Sei sulla pagina 1di 28

Foglio di calcolo per la valutazione del rischio relativo alla sicurezza delle informazioni

Redatto

Versione

Riservatezza Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.

Da VERA 4.3 (http://www.cesaregallotti.it).

VERA (Very easy risk assessment) 4.2 ITA


By Cesare Gallotti (http://www.cesaregallotti.it)
VERA coperta dalla licenza Attribuzione 4.0 Internazionale di Creative Commons.
http://creativecommons.org/licenses/by/4.0/ (http://creativecommons.org/licenses/by/4.0/deed.it).
Per distribuire VERA, bisogna riportarne l'autore (Cesare Gallotti con link a http://www.cesaregallotti.it).

Cambiamenti
V 2.0 Pubblicazione (English)
V 3.0 Traduzione in italiano; cambio istruzioni; livello di rischio per singola minaccia-vulnerabilit (Translation in Italian)
V 3.1 Correzione istruzioni per attribuzione valori controlli (Corrections)
V 3.2 Correzione istruzioni per attribuzione valori minacce (Corrections)
In Italian and english; update to ISO/IEC 27001:2013; changed formula for intrinsic risk; in threat, added the "kind of threat"; in controls,
added the "kind of asset"
V 4.0 In italiano e inglese, aggiornamento alla ISO/IEC 27001:2013; cambiato formule per il rischio intrinseco; nelle minacce, aggiunto il tipo di
minaccia; nei controlli, aggiunto il "tipo di asset"
V 4.1 Many thanks to Francesca Lazzaroni for all corrections: English, instructions and appearance.
V 4.2 Traduzione in italiano e qualche piccola correzione.
V 4.2.1 Correzioni in italiano. Grazie a Vito Losacco, Carlotta Landi, Luigi Fasani e Luciano Quartarone
4.3 Correzioni varie.
360444298.xlsx Informazioni e valutazione

Identificazione e valutazione delle informazioni


Passo 1 - Identificare e valutare le informazioni seguendo i criteri riportati nel tab "Valori RID"

Valore Valore MTPD (max tempo


Processi Informazioni Valore riservatezza Note (giustificazioni) Archivi: sistemi IT, archivi fisici, altri archivi
integrit disponibilit indisponibilit)
Riservatezza:

Integrit:

Disponibilit:

TOTALE MAX 0 0 0

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Page 3 di 28
360444298.xlsx Criteri di valutazione delle informazioni

Criteri di valutazione delle informazioni


Liv. R- Riservatezza I - Integrit D- Disponibilit

I dati non presentano particolari


I dati non presentano particolari requisiti di integrit. Lindisponibilit dei dati oltre i tempi
1 - Basso requisiti di riservatezza. I dati gestiti non fanno parte di stabiliti contrattualmente non
I dati sono pubblici. transazioni economiche, comporta multe o penali rilevanti.
finanziarie o sanitarie.

I dati non sono oggetto di


I dati devono essere riservati per transazioni di tipo economico,
ragioni di business (concorrenza finanziario o sanitarie con impatti Lindisponibilit dei dati oltre i tempi
sleale, danni allimmagine), ma sul business di unimpresa. stabiliti contrattualmente comporta
2 - Medio uneventuale loro diffusione non La mancanza di integrit dei dati multe o penali non particolarmente
ha elevati impatti sul business non ha elevati impatti sulle attivit rilevanti.
aziendale o sul rispetto della operative o sul rispetto della
normativa vigente. normativa vigente.

I dati non sono oggetto di


I dati devono essere riservati per transazioni di tipo economico,
ragioni di business (concorrenza finanziario o sanitarie con impatti Lindisponibilit dei dati oltre i tempi
sleale, danni allimmagine), ma sul business di unimpresa.
3 - Alto uneventuale loro diffusione non La mancanza di integrit dei dati stabiliti contrattualmente comporta
ha elevati impatti sul business non ha elevati impatti sulle attivit multe o penali rilevanti.
aziendale o sul rispetto della operative o sul rispetto della
normativa vigente. normativa vigente.

La mancanza di integrit delle


informazioni ha elevati impatti sul
La diffusione delle informazioni business aziendale o sul rispetto Lindisponibilit dei dati oltre i tempi
ha elevati impatti sul business della normativa vigente tali da stabiliti contrattualmente comporta
aziendale o sul rispetto della
4 - Critico compromettere la sostenibilit multe o penali che mettono in
normativa vigente tali da dell'organizzazione. pericolo la sostenibilit economica e
compromettere la sostenibilit I dati sono utilizzati per transazioni di immagine.
dell'organizzazione. economiche, finanziarie o
sanitarie.

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 4 di 28
360444298.xlsx Minacce

Identificazione e valutazione delle minacce


Passo 2 - Identificare e valutare le minacce con i criteri riportati nel tab "Valori minacce"

Categoria Minaccia Verosimiglianza Parametri Note (giustificazioni per i valori assegnati)


RID

Incendio ID
Allagamento D
Polvere, corrosione, congelamento.
D
Danni fisici
Distruzione di strumentazione da parte di persone malintenzionate
D

Attacchi (bombe, terroristi) D


Fenomeni climatici (Uragani, Nevicate)
D
Eventi naturali Terremoti, eruzioni vulcaniche
D
Fulmine D
Rottura aria condizionata o distribuzione acqua
D
Perdita di energia (o sbalzi di tensione)
D
Errori nei componenti di TLC
RID

Perdita di servizi Errori di trasmissione (incluso il misrouting)


ID
essenziali
Danni alle linee di TLC D
Eccesso di traffico sulle linee di TLC
D
Indisponibilit di personale (malattie, sciopero, eccetera)
D

Disturbi Disturbi elettromagnetici ID


Intercettazione (inclusa analisi del traffico)
R
Furto di documenti R
Furto di apparati o componenti
RD
Recupero di informazioni da media (principalmente memorie di massa) dismessi.
R
Compromissione di
informazioni
Rivelazione di informazioni (da parte del personale)
R
Ricezione dati da origini non affidabili
I

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 5 di 28
360444298.xlsx Minacce
Compromissione di
informazioni

Categoria Minaccia Verosimiglianza Parametri Note (giustificazioni per i valori assegnati)


RID

Infiltrazione nelle comunicazioni


RID
Ripudio dei messaggi I
Fault o malfunzionamento della strumentazione IT
ID
Saturazione dei sistemi IT ID
Malfunzionamenti software applicativi sviluppati per i clienti
RID

Malfunzionamenti pacchetti software usati internamente


Problemi tecnici RID

Malfunzionamenti software applicativi sviluppati per uso interno


RID

Errori di manutenzione hardware e software di base


ID

Uso non autorizzato della strumentazione


RID
Importazione o esportazione illegale di software (copia illegale di software)
RID

Azioni non Alterazione volontaria e non autorizzata di dati di business


autorizzate RID

Virus RID
Accesso non autorizzato alla rete
RID
Uso non autorizzato della rete da parte degli interni
RID
Errori degli utenti di business
RID
Uso dei servizi da parte di persone non autorizzate
RID
Compromissione di Degrado dei media (memorie di massa)
funzioni ID
Uso di servizi in modo non autorizzato
RID
Furto identit RID

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 6 di 28
360444298.xlsx
Criteri di valutazione delle minacce

Criteri di valutazione delle minacce


Livello Linee guida per la verosimiglianza

applicabile ad almeno uno dei seguenti:


- la minaccia si pu verificare con frequenza inferiore rispetto a quanto riportato dalle ricerche pi note;
- in caso di attacco deliberato, i dati sono poco appetibili e l'immagine aziendale non compromessa e
1 - Bassa pertanto i tentativi di attacco o non sono iniziati o sono condotti da malintenzionati scarsamente preparati
da un punto di vista tecnico e con scarse risorse a disposizione.
- in caso di attacco non deliberato, lambito poco complesso e quindi difficile commettere errori;
- in caso di eventi naturali, gli studi dimostrano che la minaccia pu verificarsi molto raramente.

applicabile ad almeno uno dei seguenti:


- la minaccia si pu verificare pi frequentemente rispetto a quanto riportato dalle ricerche pi note;
- in caso di attacco deliberato, i dati sono poco appetibili e l'immagine aziendale non compromessa e
quindi pu essere condotto da malintenzionati non particolarmente motivati, mediamente preparati da un
2 - Media punto di vista tecnico e con scarse risorse a disposizione; o in alternativa, gli studi confermano che tentativi
di attacco sono comunque rari;
- in caso di attacco non deliberato, lambito mediamente complesso e quindi possono essere commessi
errori;
- in caso di eventi naturali, gli studi dimostrano che la minaccia pu verificarsi nella media dei casi studiati.

applicabile ad almeno uno dei seguenti:


- la minaccia si pu verificare pi frequentemente rispetto a quanto riportato dalle ricerche pi note;
- in caso di attacco deliberato, i dati sono appetibili o l'immagine aziendale compromessa, e quindi pu
essere condotto da malintenzionati molto motivati, tecnicamente preparati e con ingenti risorse a
3 - Alta disposizione; o in alternativa, gli studi confermano che tentativi di attacco sono comunque portati molto di
frequente;
- in caso di attacco non deliberato, lambito di elevata complessit (per esempio per molteplicit di sedi,
tipologie di sistemi informatici, utenti interni e/o esterni) e quindi facile siano commessi errori;
- in caso di eventi naturali, gli studi dimostrano che la minaccia si verifica quasi certamente.

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 7 di 28
Controlli e SOA 360444298.xlsx

Controlli e Dichiarazione di applicabilit (richiesta da ISO/IEC 27001)


Passo 3 - Valutare l'efficacia dei controlli della ISO/IEC 27001 secondo la scala presente nel tab "Valutazione controlli".

Controllo Valutazione
controllo
A.05.01.01 Politiche per la sicurezza delle informazioni

A.05.01.02 Riesame delle politiche per la sicurezza delle informazioni

A.06.01.01 Ruoli e responsabilit per la sicurezza delle informazioni

A.06.01.02 Separazione dei compiti


A.06.01.03 Contatti con le autorit
A.06.01.04 Contatti con gruppi specialistici
A.06.01.05 Sicurezza delle informazioni nella gestione dei progetti

A.06.02.01 Politica per i dispositivi portatili


A.06.02.02 Telelavoro
A.07.01.01 Screening
A.07.01.02 Termini e condizioni di impiego
A.07.02.01 Responsabilit della direzione
A.07.02.02 Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni

A.07.02.03 Processo disciplinare


A.07.03.01 Cessazione o variazione delle responsabilit durante il rapporto di lavoro

A.08.01.01 Inventario degli asset


A.08.01.02 Responsabilit degli asset
A.08.01.03 Utilizzo accettabile degli asset
A.08.01.04 Restituzione degli asset
A.08.02.01 Classificazione delle informazioni
A.08.02.02 Etichettatura delle informazioni

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 8 di 28
Controlli e SOA 360444298.xlsx

Controllo Valutazione
controllo
A.08.02.03 Trattamento degli asset
A.08.03.01 Gestione dei supporti rimovibili
A.08.03.02 Dismissione dei supporti
A.08.03.03 Trasporto dei supporti fisici
A.09.01.01 Politica di controllo degli accessi
A.09.01.02 Accesso alle reti e ai servizi di rete
A.09.02.01 Registrazione e de-registrazione degli utenti

A.09.02.02 Provisioning degli accessi degli utenti

A.09.02.03 Gestione dei diritti di accesso privilegiato

A.09.02.04 Gestione delle informazioni segrete di autenticazione degli utenti

A.09.02.05 Riesame dei diritti di accesso degli utenti

A.09.02.6 Rimozione o adattamento dei diritti di accesso

A.09.03.01 Utilizzo delle informazioni segrete di autenticazione

A.09.04.01 Limitazione dellaccesso alle informazioni

A.09.04.02 Procedure di log-on sicure


A.09.04.03 Sistema di gestione delle password
A.09.04.04 Uso di programmi di utilit privilegiati

A.09.04.05 Controllo degli accessi al codice sorgente dei programmi

A.10.01.01 Politica sulluso dei controlli crittografici

A.10.01.02 Gestione delle chiavi


A.11.01.01 Perimetro di sicurezza fisica
A.11.01.02 Controlli di accesso fisico

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 9 di 28
Controlli e SOA 360444298.xlsx

Controllo Valutazione
controllo
A.11.01.03 Rendere sicuri uffici, locali e strutture

A.11.01.04 Protezione contro minacce esterne ed ambientali

A.11.01.05 Lavoro in aree sicure


A.11.01.6 Aree di carico e scarico
A.11.02.01 Disposizione delle apparecchiature e loro protezione

A.11.02.02 Infrastrutture di supporto


A.11.02.03 Sicurezza dei cablaggi
A.11.02.04 Manutenzione delle apparecchiature
A.11.02.05 Trasferimento degli asset
A.11.02.06 Sicurezza delle apparecchiature e degli asset allesterno delle sedi

A.11.02.07 Dismissione sicura o riutilizzo delle apparecchiature

A.11.02.08 Apparecchiature incustodite degli utenti

A.11.02.09 Politica di schermo e scrivania puliti


A.12.01.01 Procedure operative documentate
A.12.01.02 Gestione dei cambiamenti (sistemistici)

A.12.01.03 Gestione della capacit


A.12.01.04 Separazione degli ambienti di sviluppo, test e produzione

A.12.02.01 Controlli contro il malware


A.12.03.01 Backup delle informazioni
A.12.04.01 Raccolta di log degli eventi (e monitoraggio)

A.12.04.02 Protezione delle informazioni di log


A.12.04.03 Log di amministratori e operatori
A.12.04.04 Sincronizzazione degli orologi
A.12.05.01 Installazione del software sui sistemi di produzione

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 10 di 28
Controlli e SOA 360444298.xlsx

Controllo Valutazione
controllo
A.12.06.01 Gestione delle vulnerabilit tecniche

A.12.06.02 Limitazioni allinstallazione del software

A.12.07.01 Controlli per laudit dei sistemi informativi

A.13.01.01 Controlli di rete


A.13.01.02 Sicurezza dei servizi di rete
A.13.01.03 Segregazione nelle reti
A.13.02.01 Politiche e procedure per il trasferimento delle informazioni

A.13.02.02 Accordi per il trasferimento delle informazioni

A.13.02.03 Messaggistica elettronica


A.13.02.04 Accordi di riservatezza o di non divulgazione

A.14.01.01 Analisi e specifica dei requisiti per la sicurezza delle informazioni

A.14.01.02 Sicurezza dei servizi applicativi su reti pubbliche

A.14.01.03 Protezione delle transazioni dei servizi applicativi

A.14.02.01 Politica per lo sviluppo sicuro


A.14.02.02 Procedure per il controllo dei cambiamenti di sistema

A.14.02.03 Riesame tecnico delle applicazioni in seguito a cambiamenti nelle piattaforme operative

A.14.02.04 Limitazioni ai cambiamenti dei pacchetti software

A.14.02.05 Principi per lingegnerizzazione sicura dei sistemi

A.14.02.06 Ambiente di sviluppo sicuro


A.14.02.07 Sviluppo affidato allesterno

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 11 di 28
Controlli e SOA 360444298.xlsx

Controllo Valutazione
controllo
A.14.02.08 Test di sicurezza dei sistemi
A.14.02.09 Test di accettazione dei sistemi
A.14.03.01 Protezione dei dati di test
A.15.01.01 Politica per la sicurezza delle informazioni nei rapporti con i fornitori

A.15.01.02 Indirizzare la sicurezza allinterno degli accordi con i fornitori

A.15.01.03 Filiera di fornitura per lICT (Information and communication technology)

A.15.02.01 Monitoraggio e riesame dei servizi dei fornitori

A.15.02.02 Gestione dei cambiamenti ai servizi dei fornitori

A.16.01.01 Gestione degli incidenti: Responsabilit e procedure

A.16.01.02 Segnalazione degli eventi relativi alla sicurezza delle informazioni

A.16.01.03 Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni

A.16.01.04 Valutazione e decisione sugli eventi relativi alla sicurezza delle informazioni

A.16.01.05 Risposta agli incidenti relativi alla sicurezza delle informazioni

A.16.01.6 Apprendimento dagli incidenti relativi alla sicurezza delle informazioni

A.16.01.07 Raccolta di evidenze


A.17.01.01 Pianificazione della continuit della sicurezza delle informazioni

A.17.01.02 Attuazione della continuit della sicurezza delle informazioni

A.17.01.03 Verifica, riesame e valutazione della continuit della sicurezza delle informazioni

A.17.02.01 Disponibilit delle strutture per lelaborazione delle informazioni

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 12 di 28
Controlli e SOA 360444298.xlsx

Controllo Valutazione
controllo
A.18.01.01 Identificazione della legislazione applicabile e dei requisiti contrattuali

A.18.01.02 Diritti di propriet intellettuale


A.18.01.03 Protezione delle registrazioni
A.18.01.04 Privacy e protezione dei dati personali

A.18.01.05 Regolamentazione sui controlli crittografici

A.18.02.01 Riesame indipendente della sicurezza delle informazioni

A.18.02.02 Conformit alle politiche e alle norme per la sicurezza

A.18.02.03 Verifica tecnica della conformit

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 13 di 28
Controlli e SOA 360444298.xlsx

cabilit (richiesta da ISO/IEC 27001)

Note

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 14 di 28
Controlli e SOA 360444298.xlsx

Note

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 15 di 28
Controlli e SOA 360444298.xlsx

Note

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 16 di 28
Controlli e SOA 360444298.xlsx

Note

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 17 di 28
Controlli e SOA 360444298.xlsx

Note

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 18 di 28
Controlli e SOA 360444298.xlsx

Note

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 19 di 28
360444298.xlsx Criteri di valutazione dei controlli di sicurezza

Criteri di valutazione dei controlli di sicurezza


Livello Linee guida per la valutazione
1- Inadeguato Il controllo non previsto o assente nella pratica.
Il controllo applicato sporadicamente o in modo completamente inadeguato, non
2- Parzialmente adeguato garantendone quindi lefficacia.
Sono state rilevate mancanze al controllo, soprattutto di tipo formale (per esempio,
3- Quasi adeguato inesattezze nelle procedure relative).
4- Adeguato Non sono state rilevate inadeguatezze al controllo.

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditorPagina


per l'SGSI.
20 di 28
360444298.xlsx Tabella di calcolo del livello del rischio

Calcolo del livello di rischio


Passo 4 - Per ogni minaccia e ogni controllo che pu mitigarne la verosimiglianza o l'impatto, calcolato un livello di rischio Base di rischio = verosimiglianza minaccia * valore informazione (il parametro RID con impatti
dalla minaccia e valore pi alto).
I rischi sono colorati come riportato nel tab "Livelli di rischio". Rischio (per ogni minaccia e controllo) = Base di rischio * vulnerabilit ("inverso" del valore del
Sulla destra della tabella, riportato il rischio massimo associato a ciascun controllo di sicurezza. controllo).

Valore delle informazioni


Informazioni Riservatezza Integrit Disponibilit
Totale valore informazioni 0 0 0

Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto Livello
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione sbalzi di TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua tensione) misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
Verosimiglianza 0 0 0 0
malintenzionat 0 0 0 0 0 0 0 0 0 0 0
eccetera) 0 0 0 0 memorie 0 di 0 0 0 0 IT 0 0 clienti 0 0 0
uso interno base 0 0 illegale 0di business0 0 0 0 0 0 0 0 0
Parametri ID D D e D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
RID RID RID RID RID RID RID ID RID RID
dismessi.
Livello
Val. contr. Vulnerab. rischio
Controllo Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.05.01.01 Politiche per la A.05.01.01 Politiche per la
sicurezza delle informazioni 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.05.01.02 Riesame delle A.05.01.02 Riesame delle
politiche per la sicurezza delle 0 0 politiche per la sicurezza delle
informazioni informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.01 Ruoli e responsabilit A.06.01.01 Ruoli e responsabilit
per la sicurezza delle per la sicurezza delle
informazioni 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.02 Separazione dei A.06.01.02 Separazione dei
compiti 0 0 compiti
0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.03 Contatti con le A.06.01.03 Contatti con le
autorit 0 0 autorit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.04 Contatti con gruppi A.06.01.04 Contatti con gruppi
specialistici 0 0 specialistici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.05 Sicurezza delle A.06.01.05 Sicurezza delle
informazioni nella gestione dei 0 0 informazioni nella gestione dei
progetti progetti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.01 Politica per i A.06.02.01 Politica per i
dispositivi portatili 0 0 dispositivi portatili
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.02 Telelavoro 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.06.02.02 Telelavoro 0.00
A.07.01.01 Screening 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.07.01.01 Screening 0.00
A.07.01.02 Termini e condizioni A.07.01.02 Termini e condizioni
di impiego 0 0 di impiego
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.01 Responsabilit della A.07.02.01 Responsabilit della
direzione 0 0 direzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.02 Consapevolezza, A.07.02.02 Consapevolezza,
istruzione, formazione e istruzione, formazione e
addestramento sulla sicurezza addestramento sulla sicurezza
delle informazioni 0 0 delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.03 Processo disciplinare A.07.02.03 Processo disciplinare
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.03.01 Cessazione o A.07.03.01 Cessazione o
variazione delle responsabilit variazione delle responsabilit
durante il rapporto di lavoro 0 0 durante il rapporto di lavoro

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.01 Inventario degli asset A.08.01.01 Inventario degli asset
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.02 Responsabilit degli A.08.01.02 Responsabilit degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.03 Utilizzo accettabile A.08.01.03 Utilizzo accettabile
degli asset 0 0 degli asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.04 Restituzione degli A.08.01.04 Restituzione degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.01 Classificazione delle A.08.02.01 Classificazione delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.02 Etichettatura delle A.08.02.02 Etichettatura delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.03 Trattamento degli A.08.02.03 Trattamento degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.03.01 Gestione dei supporti A.08.03.01 Gestione dei supporti
rimovibili 0 0 rimovibili
0.00 0.00 0.00
A.08.03.02 Dismissione dei A.08.03.02 Dismissione dei
supporti 0 0 supporti
0.00 0.00 0.00 0.00
A.08.03.03 Trasporto dei supporti A.08.03.03 Trasporto dei supporti
fisici 0 0 fisici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.01 Politica di controllo A.09.01.01 Politica di controllo
degli accessi 0 0 degli accessi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.02 Accesso alle reti e ai A.09.01.02 Accesso alle reti e ai
servizi di rete 0 0 servizi di rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.01 Registrazione e de- A.09.02.01 Registrazione e de-
registrazione degli utenti 0 0 registrazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.02 Provisioning degli A.09.02.02 Provisioning degli
accessi degli utenti 0 0 accessi degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.03 Gestione dei diritti di A.09.02.03 Gestione dei diritti di
accesso privilegiato 0 0 accesso privilegiato
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.04 Gestione delle A.09.02.04 Gestione delle
informazioni segrete di 0 0 informazioni segrete di
autenticazione degli utenti autenticazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.05 Riesame dei diritti di A.09.02.05 Riesame dei diritti di
accesso degli utenti 0 0 accesso degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.6 Rimozione o A.09.02.6 Rimozione o
adattamento dei diritti di accesso 0 0 adattamento dei diritti di accesso
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.03.01 Utilizzo delle A.09.03.01 Utilizzo delle
informazioni segrete di 0 0 informazioni segrete di
autenticazione autenticazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.01 Limitazione A.09.04.01 Limitazione
dellaccesso alle informazioni 0 0 dellaccesso alle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.02 Procedure di log-on A.09.04.02 Procedure di log-on
sicure 0 0 sicure
0.00 0.00 0.00 0.00
A.09.04.03 Sistema di gestione A.09.04.03 Sistema di gestione
delle password 0 0 delle password
0.00 0.00 0.00 0.00
A.09.04.04 Uso di programmi di A.09.04.04 Uso di programmi di
utilit privilegiati 0 0 utilit privilegiati
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.05 Controllo degli accessi A.09.04.05 Controllo degli accessi
al codice sorgente dei programmi 0 0 al codice sorgente dei programmi
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.01 Politica sulluso dei A.10.01.01 Politica sulluso dei
controlli crittografici 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.02 Gestione delle chiavi A.10.01.02 Gestione delle chiavi
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.01 Perimetro di sicurezza A.11.01.01 Perimetro di sicurezza
fisica 0 0 fisica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.02 Controlli di accesso A.11.01.02 Controlli di accesso
fisico 0 0 fisico
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.03 Rendere sicuri uffici, A.11.01.03 Rendere sicuri uffici,
locali e strutture 0 0 locali e strutture
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.04 Protezione contro A.11.01.04 Protezione contro
minacce esterne ed ambientali 0 0 minacce esterne ed ambientali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.05 Lavoro in aree sicure A.11.01.05 Lavoro in aree sicure
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.6 Aree di carico e scarico A.11.01.6 Aree di carico e scarico
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.01 Disposizione delle A.11.02.01 Disposizione delle
apparecchiature e loro 0 0 apparecchiature e loro
protezione protezione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.02 Infrastrutture di A.11.02.02 Infrastrutture di
supporto 0 0 supporto
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.03 Sicurezza dei cablaggi A.11.02.03 Sicurezza dei cablaggi
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.04 Manutenzione delle A.11.02.04 Manutenzione delle
apparecchiature 0 0 apparecchiature
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.05 Trasferimento degli A.11.02.05 Trasferimento degli
asset 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.06 Sicurezza delle A.11.02.06 Sicurezza delle
apparecchiature e degli asset apparecchiature e degli asset
allesterno delle sedi 0 0 allesterno delle sedi

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.07 Dismissione sicura o A.11.02.07 Dismissione sicura o
riutilizzo delle apparecchiature 0 0 riutilizzo delle apparecchiature
0.00 0.00 0.00
A.11.02.08 Apparecchiature A.11.02.08 Apparecchiature
incustodite degli utenti 0 0 incustodite degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.09 Politica di schermo e A.11.02.09 Politica di schermo e
scrivania puliti 0 0 scrivania puliti
0.00 0.00 0.00
A.12.01.01 Procedure operative A.12.01.01 Procedure operative
documentate 0 0 documentate
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.02 Gestione dei A.12.01.02 Gestione dei
cambiamenti (sistemistici) 0 0 cambiamenti (sistemistici)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.03 Gestione della A.12.01.03 Gestione della
capacit 0 0 capacit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.04 Separazione degli A.12.01.04 Separazione degli
ambienti di sviluppo, test e 0 0 ambienti di sviluppo, test e
produzione produzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.02.01 Controlli contro il A.12.02.01 Controlli contro il
malware 0 0 malware
0.00 0.00 0.00 0.00 0.00 0.00
A.12.03.01 Backup delle A.12.03.01 Backup delle
informazioni 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.01 Raccolta di log degli A.12.04.01 Raccolta di log degli
eventi (e monitoraggio) 0 0 eventi (e monitoraggio)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.02 Protezione delle A.12.04.02 Protezione delle
informazioni di log 0 0 informazioni di log
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.03 Log di amministratori A.12.04.03 Log di amministratori
e operatori 0 0 e operatori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.04 Sincronizzazione degli A.12.04.04 Sincronizzazione degli
orologi 0 0 orologi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.05.01 Installazione del A.12.05.01 Installazione del
software sui sistemi di 0 0 software sui sistemi di
produzione produzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.01 Gestione delle A.12.06.01 Gestione delle
vulnerabilit tecniche 0 0 vulnerabilit tecniche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.02 Limitazioni A.12.06.02 Limitazioni
allinstallazione del software 0 0 allinstallazione del software
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.07.01 Controlli per laudit A.12.07.01 Controlli per laudit
dei sistemi informativi 0 0 dei sistemi informativi
0.00 0.00 0.00 0.00 0.00
A.13.01.01 Controlli di rete 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.13.01.01 Controlli di rete 0.00

Documento
Pagina
riservato
21 di 28
per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.
360444298.xlsx Tabella di calcolo del livello del rischio
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto Livello
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione sbalzi di TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua tensione) misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
Verosimiglianza 0 0 0 0
malintenzionat 0 0 0 0 0 0 0 0 0 0 0
eccetera) 0 0 0 0 memorie 0 di 0 0 0 0 IT 0 0 clienti 0 0 0
uso interno base 0 0 illegale 0di business0 0 0 0 0 0 0 0 0
Parametri ID D D e D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
RID RID RID RID RID RID RID ID RID RID
dismessi. Livello
Val. contr. Vulnerab. rischio
Controllo Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.13.01.02 Sicurezza dei servizi di A.13.01.02 Sicurezza dei servizi di
rete 0 0 rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.01.03 Segregazione nelle A.13.01.03 Segregazione nelle
reti 0 0 reti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.01 Politiche e procedure A.13.02.01 Politiche e procedure
per il trasferimento delle per il trasferimento delle
informazioni 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.02 Accordi per il A.13.02.02 Accordi per il
trasferimento delle informazioni 0 0 trasferimento delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.03 Messaggistica A.13.02.03 Messaggistica
elettronica 0 0 elettronica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.04 Accordi di A.13.02.04 Accordi di
riservatezza o di non divulgazione 0 0 riservatezza o di non divulgazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.01 Analisi e specifica dei A.14.01.01 Analisi e specifica dei
requisiti per la sicurezza delle requisiti per la sicurezza delle
informazioni 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.02 Sicurezza dei servizi A.14.01.02 Sicurezza dei servizi
applicativi su reti pubbliche 0 0 applicativi su reti pubbliche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.03 Protezione delle A.14.01.03 Protezione delle
transazioni dei servizi applicativi 0 0 transazioni dei servizi applicativi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.01 Politica per lo A.14.02.01 Politica per lo
sviluppo sicuro 0 0 sviluppo sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.02 Procedure per il A.14.02.02 Procedure per il
controllo dei cambiamenti di 0 0 controllo dei cambiamenti di
sistema sistema
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.03 Riesame tecnico delle A.14.02.03 Riesame tecnico delle
applicazioni in seguito a applicazioni in seguito a
cambiamenti nelle piattaforme cambiamenti nelle piattaforme
operative 0 0 operative

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.04 Limitazioni ai A.14.02.04 Limitazioni ai
cambiamenti dei pacchetti 0 0 cambiamenti dei pacchetti
software software
0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.05 Principi per A.14.02.05 Principi per
lingegnerizzazione sicura dei 0 0 lingegnerizzazione sicura dei
sistemi sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.06 Ambiente di sviluppo A.14.02.06 Ambiente di sviluppo
sicuro 0 0 sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.07 Sviluppo affidato A.14.02.07 Sviluppo affidato
allesterno 0 0 allesterno
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.08 Test di sicurezza dei A.14.02.08 Test di sicurezza dei
sistemi 0 0 sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.09 Test di accettazione A.14.02.09 Test di accettazione
dei sistemi 0 0 dei sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.03.01 Protezione dei dati di A.14.03.01 Protezione dei dati di
test 0 0 test
0.00 0.00 0.00
A.15.01.01 Politica per la A.15.01.01 Politica per la
sicurezza delle informazioni nei sicurezza delle informazioni nei
rapporti con i fornitori 0 0 rapporti con i fornitori

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.02 Indirizzare la A.15.01.02 Indirizzare la
sicurezza allinterno degli accordi 0 0 sicurezza allinterno degli accordi
con i fornitori con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.03 Filiera di fornitura per A.15.01.03 Filiera di fornitura per
lICT (Information and lICT (Information and
communication technology) communication technology)
0 0

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.01 Monitoraggio e A.15.02.01 Monitoraggio e
riesame dei servizi dei fornitori 0 0 riesame dei servizi dei fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.02 Gestione dei A.15.02.02 Gestione dei
cambiamenti ai servizi dei 0 0 cambiamenti ai servizi dei
fornitori fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.01 Responsabilit e A.16.01.01 Responsabilit e
procedure 0 0 procedure
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.02 Segnalazione degli A.16.01.02 Segnalazione degli
eventi relativi alla sicurezza delle eventi relativi alla sicurezza delle
informazioni 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.03 Segnalazione dei A.16.01.03 Segnalazione dei
punti di debolezza relativi alla punti di debolezza relativi alla
sicurezza delle informazioni 0 0 sicurezza delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.04 Valutazione e A.16.01.04 Valutazione e
decisione sugli eventi relativi alla decisione sugli eventi relativi alla
sicurezza delle informazioni 0 0 sicurezza delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.05 Risposta agli incidenti A.16.01.05 Risposta agli incidenti
relativi alla sicurezza delle relativi alla sicurezza delle
informazioni 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.6 Apprendimento dagli A.16.01.6 Apprendimento dagli
incidenti relativi alla sicurezza incidenti relativi alla sicurezza
delle informazioni 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.07 Raccolta di evidenze A.16.01.07 Raccolta di evidenze
0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.01 Pianificazione della A.17.01.01 Pianificazione della
continuit della sicurezza delle continuit della sicurezza delle
informazioni 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.02 Attuazione della A.17.01.02 Attuazione della
continuit della sicurezza delle 0 0 continuit della sicurezza delle
informazioni informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.03 Verifica, riesame e A.17.01.03 Verifica, riesame e
valutazione della continuit della valutazione della continuit della
sicurezza delle informazioni 0 0 sicurezza delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.02.01 Disponibilit delle A.17.02.01 Disponibilit delle
strutture per lelaborazione delle strutture per lelaborazione delle
informazioni 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.01 Identificazione della A.18.01.01 Identificazione della
legislazione applicabile e dei legislazione applicabile e dei
requisiti contrattuali 0 0 requisiti contrattuali

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.02 Diritti di propriet A.18.01.02 Diritti di propriet
intellettuale 0 0 intellettuale
0.00 0.00 0.00 0.00
A.18.01.03 Protezione delle A.18.01.03 Protezione delle
registrazioni 0 0 registrazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.04 Privacy e protezione A.18.01.04 Privacy e protezione
dei dati personali 0 0 dei dati personali
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.05 Regolamentazione sui A.18.01.05 Regolamentazione sui
controlli crittografici 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.01 Riesame A.18.02.01 Riesame
indipendente della sicurezza indipendente della sicurezza
delle informazioni 0 0 delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.02 Conformit alle A.18.02.02 Conformit alle
politiche e alle norme per la 0 0 politiche e alle norme per la
sicurezza sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.03 Verifica tecnica della A.18.02.03 Verifica tecnica della
conformit 0 0 conformit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00

THREATS 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 THREATS
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione di tensione) TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
malintenzionate eccetera) memorie di IT clienti uso interno base illegale di business
massa) software)
dismessi.

Documento
Pagina
riservato
22 di 28
per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.
360444298.xlsx Criteri di accetazione del rischio

Criteri di accetazione del rischio


Controllo Minaccia Vulnerabilit
1 1 1
2 2 2
3 3 3

Livello di rischio
Basso < 20
19 < Medio < 41
Alto > 40

Si raccomanda di accettare i rischi di livello


inferiore a 20 e di analizzare con maggiore dettaglio
gli altri.

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditorPagina


per l'SGSI.
23 di 28
360444298.xlsx Piano di trattamento del rischio (proposta)

Piano di trattamento del rischio (proposta)


Passo 5 - Copiare e incollare i controlli e il loro livello di rischio. Ordinarli dal pi elevato.
Per i rischi pi elevati, stabilire le azioni di trattamento o l'accettazione.

Controllo Livello rischio Analisi Azioni

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 24 di 28
360444298.xlsx Piano di trattamento del rischio (proposta)

Controllo Livello rischio Analisi Azioni

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 25 di 28
360444298.xlsx Piano di trattamento del rischio (proposta)

Controllo Livello rischio Analisi Azioni

Documento riservato per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI. Pagina 26 di 28
360444298.xlsx Tabella di calcolo del livello del rischio

What if analysis
Passo 5 - Per i controlli da migliorare, calcolare il livello di rischio atteso. Il valore del controllo attuale nella colonna C; si pu cambiarlo nella colonna D per vedere l'effetto del cambiamento.

Valore delle informazioni


Informazioni Riservatezza Integrit Disponibilit
Totale valore informazioni 0 0 0

Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto Livello
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione di tensione) TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
Verosimiglianza 0 0 0 0
malintenzionate 0 0 0 0 0 0 0 0 0 0 0
eccetera) 0 0 0 0 memorie 0 di 0 0 0 0 IT 0 0 clienti 0 0 0
uso interno base 0 0 0
illegale di business0 0 0 0 0 0 0 0 0
Parametri ID D D D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
RID RID RID RID RID RID RID ID RID RID
dismessi.
Livello
Val. contr. Contr. Vulnerab. rischio
Controllo atteso Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.05.01.01 Politiche per la A.05.01.01 Politiche per la
sicurezza delle informazioni 0 0 0 sicurezza delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.05.01.02 Riesame delle A.05.01.02 Riesame delle
politiche per la sicurezza delle 0 0 0 politiche per la sicurezza delle
informazioni informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.01 Ruoli e responsabilit A.06.01.01 Ruoli e responsabilit
per la sicurezza delle per la sicurezza delle
informazioni 0 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.02 Separazione dei A.06.01.02 Separazione dei
compiti 0 0 0 compiti
0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.03 Contatti con le A.06.01.03 Contatti con le
autorit 0 0 0 autorit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.04 Contatti con gruppi A.06.01.04 Contatti con gruppi
specialistici 0 0 0 specialistici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.01.05 Sicurezza delle A.06.01.05 Sicurezza delle
informazioni nella gestione dei 0 0 0 informazioni nella gestione dei
progetti progetti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.01 Politica per i A.06.02.01 Politica per i
dispositivi portatili 0 0 0 dispositivi portatili
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.06.02.02 Telelavoro 0 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.06.02.02 Telelavoro 0.00
A.07.01.01 Screening 0 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.07.01.01 Screening 0.00
A.07.01.02 Termini e condizioni A.07.01.02 Termini e condizioni
di impiego 0 0 0 di impiego
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.01 Responsabilit della A.07.02.01 Responsabilit della
direzione 0 0 0 direzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.02 Consapevolezza, A.07.02.02 Consapevolezza,
istruzione, formazione e istruzione, formazione e
addestramento sulla sicurezza addestramento sulla sicurezza
delle informazioni 0 0 0 delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.02.03 Processo disciplinare A.07.02.03 Processo disciplinare
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.07.03.01 Cessazione o A.07.03.01 Cessazione o
variazione delle responsabilit variazione delle responsabilit
durante il rapporto di lavoro 0 0 0 durante il rapporto di lavoro

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.01 Inventario degli asset A.08.01.01 Inventario degli asset
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.02 Responsabilit degli A.08.01.02 Responsabilit degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.03 Utilizzo accettabile A.08.01.03 Utilizzo accettabile
degli asset 0 0 0 degli asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.01.04 Restituzione degli A.08.01.04 Restituzione degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.01 Classificazione delle A.08.02.01 Classificazione delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.02 Etichettatura delle A.08.02.02 Etichettatura delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.02.03 Trattamento degli A.08.02.03 Trattamento degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.08.03.01 Gestione dei supporti A.08.03.01 Gestione dei supporti
rimovibili 0 0 0 rimovibili
0.00 0.00 0.00
A.08.03.02 Dismissione dei A.08.03.02 Dismissione dei
supporti 0 0 0 supporti
0.00 0.00 0.00 0.00
A.08.03.03 Trasporto dei supporti A.08.03.03 Trasporto dei supporti
fisici 0 0 0 fisici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.01 Politica di controllo A.09.01.01 Politica di controllo
degli accessi 0 0 0 degli accessi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.01.02 Accesso alle reti e ai A.09.01.02 Accesso alle reti e ai
servizi di rete 0 0 0 servizi di rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.01 Registrazione e de- A.09.02.01 Registrazione e de-
registrazione degli utenti 0 0 0 registrazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.02 Provisioning degli A.09.02.02 Provisioning degli
accessi degli utenti 0 0 0 accessi degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.03 Gestione dei diritti di A.09.02.03 Gestione dei diritti di
accesso privilegiato 0 0 0 accesso privilegiato
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.04 Gestione delle A.09.02.04 Gestione delle
informazioni segrete di 0 0 0 informazioni segrete di
autenticazione degli utenti autenticazione degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.05 Riesame dei diritti di A.09.02.05 Riesame dei diritti di
accesso degli utenti 0 0 0 accesso degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.02.6 Rimozione o A.09.02.6 Rimozione o
adattamento dei diritti di accesso 0 0 0 adattamento dei diritti di accesso
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.03.01 Utilizzo delle A.09.03.01 Utilizzo delle
informazioni segrete di 0 0 0 informazioni segrete di
autenticazione autenticazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.01 Limitazione A.09.04.01 Limitazione
dellaccesso alle informazioni 0 0 0 dellaccesso alle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.02 Procedure di log-on A.09.04.02 Procedure di log-on
sicure 0 0 0 sicure
0.00 0.00 0.00 0.00
A.09.04.03 Sistema di gestione A.09.04.03 Sistema di gestione
delle password 0 0 0 delle password
0.00 0.00 0.00 0.00
A.09.04.04 Uso di programmi di A.09.04.04 Uso di programmi di
utilit privilegiati 0 0 0 utilit privilegiati
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.09.04.05 Controllo degli accessi A.09.04.05 Controllo degli accessi
al codice sorgente dei programmi 0 0 0 al codice sorgente dei programmi
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.01 Politica sulluso dei A.10.01.01 Politica sulluso dei
controlli crittografici 0 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.10.01.02 Gestione delle chiavi A.10.01.02 Gestione delle chiavi
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.01 Perimetro di sicurezza A.11.01.01 Perimetro di sicurezza
fisica 0 0 0 fisica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.02 Controlli di accesso A.11.01.02 Controlli di accesso
fisico 0 0 0 fisico
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.03 Rendere sicuri uffici, A.11.01.03 Rendere sicuri uffici,
locali e strutture 0 0 0 locali e strutture
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.04 Protezione contro A.11.01.04 Protezione contro
minacce esterne ed ambientali 0 0 0 minacce esterne ed ambientali
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.05 Lavoro in aree sicure A.11.01.05 Lavoro in aree sicure
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.01.6 Aree di carico e scarico A.11.01.6 Aree di carico e scarico
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.01 Disposizione delle A.11.02.01 Disposizione delle
apparecchiature e loro 0 0 0 apparecchiature e loro
protezione protezione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.02 Infrastrutture di A.11.02.02 Infrastrutture di
supporto 0 0 0 supporto
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.03 Sicurezza dei cablaggi A.11.02.03 Sicurezza dei cablaggi
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.04 Manutenzione delle A.11.02.04 Manutenzione delle
apparecchiature 0 0 0 apparecchiature
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.05 Trasferimento degli A.11.02.05 Trasferimento degli
asset 0 0 0 asset
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.06 Sicurezza delle A.11.02.06 Sicurezza delle
apparecchiature e degli asset apparecchiature e degli asset
allesterno delle sedi 0 0 0 allesterno delle sedi

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.07 Dismissione sicura o A.11.02.07 Dismissione sicura o
riutilizzo delle apparecchiature 0 0 0 riutilizzo delle apparecchiature
0.00 0.00 0.00
A.11.02.08 Apparecchiature A.11.02.08 Apparecchiature
incustodite degli utenti 0 0 0 incustodite degli utenti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.11.02.09 Politica di schermo e A.11.02.09 Politica di schermo e
scrivania puliti 0 0 0 scrivania puliti
0.00 0.00 0.00
A.12.01.01 Procedure operative A.12.01.01 Procedure operative
documentate 0 0 0 documentate
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.02 Gestione dei A.12.01.02 Gestione dei
cambiamenti (sistemistici) 0 0 0 cambiamenti (sistemistici)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.03 Gestione della A.12.01.03 Gestione della
capacit 0 0 0 capacit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.01.04 Separazione degli A.12.01.04 Separazione degli
ambienti di sviluppo, test e 0 0 0 ambienti di sviluppo, test e
produzione produzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.02.01 Controlli contro il A.12.02.01 Controlli contro il
malware 0 0 0 malware
0.00 0.00 0.00 0.00 0.00 0.00
A.12.03.01 Backup delle A.12.03.01 Backup delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.01 Raccolta di log degli A.12.04.01 Raccolta di log degli
eventi (e monitoraggio) 0 0 0 eventi (e monitoraggio)
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.02 Protezione delle A.12.04.02 Protezione delle
informazioni di log 0 0 0 informazioni di log
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.03 Log di amministratori A.12.04.03 Log di amministratori
e operatori 0 0 0 e operatori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.04.04 Sincronizzazione degli A.12.04.04 Sincronizzazione degli
orologi 0 0 0 orologi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.05.01 Installazione del A.12.05.01 Installazione del
software sui sistemi di 0 0 0 software sui sistemi di
produzione produzione
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.01 Gestione delle A.12.06.01 Gestione delle
vulnerabilit tecniche 0 0 0 vulnerabilit tecniche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.06.02 Limitazioni A.12.06.02 Limitazioni
allinstallazione del software 0 0 0 allinstallazione del software
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.12.07.01 Controlli per laudit A.12.07.01 Controlli per laudit
dei sistemi informativi 0 0 0 dei sistemi informativi
0.00 0.00 0.00 0.00 0.00
A.13.01.01 Controlli di rete 0 0 0 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 A.13.01.01 Controlli di rete 0.00
A.13.01.02 Sicurezza dei servizi di A.13.01.02 Sicurezza dei servizi di
rete 0 0 0 rete
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00

Documento
Pagina
riservato
27 di 28
per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.
360444298.xlsx Tabella di calcolo del livello del rischio
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto Livello
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit massimo
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione di tensione) TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
Minaccia persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
Verosimiglianza 0 0 0 0
malintenzionate 0 0 0 0 0 0 0 0 0 0 0
eccetera) 0 0 0 0 memorie 0 di 0 0 0 0 IT 0 0 clienti 0 0 0
uso interno base 0 0 0
illegale di business0 0 0 0 0 0 0 0 0
Parametri ID D D D D D D D D D RID ID D D D ID R R RD massa) R R I RID I ID ID RID RID RID ID RID software)
RID RID RID RID RID RID RID ID RID RID
dismessi. Livello
Val. contr. Contr. Vulnerab. rischio
Controllo atteso Base di rischio 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 Controllo
A.13.01.03 Segregazione nelle A.13.01.03 Segregazione nelle
reti 0 0 0 reti
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.01 Politiche e procedure A.13.02.01 Politiche e procedure
per il trasferimento delle per il trasferimento delle
informazioni 0 0 0 informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.02 Accordi per il A.13.02.02 Accordi per il
trasferimento delle informazioni 0 0 0 trasferimento delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.03 Messaggistica A.13.02.03 Messaggistica
elettronica 0 0 0 elettronica
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.13.02.04 Accordi di A.13.02.04 Accordi di
riservatezza o di non divulgazione 0 0 0 riservatezza o di non divulgazione
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.01 Analisi e specifica dei A.14.01.01 Analisi e specifica dei
requisiti per la sicurezza delle requisiti per la sicurezza delle
informazioni 0 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.02 Sicurezza dei servizi A.14.01.02 Sicurezza dei servizi
applicativi su reti pubbliche 0 0 0 applicativi su reti pubbliche
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.01.03 Protezione delle A.14.01.03 Protezione delle
transazioni dei servizi applicativi 0 0 0 transazioni dei servizi applicativi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.01 Politica per lo A.14.02.01 Politica per lo
sviluppo sicuro 0 0 0 sviluppo sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.02 Procedure per il A.14.02.02 Procedure per il
controllo dei cambiamenti di 0 0 0 controllo dei cambiamenti di
sistema sistema
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.03 Riesame tecnico delle A.14.02.03 Riesame tecnico delle
applicazioni in seguito a applicazioni in seguito a
cambiamenti nelle piattaforme cambiamenti nelle piattaforme
operative 0 0 0 operative

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.04 Limitazioni ai A.14.02.04 Limitazioni ai
cambiamenti dei pacchetti 0 0 0 cambiamenti dei pacchetti
software software
0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.05 Principi per A.14.02.05 Principi per
lingegnerizzazione sicura dei 0 0 0 lingegnerizzazione sicura dei
sistemi sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.06 Ambiente di sviluppo A.14.02.06 Ambiente di sviluppo
sicuro 0 0 0 sicuro
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.07 Sviluppo affidato A.14.02.07 Sviluppo affidato
allesterno 0 0 0 allesterno
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.08 Test di sicurezza dei A.14.02.08 Test di sicurezza dei
sistemi 0 0 0 sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.02.09 Test di accettazione A.14.02.09 Test di accettazione
dei sistemi 0 0 0 dei sistemi
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.14.03.01 Protezione dei dati di A.14.03.01 Protezione dei dati di
test 0 0 0 test
0.00 0.00 0.00
A.15.01.01 Politica per la A.15.01.01 Politica per la
sicurezza delle informazioni nei sicurezza delle informazioni nei
rapporti con i fornitori 0 0 0 rapporti con i fornitori

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.02 Indirizzare la A.15.01.02 Indirizzare la
sicurezza allinterno degli accordi 0 0 0 sicurezza allinterno degli accordi
con i fornitori con i fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.01.03 Filiera di fornitura per A.15.01.03 Filiera di fornitura per
lICT (Information and lICT (Information and
communication technology) communication technology)
0 0 0

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.01 Monitoraggio e A.15.02.01 Monitoraggio e
riesame dei servizi dei fornitori 0 0 0 riesame dei servizi dei fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.15.02.02 Gestione dei A.15.02.02 Gestione dei
cambiamenti ai servizi dei 0 0 0 cambiamenti ai servizi dei
fornitori fornitori
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.01 Responsabilit e A.16.01.01 Responsabilit e
procedure 0 0 0 procedure
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.02 Segnalazione degli A.16.01.02 Segnalazione degli
eventi relativi alla sicurezza delle eventi relativi alla sicurezza delle
informazioni 0 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.03 Segnalazione dei A.16.01.03 Segnalazione dei
punti di debolezza relativi alla punti di debolezza relativi alla
sicurezza delle informazioni 0 0 0 sicurezza delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.04 Valutazione e A.16.01.04 Valutazione e
decisione sugli eventi relativi alla decisione sugli eventi relativi alla
sicurezza delle informazioni 0 0 0 sicurezza delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.05 Risposta agli incidenti A.16.01.05 Risposta agli incidenti
relativi alla sicurezza delle relativi alla sicurezza delle
informazioni 0 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.6 Apprendimento dagli A.16.01.6 Apprendimento dagli
incidenti relativi alla sicurezza incidenti relativi alla sicurezza
delle informazioni 0 0 0 delle informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.16.01.07 Raccolta di evidenze A.16.01.07 Raccolta di evidenze
0 0 0
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.01 Pianificazione della A.17.01.01 Pianificazione della
continuit della sicurezza delle continuit della sicurezza delle
informazioni 0 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.02 Attuazione della A.17.01.02 Attuazione della
continuit della sicurezza delle 0 0 0 continuit della sicurezza delle
informazioni informazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.01.03 Verifica, riesame e A.17.01.03 Verifica, riesame e
valutazione della continuit della valutazione della continuit della
sicurezza delle informazioni 0 0 0 sicurezza delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.17.02.01 Disponibilit delle A.17.02.01 Disponibilit delle
strutture per lelaborazione delle strutture per lelaborazione delle
informazioni 0 0 0 informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.01 Identificazione della A.18.01.01 Identificazione della
legislazione applicabile e dei legislazione applicabile e dei
requisiti contrattuali 0 0 0 requisiti contrattuali

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.02 Diritti di propriet A.18.01.02 Diritti di propriet
intellettuale 0 0 0 intellettuale
0.00 0.00 0.00 0.00
A.18.01.03 Protezione delle A.18.01.03 Protezione delle
registrazioni 0 0 0 registrazioni
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.04 Privacy e protezione A.18.01.04 Privacy e protezione
dei dati personali 0 0 0 dei dati personali
0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.01.05 Regolamentazione sui A.18.01.05 Regolamentazione sui
controlli crittografici 0 0 0 controlli crittografici
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.01 Riesame A.18.02.01 Riesame
indipendente della sicurezza indipendente della sicurezza
delle informazioni 0 0 0 delle informazioni

0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.02 Conformit alle A.18.02.02 Conformit alle
politiche e alle norme per la 0 0 0 politiche e alle norme per la
sicurezza sicurezza
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
A.18.02.03 Verifica tecnica della A.18.02.03 Verifica tecnica della
conformit 0 0 0 conformit
0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00

THREATS 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 THREATS
Danni fisici Eventi naturali Perdita di servizi essenziali Disturbi Compromissione di informazioni Problemi tecnici Azioni non autorizzate Compromissione di funzioni
Incendio Allagamento Polvere, Distruzione di Attacchi Fenomeni Terremoti, Fulmine Rottura aria Perdita di Errori nei Errori di Danni alle linee Eccesso di Indisponibilit Disturbi Intercettazione Furto di Furto di Recupero di Rivelazione di Ricezione dati Infiltrazione Ripudio dei Fault o Saturazione dei Malfunzioname Malfunzioname Malfunzioname Errori di Uso non Importazione o Alterazione Virus Accesso non Uso non Errori degli Uso dei servizi Degrado dei Uso di servizi in Furto
corrosione, strumentazione (bombe, climatici eruzioni condizionata o energia (o sbalzi componenti di trasmissione di TLC traffico sulle di personale elettromagnetic (inclusa analisi documenti apparati o informazioni da informazioni da origini non nelle messaggi malfunzioname sistemi IT nti software nti pacchetti nti software manutenzione autorizzato esportazione volontaria e autorizzato alla autorizzato utenti di da parte di media modo non identit
congelamento. da parte di terroristi) (Uragani, vulcaniche distribuzione di tensione) TLC (incluso il linee di TLC (malattie, i del traffico) componenti media (da parte del affidabili comunicazioni nto della applicativi software usati applicativi hardware e della illegale di non autorizzata rete della rete business persone non (memorie di autorizzato
persone Nevicate) acqua misrouting) sciopero, (principalmente personale) strumentazione sviluppati per i internamente sviluppati per software di strumentazione software (copia di dati di autorizzate massa)
malintenzionate eccetera) memorie di IT clienti uso interno base illegale di business
massa) software)
dismessi.

Documento
Pagina
riservato
28 di 28
per la Direzione e i partecipanti al riesame di Direzione, consulenti e auditor per l'SGSI.