2016 Vera 4.3 Ita

Foglio di calcolo per la valutazione del rischio relativo alla sicurezza delle informazioni
Redatto
Versione
Riservatezza Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.
Da VERA 4.3 (http://www.cesaregallotti.it).
VERA (Very easy risk assessment) 4.2 ITA

By Cesare Gallotti (http://www.cesaregallotti.it)
VERA coperta dalla licenza Attribuzione 4.0 Internazionale di Creative Commons.
http://creativecommons.org/licenses/by/4.0/ (http://creativecommons.org/licenses/by/4.0/deed.it).
Per distribuire VERA, bisogna riportarne l'autore (Cesare Gallotti con link a http://www.cesaregallotti.it).
Cambiamenti
V 2.0 Pubblicazione (English)
V 3.0 Traduzione in italiano; cambio istruzioni; livello di rischio per singola minaccia-vulnerabilit (Translation in Italian)
V 3.1 Correzione istruzioni per attribuzione valori controlli (Corrections)
V 3.2 Correzione istruzioni per attribuzione valori minacce (Corrections)
In Italian and english; update to ISO/IEC 27001:2013; changed formula for intrinsic risk; in threat, added the "kind of threat"; in controls,
added the "kind of asset"
V 4.0 In italiano e inglese, aggiornamento alla ISO/IEC 27001:2013; cambiato formule per il rischio intrinseco; nelle minacce, aggiunto il tipo di
minaccia; nei controlli, aggiunto il "tipo di asset"
V 4.1 Many thanks to Francesca Lazzaroni for all corrections: English, instructions and appearance.
V 4.2 Traduzione in italiano e qualche piccola correzione.
V 4.2.1 Correzioni in italiano. Grazie a Vito Losacco, Carlotta Landi, Luigi Fasani e Luciano Quartarone
4.3 Correzioni varie.
360444298.xlsx Informazioni e valutazione
Identificazione e valutazione delle informazioni

Passo 1 - Identificare e valutare le informazioni seguendo i criteri riportati nel tab "Valori RID"
Valore Valore MTPD (max tempo

Processi Informazioni Valore riservatezza Note (giustificazioni) Archivi: sistemi IT, archivi fisici, altri archivi
integrit disponibilit indisponibilit)
Riservatezza:
Integrit:
Disponibilit:
TOTALE MAX 0 0 0
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Page 3 di 28
360444298.xlsx Criteri di valutazione delle informazioni
Criteri di valutazione delle informazioni

Liv. R- Riservatezza I - Integrit D- Disponibilit
I dati non presentano particolari

I dati non presentano particolari requisiti di integrit. Lindisponibilit dei dati oltre i tempi
1 - Basso requisiti di riservatezza. I dati gestiti non fanno parte di stabiliti contrattualmente non
I dati sono pubblici. transazioni economiche, comporta multe o penali rilevanti.
finanziarie o sanitarie.
I dati non sono oggetto di

I dati devono essere riservati per transazioni di tipo economico,
ragioni di business (concorrenza finanziario o sanitarie con impatti Lindisponibilit dei dati oltre i tempi
sleale, danni allimmagine), ma sul business di unimpresa. stabiliti contrattualmente comporta
2 - Medio uneventuale loro diffusione non La mancanza di integrit dei dati multe o penali non particolarmente
ha elevati impatti sul business non ha elevati impatti sulle attivit rilevanti.
aziendale o sul rispetto della operative o sul rispetto della
normativa vigente. normativa vigente.
I dati non sono oggetto di

I dati devono essere riservati per transazioni di tipo economico,
ragioni di business (concorrenza finanziario o sanitarie con impatti Lindisponibilit dei dati oltre i tempi
sleale, danni allimmagine), ma sul business di unimpresa.
3 - Alto uneventuale loro diffusione non La mancanza di integrit dei dati stabiliti contrattualmente comporta
ha elevati impatti sul business non ha elevati impatti sulle attivit multe o penali rilevanti.
aziendale o sul rispetto della operative o sul rispetto della
normativa vigente. normativa vigente.
La mancanza di integrit delle

informazioni ha elevati impatti sul
La diffusione delle informazioni business aziendale o sul rispetto Lindisponibilit dei dati oltre i tempi
ha elevati impatti sul business della normativa vigente tali da stabiliti contrattualmente comporta
aziendale o sul rispetto della
4 - Critico compromettere la sostenibilit multe o penali che mettono in
normativa vigente tali da dell'organizzazione. pericolo la sostenibilit economica e
compromettere la sostenibilit I dati sono utilizzati per transazioni di immagine.
dell'organizzazione. economiche, finanziarie o
sanitarie.
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 4 di 28
360444298.xlsx Minacce
Identificazione e valutazione delle minacce

Passo 2 - Identificare e valutare le minacce con i criteri riportati nel tab "Valori minacce"
Categoria Minaccia Verosimiglianza Parametri Note (giustificazioni per i valori assegnati)

RID
Incendio ID
Allagamento D
Polvere, corrosione, congelamento.
D
Danni fisici
Distruzione di strumentazione da parte di persone malintenzionate
D
Attacchi (bombe, terroristi) D

Fenomeni climatici (Uragani, Nevicate)
D
Eventi naturali Terremoti, eruzioni vulcaniche
D
Fulmine D
Rottura aria condizionata o distribuzione acqua
D
Perdita di energia (o sbalzi di tensione)
D
Errori nei componenti di TLC
RID
Perdita di servizi Errori di trasmissione (incluso il misrouting)

ID
essenziali
Danni alle linee di TLC D
Eccesso di traffico sulle linee di TLC
D
Indisponibilit di personale (malattie, sciopero, eccetera)
D
Disturbi Disturbi elettromagnetici ID

Intercettazione (inclusa analisi del traffico)
R
Furto di documenti R
Furto di apparati o componenti
RD
Recupero di informazioni da media (principalmente memorie di massa) dismessi.
R
Compromissione di
informazioni
Rivelazione di informazioni (da parte del personale)
R
Ricezione dati da origini non affidabili
I
360444298.xlsx Minacce
Compromissione di
informazioni
Categoria Minaccia Verosimiglianza Parametri Note (giustificazioni per i valori assegnati)

RID
Infiltrazione nelle comunicazioni

RID
Ripudio dei messaggi I
Fault o malfunzionamento della strumentazione IT
ID
Saturazione dei sistemi IT ID
Malfunzionamenti software applicativi sviluppati per i clienti
RID
Malfunzionamenti pacchetti software usati internamente

Problemi tecnici RID
Malfunzionamenti software applicativi sviluppati per uso interno

RID
Errori di manutenzione hardware e software di base

ID
Uso non autorizzato della strumentazione

RID
Importazione o esportazione illegale di software (copia illegale di software)
RID
Azioni non Alterazione volontaria e non autorizzata di dati di business

autorizzate RID
Virus RID
Accesso non autorizzato alla rete
RID
Uso non autorizzato della rete da parte degli interni
RID
Errori degli utenti di business
RID
Uso dei servizi da parte di persone non autorizzate
RID
Compromissione di Degrado dei media (memorie di massa)
funzioni ID
Uso di servizi in modo non autorizzato
RID
Furto identit RID
360444298.xlsx
Criteri di valutazione delle minacce
Criteri di valutazione delle minacce

Livello Linee guida per la verosimiglianza
applicabile ad almeno uno dei seguenti:

- la minaccia si pu verificare con frequenza inferiore rispetto a quanto riportato dalle ricerche pi note;
- in caso di attacco deliberato, i dati sono poco appetibili e l'immagine aziendale non compromessa e
1 - Bassa pertanto i tentativi di attacco o non sono iniziati o sono condotti da malintenzionati scarsamente preparati
da un punto di vista tecnico e con scarse risorse a disposizione.
- in caso di attacco non deliberato, lambito poco complesso e quindi difficile commettere errori;
- in caso di eventi naturali, gli studi dimostrano che la minaccia pu verificarsi molto raramente.

- la minaccia si pu verificare pi frequentemente rispetto a quanto riportato dalle ricerche pi note;
- in caso di attacco deliberato, i dati sono poco appetibili e l'immagine aziendale non compromessa e
quindi pu essere condotto da malintenzionati non particolarmente motivati, mediamente preparati da un
2 - Media punto di vista tecnico e con scarse risorse a disposizione; o in alternativa, gli studi confermano che tentativi
di attacco sono comunque rari;
- in caso di attacco non deliberato, lambito mediamente complesso e quindi possono essere commessi
errori;
- in caso di eventi naturali, gli studi dimostrano che la minaccia pu verificarsi nella media dei casi studiati.

- la minaccia si pu verificare pi frequentemente rispetto a quanto riportato dalle ricerche pi note;
- in caso di attacco deliberato, i dati sono appetibili o l'immagine aziendale compromessa, e quindi pu
essere condotto da malintenzionati molto motivati, tecnicamente preparati e con ingenti risorse a
3 - Alta disposizione; o in alternativa, gli studi confermano che tentativi di attacco sono comunque portati molto di
frequente;
- in caso di attacco non deliberato, lambito di elevata complessit (per esempio per molteplicit di sedi,
tipologie di sistemi informatici, utenti interni e/o esterni) e quindi facile siano commessi errori;
- in caso di eventi naturali, gli studi dimostrano che la minaccia si verifica quasi certamente.
Controlli e SOA 360444298.xlsx
Controlli e Dichiarazione di applicabilit (richiesta da ISO/IEC 27001)

Passo 3 - Valutare l'efficacia dei controlli della ISO/IEC 27001 secondo la scala presente nel tab "Valutazione controlli".
Controllo Valutazione
controllo
A.05.01.01 Politiche per la sicurezza delle informazioni
A.05.01.02 Riesame delle politiche per la sicurezza delle informazioni
A.06.01.01 Ruoli e responsabilit per la sicurezza delle informazioni
A.06.01.02 Separazione dei compiti

A.06.01.03 Contatti con le autorit
A.06.01.04 Contatti con gruppi specialistici
A.06.01.05 Sicurezza delle informazioni nella gestione dei progetti
A.06.02.01 Politica per i dispositivi portatili

A.06.02.02 Telelavoro
A.07.01.01 Screening
A.07.01.02 Termini e condizioni di impiego
A.07.02.01 Responsabilit della direzione
A.07.02.02 Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni
A.07.02.03 Processo disciplinare

A.07.03.01 Cessazione o variazione delle responsabilit durante il rapporto di lavoro
A.08.01.01 Inventario degli asset

A.08.01.02 Responsabilit degli asset
A.08.01.03 Utilizzo accettabile degli asset
A.08.01.04 Restituzione degli asset
A.08.02.01 Classificazione delle informazioni
A.08.02.02 Etichettatura delle informazioni
controllo
A.08.02.03 Trattamento degli asset
A.08.03.01 Gestione dei supporti rimovibili
A.08.03.02 Dismissione dei supporti
A.08.03.03 Trasporto dei supporti fisici
A.09.01.01 Politica di controllo degli accessi
A.09.01.02 Accesso alle reti e ai servizi di rete
A.09.02.01 Registrazione e de-registrazione degli utenti
A.09.02.02 Provisioning degli accessi degli utenti
A.09.02.03 Gestione dei diritti di accesso privilegiato
A.09.02.04 Gestione delle informazioni segrete di autenticazione degli utenti
A.09.02.05 Riesame dei diritti di accesso degli utenti
A.09.02.6 Rimozione o adattamento dei diritti di accesso
A.09.03.01 Utilizzo delle informazioni segrete di autenticazione
A.09.04.01 Limitazione dellaccesso alle informazioni
A.09.04.02 Procedure di log-on sicure

A.09.04.03 Sistema di gestione delle password
A.09.04.04 Uso di programmi di utilit privilegiati
A.09.04.05 Controllo degli accessi al codice sorgente dei programmi
A.10.01.01 Politica sulluso dei controlli crittografici
A.10.01.02 Gestione delle chiavi

A.11.01.01 Perimetro di sicurezza fisica
A.11.01.02 Controlli di accesso fisico
controllo
A.11.01.03 Rendere sicuri uffici, locali e strutture
A.11.01.04 Protezione contro minacce esterne ed ambientali
A.11.01.05 Lavoro in aree sicure

A.11.01.6 Aree di carico e scarico
A.11.02.01 Disposizione delle apparecchiature e loro protezione
A.11.02.02 Infrastrutture di supporto

A.11.02.03 Sicurezza dei cablaggi
A.11.02.04 Manutenzione delle apparecchiature
A.11.02.05 Trasferimento degli asset
A.11.02.06 Sicurezza delle apparecchiature e degli asset allesterno delle sedi
A.11.02.07 Dismissione sicura o riutilizzo delle apparecchiature
A.11.02.08 Apparecchiature incustodite degli utenti
A.11.02.09 Politica di schermo e scrivania puliti

A.12.01.01 Procedure operative documentate
A.12.01.02 Gestione dei cambiamenti (sistemistici)
A.12.01.03 Gestione della capacit

A.12.01.04 Separazione degli ambienti di sviluppo, test e produzione
A.12.02.01 Controlli contro il malware

A.12.03.01 Backup delle informazioni
A.12.04.01 Raccolta di log degli eventi (e monitoraggio)
A.12.04.02 Protezione delle informazioni di log

A.12.04.03 Log di amministratori e operatori
A.12.04.04 Sincronizzazione degli orologi
A.12.05.01 Installazione del software sui sistemi di produzione
controllo
A.12.06.01 Gestione delle vulnerabilit tecniche
A.12.06.02 Limitazioni allinstallazione del software
A.12.07.01 Controlli per laudit dei sistemi informativi
A.13.01.01 Controlli di rete

A.13.01.02 Sicurezza dei servizi di rete
A.13.01.03 Segregazione nelle reti
A.13.02.01 Politiche e procedure per il trasferimento delle informazioni
A.13.02.02 Accordi per il trasferimento delle informazioni
A.13.02.03 Messaggistica elettronica

A.13.02.04 Accordi di riservatezza o di non divulgazione
A.14.01.01 Analisi e specifica dei requisiti per la sicurezza delle informazioni
A.14.01.02 Sicurezza dei servizi applicativi su reti pubbliche
A.14.01.03 Protezione delle transazioni dei servizi applicativi
A.14.02.01 Politica per lo sviluppo sicuro

A.14.02.02 Procedure per il controllo dei cambiamenti di sistema
A.14.02.03 Riesame tecnico delle applicazioni in seguito a cambiamenti nelle piattaforme operative
A.14.02.04 Limitazioni ai cambiamenti dei pacchetti software
A.14.02.05 Principi per lingegnerizzazione sicura dei sistemi
A.14.02.06 Ambiente di sviluppo sicuro

A.14.02.07 Sviluppo affidato allesterno
controllo
A.14.02.08 Test di sicurezza dei sistemi
A.14.02.09 Test di accettazione dei sistemi
A.14.03.01 Protezione dei dati di test
A.15.01.01 Politica per la sicurezza delle informazioni nei rapporti con i fornitori
A.15.01.02 Indirizzare la sicurezza allinterno degli accordi con i fornitori
A.15.01.03 Filiera di fornitura per lICT (Information and communication technology)
A.15.02.01 Monitoraggio e riesame dei servizi dei fornitori
A.15.02.02 Gestione dei cambiamenti ai servizi dei fornitori
A.16.01.01 Gestione degli incidenti: Responsabilit e procedure
A.16.01.02 Segnalazione degli eventi relativi alla sicurezza delle informazioni
A.16.01.03 Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni
A.16.01.04 Valutazione e decisione sugli eventi relativi alla sicurezza delle informazioni
A.16.01.05 Risposta agli incidenti relativi alla sicurezza delle informazioni
A.16.01.6 Apprendimento dagli incidenti relativi alla sicurezza delle informazioni
A.16.01.07 Raccolta di evidenze

A.17.01.01 Pianificazione della continuit della sicurezza delle informazioni
A.17.01.02 Attuazione della continuit della sicurezza delle informazioni
A.17.01.03 Verifica, riesame e valutazione della continuit della sicurezza delle informazioni
A.17.02.01 Disponibilit delle strutture per lelaborazione delle informazioni
controllo
A.18.01.01 Identificazione della legislazione applicabile e dei requisiti contrattuali
A.18.01.02 Diritti di propriet intellettuale

A.18.01.03 Protezione delle registrazioni
A.18.01.04 Privacy e protezione dei dati personali
A.18.01.05 Regolamentazione sui controlli crittografici
A.18.02.01 Riesame indipendente della sicurezza delle informazioni
A.18.02.02 Conformit alle politiche e alle norme per la sicurezza
A.18.02.03 Verifica tecnica della conformit
cabilit (richiesta da ISO/IEC 27001)
Note
Note
Note
Note
Note
Note
360444298.xlsx Criteri di valutazione dei controlli di sicurezza
Criteri di valutazione dei controlli di sicurezza

Livello Linee guida per la valutazione
1- Inadeguato Il controllo non previsto o assente nella pratica.
Il controllo applicato sporadicamente o in modo completamente inadeguato, non
2- Parzialmente adeguato garantendone quindi lefficacia.
Sono state rilevate mancanze al controllo, soprattutto di tipo formale (per esempio,
3- Quasi adeguato inesattezze nelle procedure relative).
4- Adeguato Non sono state rilevate inadeguatezze al controllo.
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditorPagina

per l'SGSI.
20 di 28
360444298.xlsx Tabella di calcolo del livello del rischio
Calcolo del livello di rischio

Passo 4 - Per ogni minaccia e ogni controllo che pu mitigarne la verosimiglianza o l'impatto, calcolato un livello di rischio Base di rischio = verosimiglianza minaccia * valore informazione (il parametro RID con impatti
dalla minaccia e valore pi alto).
I rischi sono colorati come riportato nel tab "Livelli di rischio". Rischio (per ogni minaccia e controllo) = Base di rischio * vulnerabilit ("inverso" del valore del
Sulla destra della tabella, riportato il rischio massimo associato a ciascun controllo di sicurezza. controllo).
Valore delle informazioni

Informazioni Riservatezza Integrit Disponibilit
Totale valore informazioni 0 0 0
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto Livello
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione sbalzi di TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua tensione) misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
Verosimiglianza 0 0 0 0
malintenzionat 0 0 0 0 0 0 0 0 0 0 0
eccetera) 0 0 0 0 memorie 0 di 0 0 0 0 IT 0 0 clienti 0 0 0
uso interno base 0 0 illegale 0di business0 0 0 0 0 0 0 0 0
Parametri ID D D e D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
RID RID RID RID RID RID RID ID RID RID
dismessi.
Livello
Val. contr. Vulnerab. rischio
Controllo Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.05.01.01 Politiche per la A.05.01.01 Politiche per la
sicurezza delle informazioni 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.05.01.02 Riesame delle A.05.01.02 Riesame delle
politiche per la sicurezza delle 0 0 politiche per la sicurezza delle
informazioni informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.01 Ruoli e responsabilit A.06.01.01 Ruoli e responsabilit
per la sicurezza delle per la sicurezza delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.02 Separazione dei A.06.01.02 Separazione dei
compiti 0 0 compiti
0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.03 Contatti con le A.06.01.03 Contatti con le
autorit 0 0 autorit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.04 Contatti con gruppi A.06.01.04 Contatti con gruppi
specialistici 0 0 specialistici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.05 Sicurezza delle A.06.01.05 Sicurezza delle
informazioni nella gestione dei 0 0 informazioni nella gestione dei
progetti progetti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.01 Politica per i A.06.02.01 Politica per i
dispositivi portatili 0 0 dispositivi portatili
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.02 Telelavoro 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.06.02.02 Telelavoro 0.00
A.07.01.01 Screening 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.07.01.01 Screening 0.00
A.07.01.02 Termini e condizioni A.07.01.02 Termini e condizioni
di impiego 0 0 di impiego
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.01 Responsabilit della A.07.02.01 Responsabilit della
direzione 0 0 direzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.02 Consapevolezza, A.07.02.02 Consapevolezza,
istruzione, formazione e istruzione, formazione e
addestramento sulla sicurezza addestramento sulla sicurezza
delle informazioni 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.03 Processo disciplinare A.07.02.03 Processo disciplinare
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.03.01 Cessazione o A.07.03.01 Cessazione o
variazione delle responsabilit variazione delle responsabilit
durante il rapporto di lavoro 0 0 durante il rapporto di lavoro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.01 Inventario degli asset A.08.01.01 Inventario degli asset
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.02 Responsabilit degli A.08.01.02 Responsabilit degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.03 Utilizzo accettabile A.08.01.03 Utilizzo accettabile
degli asset 0 0 degli asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.04 Restituzione degli A.08.01.04 Restituzione degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.01 Classificazione delle A.08.02.01 Classificazione delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.02 Etichettatura delle A.08.02.02 Etichettatura delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.03 Trattamento degli A.08.02.03 Trattamento degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.03.01 Gestione dei supporti A.08.03.01 Gestione dei supporti
rimovibili 0 0 rimovibili
0.00 0.00 0.00
A.08.03.02 Dismissione dei A.08.03.02 Dismissione dei
supporti 0 0 supporti
0.00 0.00 0.00 0.00
A.08.03.03 Trasporto dei supporti A.08.03.03 Trasporto dei supporti
fisici 0 0 fisici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.01 Politica di controllo A.09.01.01 Politica di controllo
degli accessi 0 0 degli accessi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.02 Accesso alle reti e ai A.09.01.02 Accesso alle reti e ai
servizi di rete 0 0 servizi di rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.01 Registrazione e de- A.09.02.01 Registrazione e de-
registrazione degli utenti 0 0 registrazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.02 Provisioning degli A.09.02.02 Provisioning degli
accessi degli utenti 0 0 accessi degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.03 Gestione dei diritti di A.09.02.03 Gestione dei diritti di
accesso privilegiato 0 0 accesso privilegiato
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.04 Gestione delle A.09.02.04 Gestione delle
informazioni segrete di 0 0 informazioni segrete di
autenticazione degli utenti autenticazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.05 Riesame dei diritti di A.09.02.05 Riesame dei diritti di
accesso degli utenti 0 0 accesso degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.6 Rimozione o A.09.02.6 Rimozione o
adattamento dei diritti di accesso 0 0 adattamento dei diritti di accesso
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.03.01 Utilizzo delle A.09.03.01 Utilizzo delle
informazioni segrete di 0 0 informazioni segrete di
autenticazione autenticazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.01 Limitazione A.09.04.01 Limitazione
dellaccesso alle informazioni 0 0 dellaccesso alle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.02 Procedure di log-on A.09.04.02 Procedure di log-on
sicure 0 0 sicure
0.00 0.00 0.00 0.00
A.09.04.03 Sistema di gestione A.09.04.03 Sistema di gestione
delle password 0 0 delle password
0.00 0.00 0.00 0.00
A.09.04.04 Uso di programmi di A.09.04.04 Uso di programmi di
utilit privilegiati 0 0 utilit privilegiati
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.05 Controllo degli accessi A.09.04.05 Controllo degli accessi
al codice sorgente dei programmi 0 0 al codice sorgente dei programmi
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.01 Politica sulluso dei A.10.01.01 Politica sulluso dei
controlli crittografici 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.02 Gestione delle chiavi A.10.01.02 Gestione delle chiavi
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.01 Perimetro di sicurezza A.11.01.01 Perimetro di sicurezza
fisica 0 0 fisica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.02 Controlli di accesso A.11.01.02 Controlli di accesso
fisico 0 0 fisico
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.03 Rendere sicuri uffici, A.11.01.03 Rendere sicuri uffici,
locali e strutture 0 0 locali e strutture
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.04 Protezione contro A.11.01.04 Protezione contro
minacce esterne ed ambientali 0 0 minacce esterne ed ambientali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.05 Lavoro in aree sicure A.11.01.05 Lavoro in aree sicure
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.6 Aree di carico e scarico A.11.01.6 Aree di carico e scarico
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.01 Disposizione delle A.11.02.01 Disposizione delle
apparecchiature e loro 0 0 apparecchiature e loro
protezione protezione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.02 Infrastrutture di A.11.02.02 Infrastrutture di
supporto 0 0 supporto
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.03 Sicurezza dei cablaggi A.11.02.03 Sicurezza dei cablaggi
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.04 Manutenzione delle A.11.02.04 Manutenzione delle
apparecchiature 0 0 apparecchiature
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.05 Trasferimento degli A.11.02.05 Trasferimento degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
apparecchiature e degli asset apparecchiature e degli asset
allesterno delle sedi 0 0 allesterno delle sedi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.07 Dismissione sicura o A.11.02.07 Dismissione sicura o
riutilizzo delle apparecchiature 0 0 riutilizzo delle apparecchiature
0.00 0.00 0.00
A.11.02.08 Apparecchiature A.11.02.08 Apparecchiature
incustodite degli utenti 0 0 incustodite degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.09 Politica di schermo e A.11.02.09 Politica di schermo e
scrivania puliti 0 0 scrivania puliti
0.00 0.00 0.00
A.12.01.01 Procedure operative A.12.01.01 Procedure operative
documentate 0 0 documentate
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.02 Gestione dei A.12.01.02 Gestione dei
cambiamenti (sistemistici) 0 0 cambiamenti (sistemistici)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.03 Gestione della A.12.01.03 Gestione della
capacit 0 0 capacit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.04 Separazione degli A.12.01.04 Separazione degli
ambienti di sviluppo, test e 0 0 ambienti di sviluppo, test e
produzione produzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.02.01 Controlli contro il A.12.02.01 Controlli contro il
malware 0 0 malware
0.00 0.00 0.00 0.00 0.00 0.00
A.12.03.01 Backup delle A.12.03.01 Backup delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.01 Raccolta di log degli A.12.04.01 Raccolta di log degli
eventi (e monitoraggio) 0 0 eventi (e monitoraggio)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.02 Protezione delle A.12.04.02 Protezione delle
informazioni di log 0 0 informazioni di log
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.03 Log di amministratori A.12.04.03 Log di amministratori
e operatori 0 0 e operatori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.04 Sincronizzazione degli A.12.04.04 Sincronizzazione degli
orologi 0 0 orologi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.05.01 Installazione del A.12.05.01 Installazione del
software sui sistemi di 0 0 software sui sistemi di
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
vulnerabilit tecniche 0 0 vulnerabilit tecniche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.02 Limitazioni A.12.06.02 Limitazioni
allinstallazione del software 0 0 allinstallazione del software
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.07.01 Controlli per laudit A.12.07.01 Controlli per laudit
dei sistemi informativi 0 0 dei sistemi informativi
0.00 0.00 0.00 0.00 0.00
A.13.01.01 Controlli di rete 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.13.01.01 Controlli di rete 0.00
Documento
Pagina
riservato
21 di 28
per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione sbalzi di TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua tensione) misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
malintenzionat 0 0 0 0 0 0 0 0 0 0 0
uso interno base 0 0 illegale 0di business0 0 0 0 0 0 0 0 0
Parametri ID D D e D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
dismessi. Livello
Val. contr. Vulnerab. rischio
Controllo Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.13.01.02 Sicurezza dei servizi di A.13.01.02 Sicurezza dei servizi di
rete 0 0 rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.01.03 Segregazione nelle A.13.01.03 Segregazione nelle
reti 0 0 reti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.01 Politiche e procedure A.13.02.01 Politiche e procedure
per il trasferimento delle per il trasferimento delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.02 Accordi per il A.13.02.02 Accordi per il
trasferimento delle informazioni 0 0 trasferimento delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.03 Messaggistica A.13.02.03 Messaggistica
elettronica 0 0 elettronica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.04 Accordi di A.13.02.04 Accordi di
riservatezza o di non divulgazione 0 0 riservatezza o di non divulgazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.01 Analisi e specifica dei A.14.01.01 Analisi e specifica dei
requisiti per la sicurezza delle requisiti per la sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.02 Sicurezza dei servizi A.14.01.02 Sicurezza dei servizi
applicativi su reti pubbliche 0 0 applicativi su reti pubbliche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
transazioni dei servizi applicativi 0 0 transazioni dei servizi applicativi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.01 Politica per lo A.14.02.01 Politica per lo
sviluppo sicuro 0 0 sviluppo sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.02 Procedure per il A.14.02.02 Procedure per il
controllo dei cambiamenti di 0 0 controllo dei cambiamenti di
sistema sistema
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.03 Riesame tecnico delle A.14.02.03 Riesame tecnico delle
applicazioni in seguito a applicazioni in seguito a
cambiamenti nelle piattaforme cambiamenti nelle piattaforme
operative 0 0 operative
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.04 Limitazioni ai A.14.02.04 Limitazioni ai
cambiamenti dei pacchetti 0 0 cambiamenti dei pacchetti
software software
0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.05 Principi per A.14.02.05 Principi per
lingegnerizzazione sicura dei 0 0 lingegnerizzazione sicura dei
sistemi sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.06 Ambiente di sviluppo A.14.02.06 Ambiente di sviluppo
sicuro 0 0 sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.07 Sviluppo affidato A.14.02.07 Sviluppo affidato
allesterno 0 0 allesterno
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.08 Test di sicurezza dei A.14.02.08 Test di sicurezza dei
sistemi 0 0 sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.09 Test di accettazione A.14.02.09 Test di accettazione
dei sistemi 0 0 dei sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.03.01 Protezione dei dati di A.14.03.01 Protezione dei dati di
test 0 0 test
0.00 0.00 0.00
A.15.01.01 Politica per la A.15.01.01 Politica per la
sicurezza delle informazioni nei sicurezza delle informazioni nei
rapporti con i fornitori 0 0 rapporti con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.02 Indirizzare la A.15.01.02 Indirizzare la
sicurezza allinterno degli accordi 0 0 sicurezza allinterno degli accordi
con i fornitori con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.03 Filiera di fornitura per A.15.01.03 Filiera di fornitura per
lICT (Information and lICT (Information and
communication technology) communication technology)
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.01 Monitoraggio e A.15.02.01 Monitoraggio e
riesame dei servizi dei fornitori 0 0 riesame dei servizi dei fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
cambiamenti ai servizi dei 0 0 cambiamenti ai servizi dei
fornitori fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.01 Responsabilit e A.16.01.01 Responsabilit e
procedure 0 0 procedure
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.02 Segnalazione degli A.16.01.02 Segnalazione degli
eventi relativi alla sicurezza delle eventi relativi alla sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.03 Segnalazione dei A.16.01.03 Segnalazione dei
punti di debolezza relativi alla punti di debolezza relativi alla
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.04 Valutazione e A.16.01.04 Valutazione e
decisione sugli eventi relativi alla decisione sugli eventi relativi alla
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.05 Risposta agli incidenti A.16.01.05 Risposta agli incidenti
relativi alla sicurezza delle relativi alla sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.6 Apprendimento dagli A.16.01.6 Apprendimento dagli
incidenti relativi alla sicurezza incidenti relativi alla sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.07 Raccolta di evidenze A.16.01.07 Raccolta di evidenze
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.01 Pianificazione della A.17.01.01 Pianificazione della
continuit della sicurezza delle continuit della sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.02 Attuazione della A.17.01.02 Attuazione della
continuit della sicurezza delle 0 0 continuit della sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.03 Verifica, riesame e A.17.01.03 Verifica, riesame e
valutazione della continuit della valutazione della continuit della
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.02.01 Disponibilit delle A.17.02.01 Disponibilit delle
strutture per lelaborazione delle strutture per lelaborazione delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.01 Identificazione della A.18.01.01 Identificazione della
legislazione applicabile e dei legislazione applicabile e dei
requisiti contrattuali 0 0 requisiti contrattuali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.02 Diritti di propriet A.18.01.02 Diritti di propriet
intellettuale 0 0 intellettuale
0.00 0.00 0.00 0.00
registrazioni 0 0 registrazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.04 Privacy e protezione A.18.01.04 Privacy e protezione
dei dati personali 0 0 dei dati personali
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.05 Regolamentazione sui A.18.01.05 Regolamentazione sui
controlli crittografici 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.01 Riesame A.18.02.01 Riesame
indipendente della sicurezza indipendente della sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.02 Conformit alle A.18.02.02 Conformit alle
politiche e alle norme per la 0 0 politiche e alle norme per la
sicurezza sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.03 Verifica tecnica della A.18.02.03 Verifica tecnica della
conformit 0 0 conformit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
THREATS 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 THREATS
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione di tensione) TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
malintenzionate eccetera) memorie di IT clienti uso interno base illegale di business
massa) software)
dismessi.
Documento
Pagina
riservato
22 di 28
360444298.xlsx Criteri di accetazione del rischio
Criteri di accetazione del rischio

Controllo Minaccia Vulnerabilit
1 1 1
2 2 2
3 3 3
Livello di rischio
Basso < 20
19 < Medio < 41
Alto > 40
Si raccomanda di accettare i rischi di livello

inferiore a 20 e di analizzare con maggiore dettaglio
gli altri.
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditorPagina

per l'SGSI.
23 di 28
360444298.xlsx Piano di trattamento del rischio (proposta)
Piano di trattamento del rischio (proposta)

Passo 5 - Copiare e incollare i controlli e il loro livello di rischio. Ordinarli dal pi elevato.
Per i rischi pi elevati, stabilire le azioni di trattamento o l'accettazione.
Controllo Livello rischio Analisi Azioni
What if analysis
Passo 5 - Per i controlli da migliorare, calcolare il livello di rischio atteso. Il valore del controllo attuale nella colonna C; si pu cambiarlo nella colonna D per vedere l'effetto del cambiamento.
Valore delle informazioni

Informazioni Riservatezza Integrit Disponibilit
Totale valore informazioni 0 0 0
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
Minaccia persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
malintenzionate 0 0 0 0 0 0 0 0 0 0 0
uso interno base 0 0 0
illegale di business0 0 0 0 0 0 0 0 0
Parametri ID D D D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
dismessi.
Livello
Val. contr. Contr. Vulnerab. rischio
Controllo atteso Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.05.01.01 Politiche per la A.05.01.01 Politiche per la
sicurezza delle informazioni 0 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.05.01.02 Riesame delle A.05.01.02 Riesame delle
politiche per la sicurezza delle 0 0 0 politiche per la sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.01 Ruoli e responsabilit A.06.01.01 Ruoli e responsabilit
per la sicurezza delle per la sicurezza delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.02 Separazione dei A.06.01.02 Separazione dei
compiti 0 0 0 compiti
0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.03 Contatti con le A.06.01.03 Contatti con le
autorit 0 0 0 autorit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.04 Contatti con gruppi A.06.01.04 Contatti con gruppi
specialistici 0 0 0 specialistici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
informazioni nella gestione dei 0 0 0 informazioni nella gestione dei
progetti progetti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.01 Politica per i A.06.02.01 Politica per i
dispositivi portatili 0 0 0 dispositivi portatili
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.02 Telelavoro 0 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.06.02.02 Telelavoro 0.00
A.07.01.01 Screening 0 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.07.01.01 Screening 0.00
A.07.01.02 Termini e condizioni A.07.01.02 Termini e condizioni
di impiego 0 0 0 di impiego
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.01 Responsabilit della A.07.02.01 Responsabilit della
direzione 0 0 0 direzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.02 Consapevolezza, A.07.02.02 Consapevolezza,
istruzione, formazione e istruzione, formazione e
addestramento sulla sicurezza addestramento sulla sicurezza
delle informazioni 0 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.03 Processo disciplinare A.07.02.03 Processo disciplinare
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.03.01 Cessazione o A.07.03.01 Cessazione o
variazione delle responsabilit variazione delle responsabilit
durante il rapporto di lavoro 0 0 0 durante il rapporto di lavoro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.01 Inventario degli asset A.08.01.01 Inventario degli asset
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.02 Responsabilit degli A.08.01.02 Responsabilit degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.03 Utilizzo accettabile A.08.01.03 Utilizzo accettabile
degli asset 0 0 0 degli asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.04 Restituzione degli A.08.01.04 Restituzione degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.01 Classificazione delle A.08.02.01 Classificazione delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.02 Etichettatura delle A.08.02.02 Etichettatura delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.03 Trattamento degli A.08.02.03 Trattamento degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.03.01 Gestione dei supporti A.08.03.01 Gestione dei supporti
rimovibili 0 0 0 rimovibili
0.00 0.00 0.00
A.08.03.02 Dismissione dei A.08.03.02 Dismissione dei
supporti 0 0 0 supporti
0.00 0.00 0.00 0.00
A.08.03.03 Trasporto dei supporti A.08.03.03 Trasporto dei supporti
fisici 0 0 0 fisici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.01 Politica di controllo A.09.01.01 Politica di controllo
degli accessi 0 0 0 degli accessi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.02 Accesso alle reti e ai A.09.01.02 Accesso alle reti e ai
servizi di rete 0 0 0 servizi di rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.01 Registrazione e de- A.09.02.01 Registrazione e de-
registrazione degli utenti 0 0 0 registrazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.02 Provisioning degli A.09.02.02 Provisioning degli
accessi degli utenti 0 0 0 accessi degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.03 Gestione dei diritti di A.09.02.03 Gestione dei diritti di
accesso privilegiato 0 0 0 accesso privilegiato
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
informazioni segrete di 0 0 0 informazioni segrete di
autenticazione degli utenti autenticazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.05 Riesame dei diritti di A.09.02.05 Riesame dei diritti di
accesso degli utenti 0 0 0 accesso degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.6 Rimozione o A.09.02.6 Rimozione o
adattamento dei diritti di accesso 0 0 0 adattamento dei diritti di accesso
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.03.01 Utilizzo delle A.09.03.01 Utilizzo delle
informazioni segrete di 0 0 0 informazioni segrete di
autenticazione autenticazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.01 Limitazione A.09.04.01 Limitazione
dellaccesso alle informazioni 0 0 0 dellaccesso alle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.02 Procedure di log-on A.09.04.02 Procedure di log-on
sicure 0 0 0 sicure
0.00 0.00 0.00 0.00
A.09.04.03 Sistema di gestione A.09.04.03 Sistema di gestione
delle password 0 0 0 delle password
0.00 0.00 0.00 0.00
A.09.04.04 Uso di programmi di A.09.04.04 Uso di programmi di
utilit privilegiati 0 0 0 utilit privilegiati
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.05 Controllo degli accessi A.09.04.05 Controllo degli accessi
al codice sorgente dei programmi 0 0 0 al codice sorgente dei programmi
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.01 Politica sulluso dei A.10.01.01 Politica sulluso dei
controlli crittografici 0 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.02 Gestione delle chiavi A.10.01.02 Gestione delle chiavi
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.01 Perimetro di sicurezza A.11.01.01 Perimetro di sicurezza
fisica 0 0 0 fisica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.02 Controlli di accesso A.11.01.02 Controlli di accesso
fisico 0 0 0 fisico
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.03 Rendere sicuri uffici, A.11.01.03 Rendere sicuri uffici,
locali e strutture 0 0 0 locali e strutture
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.04 Protezione contro A.11.01.04 Protezione contro
minacce esterne ed ambientali 0 0 0 minacce esterne ed ambientali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.05 Lavoro in aree sicure A.11.01.05 Lavoro in aree sicure
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.6 Aree di carico e scarico A.11.01.6 Aree di carico e scarico
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.01 Disposizione delle A.11.02.01 Disposizione delle
apparecchiature e loro 0 0 0 apparecchiature e loro
protezione protezione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.02 Infrastrutture di A.11.02.02 Infrastrutture di
supporto 0 0 0 supporto
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.03 Sicurezza dei cablaggi A.11.02.03 Sicurezza dei cablaggi
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.04 Manutenzione delle A.11.02.04 Manutenzione delle
apparecchiature 0 0 0 apparecchiature
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.05 Trasferimento degli A.11.02.05 Trasferimento degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
apparecchiature e degli asset apparecchiature e degli asset
allesterno delle sedi 0 0 0 allesterno delle sedi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.07 Dismissione sicura o A.11.02.07 Dismissione sicura o
riutilizzo delle apparecchiature 0 0 0 riutilizzo delle apparecchiature
0.00 0.00 0.00
A.11.02.08 Apparecchiature A.11.02.08 Apparecchiature
incustodite degli utenti 0 0 0 incustodite degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.09 Politica di schermo e A.11.02.09 Politica di schermo e
scrivania puliti 0 0 0 scrivania puliti
0.00 0.00 0.00
A.12.01.01 Procedure operative A.12.01.01 Procedure operative
documentate 0 0 0 documentate
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
cambiamenti (sistemistici) 0 0 0 cambiamenti (sistemistici)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.03 Gestione della A.12.01.03 Gestione della
capacit 0 0 0 capacit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.04 Separazione degli A.12.01.04 Separazione degli
ambienti di sviluppo, test e 0 0 0 ambienti di sviluppo, test e
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.02.01 Controlli contro il A.12.02.01 Controlli contro il
malware 0 0 0 malware
0.00 0.00 0.00 0.00 0.00 0.00
A.12.03.01 Backup delle A.12.03.01 Backup delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.01 Raccolta di log degli A.12.04.01 Raccolta di log degli
eventi (e monitoraggio) 0 0 0 eventi (e monitoraggio)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
informazioni di log 0 0 0 informazioni di log
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.03 Log di amministratori A.12.04.03 Log di amministratori
e operatori 0 0 0 e operatori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.04 Sincronizzazione degli A.12.04.04 Sincronizzazione degli
orologi 0 0 0 orologi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.05.01 Installazione del A.12.05.01 Installazione del
software sui sistemi di 0 0 0 software sui sistemi di
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
vulnerabilit tecniche 0 0 0 vulnerabilit tecniche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.02 Limitazioni A.12.06.02 Limitazioni
allinstallazione del software 0 0 0 allinstallazione del software
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.07.01 Controlli per laudit A.12.07.01 Controlli per laudit
dei sistemi informativi 0 0 0 dei sistemi informativi
0.00 0.00 0.00 0.00 0.00
A.13.01.01 Controlli di rete 0 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.13.01.01 Controlli di rete 0.00
A.13.01.02 Sicurezza dei servizi di A.13.01.02 Sicurezza dei servizi di
rete 0 0 0 rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Documento
Pagina
riservato
27 di 28
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
Minaccia persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
malintenzionate 0 0 0 0 0 0 0 0 0 0 0
uso interno base 0 0 0
illegale di business0 0 0 0 0 0 0 0 0
Parametri ID D D D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
dismessi. Livello
Val. contr. Contr. Vulnerab. rischio
Controllo atteso Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.13.01.03 Segregazione nelle A.13.01.03 Segregazione nelle
reti 0 0 0 reti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.01 Politiche e procedure A.13.02.01 Politiche e procedure
per il trasferimento delle per il trasferimento delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.02 Accordi per il A.13.02.02 Accordi per il
trasferimento delle informazioni 0 0 0 trasferimento delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.03 Messaggistica A.13.02.03 Messaggistica
elettronica 0 0 0 elettronica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.04 Accordi di A.13.02.04 Accordi di
riservatezza o di non divulgazione 0 0 0 riservatezza o di non divulgazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.01 Analisi e specifica dei A.14.01.01 Analisi e specifica dei
requisiti per la sicurezza delle requisiti per la sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.02 Sicurezza dei servizi A.14.01.02 Sicurezza dei servizi
applicativi su reti pubbliche 0 0 0 applicativi su reti pubbliche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
transazioni dei servizi applicativi 0 0 0 transazioni dei servizi applicativi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.01 Politica per lo A.14.02.01 Politica per lo
sviluppo sicuro 0 0 0 sviluppo sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.02 Procedure per il A.14.02.02 Procedure per il
controllo dei cambiamenti di 0 0 0 controllo dei cambiamenti di
sistema sistema
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.03 Riesame tecnico delle A.14.02.03 Riesame tecnico delle
applicazioni in seguito a applicazioni in seguito a
cambiamenti nelle piattaforme cambiamenti nelle piattaforme
operative 0 0 0 operative
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.04 Limitazioni ai A.14.02.04 Limitazioni ai
cambiamenti dei pacchetti 0 0 0 cambiamenti dei pacchetti
software software
0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.05 Principi per A.14.02.05 Principi per
lingegnerizzazione sicura dei 0 0 0 lingegnerizzazione sicura dei
sistemi sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.06 Ambiente di sviluppo A.14.02.06 Ambiente di sviluppo
sicuro 0 0 0 sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.07 Sviluppo affidato A.14.02.07 Sviluppo affidato
allesterno 0 0 0 allesterno
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.08 Test di sicurezza dei A.14.02.08 Test di sicurezza dei
sistemi 0 0 0 sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.09 Test di accettazione A.14.02.09 Test di accettazione
dei sistemi 0 0 0 dei sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.03.01 Protezione dei dati di A.14.03.01 Protezione dei dati di
test 0 0 0 test
0.00 0.00 0.00
A.15.01.01 Politica per la A.15.01.01 Politica per la
sicurezza delle informazioni nei sicurezza delle informazioni nei
rapporti con i fornitori 0 0 0 rapporti con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.02 Indirizzare la A.15.01.02 Indirizzare la
sicurezza allinterno degli accordi 0 0 0 sicurezza allinterno degli accordi
con i fornitori con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.03 Filiera di fornitura per A.15.01.03 Filiera di fornitura per
lICT (Information and lICT (Information and
communication technology) communication technology)
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.01 Monitoraggio e A.15.02.01 Monitoraggio e
riesame dei servizi dei fornitori 0 0 0 riesame dei servizi dei fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
cambiamenti ai servizi dei 0 0 0 cambiamenti ai servizi dei
fornitori fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.01 Responsabilit e A.16.01.01 Responsabilit e
procedure 0 0 0 procedure
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.02 Segnalazione degli A.16.01.02 Segnalazione degli
eventi relativi alla sicurezza delle eventi relativi alla sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.03 Segnalazione dei A.16.01.03 Segnalazione dei
punti di debolezza relativi alla punti di debolezza relativi alla
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.04 Valutazione e A.16.01.04 Valutazione e
decisione sugli eventi relativi alla decisione sugli eventi relativi alla
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.05 Risposta agli incidenti A.16.01.05 Risposta agli incidenti
relativi alla sicurezza delle relativi alla sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.6 Apprendimento dagli A.16.01.6 Apprendimento dagli
incidenti relativi alla sicurezza incidenti relativi alla sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.07 Raccolta di evidenze A.16.01.07 Raccolta di evidenze
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.01 Pianificazione della A.17.01.01 Pianificazione della
continuit della sicurezza delle continuit della sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.02 Attuazione della A.17.01.02 Attuazione della
continuit della sicurezza delle 0 0 0 continuit della sicurezza delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.03 Verifica, riesame e A.17.01.03 Verifica, riesame e
valutazione della continuit della valutazione della continuit della
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.02.01 Disponibilit delle A.17.02.01 Disponibilit delle
strutture per lelaborazione delle strutture per lelaborazione delle
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.01 Identificazione della A.18.01.01 Identificazione della
legislazione applicabile e dei legislazione applicabile e dei
requisiti contrattuali 0 0 0 requisiti contrattuali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.02 Diritti di propriet A.18.01.02 Diritti di propriet
intellettuale 0 0 0 intellettuale
0.00 0.00 0.00 0.00
registrazioni 0 0 0 registrazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.04 Privacy e protezione A.18.01.04 Privacy e protezione
dei dati personali 0 0 0 dei dati personali
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.05 Regolamentazione sui A.18.01.05 Regolamentazione sui
controlli crittografici 0 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.01 Riesame A.18.02.01 Riesame
indipendente della sicurezza indipendente della sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.02 Conformit alle A.18.02.02 Conformit alle
politiche e alle norme per la 0 0 0 politiche e alle norme per la
sicurezza sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.03 Verifica tecnica della A.18.02.03 Verifica tecnica della
conformit 0 0 0 conformit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
THREATS 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 THREATS
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit
persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
malintenzionate eccetera) memorie di IT clienti uso interno base illegale di business
massa) software)
dismessi.
Documento
Pagina
riservato
28 di 28

2016 Vera 4.3 Ita

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

2016 Vera 4.3 Ita

Caricato da

Copyright:

Formati disponibili

Foglio di calcolo per la valutazione del rischio relativo alla sicurezza delle informazioni

Da VERA 4.3 (http://www.cesaregallotti.it).

VERA (Very easy risk assessment) 4.2 ITA

Identificazione e valutazione delle informazioni

Valore Valore MTPD (max tempo

Criteri di valutazione delle informazioni

I dati non presentano particolari

I dati non sono oggetto di

I dati non sono oggetto di

La mancanza di integrit delle

Identificazione e valutazione delle minacce

Categoria Minaccia Verosimiglianza Parametri Note (giustificazioni per i valori assegnati)

Attacchi (bombe, terroristi) D

Perdita di servizi Errori di trasmissione (incluso il misrouting)

Disturbi Disturbi elettromagnetici ID

Categoria Minaccia Verosimiglianza Parametri Note (giustificazioni per i valori assegnati)

Infiltrazione nelle comunicazioni

Malfunzionamenti pacchetti software usati internamente

Malfunzionamenti software applicativi sviluppati per uso interno

Errori di manutenzione hardware e software di base

Uso non autorizzato della strumentazione

Azioni non Alterazione volontaria e non autorizzata di dati di business

Criteri di valutazione delle minacce

applicabile ad almeno uno dei seguenti:

applicabile ad almeno uno dei seguenti:

applicabile ad almeno uno dei seguenti:

Controlli e Dichiarazione di applicabilit (richiesta da ISO/IEC 27001)

A.05.01.02 Riesame delle politiche per la sicurezza delle informazioni

A.06.01.01 Ruoli e responsabilit per la sicurezza delle informazioni

A.06.01.02 Separazione dei compiti

A.06.02.01 Politica per i dispositivi portatili

A.07.02.03 Processo disciplinare

A.08.01.01 Inventario degli asset

A.09.02.02 Provisioning degli accessi degli utenti

A.09.02.03 Gestione dei diritti di accesso privilegiato

A.09.02.04 Gestione delle informazioni segrete di autenticazione degli utenti

A.09.02.05 Riesame dei diritti di accesso degli utenti

A.09.02.6 Rimozione o adattamento dei diritti di accesso

A.09.03.01 Utilizzo delle informazioni segrete di autenticazione

A.09.04.01 Limitazione dellaccesso alle informazioni

A.09.04.02 Procedure di log-on sicure

A.09.04.05 Controllo degli accessi al codice sorgente dei programmi

A.10.01.01 Politica sulluso dei controlli crittografici

A.10.01.02 Gestione delle chiavi

A.11.01.04 Protezione contro minacce esterne ed ambientali

A.11.01.05 Lavoro in aree sicure

A.11.02.02 Infrastrutture di supporto

A.11.02.07 Dismissione sicura o riutilizzo delle apparecchiature

A.11.02.08 Apparecchiature incustodite degli utenti

A.11.02.09 Politica di schermo e scrivania puliti

A.12.01.03 Gestione della capacit

A.12.02.01 Controlli contro il malware

A.12.04.02 Protezione delle informazioni di log

A.12.06.02 Limitazioni allinstallazione del software

A.12.07.01 Controlli per laudit dei sistemi informativi

A.13.01.01 Controlli di rete

A.13.02.02 Accordi per il trasferimento delle informazioni

A.13.02.03 Messaggistica elettronica

A.14.01.01 Analisi e specifica dei requisiti per la sicurezza delle informazioni

A.14.01.02 Sicurezza dei servizi applicativi su reti pubbliche

A.14.01.03 Protezione delle transazioni dei servizi applicativi

A.14.02.01 Politica per lo sviluppo sicuro

A.14.02.04 Limitazioni ai cambiamenti dei pacchetti software