degli endpoint devono essere aggiornati, mantenuti e configurati in modo adeguato.

Verifica: I sistemi di protezione endpoint sono aggiornati, mantenuti e configurati adeguatamente?

Devono essere adottate e documentate procedure relative alla protezione endpoint e al rilevamento del malware.

Verifica: Sono documentate procedure per la protezione endpoint e il rilevamento malware?

I dati memorizzati su dispositivi portatili e supporti removibili devono essere cifrati con protocolli e algoritmi considerati sicuri, salvo motivate eccezioni.

Verifica: I dati su dispositivi portatili e supporti removibili sono cifrati con metodi adeguati?

L'auto-esecuzione dei supporti rimovibili deve essere disabilitata, salvo motivate ragioni normative o tecniche.

Verifica: L'auto-esecuzione dei supporti rimovibili è disabilitata?

I supporti rimovibili devono essere sottoposti a scansione antimalware prima dell'utilizzo sui sistemi informativi e di rete.

Verifica: I supporti rimovibili sono sottoposti a scansione prima dell'utilizzo?

Devono essere adottate e documentate procedure relative alla cifratura dei dati a riposo e alla gestione sicura dei supporti rimovibili.

Verifica: Sono documentate procedure per dati a riposo e supporti rimovibili?

Devono essere determinati i requisiti per la protezione dei sistemi IT dal malware.

Verifica: Sono determinati i requisiti per proteggere i sistemi IT dal malware?

Devono essere definite e implementate misure tecniche e organizzative per la protezione dal malware.

Verifica: Sono implementate misure tecniche e organizzative contro il malware?

Il software antimalware deve essere installato e aggiornato automaticamente a intervalli regolari.

Verifica: Il software antimalware è installato e aggiornato automaticamente?

File e software ricevuti devono essere ispezionati automaticamente per malware prima dell'esecuzione.

Verifica: File e software ricevuti sono controllati automaticamente prima dell'esecuzione?

Devono essere definite e implementate misure per impedire agli utenti di disattivare o alterare la protezione antimalware.

Verifica: Gli utenti sono impediti dal disattivare o alterare la protezione antimalware?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

Devono essere adottate e documentate procedure relative alla registrazione degli accessi e alla conservazione dei log di sicurezza.

Verifica: Sono documentate procedure per registrazione accessi e conservazione log?

Devono essere determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi.

Verifica: Sono determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

Devono essere adottate e documentate procedure relative alla registrazione degli accessi e alla conservazione dei log di sicurezza.

Verifica: Sono documentate procedure per registrazione accessi e conservazione log?

Devono essere determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi.

Verifica: Sono determinati e soddisfatti i requisiti di sicurezza per la gestione dei log eventi?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

L'Organizzazione deve definire misure per proteggere le informazioni memorizzate, elaborate o accessibili tramite dispositivi endpoint degli utenti.

Verifica: Sono definite misure di protezione per le informazioni trattate tramite dispositivi endpoint?

Le configurazioni di sicurezza dei dispositivi endpoint devono essere verificabili tramite evidenze tecniche o inventariali.

Verifica: Sono disponibili evidenze tecniche o inventariali sulle configurazioni di sicurezza degli endpoint?

L'approvazione del software deve considerare eventuali limitazioni per casi d'uso o ruoli specifici.

Verifica: L'approvazione del software specifica eventuali casi d'uso o ruoli autorizzati?

L'approvazione del software deve includere anche software a scopo speciale, come strumenti di manutenzione.

Verifica: Gli strumenti speciali o di manutenzione sono soggetti ad approvazione software?

Devono essere definite e implementate regole per portare e usare dispositivi IT mobili e supporti dati mobili nelle zone di sicurezza.

Verifica: Sono definite e implementate regole per dispositivi mobili e supporti dati nelle zone di sicurezza?

Devono essere definite e implementate regole per portare e usare dispositivi IT mobili e supporti dati mobili nelle zone di sicurezza.

Verifica: Sono definite e implementate regole per dispositivi mobili e supporti dati nelle zone di sicurezza?

Devono essere definite e implementate regole per portare e usare dispositivi IT mobili e supporti dati mobili nelle zone di sicurezza.

Verifica: Sono definite e implementate regole per dispositivi mobili e supporti nelle zone di sicurezza?

Devono essere adottate e documentate procedure per la protezione dell accesso fisico, coerenti con le politiche di sicurezza applicabili.

Verifica: Sono adottate e documentate procedure per proteggere l accesso fisico?

L accesso e il comportamento nelle aree sicure devono essere regolati in funzione del livello di protezione richiesto.

Verifica: Accesso e comportamento nelle aree sicure sono regolati in base al livello di protezione?

La creazione o trasmissione non autorizzata di materiale fotografico o video nelle aree sicure deve essere prevenuta.

Verifica: Sono adottate misure per prevenire foto o video non autorizzati nelle aree sicure?

Devono essere definite regole chiare per la gestione dei documenti cartacei sulle scrivanie e negli spazi di lavoro.

Verifica: Sono definite regole per la gestione dei documenti cartacei sulle scrivanie?

Devono essere definite regole chiare per l uso e la custodia dei supporti di memorizzazione rimovibili negli spazi di lavoro.

Verifica: Sono definite regole per supporti rimovibili negli spazi di lavoro?

Devono essere definite regole per lo schermo pulito e la protezione delle informazioni visualizzate sulle strutture di elaborazione.

Verifica: Sono definite regole per schermo pulito e protezione delle informazioni visualizzate?

Gli asset utilizzati o conservati al di fuori delle sedi dell Organizzazione devono essere protetti.

Verifica: Gli asset fuori sede sono protetti secondo regole definite?

Le regole per asset fuori sede devono essere coerenti con il livello di classificazione e trattamento delle informazioni.

Verifica: Le regole per asset fuori sede sono coerenti con classificazione e trattamento delle informazioni?

I requisiti per lavoro mobile o telelavoro devono essere determinati e soddisfatti.

Verifica: I requisiti per lavoro mobile e telelavoro sono determinati e soddisfatti?

Il lavoro mobile deve prevedere regole per gestione sicura e accesso alle informazioni in ambienti privati e pubblici.

Verifica: Il lavoro mobile prevede regole per gestione sicura delle informazioni in ambienti privati e pubblici?

Devono essere considerate misure per viaggi e trasferte, inclusi viaggi verso paesi critici per la sicurezza.

Verifica: Sono considerate misure per viaggi e paesi critici per la sicurezza?

I requisiti per dispositivi IT mobili e supporti dati mobili devono essere determinati e soddisfatti.

Verifica: I requisiti per dispositivi mobili e supporti mobili sono determinati e soddisfatti?

Gli utenti devono essere informati delle eventuali carenze di protezione dati sui dispositivi mobili.

Verifica: Gli utenti sono informati delle carenze di protezione dati sui dispositivi mobili?

I supporti mobili o le informazioni ivi memorizzate devono essere cifrati o protetti con misure equivalenti quando la cifratura non è tecnicamente possibile.

Verifica: Supporti mobili o dati memorizzati sono cifrati o protetti con misure equivalenti?

Per almeno i sistemi informativi e di rete rilevanti, i dati memorizzati su dispositivi portatili e supporti rimovibili devono essere cifrati con protocolli e algoritmi considerati sicuri, salvo motivate ragioni normative o tecniche.

Verifica: I dati su dispositivi portatili e supporti rimovibili sono cifrati con algoritmi sicuri?

I supporti rimovibili devono essere sottoposti a scansione per rilevare codice malevolo prima dell utilizzo nei sistemi informativi e di rete.

Verifica: I supporti rimovibili sono scansionati prima dell utilizzo?

Devono essere adottate e documentate procedure per cifratura, disabilitazione auto esecuzione e scansione dei supporti rimovibili.

Verifica: Sono documentate procedure per cifratura e gestione sicura dei supporti rimovibili?

I requisiti per dispositivi IT mobili e supporti dati mobili devono essere determinati e soddisfatti.

Verifica: I requisiti per dispositivi mobili e supporti mobili sono determinati e soddisfatti?

Gli utenti devono essere informati delle eventuali carenze di protezione dati sui dispositivi mobili.

Verifica: Gli utenti sono informati delle carenze di protezione dati sui dispositivi mobili?

I supporti mobili o le informazioni ivi memorizzate devono essere cifrati o protetti con misure equivalenti quando la cifratura non è tecnicamente possibile.

Verifica: Supporti mobili o dati memorizzati sono cifrati o protetti con misure equivalenti?

La segmentazione tra ambienti deve essere implementata sulla base dei risultati dell’analisi del rischio.

Verifica: La segmentazione tra ambienti è implementata in base all’analisi del rischio?

Devono essere usati profili utente distinti per ambienti di sviluppo, test e produzione, quando applicabile.

Verifica: Sono usati profili utente distinti per sviluppo, test e produzione quando applicabile?

Gli ambienti di sviluppo, test e produzione devono essere protetti con controlli coerenti con il rischio e la criticità dei dati trattati.

Verifica: Gli ambienti separati sono protetti con controlli coerenti con rischio e criticità dei dati?

La segmentazione tra ambienti deve essere implementata sulla base dei risultati dell’analisi del rischio.

Verifica: La segmentazione tra ambienti è implementata in base all’analisi del rischio?

Devono essere usati profili utente distinti per ambienti di sviluppo, test e produzione, quando applicabile.

Verifica: Sono usati profili utente distinti per sviluppo, test e produzione quando applicabile?

Quando sono usati dati reali o simil-reali nei test, devono essere applicate misure di protezione coerenti con la criticità delle informazioni.

Verifica: Quando si usano dati reali o simil-reali nei test, sono applicate misure di protezione coerenti con la loro criticità?

L'utilizzo dei servizi cloud deve essere regolato e autorizzato in base ai requisiti di sicurezza applicabili.

Verifica: L'utilizzo dei servizi cloud è regolato e autorizzato in base ai requisiti di sicurezza applicabili?

Le aree o proprietà protette devono disporre di un perimetro fisico volto a impedire accessi non autorizzati.

Verifica: Le aree o proprietà protette dispongono di un perimetro fisico contro accessi non autorizzati?

L'ingresso non autorizzato nelle aree protette deve essere regolato tramite controlli di accesso.

Verifica: L'ingresso nelle aree protette è regolato tramite controlli di accesso?

Devono esistere regole per la registrazione di immagini relative a prototipi, aree protette o materiali prodotti.

Verifica: Esistono regole per la registrazione di immagini relative a prototipi, aree protette o materiali prodotti?

L'uso di dispositivi mobili per video o fotografie in aree sicure deve essere autorizzato e controllato.

Verifica: L'uso di dispositivi video/foto mobili in aree sicure è autorizzato e controllato?

Obiettivi strategici e priorità in crisi devono essere definiti e noti al personale pertinente.

Verifica: Obiettivi e priorità in crisi sono definiti e noti al personale pertinente?

La prontezza ICT per la continuità operativa deve essere pianificata sulla base degli obiettivi di continuità e dei requisiti ICT.

Verifica: La continuità ICT è pianificata in base a obiettivi e requisiti di continuità definiti?

La prontezza ICT deve essere testata rispetto agli obiettivi di continuità.

Verifica: Sono eseguiti test periodici della continuità ICT?

Il piano di disaster recovery deve includere procedure di ripristino per operazioni specifiche e relativi obiettivi di ripristino.

Verifica: Il piano DR include procedure e obiettivi di ripristino per operazioni specifiche?

Il piano di disaster recovery deve includere procedure di ripristino per operazioni specifiche e relativi obiettivi di ripristino.

Verifica: Il piano DR include procedure e obiettivi di ripristino per operazioni specifiche?

Il piano di disaster recovery deve includere procedure di ripristino per operazioni specifiche e relativi obiettivi di ripristino.

Verifica: Il piano DR include procedure e obiettivi di ripristino per operazioni specifiche?

Obiettivi strategici e priorità in crisi devono essere definiti e noti al personale pertinente.

Verifica: Obiettivi e priorità in crisi sono definiti e noti al personale pertinente?

I requisiti devono essere adattati agli obiettivi dell Organizzazione.

Verifica: I requisiti di sicurezza sono adattati agli obiettivi dell Organizzazione?

Il piano di valutazione dell efficacia deve indicare le misure da valutare e i relativi metodi di valutazione.

Verifica: Il piano di valutazione indica misure da valutare e metodi di verifica?

Il sistema di gestione deve fornire alla direzione strumenti adeguati di monitoraggio e controllo.

Verifica: Il sistema di gestione fornisce strumenti di monitoraggio e controllo alla direzione?

Gli obiettivi di integrità e disponibilità dovrebbero essere considerati nella classificazione degli asset informativi.

Verifica: La classificazione considera anche integrità e disponibilità?

Gli obiettivi di integrità e disponibilità dovrebbero essere considerati nella classificazione degli asset informativi.

Verifica: La classificazione considera anche integrità e disponibilità?

L approccio alla gestione della sicurezza delle informazioni deve essere riesaminato da un soggetto indipendente.

Verifica: L approccio alla gestione della sicurezza viene riesaminato in modo indipendente?

Le revisioni di sicurezza devono essere svolte da un organismo indipendente e competente a intervalli regolari.

Verifica: Le revisioni di sicurezza sono svolte da un soggetto indipendente e competente a intervalli regolari?

Gli organi di amministrazione e direttivi devono essere informati periodicamente sugli esiti dei piani di adeguamento.

Verifica: Gli organi competenti ricevono relazioni periodiche sugli esiti dei piani?

Deve essere definito e documentato un piano per valutare l efficacia delle misure di gestione del rischio cyber.

Verifica: Esiste un piano per valutare l efficacia delle misure di gestione del rischio cyber?

Il piano di disaster recovery deve includere procedure di ripristino specifiche e obiettivi di ripristino.

Verifica: Il piano DR include procedure di ripristino e obiettivi di ripristino?

Gli obiettivi strategici e la loro priorità in situazioni di crisi devono essere definiti e noti al personale rilevante.

Verifica: Gli obiettivi e le priorità in crisi sono definiti e noti?

I meccanismi di sicurezza, i livelli di servizio e i requisiti dei servizi di rete devono essere monitorati.

Verifica: I servizi di rete sono monitorati rispetto ai requisiti e ai livelli di servizio definiti?

L organizzazione per la sicurezza informatica deve essere definita, approvata e resa nota alle articolazioni competenti.

Verifica: L organizzazione di sicurezza informatica è definita, approvata e resa nota?

L inventario degli asset deve essere mantenuto aggiornato rispetto alle variazioni organizzative, tecniche e operative.

Verifica: L inventario degli asset viene aggiornato quando cambiano asset, sistemi o responsabilità?

L approvazione software deve considerare eventuali limitazioni per casi d uso o ruoli specifici.

Verifica: Le approvazioni software indicano eventuali limiti di uso o ruolo?

Responsabilità e autorità per la gestione della crisi devono essere definite, documentate e assegnate.

Verifica: Responsabilità e autorità di crisis management sono definite, documentate e assegnate?

Il piano di continuità operativa deve definire ruoli e responsabilità.

Verifica: Il piano di continuità definisce ruoli e responsabilità?

Il piano di gestione delle crisi informatiche deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

Verifica: Il piano crisi definisce ruoli e responsabilità di personale e fornitori applicabili?

Il piano di gestione delle crisi informatiche deve definire le modalità di comunicazione con soggetti e autorità competenti.

Verifica: Il piano crisi definisce le modalità di comunicazione con soggetti e autorità competenti?

Requisiti e responsabilità per continuità e recovery dei servizi IT critici devono essere noti agli stakeholder rilevanti.

Verifica: Requisiti e responsabilità di continuità/recovery sono noti agli stakeholder?

Il piano di continuità operativa deve definire ruoli e responsabilità.

Verifica: Il piano di continuità definisce ruoli e responsabilità?

Il piano di gestione delle crisi informatiche deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

Verifica: Il piano crisi definisce ruoli e responsabilità di personale e fornitori applicabili?

Il piano di gestione delle crisi informatiche deve definire le modalità di comunicazione con soggetti e autorità competenti.

Verifica: Il piano crisi definisce le modalità di comunicazione con soggetti e autorità competenti?

Il piano di continuità operativa deve definire ruoli e responsabilità.

Verifica: Il piano di continuità definisce ruoli e responsabilità?

Il piano di gestione delle crisi informatiche deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

Verifica: Il piano crisi definisce ruoli e responsabilità di personale e fornitori applicabili?

Il piano di gestione delle crisi informatiche deve definire le modalità di comunicazione con soggetti e autorità competenti.

Verifica: Il piano crisi definisce le modalità di comunicazione con soggetti e autorità competenti?

Responsabilità e autorità per la gestione della crisi devono essere definite, documentate e assegnate.

Verifica: Responsabilità e autorità di crisis management sono definite, documentate e assegnate?

Se il DPO non è richiesto, deve essere definita una funzione privacy o ruolo comparabile.

Verifica: Se il DPO non è richiesto, esiste una funzione privacy o ruolo equivalente?

La funzione privacy deve essere integrata nella struttura organizzativa.

Verifica: La funzione privacy è integrata nella struttura organizzativa?

Per le attività di trattamento deve esistere una descrizione di processo o sequenza con responsabilità definite.

Verifica: Le attività di trattamento hanno una descrizione di processo con responsabilità definite?

Responsabilità, compiti e supporto per le DPIA devono essere definiti e noti.

Verifica: Responsabilità, compiti e supporto per le DPIA sono definiti e noti?

Ambito, frequenza e contenuto della formazione privacy devono essere determinati in base al bisogno di protezione dei dati.

Verifica: Ambito, frequenza e contenuto della formazione privacy sono definiti in base al bisogno di protezione?

Le politiche devono coprire almeno gestione del rischio, ruoli, risorse umane, conformità, fornitori, asset e vulnerabilità.

Verifica: Le politiche coprono rischio, ruoli, HR, conformità, fornitori, asset e vulnerabilità?

I ruoli e le responsabilità per la sicurezza delle informazioni devono essere definiti.

Verifica: I ruoli e le responsabilità per la sicurezza delle informazioni sono definiti?

I ruoli e le responsabilità per la sicurezza delle informazioni devono essere assegnati in base alle esigenze dell Organizzazione.

Verifica: I ruoli di sicurezza sono assegnati in base alle esigenze dell Organizzazione?

L organizzazione per la sicurezza informatica deve essere definita, approvata e resa nota alle articolazioni competenti.

Verifica: L organizzazione di sicurezza informatica è definita, approvata e resa nota?

Devono essere stabiliti ruoli e responsabilità dell organizzazione di sicurezza informatica.

Verifica: Sono stabiliti ruoli e responsabilità dell organizzazione di sicurezza informatica?

Deve essere mantenuto un elenco aggiornato del personale con ruoli e responsabilità specifici di sicurezza.

Verifica: È mantenuto un elenco aggiornato del personale con ruoli specifici di sicurezza?

L elenco dei ruoli di sicurezza deve includere punto di contatto, sostituto, referente CSIRT ed eventuali sostituti.

Verifica: L elenco include punto di contatto, sostituto, referente CSIRT ed eventuali sostituti?

Ruoli e responsabilità devono essere riesaminati e aggiornati periodicamente almeno ogni due anni o al verificarsi di eventi rilevanti.

Verifica: Ruoli e responsabilità sono riesaminati almeno ogni due anni o dopo eventi rilevanti?

I ruoli di sicurezza assegnati al personale di terze parti devono essere definiti nell organizzazione di sicurezza informatica.

Verifica: I ruoli di sicurezza del personale di terze parti sono definiti?

I ruoli e responsabilità di sicurezza delle terze parti devono essere resi noti alle articolazioni competenti.

Verifica: I ruoli delle terze parti sono comunicati alle articolazioni competenti?

Il personale terzo con ruoli specifici di sicurezza deve essere incluso nell elenco dei ruoli di sicurezza.

Verifica: Il personale terzo con ruoli specifici è incluso nell elenco dei ruoli di sicurezza?

Il perimetro del sistema di gestione della sicurezza delle informazioni deve essere definito.

Verifica: Il perimetro del sistema di gestione della sicurezza delle informazioni è definito?

I requisiti dell Organizzazione per il sistema di gestione della sicurezza devono essere determinati.

Verifica: I requisiti dell Organizzazione per l ISMS sono determinati?

L Organizzazione deve implementare e mantenere un sistema di gestione per la sicurezza delle informazioni.

Verifica: È implementato e mantenuto un sistema di gestione per la sicurezza delle informazioni?

Il management system deve essere approvato da un soggetto con autorità sull intero ambito.

Verifica: Il management system è approvato da un soggetto con autorità sull intero ambito?

Le responsabilità di sicurezza delle informazioni devono essere definite, documentate e assegnate.

Verifica: Le responsabilità di sicurezza sono definite, documentate e assegnate?

Le persone responsabili devono essere definite e qualificate per il compito.

Verifica: Le persone responsabili sono definite e qualificate per il compito?

Le risorse necessarie per le responsabilità di sicurezza devono essere disponibili.

Verifica: Le risorse necessarie per le responsabilità di sicurezza sono disponibili?

I contatti per la sicurezza devono essere noti internamente e ai partner rilevanti.

Verifica: I contatti per la sicurezza sono noti internamente e ai partner rilevanti?

La struttura di sicurezza delle informazioni deve essere definita e documentata.

Verifica: La struttura di sicurezza delle informazioni è definita e documentata?

La separazione organizzativa delle responsabilità deve essere stabilita per evitare conflitti di interesse.

Verifica: È stabilita una separazione organizzativa delle responsabilità per evitare conflitti?

Deve esistere una persona nominata con responsabilità complessiva del management system.

Verifica: Esiste una persona nominata con responsabilità complessiva del management system?

Deve essere nominato un Data Protection Officer quando richiesto dalla normativa applicabile.

Verifica: È nominato un DPO quando richiesto dalla normativa applicabile?

Se il DPO non è richiesto, deve essere definita una funzione privacy o ruolo comparabile.

Verifica: Se il DPO non è richiesto, esiste una funzione privacy o ruolo equivalente?

I contatti della funzione privacy o del DPO devono essere pubblicati o resi disponibili come appropriato.

Verifica: I contatti della funzione privacy/DPO sono pubblicati o disponibili?

La funzione privacy deve essere integrata nella struttura organizzativa.

Verifica: La funzione privacy è integrata nella struttura organizzativa?

Devono essere documentate attività di controllo, stato privacy e reporting al top management.

Verifica: Sono documentati controlli privacy, stato privacy e reporting al top management?

La funzione privacy deve disporre di capacità, risorse e qualifiche adeguate.

Verifica: La funzione privacy dispone di capacità, risorse e qualifiche adeguate?

I compiti e le responsabilità in conflitto devono essere identificati.

Verifica: Sono identificati compiti e responsabilità potenzialmente in conflitto?

I compiti e le aree di responsabilità in conflitto devono essere separati.

Verifica: I compiti e le responsabilità in conflitto sono separati?

I permessi devono essere assegnati secondo minimo privilegio, separazione delle funzioni e necessità di conoscere.

Verifica: I permessi sono assegnati secondo minimo privilegio, separazione delle funzioni e need-to-know?

La direzione deve richiedere al personale di applicare la sicurezza delle informazioni secondo le politiche e le procedure vigenti dell Organizzazione.

Verifica: La direzione richiede formalmente al personale il rispetto delle politiche e procedure di sicurezza?

Le responsabilità della direzione in materia di sicurezza devono essere coerenti con le politiche specifiche applicabili.

Verifica: Le responsabilità della direzione sono coerenti con le politiche specifiche applicabili?

La richiesta della direzione deve essere comunicata in modo comprensibile al personale interessato.

Verifica: Il personale interessato riceve una comunicazione chiara sugli obblighi di sicurezza?

L applicazione delle procedure di sicurezza deve poter essere verificata con evidenze organizzative o operative.

Verifica: L applicazione delle procedure di sicurezza è verificabile tramite evidenze?

Devono essere adottate e documentate politiche di sicurezza informatica per gli ambiti richiesti dalla misura.

Verifica: Sono adottate e documentate politiche di sicurezza per gli ambiti richiesti?

Le politiche devono coprire almeno gestione del rischio, ruoli, risorse umane, conformità, fornitori, asset, vulnerabilità e continuità.

Verifica: Le politiche coprono rischio, ruoli, persone, compliance, fornitori, asset, vulnerabilità e continuità?

Le politiche devono coprire autenticazione, identità digitali, controllo accessi, sicurezza fisica, formazione, dati, sviluppo, reti, monitoraggio e incidenti.

Verifica: Le politiche coprono identità, accessi, fisica, formazione, dati, sviluppo, reti, monitoraggio e incidenti?

Le politiche devono includere almeno i requisiti applicabili indicati nella tabella di appendice dell allegato.

Verifica: Le politiche includono i requisiti minimi applicabili della tabella in appendice?

Le politiche devono essere approvate dagli organi di amministrazione e direttivi.

Verifica: Le politiche sono approvate dagli organi di amministrazione e direttivi?

Le politiche devono essere rese note alle articolazioni competenti secondo il principio need to know.

Verifica: Le politiche sono comunicate alle articolazioni competenti secondo need to know?

A seguito del riesame delle politiche deve essere definito un piano di adeguamento per assicurare l attuazione delle politiche di sicurezza.

Verifica: È definito un piano di adeguamento derivante dal riesame delle politiche?

Il piano di adeguamento deve essere attuato e documentato.

Verifica: Il piano di adeguamento è attuato e documentato?

Il piano di adeguamento deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano di adeguamento è approvato dagli organi di amministrazione e direttivi?

Gli organi di amministrazione e direttivi devono essere informati periodicamente sugli esiti dei piani di adeguamento.

Verifica: Gli organi direttivi ricevono relazioni periodiche sugli esiti del piano di adeguamento?

Deve essere definito, attuato, aggiornato e documentato un piano per valutare l efficacia delle misure di gestione del rischio.

Verifica: È presente un piano documentato per valutare l efficacia delle misure di gestione del rischio?

Il piano di valutazione dell efficacia deve indicare le misure da valutare e i relativi metodi di valutazione.

Verifica: Il piano di valutazione indica misure da valutare e metodi di verifica?

Gli organi di amministrazione e direttivi devono essere informati periodicamente sul piano di valutazione dell efficacia.

Verifica: Gli organi direttivi ricevono relazioni periodiche sul piano di valutazione dell efficacia?

Deve essere definito, documentato, eseguito e monitorato un piano di trattamento dei rischi per la sicurezza informatica.

Verifica: È presente un piano di trattamento rischi definito, documentato, eseguito e monitorato?

Il piano di trattamento deve indicare opzioni di trattamento, misure da attuare e priorità per ciascun rischio.

Verifica: Il piano indica opzioni, misure e priorità per ciascun rischio?

Il piano di trattamento deve indicare le articolazioni competenti per attuare le misure e le relative tempistiche.

Verifica: Il piano assegna owner e tempistiche per le misure di trattamento?

L accettazione di eventuali rischi residui deve essere descritta e motivata nel piano.

Verifica: I rischi residui accettati sono descritti e motivati?

Quando requisiti previsti non sono attuati per ragioni motivate, devono essere adottate misure compensative ove applicabili.

Verifica: Le non attuazioni motivate prevedono misure compensative ove applicabili?

Il piano deve descrivere le misure compensative e l eventuale rischio residuo collegato.

Verifica: Il piano descrive misure compensative e rischio residuo associato?

Il piano di trattamento, inclusa l accettazione dei rischi residui, deve essere approvato dagli organi di amministrazione e direttivi.

Verifica: Il piano di trattamento e l accettazione dei rischi residui sono approvati dagli organi direttivi?

Il perimetro del sistema di gestione della sicurezza delle informazioni deve essere definito.

Verifica: Il perimetro del sistema di gestione della sicurezza delle informazioni è definito?

I requisiti dell Organizzazione per il sistema di gestione della sicurezza delle informazioni devono essere determinati.

Verifica: I requisiti dell Organizzazione per il sistema di gestione sono determinati?

La direzione deve commissionare e approvare il sistema di gestione della sicurezza delle informazioni.

Verifica: La direzione ha commissionato e approvato il sistema di gestione della sicurezza?

Il sistema di gestione deve fornire alla direzione strumenti adeguati di monitoraggio e controllo.

Verifica: Il sistema di gestione fornisce strumenti di monitoraggio e controllo alla direzione?

I controlli applicabili devono essere determinati e documentati.

Verifica: I controlli applicabili sono determinati e documentati?

La direzione deve riesaminare regolarmente l efficacia del sistema di gestione della sicurezza delle informazioni.

Verifica: La direzione riesamina regolarmente l efficacia del sistema di gestione?

L Organizzazione deve stabilire contatti con le autorità competenti rilevanti per la sicurezza delle informazioni.

Verifica: Sono identificati i contatti con le autorità competenti rilevanti?

I contatti con le autorità devono essere mantenuti aggiornati nel tempo.

Verifica: I contatti con le autorità sono mantenuti aggiornati?

Devono essere definite modalità operative per usare i contatti con le autorità quando necessario.

Verifica: Sono definite modalità operative per attivare i contatti con le autorità?

I gruppi target della formazione devono essere identificati considerando specifici ambienti di rischio.

Verifica: Sono identificati gruppi target della formazione in base agli ambienti di rischio?

I diritti di accesso devono applicare il principio need to know e least privilege.

Verifica: I diritti sono assegnati secondo need to know e least privilege?

La valutazione delle modalità di autenticazione deve considerare la tipologia di operazioni consentite alle utenze.

Verifica: La scelta dell autenticazione considera le operazioni consentite alle utenze?

I permessi devono essere assegnati in base al principio del minimo privilegio.

Verifica: I permessi sono assegnati secondo il principio del minimo privilegio?

I permessi devono rispettare la separazione delle funzioni.

Verifica: I permessi rispettano la separazione delle funzioni?

I requisiti per la gestione dei diritti di accesso devono essere determinati e soddisfatti.

Verifica: Sono determinati e soddisfatti i requisiti per la gestione dei diritti di accesso?

I diritti devono essere assegnati secondo need to know e least privilege.

Verifica: I diritti sono assegnati secondo need to know e least privilege?

Nell organizzazione di sicurezza devono essere definiti i ruoli e le responsabilità di sicurezza assegnati a personale di terze parti.

Verifica: Sono definiti i ruoli e responsabilità di sicurezza assegnati a personale terzo?

I ruoli e responsabilità di sicurezza delle terze parti devono essere comunicati alle articolazioni interne competenti.

Verifica: I ruoli e responsabilità delle terze parti sono comunicati internamente?

Il personale terzo con ruoli specifici di sicurezza deve essere incluso nell elenco aggiornato del personale con ruoli e responsabilità.

Verifica: Il personale terzo con ruoli di sicurezza è incluso nell elenco ruoli/responsabilità?

L organizzazione responsabile dell implementazione di ciascun requisito deve essere definita e consapevole della propria responsabilità.

Verifica: È definito chi implementa ciascun requisito e ne è consapevole?

I meccanismi per responsabilità condivise devono essere specificati e implementati.

Verifica: I meccanismi di responsabilità condivisa sono specificati e implementati?

Deve essere fornita prova che i provider IT adempiano alle proprie responsabilità.

Verifica: Esistono prove che i provider IT adempiono alle proprie responsabilità?

Le policy di conformità devono essere comunicate alle persone responsabili.

Verifica: Le policy di conformità sono comunicate alle persone responsabili?

Devono essere determinati ambiti e mansioni sensibili.

Verifica: Sono determinati gli ambiti e le mansioni sensibili?

I gruppi target della formazione devono essere identificati e considerati nel concetto formativo.

Verifica: I gruppi target della formazione sono identificati e considerati?

Ambito, frequenza e contenuto della formazione data protection devono essere determinati in base al bisogno di protezione dei dati.

Verifica: Ambito, frequenza e contenuto della formazione data protection sono basati sul bisogno di protezione?

I dipendenti in aree critiche devono ricevere istruzioni o formazione specifica sulla protezione dei dati.

Verifica: I dipendenti in aree critiche ricevono formazione privacy specifica?

Le responsabilità e gli obblighi di sicurezza delle informazioni che restano validi dopo cessazione o cambio di impiego devono essere definiti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Le responsabilità e gli obblighi post-rapporto devono essere applicati al personale e alle parti interessate pertinenti.

Verifica: Il requisito è implementato e documentato?

Le responsabilità e gli obblighi post-rapporto devono essere comunicati ai soggetti pertinenti.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Il personale autorizzato ad accedere ai sistemi informativi e di rete rilevanti deve essere individuato previa valutazione di esperienza, capacità e affidabilità.

Verifica: Il requisito è implementato e documentato?

Il personale autorizzato ad accedere ai sistemi rilevanti deve fornire garanzia del rispetto della normativa di sicurezza informatica.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Gli amministratori di sistema devono essere individuati previa valutazione di esperienza, capacità e affidabilità.

Verifica: Il requisito è implementato e documentato?

Devono essere adottate e documentate procedure per individuare personale autorizzato e amministratori di sistema.

Verifica: Il requisito è implementato e documentato?

Gli obblighi di sicurezza validi dopo cessazione o modifica del rapporto di lavoro devono essere definiti contrattualmente in base al rischio.

Verifica: Il requisito contrattuale o di riservatezza è formalizzato e applicabile?

Devono essere adottate e documentate procedure per gestire gli obblighi di sicurezza post-rapporto.

Verifica: Il requisito è implementato e documentato?

I ruoli e le responsabilità per la gestione degli incidenti devono essere definiti e stabiliti.

Verifica: I ruoli e le responsabilità di incident management sono assegnati?

I processi, i ruoli e le responsabilità di gestione degli incidenti devono essere comunicati ai soggetti pertinenti.

Verifica: I ruoli e le modalità di gestione degli incidenti sono comunicati ai soggetti pertinenti?

Il piano di continuità operativa deve indicare ruoli e responsabilità.

Verifica: Il piano di continuità assegna ruoli e responsabilità?

Il piano di disaster recovery deve indicare ruoli e responsabilità.

Verifica: Il piano DR assegna ruoli e responsabilità?

Il piano di crisi informatica deve definire ruoli e responsabilità del personale e, se opportuno, dei fornitori.

Verifica: Il piano crisi definisce ruoli e responsabilità di personale e fornitori?