Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Redatto
Versione
Riservatezza Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.
Cambiamenti
V 2.0 Pubblicazione (English)
V 3.0 Traduzione in italiano; cambio istruzioni; livello di rischio per singola minaccia-vulnerabilit (Translation in Italian)
V 3.1 Correzione istruzioni per attribuzione valori controlli (Corrections)
V 3.2 Correzione istruzioni per attribuzione valori minacce (Corrections)
In Italian and english; update to ISO/IEC 27001:2013; changed formula for intrinsic risk; in threat, added the "kind of threat"; in controls,
added the "kind of asset"
V 4.0 In italiano e inglese, aggiornamento alla ISO/IEC 27001:2013; cambiato formule per il rischio intrinseco; nelle minacce, aggiunto il tipo di
minaccia; nei controlli, aggiunto il "tipo di asset"
V 4.1 Many thanks to Francesca Lazzaroni for all corrections: English, instructions and appearance.
V 4.2 Traduzione in italiano e qualche piccola correzione.
V 4.2.1 Correzioni in italiano. Grazie a Vito Losacco, Carlotta Landi, Luigi Fasani e Luciano Quartarone
4.3 Correzioni varie.
360444298.xlsx Informazioni e valutazione
Integrit:
Disponibilit:
TOTALE MAX 0 0 0
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Page 3 di 28
360444298.xlsx Criteri di valutazione delle informazioni
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 4 di 28
360444298.xlsx Minacce
Incendio ID
Allagamento D
Polvere, corrosione, congelamento.
D
Danni fisici
Distruzione di strumentazione da parte di persone malintenzionate
D
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 5 di 28
360444298.xlsx Minacce
Compromissione di
informazioni
Virus RID
Accesso non autorizzato alla rete
RID
Uso non autorizzato della rete da parte degli interni
RID
Errori degli utenti di business
RID
Uso dei servizi da parte di persone non autorizzate
RID
Compromissione di Degrado dei media (memorie di massa)
funzioni ID
Uso di servizi in modo non autorizzato
RID
Furto identit RID
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 6 di 28
360444298.xlsx
Criteri di valutazione delle minacce
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 7 di 28
Controlli e SOA 360444298.xlsx
Controllo Valutazione
controllo
A.05.01.01 Politiche per la sicurezza delle informazioni
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 8 di 28
Controlli e SOA 360444298.xlsx
Controllo Valutazione
controllo
A.08.02.03 Trattamento degli asset
A.08.03.01 Gestione dei supporti rimovibili
A.08.03.02 Dismissione dei supporti
A.08.03.03 Trasporto dei supporti fisici
A.09.01.01 Politica di controllo degli accessi
A.09.01.02 Accesso alle reti e ai servizi di rete
A.09.02.01 Registrazione e de-registrazione degli utenti
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 9 di 28
Controlli e SOA 360444298.xlsx
Controllo Valutazione
controllo
A.11.01.03 Rendere sicuri uffici, locali e strutture
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 10 di 28
Controlli e SOA 360444298.xlsx
Controllo Valutazione
controllo
A.12.06.01 Gestione delle vulnerabilit tecniche
A.14.02.03 Riesame tecnico delle applicazioni in seguito a cambiamenti nelle piattaforme operative
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 11 di 28
Controlli e SOA 360444298.xlsx
Controllo Valutazione
controllo
A.14.02.08 Test di sicurezza dei sistemi
A.14.02.09 Test di accettazione dei sistemi
A.14.03.01 Protezione dei dati di test
A.15.01.01 Politica per la sicurezza delle informazioni nei rapporti con i fornitori
A.16.01.03 Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni
A.16.01.04 Valutazione e decisione sugli eventi relativi alla sicurezza delle informazioni
A.17.01.03 Verifica, riesame e valutazione della continuit della sicurezza delle informazioni
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 12 di 28
Controlli e SOA 360444298.xlsx
Controllo Valutazione
controllo
A.18.01.01 Identificazione della legislazione applicabile e dei requisiti contrattuali
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 13 di 28
Controlli e SOA 360444298.xlsx
Note
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 14 di 28
Controlli e SOA 360444298.xlsx
Note
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 15 di 28
Controlli e SOA 360444298.xlsx
Note
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 16 di 28
Controlli e SOA 360444298.xlsx
Note
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 17 di 28
Controlli e SOA 360444298.xlsx
Note
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 18 di 28
Controlli e SOA 360444298.xlsx
Note
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 19 di 28
360444298.xlsx Criteri di valutazione dei controlli di sicurezza
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto Livello
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione sbalzi di TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua tensione) misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
Verosimiglianza 0 0 0 0
malintenzionat 0 0 0 0 0 0 0 0 0 0 0
eccetera) 0 0 0 0 memorie 0 di 0 0 0 0 IT 0 0 clienti 0 0 0
uso interno base 0 0 illegale 0di business0 0 0 0 0 0 0 0 0
Parametri ID D D e D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
RID RID RID RID RID RID RID ID RID RID
dismessi.
Livello
Val. contr. Vulnerab. rischio
Controllo Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.05.01.01 Politiche per la A.05.01.01 Politiche per la
sicurezza delle informazioni 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.05.01.02 Riesame delle A.05.01.02 Riesame delle
politiche per la sicurezza delle 0 0 politiche per la sicurezza delle
informazioni informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.01 Ruoli e responsabilit A.06.01.01 Ruoli e responsabilit
per la sicurezza delle per la sicurezza delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.02 Separazione dei A.06.01.02 Separazione dei
compiti 0 0 compiti
0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.03 Contatti con le A.06.01.03 Contatti con le
autorit 0 0 autorit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.04 Contatti con gruppi A.06.01.04 Contatti con gruppi
specialistici 0 0 specialistici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.05 Sicurezza delle A.06.01.05 Sicurezza delle
informazioni nella gestione dei 0 0 informazioni nella gestione dei
progetti progetti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.01 Politica per i A.06.02.01 Politica per i
dispositivi portatili 0 0 dispositivi portatili
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.02 Telelavoro 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.06.02.02 Telelavoro 0.00
A.07.01.01 Screening 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.07.01.01 Screening 0.00
A.07.01.02 Termini e condizioni A.07.01.02 Termini e condizioni
di impiego 0 0 di impiego
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.01 Responsabilit della A.07.02.01 Responsabilit della
direzione 0 0 direzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.02 Consapevolezza, A.07.02.02 Consapevolezza,
istruzione, formazione e istruzione, formazione e
addestramento sulla sicurezza addestramento sulla sicurezza
delle informazioni 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.03 Processo disciplinare A.07.02.03 Processo disciplinare
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.03.01 Cessazione o A.07.03.01 Cessazione o
variazione delle responsabilit variazione delle responsabilit
durante il rapporto di lavoro 0 0 durante il rapporto di lavoro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.01 Inventario degli asset A.08.01.01 Inventario degli asset
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.02 Responsabilit degli A.08.01.02 Responsabilit degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.03 Utilizzo accettabile A.08.01.03 Utilizzo accettabile
degli asset 0 0 degli asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.04 Restituzione degli A.08.01.04 Restituzione degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.01 Classificazione delle A.08.02.01 Classificazione delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.02 Etichettatura delle A.08.02.02 Etichettatura delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.03 Trattamento degli A.08.02.03 Trattamento degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.03.01 Gestione dei supporti A.08.03.01 Gestione dei supporti
rimovibili 0 0 rimovibili
0.00 0.00 0.00
A.08.03.02 Dismissione dei A.08.03.02 Dismissione dei
supporti 0 0 supporti
0.00 0.00 0.00 0.00
A.08.03.03 Trasporto dei supporti A.08.03.03 Trasporto dei supporti
fisici 0 0 fisici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.01 Politica di controllo A.09.01.01 Politica di controllo
degli accessi 0 0 degli accessi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.02 Accesso alle reti e ai A.09.01.02 Accesso alle reti e ai
servizi di rete 0 0 servizi di rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.01 Registrazione e de- A.09.02.01 Registrazione e de-
registrazione degli utenti 0 0 registrazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.02 Provisioning degli A.09.02.02 Provisioning degli
accessi degli utenti 0 0 accessi degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.03 Gestione dei diritti di A.09.02.03 Gestione dei diritti di
accesso privilegiato 0 0 accesso privilegiato
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.04 Gestione delle A.09.02.04 Gestione delle
informazioni segrete di 0 0 informazioni segrete di
autenticazione degli utenti autenticazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.05 Riesame dei diritti di A.09.02.05 Riesame dei diritti di
accesso degli utenti 0 0 accesso degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.6 Rimozione o A.09.02.6 Rimozione o
adattamento dei diritti di accesso 0 0 adattamento dei diritti di accesso
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.03.01 Utilizzo delle A.09.03.01 Utilizzo delle
informazioni segrete di 0 0 informazioni segrete di
autenticazione autenticazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.01 Limitazione A.09.04.01 Limitazione
dellaccesso alle informazioni 0 0 dellaccesso alle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.02 Procedure di log-on A.09.04.02 Procedure di log-on
sicure 0 0 sicure
0.00 0.00 0.00 0.00
A.09.04.03 Sistema di gestione A.09.04.03 Sistema di gestione
delle password 0 0 delle password
0.00 0.00 0.00 0.00
A.09.04.04 Uso di programmi di A.09.04.04 Uso di programmi di
utilit privilegiati 0 0 utilit privilegiati
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.05 Controllo degli accessi A.09.04.05 Controllo degli accessi
al codice sorgente dei programmi 0 0 al codice sorgente dei programmi
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.01 Politica sulluso dei A.10.01.01 Politica sulluso dei
controlli crittografici 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.02 Gestione delle chiavi A.10.01.02 Gestione delle chiavi
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.01 Perimetro di sicurezza A.11.01.01 Perimetro di sicurezza
fisica 0 0 fisica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.02 Controlli di accesso A.11.01.02 Controlli di accesso
fisico 0 0 fisico
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.03 Rendere sicuri uffici, A.11.01.03 Rendere sicuri uffici,
locali e strutture 0 0 locali e strutture
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.04 Protezione contro A.11.01.04 Protezione contro
minacce esterne ed ambientali 0 0 minacce esterne ed ambientali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.05 Lavoro in aree sicure A.11.01.05 Lavoro in aree sicure
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.6 Aree di carico e scarico A.11.01.6 Aree di carico e scarico
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.01 Disposizione delle A.11.02.01 Disposizione delle
apparecchiature e loro 0 0 apparecchiature e loro
protezione protezione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.02 Infrastrutture di A.11.02.02 Infrastrutture di
supporto 0 0 supporto
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.03 Sicurezza dei cablaggi A.11.02.03 Sicurezza dei cablaggi
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.04 Manutenzione delle A.11.02.04 Manutenzione delle
apparecchiature 0 0 apparecchiature
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.05 Trasferimento degli A.11.02.05 Trasferimento degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.06 Sicurezza delle A.11.02.06 Sicurezza delle
apparecchiature e degli asset apparecchiature e degli asset
allesterno delle sedi 0 0 allesterno delle sedi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.07 Dismissione sicura o A.11.02.07 Dismissione sicura o
riutilizzo delle apparecchiature 0 0 riutilizzo delle apparecchiature
0.00 0.00 0.00
A.11.02.08 Apparecchiature A.11.02.08 Apparecchiature
incustodite degli utenti 0 0 incustodite degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.09 Politica di schermo e A.11.02.09 Politica di schermo e
scrivania puliti 0 0 scrivania puliti
0.00 0.00 0.00
A.12.01.01 Procedure operative A.12.01.01 Procedure operative
documentate 0 0 documentate
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.02 Gestione dei A.12.01.02 Gestione dei
cambiamenti (sistemistici) 0 0 cambiamenti (sistemistici)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.03 Gestione della A.12.01.03 Gestione della
capacit 0 0 capacit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.04 Separazione degli A.12.01.04 Separazione degli
ambienti di sviluppo, test e 0 0 ambienti di sviluppo, test e
produzione produzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.02.01 Controlli contro il A.12.02.01 Controlli contro il
malware 0 0 malware
0.00 0.00 0.00 0.00 0.00 0.00
A.12.03.01 Backup delle A.12.03.01 Backup delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.01 Raccolta di log degli A.12.04.01 Raccolta di log degli
eventi (e monitoraggio) 0 0 eventi (e monitoraggio)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.02 Protezione delle A.12.04.02 Protezione delle
informazioni di log 0 0 informazioni di log
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.03 Log di amministratori A.12.04.03 Log di amministratori
e operatori 0 0 e operatori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.04 Sincronizzazione degli A.12.04.04 Sincronizzazione degli
orologi 0 0 orologi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.05.01 Installazione del A.12.05.01 Installazione del
software sui sistemi di 0 0 software sui sistemi di
produzione produzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.01 Gestione delle A.12.06.01 Gestione delle
vulnerabilit tecniche 0 0 vulnerabilit tecniche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.02 Limitazioni A.12.06.02 Limitazioni
allinstallazione del software 0 0 allinstallazione del software
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.07.01 Controlli per laudit A.12.07.01 Controlli per laudit
dei sistemi informativi 0 0 dei sistemi informativi
0.00 0.00 0.00 0.00 0.00
A.13.01.01 Controlli di rete 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.13.01.01 Controlli di rete 0.00
Documento
Pagina
riservato
21 di 28
per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.
360444298.xlsx Tabella di calcolo del livello del rischio
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto Livello
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione sbalzi di TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua tensione) misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
Verosimiglianza 0 0 0 0
malintenzionat 0 0 0 0 0 0 0 0 0 0 0
eccetera) 0 0 0 0 memorie 0 di 0 0 0 0 IT 0 0 clienti 0 0 0
uso interno base 0 0 illegale 0di business0 0 0 0 0 0 0 0 0
Parametri ID D D e D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
RID RID RID RID RID RID RID ID RID RID
dismessi. Livello
Val. contr. Vulnerab. rischio
Controllo Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.13.01.02 Sicurezza dei servizi di A.13.01.02 Sicurezza dei servizi di
rete 0 0 rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.01.03 Segregazione nelle A.13.01.03 Segregazione nelle
reti 0 0 reti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.01 Politiche e procedure A.13.02.01 Politiche e procedure
per il trasferimento delle per il trasferimento delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.02 Accordi per il A.13.02.02 Accordi per il
trasferimento delle informazioni 0 0 trasferimento delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.03 Messaggistica A.13.02.03 Messaggistica
elettronica 0 0 elettronica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.04 Accordi di A.13.02.04 Accordi di
riservatezza o di non divulgazione 0 0 riservatezza o di non divulgazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.01 Analisi e specifica dei A.14.01.01 Analisi e specifica dei
requisiti per la sicurezza delle requisiti per la sicurezza delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.02 Sicurezza dei servizi A.14.01.02 Sicurezza dei servizi
applicativi su reti pubbliche 0 0 applicativi su reti pubbliche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.03 Protezione delle A.14.01.03 Protezione delle
transazioni dei servizi applicativi 0 0 transazioni dei servizi applicativi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.01 Politica per lo A.14.02.01 Politica per lo
sviluppo sicuro 0 0 sviluppo sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.02 Procedure per il A.14.02.02 Procedure per il
controllo dei cambiamenti di 0 0 controllo dei cambiamenti di
sistema sistema
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.03 Riesame tecnico delle A.14.02.03 Riesame tecnico delle
applicazioni in seguito a applicazioni in seguito a
cambiamenti nelle piattaforme cambiamenti nelle piattaforme
operative 0 0 operative
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.04 Limitazioni ai A.14.02.04 Limitazioni ai
cambiamenti dei pacchetti 0 0 cambiamenti dei pacchetti
software software
0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.05 Principi per A.14.02.05 Principi per
lingegnerizzazione sicura dei 0 0 lingegnerizzazione sicura dei
sistemi sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.06 Ambiente di sviluppo A.14.02.06 Ambiente di sviluppo
sicuro 0 0 sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.07 Sviluppo affidato A.14.02.07 Sviluppo affidato
allesterno 0 0 allesterno
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.08 Test di sicurezza dei A.14.02.08 Test di sicurezza dei
sistemi 0 0 sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.09 Test di accettazione A.14.02.09 Test di accettazione
dei sistemi 0 0 dei sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.03.01 Protezione dei dati di A.14.03.01 Protezione dei dati di
test 0 0 test
0.00 0.00 0.00
A.15.01.01 Politica per la A.15.01.01 Politica per la
sicurezza delle informazioni nei sicurezza delle informazioni nei
rapporti con i fornitori 0 0 rapporti con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.02 Indirizzare la A.15.01.02 Indirizzare la
sicurezza allinterno degli accordi 0 0 sicurezza allinterno degli accordi
con i fornitori con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.03 Filiera di fornitura per A.15.01.03 Filiera di fornitura per
lICT (Information and lICT (Information and
communication technology) communication technology)
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.01 Monitoraggio e A.15.02.01 Monitoraggio e
riesame dei servizi dei fornitori 0 0 riesame dei servizi dei fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.02 Gestione dei A.15.02.02 Gestione dei
cambiamenti ai servizi dei 0 0 cambiamenti ai servizi dei
fornitori fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.01 Responsabilit e A.16.01.01 Responsabilit e
procedure 0 0 procedure
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.02 Segnalazione degli A.16.01.02 Segnalazione degli
eventi relativi alla sicurezza delle eventi relativi alla sicurezza delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.03 Segnalazione dei A.16.01.03 Segnalazione dei
punti di debolezza relativi alla punti di debolezza relativi alla
sicurezza delle informazioni 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.04 Valutazione e A.16.01.04 Valutazione e
decisione sugli eventi relativi alla decisione sugli eventi relativi alla
sicurezza delle informazioni 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.05 Risposta agli incidenti A.16.01.05 Risposta agli incidenti
relativi alla sicurezza delle relativi alla sicurezza delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.6 Apprendimento dagli A.16.01.6 Apprendimento dagli
incidenti relativi alla sicurezza incidenti relativi alla sicurezza
delle informazioni 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.07 Raccolta di evidenze A.16.01.07 Raccolta di evidenze
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.01 Pianificazione della A.17.01.01 Pianificazione della
continuit della sicurezza delle continuit della sicurezza delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.02 Attuazione della A.17.01.02 Attuazione della
continuit della sicurezza delle 0 0 continuit della sicurezza delle
informazioni informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.03 Verifica, riesame e A.17.01.03 Verifica, riesame e
valutazione della continuit della valutazione della continuit della
sicurezza delle informazioni 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.02.01 Disponibilit delle A.17.02.01 Disponibilit delle
strutture per lelaborazione delle strutture per lelaborazione delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.01 Identificazione della A.18.01.01 Identificazione della
legislazione applicabile e dei legislazione applicabile e dei
requisiti contrattuali 0 0 requisiti contrattuali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.02 Diritti di propriet A.18.01.02 Diritti di propriet
intellettuale 0 0 intellettuale
0.00 0.00 0.00 0.00
A.18.01.03 Protezione delle A.18.01.03 Protezione delle
registrazioni 0 0 registrazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.04 Privacy e protezione A.18.01.04 Privacy e protezione
dei dati personali 0 0 dei dati personali
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.05 Regolamentazione sui A.18.01.05 Regolamentazione sui
controlli crittografici 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.01 Riesame A.18.02.01 Riesame
indipendente della sicurezza indipendente della sicurezza
delle informazioni 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.02 Conformit alle A.18.02.02 Conformit alle
politiche e alle norme per la 0 0 politiche e alle norme per la
sicurezza sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.03 Verifica tecnica della A.18.02.03 Verifica tecnica della
conformit 0 0 conformit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
THREATS 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 THREATS
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione di tensione) TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
malintenzionate eccetera) memorie di IT clienti uso interno base illegale di business
massa) software)
dismessi.
Documento
Pagina
riservato
22 di 28
per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.
360444298.xlsx Criteri di accetazione del rischio
Livello di rischio
Basso < 20
19 < Medio < 41
Alto > 40
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 24 di 28
360444298.xlsx Piano di trattamento del rischio (proposta)
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 25 di 28
360444298.xlsx Piano di trattamento del rischio (proposta)
Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 26 di 28
360444298.xlsx Tabella di calcolo del livello del rischio
What if analysis
Passo 5 - Per i controlli da migliorare, calcolare il livello di rischio atteso. Il valore del controllo attuale nella colonna C; si pu cambiarlo nella colonna D per vedere l'effetto del cambiamento.
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto Livello
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione di tensione) TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
Verosimiglianza 0 0 0 0
malintenzionate 0 0 0 0 0 0 0 0 0 0 0
eccetera) 0 0 0 0 memorie 0 di 0 0 0 0 IT 0 0 clienti 0 0 0
uso interno base 0 0 0
illegale di business0 0 0 0 0 0 0 0 0
Parametri ID D D D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
RID RID RID RID RID RID RID ID RID RID
dismessi.
Livello
Val. contr. Contr. Vulnerab. rischio
Controllo atteso Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.05.01.01 Politiche per la A.05.01.01 Politiche per la
sicurezza delle informazioni 0 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.05.01.02 Riesame delle A.05.01.02 Riesame delle
politiche per la sicurezza delle 0 0 0 politiche per la sicurezza delle
informazioni informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.01 Ruoli e responsabilit A.06.01.01 Ruoli e responsabilit
per la sicurezza delle per la sicurezza delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.02 Separazione dei A.06.01.02 Separazione dei
compiti 0 0 0 compiti
0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.03 Contatti con le A.06.01.03 Contatti con le
autorit 0 0 0 autorit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.04 Contatti con gruppi A.06.01.04 Contatti con gruppi
specialistici 0 0 0 specialistici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.05 Sicurezza delle A.06.01.05 Sicurezza delle
informazioni nella gestione dei 0 0 0 informazioni nella gestione dei
progetti progetti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.01 Politica per i A.06.02.01 Politica per i
dispositivi portatili 0 0 0 dispositivi portatili
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.02 Telelavoro 0 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.06.02.02 Telelavoro 0.00
A.07.01.01 Screening 0 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.07.01.01 Screening 0.00
A.07.01.02 Termini e condizioni A.07.01.02 Termini e condizioni
di impiego 0 0 0 di impiego
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.01 Responsabilit della A.07.02.01 Responsabilit della
direzione 0 0 0 direzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.02 Consapevolezza, A.07.02.02 Consapevolezza,
istruzione, formazione e istruzione, formazione e
addestramento sulla sicurezza addestramento sulla sicurezza
delle informazioni 0 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.03 Processo disciplinare A.07.02.03 Processo disciplinare
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.03.01 Cessazione o A.07.03.01 Cessazione o
variazione delle responsabilit variazione delle responsabilit
durante il rapporto di lavoro 0 0 0 durante il rapporto di lavoro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.01 Inventario degli asset A.08.01.01 Inventario degli asset
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.02 Responsabilit degli A.08.01.02 Responsabilit degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.03 Utilizzo accettabile A.08.01.03 Utilizzo accettabile
degli asset 0 0 0 degli asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.04 Restituzione degli A.08.01.04 Restituzione degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.01 Classificazione delle A.08.02.01 Classificazione delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.02 Etichettatura delle A.08.02.02 Etichettatura delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.03 Trattamento degli A.08.02.03 Trattamento degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.03.01 Gestione dei supporti A.08.03.01 Gestione dei supporti
rimovibili 0 0 0 rimovibili
0.00 0.00 0.00
A.08.03.02 Dismissione dei A.08.03.02 Dismissione dei
supporti 0 0 0 supporti
0.00 0.00 0.00 0.00
A.08.03.03 Trasporto dei supporti A.08.03.03 Trasporto dei supporti
fisici 0 0 0 fisici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.01 Politica di controllo A.09.01.01 Politica di controllo
degli accessi 0 0 0 degli accessi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.02 Accesso alle reti e ai A.09.01.02 Accesso alle reti e ai
servizi di rete 0 0 0 servizi di rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.01 Registrazione e de- A.09.02.01 Registrazione e de-
registrazione degli utenti 0 0 0 registrazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.02 Provisioning degli A.09.02.02 Provisioning degli
accessi degli utenti 0 0 0 accessi degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.03 Gestione dei diritti di A.09.02.03 Gestione dei diritti di
accesso privilegiato 0 0 0 accesso privilegiato
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.04 Gestione delle A.09.02.04 Gestione delle
informazioni segrete di 0 0 0 informazioni segrete di
autenticazione degli utenti autenticazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.05 Riesame dei diritti di A.09.02.05 Riesame dei diritti di
accesso degli utenti 0 0 0 accesso degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.6 Rimozione o A.09.02.6 Rimozione o
adattamento dei diritti di accesso 0 0 0 adattamento dei diritti di accesso
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.03.01 Utilizzo delle A.09.03.01 Utilizzo delle
informazioni segrete di 0 0 0 informazioni segrete di
autenticazione autenticazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.01 Limitazione A.09.04.01 Limitazione
dellaccesso alle informazioni 0 0 0 dellaccesso alle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.02 Procedure di log-on A.09.04.02 Procedure di log-on
sicure 0 0 0 sicure
0.00 0.00 0.00 0.00
A.09.04.03 Sistema di gestione A.09.04.03 Sistema di gestione
delle password 0 0 0 delle password
0.00 0.00 0.00 0.00
A.09.04.04 Uso di programmi di A.09.04.04 Uso di programmi di
utilit privilegiati 0 0 0 utilit privilegiati
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.05 Controllo degli accessi A.09.04.05 Controllo degli accessi
al codice sorgente dei programmi 0 0 0 al codice sorgente dei programmi
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.01 Politica sulluso dei A.10.01.01 Politica sulluso dei
controlli crittografici 0 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.02 Gestione delle chiavi A.10.01.02 Gestione delle chiavi
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.01 Perimetro di sicurezza A.11.01.01 Perimetro di sicurezza
fisica 0 0 0 fisica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.02 Controlli di accesso A.11.01.02 Controlli di accesso
fisico 0 0 0 fisico
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.03 Rendere sicuri uffici, A.11.01.03 Rendere sicuri uffici,
locali e strutture 0 0 0 locali e strutture
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.04 Protezione contro A.11.01.04 Protezione contro
minacce esterne ed ambientali 0 0 0 minacce esterne ed ambientali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.05 Lavoro in aree sicure A.11.01.05 Lavoro in aree sicure
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.6 Aree di carico e scarico A.11.01.6 Aree di carico e scarico
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.01 Disposizione delle A.11.02.01 Disposizione delle
apparecchiature e loro 0 0 0 apparecchiature e loro
protezione protezione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.02 Infrastrutture di A.11.02.02 Infrastrutture di
supporto 0 0 0 supporto
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.03 Sicurezza dei cablaggi A.11.02.03 Sicurezza dei cablaggi
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.04 Manutenzione delle A.11.02.04 Manutenzione delle
apparecchiature 0 0 0 apparecchiature
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.05 Trasferimento degli A.11.02.05 Trasferimento degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.06 Sicurezza delle A.11.02.06 Sicurezza delle
apparecchiature e degli asset apparecchiature e degli asset
allesterno delle sedi 0 0 0 allesterno delle sedi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.07 Dismissione sicura o A.11.02.07 Dismissione sicura o
riutilizzo delle apparecchiature 0 0 0 riutilizzo delle apparecchiature
0.00 0.00 0.00
A.11.02.08 Apparecchiature A.11.02.08 Apparecchiature
incustodite degli utenti 0 0 0 incustodite degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.09 Politica di schermo e A.11.02.09 Politica di schermo e
scrivania puliti 0 0 0 scrivania puliti
0.00 0.00 0.00
A.12.01.01 Procedure operative A.12.01.01 Procedure operative
documentate 0 0 0 documentate
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.02 Gestione dei A.12.01.02 Gestione dei
cambiamenti (sistemistici) 0 0 0 cambiamenti (sistemistici)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.03 Gestione della A.12.01.03 Gestione della
capacit 0 0 0 capacit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.04 Separazione degli A.12.01.04 Separazione degli
ambienti di sviluppo, test e 0 0 0 ambienti di sviluppo, test e
produzione produzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.02.01 Controlli contro il A.12.02.01 Controlli contro il
malware 0 0 0 malware
0.00 0.00 0.00 0.00 0.00 0.00
A.12.03.01 Backup delle A.12.03.01 Backup delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.01 Raccolta di log degli A.12.04.01 Raccolta di log degli
eventi (e monitoraggio) 0 0 0 eventi (e monitoraggio)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.02 Protezione delle A.12.04.02 Protezione delle
informazioni di log 0 0 0 informazioni di log
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.03 Log di amministratori A.12.04.03 Log di amministratori
e operatori 0 0 0 e operatori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.04 Sincronizzazione degli A.12.04.04 Sincronizzazione degli
orologi 0 0 0 orologi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.05.01 Installazione del A.12.05.01 Installazione del
software sui sistemi di 0 0 0 software sui sistemi di
produzione produzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.01 Gestione delle A.12.06.01 Gestione delle
vulnerabilit tecniche 0 0 0 vulnerabilit tecniche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.02 Limitazioni A.12.06.02 Limitazioni
allinstallazione del software 0 0 0 allinstallazione del software
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.07.01 Controlli per laudit A.12.07.01 Controlli per laudit
dei sistemi informativi 0 0 0 dei sistemi informativi
0.00 0.00 0.00 0.00 0.00
A.13.01.01 Controlli di rete 0 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.13.01.01 Controlli di rete 0.00
A.13.01.02 Sicurezza dei servizi di A.13.01.02 Sicurezza dei servizi di
rete 0 0 0 rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Documento
Pagina
riservato
27 di 28
per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.
360444298.xlsx Tabella di calcolo del livello del rischio
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto Livello
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione di tensione) TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
Verosimiglianza 0 0 0 0
malintenzionate 0 0 0 0 0 0 0 0 0 0 0
eccetera) 0 0 0 0 memorie 0 di 0 0 0 0 IT 0 0 clienti 0 0 0
uso interno base 0 0 0
illegale di business0 0 0 0 0 0 0 0 0
Parametri ID D D D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
RID RID RID RID RID RID RID ID RID RID
dismessi. Livello
Val. contr. Contr. Vulnerab. rischio
Controllo atteso Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.13.01.03 Segregazione nelle A.13.01.03 Segregazione nelle
reti 0 0 0 reti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.01 Politiche e procedure A.13.02.01 Politiche e procedure
per il trasferimento delle per il trasferimento delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.02 Accordi per il A.13.02.02 Accordi per il
trasferimento delle informazioni 0 0 0 trasferimento delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.03 Messaggistica A.13.02.03 Messaggistica
elettronica 0 0 0 elettronica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.04 Accordi di A.13.02.04 Accordi di
riservatezza o di non divulgazione 0 0 0 riservatezza o di non divulgazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.01 Analisi e specifica dei A.14.01.01 Analisi e specifica dei
requisiti per la sicurezza delle requisiti per la sicurezza delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.02 Sicurezza dei servizi A.14.01.02 Sicurezza dei servizi
applicativi su reti pubbliche 0 0 0 applicativi su reti pubbliche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.03 Protezione delle A.14.01.03 Protezione delle
transazioni dei servizi applicativi 0 0 0 transazioni dei servizi applicativi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.01 Politica per lo A.14.02.01 Politica per lo
sviluppo sicuro 0 0 0 sviluppo sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.02 Procedure per il A.14.02.02 Procedure per il
controllo dei cambiamenti di 0 0 0 controllo dei cambiamenti di
sistema sistema
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.03 Riesame tecnico delle A.14.02.03 Riesame tecnico delle
applicazioni in seguito a applicazioni in seguito a
cambiamenti nelle piattaforme cambiamenti nelle piattaforme
operative 0 0 0 operative
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.04 Limitazioni ai A.14.02.04 Limitazioni ai
cambiamenti dei pacchetti 0 0 0 cambiamenti dei pacchetti
software software
0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.05 Principi per A.14.02.05 Principi per
lingegnerizzazione sicura dei 0 0 0 lingegnerizzazione sicura dei
sistemi sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.06 Ambiente di sviluppo A.14.02.06 Ambiente di sviluppo
sicuro 0 0 0 sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.07 Sviluppo affidato A.14.02.07 Sviluppo affidato
allesterno 0 0 0 allesterno
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.08 Test di sicurezza dei A.14.02.08 Test di sicurezza dei
sistemi 0 0 0 sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.09 Test di accettazione A.14.02.09 Test di accettazione
dei sistemi 0 0 0 dei sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.03.01 Protezione dei dati di A.14.03.01 Protezione dei dati di
test 0 0 0 test
0.00 0.00 0.00
A.15.01.01 Politica per la A.15.01.01 Politica per la
sicurezza delle informazioni nei sicurezza delle informazioni nei
rapporti con i fornitori 0 0 0 rapporti con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.02 Indirizzare la A.15.01.02 Indirizzare la
sicurezza allinterno degli accordi 0 0 0 sicurezza allinterno degli accordi
con i fornitori con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.03 Filiera di fornitura per A.15.01.03 Filiera di fornitura per
lICT (Information and lICT (Information and
communication technology) communication technology)
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.01 Monitoraggio e A.15.02.01 Monitoraggio e
riesame dei servizi dei fornitori 0 0 0 riesame dei servizi dei fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.02 Gestione dei A.15.02.02 Gestione dei
cambiamenti ai servizi dei 0 0 0 cambiamenti ai servizi dei
fornitori fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.01 Responsabilit e A.16.01.01 Responsabilit e
procedure 0 0 0 procedure
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.02 Segnalazione degli A.16.01.02 Segnalazione degli
eventi relativi alla sicurezza delle eventi relativi alla sicurezza delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.03 Segnalazione dei A.16.01.03 Segnalazione dei
punti di debolezza relativi alla punti di debolezza relativi alla
sicurezza delle informazioni 0 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.04 Valutazione e A.16.01.04 Valutazione e
decisione sugli eventi relativi alla decisione sugli eventi relativi alla
sicurezza delle informazioni 0 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.05 Risposta agli incidenti A.16.01.05 Risposta agli incidenti
relativi alla sicurezza delle relativi alla sicurezza delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.6 Apprendimento dagli A.16.01.6 Apprendimento dagli
incidenti relativi alla sicurezza incidenti relativi alla sicurezza
delle informazioni 0 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.07 Raccolta di evidenze A.16.01.07 Raccolta di evidenze
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.01 Pianificazione della A.17.01.01 Pianificazione della
continuit della sicurezza delle continuit della sicurezza delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.02 Attuazione della A.17.01.02 Attuazione della
continuit della sicurezza delle 0 0 0 continuit della sicurezza delle
informazioni informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.03 Verifica, riesame e A.17.01.03 Verifica, riesame e
valutazione della continuit della valutazione della continuit della
sicurezza delle informazioni 0 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.02.01 Disponibilit delle A.17.02.01 Disponibilit delle
strutture per lelaborazione delle strutture per lelaborazione delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.01 Identificazione della A.18.01.01 Identificazione della
legislazione applicabile e dei legislazione applicabile e dei
requisiti contrattuali 0 0 0 requisiti contrattuali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.02 Diritti di propriet A.18.01.02 Diritti di propriet
intellettuale 0 0 0 intellettuale
0.00 0.00 0.00 0.00
A.18.01.03 Protezione delle A.18.01.03 Protezione delle
registrazioni 0 0 0 registrazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.04 Privacy e protezione A.18.01.04 Privacy e protezione
dei dati personali 0 0 0 dei dati personali
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.05 Regolamentazione sui A.18.01.05 Regolamentazione sui
controlli crittografici 0 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.01 Riesame A.18.02.01 Riesame
indipendente della sicurezza indipendente della sicurezza
delle informazioni 0 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.02 Conformit alle A.18.02.02 Conformit alle
politiche e alle norme per la 0 0 0 politiche e alle norme per la
sicurezza sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.03 Verifica tecnica della A.18.02.03 Verifica tecnica della
conformit 0 0 0 conformit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
THREATS 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 THREATS
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione di tensione) TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
malintenzionate eccetera) memorie di IT clienti uso interno base illegale di business
massa) software)
dismessi.
Documento
Pagina
riservato
28 di 28
per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.