ISO27001

NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato
4 Sistema di gestione della sicurezza delle informazioni
4.1 Capire l'organizzazione e il suo contesto
L'organizzazione deve determinare le questioni esterne e

interne che sono rilevanti per il suo scopo e che influenzano la
4.1 sua capacità di raggiungere i risultati attesi del suo sistema di
gestione della sicurezza delle informazioni.
4.2 Comprendere le esigenze e le aspettative delle parti interessate
L'organizzazione deve determinare:

a) parti interessate rilevanti per il sistema di gestione della
4.2 sicurezza delle informazioni; e
b) i requisiti di tali parti interessate rilevanti per la sicurezza
delle informazioni
4.3 Determinazione dell'ambito del sistema di gestione della sicurezza delle informazioni
L'organizzazione deve determinare i confini e l'applicabilità del

4.3 sistema di gestione della sicurezza delle informazioni per
stabilirne l'ambito.
4.4 Sistema di gestione della sicurezza delle informazioni
L'organizzazione deve stabilire, implementare, mantenere e

migliorare continuamente un sistema di gestione della sicurezza
4.4 delle informazioni, in conformità con i requisiti della presente
norma internazionale.
NNV&PARTENS
Stato Note sui tuoi risultati
delle informazioni
Note sui tuoi consigli e passaggi successivi
NNV&
5 Comando
5.1 Leadership e impegno
La direzione deve fornire la prova del proprio impegno per

5.1 l'istituzione, l'attuazione, il funzionamento, il monitoraggio, la
revisione, la manutenzione e il miglioramento dell'ISMS:
assicurare che la politica di sicurezza delle informazioni e gli

5.1(a) obiettivi di sicurezza delle informazioni siano stabiliti e siano
compatibili con la direzione strategica dell'organizzazione;
assicurare l'integrazione dei requisiti del sistema di gestione

5.1(b) della sicurezza delle informazioni nei processi
dell'organizzazione;
5.1( c ) garantire la disponibilità delle risorse necessarie per il sistema di

gestione della sicurezza delle informazioni;
comunicare l'importanza di una gestione efficace della sicurezza

5.1(d) delle informazioni e della conformità ai requisiti del sistema di
gestione della sicurezza delle informazioni;
5.1( e ) garantire che il sistema di gestione della sicurezza delle

informazioni raggiunga i suoi risultati intesi;
5.1(f) indirizzare e supportare le persone a contribuire all'efficacia del

sistema di gestione della sicurezza delle informazioni;
5.1(g) promuovere il miglioramento continuo; e
5.1(h) supportare altri ruoli manageriali rilevanti per dimostrare la loro

leadership applicata alle loro aree di responsabilità.
5.1(h) supportare altri ruoli manageriali rilevanti per dimostrare la loro
leadership applicata alle loro aree di responsabilità.
NNV&PARTENS
NNV&
5.2
L'alta direzione stabilisce una politica di sicurezza delle

informazioni che:
a) è appropriato allo scopo dell'organizzazione;
b) include obiettivi di sicurezza delle informazioni (vedere 6.2) o
fornisce il quadro per la definizione degli obiettivi di sicurezza
delle informazioni;
c) include un impegno a soddisfare i requisiti applicabili relativi
5.2 alla sicurezza delle informazioni; e
d) include un impegno al miglioramento continuo del sistema di
La politica in materia di sicurezza delle informazioni:

e) essere disponibile come informazione documentata;
f) essere comunicati all'interno dell'organizzazione; e
g) essere a disposizione delle parti interessate, se del caso
5.3 Ruoli organizzativi, responsabilità e autorità
L'alta direzione assicura che le responsabilità e le autorità per i

5.3 ruoli rilevanti per la sicurezza delle informazioni siano assegnate
e comunicate.
NNV&PARTENS
NNV&
6 Pianificazione
6.1 Azioni per affrontare rischi e opportunità
6.1.1 Generale
Nella pianificazione del sistema di gestione della sicurezza delle

informazioni, l'organizzazione deve considerare le questioni di
cui al punto 4.1 e i requisiti di cui al punto 4.2 e determinare i
6.1.1 rischi e le opportunità che devono essere affrontati:
a) garantire che il sistema di gestione della sicurezza delle
informazioni possa raggiungere i risultati previsti;
b) prevenire o ridurre gli effetti indesiderati; e
c) ottenere un miglioramento continuo
6.1.1 (d) L'organizzazione deve pianificare le azioni per affrontare questi

rischi e opportunità; e
NNV&PARTENS
NNV&
6.1.2 Valutazione del rischio per la sicurezza delle informazioni
6.1.2 L'organizzazione deve definire e applicare un processo di valutazione del rischio per la sicurezza d
che:
stabilisce e mantiene criteri di rischio per la sicurezza delle
informazioni che includono:
1) i criteri di accettazione del rischio; e
6.1.2 (a) 2) criteri per eseguire valutazioni del rischio per la sicurezza
delle informazioni;
garantisce che valutazioni ripetute del rischio per la sicurezza

6.1.2 (b) delle informazioni producano risultati coerenti, validi e
comparabili;
identifica i rischi per la sicurezza delle informazioni:

1) applicare il processo di valutazione del rischio per la sicurezza
delle informazioni per identificare i rischi associati alla perdita di
6.1.2 ( c ) riservatezza, integrità e disponibilità delle informazioni
nell'ambito del sistema di gestione della sicurezza delle
informazioni; e
2) identificare i risk owner;
analizza i rischi per la sicurezza delle informazioni:

1) valutare le potenziali conseguenze che deriverebbero se si
6.1.2 (d) concretizzassero i rischi individuati al punto 6.1.2 c) 1);
2) valutare la probabilità realistica del verificarsi dei rischi
individuati al punto 6.1.2 c) 1); e
3) determinare i livelli di rischio;
valuta i rischi per la sicurezza delle informazioni:

1) confrontare i risultati dell'analisi dei rischi con i criteri di
6.1.2 ( e ) rischio stabiliti al punto 6.1.2 a); e
2) dare la priorità ai rischi analizzati per il trattamento del
rischio.
NNV&PARTENS
ne del rischio per la sicurezza delle informazioni

NNV&
6.1.3 Trattamento dei rischi per la sicurezza delle informazioni
6.1.3 L'organizzazione deve definire e applicare un processo di trattamento dei rischi per la sicurezza de
per:
selezionare appropriate opzioni di trattamento del rischio per la

6.1.3 (a) sicurezza delle informazioni, tenendo conto dei risultati della
valutazione del rischio;
determinare tutti i controlli necessari per implementare le

6.1.3 (b) opzioni di trattamento del rischio per la sicurezza delle
informazioni scelte;
confrontare i controlli determinati in 6.1.3 (b) con quelli

6.1.3 ( c ) nell'Allegato A e verificare che non siano stati omessi i controlli
necessari:
produrre una dichiarazione di applicabilità che contenga i

6.1.3 (d) controlli necessari (vedere 6.1.3.be c) e la giustificazione delle
inclusioni, che siano implementate o meno, e la giustificazione
dell'esclusione dei controlli dall'allegato A;
formulare un piano di trattamento dei rischi per la sicurezza

6.1.3 ( e ) delle informazioni; e
ottenere l'approvazione dei proprietari del rischio del piano di

6.1.3 (f) trattamento dei rischi per la sicurezza delle informazioni e
l'accettazione dei rischi residui per la sicurezza delle
informazioni.
NNV&PARTENS
nto dei rischi per la sicurezza delle informazioni

NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Status
6.2 Obiettivi di sicurezza delle informazioni e piani per raggiungerli
6.2 L'organizzazione deve stabilire obiettivi di sicurezza delle

informazioni alle funzioni e ai livelli pertinenti.
Gli obiettivi di sicurezza dell'informazione:

a) essere coerente con la politica di sicurezza delle informazioni;
b) essere misurabile (se praticabile);
6.2 c) tiene conto dei requisiti applicabili in materia di sicurezza
delle informazioni e dei risultati della valutazione e del
trattamento del rischio;
d) essere comunicati; e
e) essere aggiornato come appropriato.
Nel pianificare come raggiungere i propri obiettivi di sicurezza

delle informazioni, l'organizzazione deve determinare:
f) cosa verrà fatto;
6.2 g) quali risorse saranno necessarie;
h) chi sarà responsabile;
i) quando sarà completato; e
j) come verranno valutati i risultati.
NNV&PARTENS
Status Note sui tuoi risultati
NNV&
7 Supporto
7.1 Risorse
L'organizzazione deve determinare e fornire le risorse

7.1 necessarie per l'istituzione, l'implementazione, la manutenzione
e il miglioramento continuo del sistema di gestione della
sicurezza delle informazioni.
7.2 Competenza
7.2 L'organizzazione deve:
determinare la competenza necessaria della persona o delle

7.2 (a) persone che svolgono un lavoro sotto il suo controllo che
influisce sulle prestazioni della sicurezza delle informazioni;
7.2 (b) garantire che queste persone siano competenti sulla base di
un'istruzione, formazione o esperienza adeguate;
ove applicabile, intraprendere azioni per acquisire la

7.2 ( c ) competenza necessaria e valutare l'efficacia delle azioni
intraprese; e
conservare le informazioni documentate appropriate come

7.2 (d) prova della competenza.
NNV&PARTENS
NNV&
7.2 Competenza

7.2 (a) persone che svolgono un lavoro sotto il suo controllo che

intraprese; e
7.2 (d) conservare le informazioni documentate appropriate come

prova della competenza.
NNV&PARTENS
NNV&
7.2 Competenza

7.2(a) persone che svolgono un lavoro sotto il suo controllo che

intraprese; e
conservare le informazioni documentate appropriate come

7.2 (d) prova della competenza.
NNV&PARTENS
Note sui tuoi risultati
Stato
NNV&
7.3 Consapevolezza
Le persone che svolgono un lavoro sotto il controllo

7.3 dell'organizzazione devono essere consapevoli di:
7.3 (a) la politica di sicurezza delle informazioni;
il loro contributo all'efficacia del sistema di gestione della

7.3 (b) sicurezza delle informazioni, compresi i vantaggi di una migliore
prestazione della sicurezza delle informazioni; e
7.3 ( c ) le implicazioni della non conformità con i requisiti del sistema di

NNV&PARTENS
NNV&
7.4 Comunicazione
L'organizzazione deve determinare la necessità di comunicazioni

7.4 interne ed esterne rilevanti per il sistema di gestione della
sicurezza delle informazioni, tra cui:
7.4 (a) su cosa comunicare;
7.4 (b) quando comunicare;
7.4 ( c ) con chi comunicare;
7.4 (d) chi comunicherà; e
7.4 ( e ) i processi attraverso i quali deve essere effettuata la

comunicazione.
NNV&PARTENS
NNV&
7.5 Informazioni documentate
7.5.1 Generale
7.5.1 Il sistema di gestione della sicurezza delle informazioni

dell'organizzazione deve includere:
informazioni documentate richieste dalla presente norma

7.5.1 (a) internazionale; e
informazioni documentate determinate dall'organizzazione

7.5.1 (b) come necessarie per l'efficacia del sistema di gestione della
sicurezza delle informazioni.
NNV&PARTENS
NNV&
7.5.2 Creazione e aggiornamento
7.5.2 Durante la creazione e l'aggiornamento delle informazioni

documentate, l'organizzazione deve garantire che:
7.5.2 (a) Durante la creazione e l'aggiornamento delle informazioni

documentate, l'organizzazione deve garantire che:
7.5.2 (b) formato (es. lingua, versione software, grafica) e supporto (es.
cartaceo, elettronico); e
7.5.2 ( c ) revisione e approvazione per l'idoneità e l'adeguatezza.

NNV&PARTENS
NNV&
7.5.3 Controllo delle informazioni documentate
Le informazioni documentate richieste dal sistema di gestione

7.5.3 della sicurezza delle informazioni e dalla presente norma
internazionale devono essere controllate per garantire:
7.5.3 (a) è disponibile e adatto all'uso, dove e quando serve; e
7.5.3 (b) è adeguatamente protetto (ad es. dalla perdita di riservatezza,

uso improprio o perdita di integrità).
NNV&PARTENS
NNV&
7.5.3 Per il controllo delle informazioni documentate, l'organizzazione

deve svolgere le seguenti attività, a seconda dei casi:
7.5.3 ( c ) distribuzione, accesso, recupero e utilizzo;
7.5.3 (d) conservazione e conservazione, compresa la conservazione della

leggibilità;
7.5.3 ( e ) controllo delle modifiche (es. controllo della versione); e
7.5.3 (f) conservazione e disposizione.
Le informazioni documentate di origine esterna, ritenute

7.5.3 necessarie dall'organizzazione per la pianificazione e il
funzionamento del sistema di gestione della sicurezza delle
informazioni, devono essere identificate come appropriate e
controllate.
NNV&PARTENS
NNV&
8 Operazione
8.1 Pianificazione e controllo operativo
L'organizzazione deve pianificare, implementare e controllare i

processi necessari per soddisfare i requisiti di sicurezza delle
8.1 informazioni e per attuare le azioni determinate in 6.1.
L'organizzazione deve anche implementare piani per
raggiungere gli obiettivi di sicurezza delle informazioni
determinati in 6.2.
L'organizzazione deve conservare le informazioni documentate

8.1 nella misura necessaria per avere fiducia che i processi siano
stati eseguiti come pianificato.
L'organizzazione deve controllare i cambiamenti pianificati e

8.1 riesaminare le conseguenze di cambiamenti non intenzionali,
intervenendo per mitigare gli effetti negativi, se necessario.
8.1 L'organizzazione deve garantire che i processi esternalizzati

siano determinati e controllati.
NNV&PARTENS
NNV&
8.2 Valutazione del rischio per la sicurezza delle informazioni
L'organizzazione deve eseguire valutazioni del rischio per la

sicurezza delle informazioni a intervalli pianificati o quando
8.2 vengono proposte o si verificano modifiche significative,
tenendo conto dei criteri stabiliti al 6.1.2.a.

8.2 dei risultati delle valutazioni del rischio per la sicurezza delle
informazioni.
NNV&PARTENS
NNV&
8.3 Trattamento dei rischi per la sicurezza delle informazioni
8.3 L'organizzazione deve implementare il piano di trattamento dei

rischi per la sicurezza delle informazioni.

8.3 sui risultati del trattamento dei rischi per la sicurezza delle
informazioni.
NNV&PARTENS
NNV&
9 Valutazione delle prestazioni
9.1 Monitoraggio, misurazione, analisi e valutazione
L'organizzazione deve valutare le prestazioni in materia di

9.1 sicurezza delle informazioni e l'efficacia del sistema di gestione
della sicurezza delle informazioni. L'organizzazione deve
determinare:
9.1 (a) cosa deve essere monitorato e misurato, inclusi processi e

controlli di sicurezza delle informazioni;
9.1 (b) i metodi di monitoraggio, misurazione, analisi e valutazione, ove

applicabile, per garantire risultati validi;
9.1( c ) quando devono essere eseguiti il monitoraggio e la misurazione;
9.1 (d) chi deve monitorare e misurare;
9.1 ( e ) quando i risultati del monitoraggio e della misurazione devono

essere analizzati e valutati; e
9.1 (f) chi analizzerà e valuterà questi risultati.

NNV&PARTENS
NNV&
9.2
L'organizzazione deve condurre audit interni a intervalli
9.2 pianificati per fornire informazioni sul fatto che il sistema di
gestione della sicurezza delle informazioni:
conforme a
9.2 (a) 1) i requisiti dell'organizzazione per il proprio sistema di
gestione della sicurezza delle informazioni; e
2) i requisiti della presente norma internazionale;
9.2 (b) è efficacemente implementato e mantenuto.
pianificare, stabilire, attuare e mantenere uno o più programmi

di audit, compresa la frequenza, i metodi, le responsabilità, i
9.2 (c) requisiti di pianificazione e la rendicontazione. Il programma oi
programmi di audit tengono conto dell'importanza dei processi
interessati e dei risultati degli audit precedenti;
9.2 (d) definire i criteri e la portata dell'audit per ogni audit;
9.2 ( e ) garantire che i risultati degli audit siano riferiti alla direzione
competente; e
9.2 (f) garantire che i risultati degli audit siano riferiti alla direzione
competente; e
9.2 (g) conservare le informazioni documentate come prova del

programma o dei programmi di audit e dei risultati dell'audit.
NNV&PARTENS
NNV&
9.3 Management review
L'alta direzione deve riesaminare il sistema di gestione della

sicurezza delle informazioni dell'organizzazione a intervalli
9.3 pianificati per garantire la sua continua idoneità, adeguatezza
ed efficacia. Il riesame della direzione deve includere la
considerazione di:
9.3 (a) lo stato delle azioni derivanti da precedenti revisioni della

direzione;
9.3 (b) cambiamenti in questioni esterne e interne che sono rilevanti

per il sistema di gestione della sicurezza delle informazioni;
feedback sulle prestazioni della sicurezza delle informazioni,

comprese le tendenze in:
9.3 ( c ) 1) non conformità e azioni correttive;
2) risultati di monitoraggio e misurazione;
3) risultati dell'audit; e
4) raggiungimento degli obiettivi di sicurezza delle informazioni;
9.3 (d) feedback dalle parti interessate;
9.3 ( e ) risultati della valutazione del rischio e stato del piano di

trattamento del rischio; e
9.3 (f) opportunità di miglioramento continuo.
I risultati del riesame della direzione devono includere decisioni

9.3 relative a opportunità di miglioramento continuo e qualsiasi
esigenza di modifica al sistema di gestione della sicurezza delle
informazioni. L'organizzazione deve conservare le informazioni
documentate come prova dei risultati dei riesami della
direzione.
I risultati del riesame della direzione devono includere decisioni
9.3 relative a opportunità di miglioramento continuo e qualsiasi
esigenza di modifica al sistema di gestione della sicurezza delle
informazioni. L'organizzazione deve conservare le informazioni
documentate come prova dei risultati dei riesami della
direzione.
NNV&PARTENS
NNV&
10 Miglioramento
10.1 Non conformità e azioni correttive
10.1 Quando si verifica una non conformità, l'organizzazione deve:
rispetta la non conformità e, se applicabile:

10.1 (a) 1) agire per controllarlo e correggerlo; e
2) affrontare le conseguenze;
valutare la necessità di intervenire per eliminare le cause della

non conformità, affinché non si ripresenti o si verifichi altrove,
mediante:
10.1 (b) 1) riesaminare la non conformità;
2) determinazione delle cause della non conformità; e
3) determinare se esistono o potrebbero potenzialmente
verificarsi non conformità simili;
10.1 ( c ) attuare qualsiasi azione necessaria;
10.1 (d) esaminare l'efficacia di qualsiasi azione correttiva intrapresa; e
10.1 ( e ) apportare modifiche al sistema di gestione della sicurezza delle

informazioni, se necessario.
Le azioni correttive devono essere appropriate agli effetti delle

10.1 non conformità riscontrate. L'organizzazione deve conservare le
informazioni documentate come prova di:
10.1 (f) la natura delle non conformità e le eventuali azioni successive
intraprese, e
10.1 (g) i risultati di qualsiasi azione correttiva.

NNV&PARTENS
NNV&
10.2 Miglioramento continuo
L'organizzazione deve migliorare continuamente l'idoneità,

10.2 l'adeguatezza e l'efficacia del sistema di gestione della sicurezza
delle informazioni.
NNV&PARTENS

ISO27001

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

ISO27001

Caricato da

Copyright:

Formati disponibili

NNV&

Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

4 Sistema di gestione della sicurezza delle informazioni

4.1 Capire l'organizzazione e il suo contesto

L'organizzazione deve determinare le questioni esterne e

4.2 Comprendere le esigenze e le aspettative delle parti interessate

L'organizzazione deve determinare:

L'organizzazione deve determinare i confini e l'applicabilità del

4.4 Sistema di gestione della sicurezza delle informazioni

L'organizzazione deve stabilire, implementare, mantenere e

5.1 Leadership e impegno

La direzione deve fornire la prova del proprio impegno per

assicurare che la politica di sicurezza delle informazioni e gli

assicurare l'integrazione dei requisiti del sistema di gestione

5.1( c ) garantire la disponibilità delle risorse necessarie per il sistema di

comunicare l'importanza di una gestione efficace della sicurezza

5.1( e ) garantire che il sistema di gestione della sicurezza delle

5.1(f) indirizzare e supportare le persone a contribuire all'efficacia del

5.1(g) promuovere il miglioramento continuo; e

5.1(h) supportare altri ruoli manageriali rilevanti per dimostrare la loro

L'alta direzione stabilisce una politica di sicurezza delle

La politica in materia di sicurezza delle informazioni:

5.3 Ruoli organizzativi, responsabilità e autorità

L'alta direzione assicura che le responsabilità e le autorità per i

6.1 Azioni per affrontare rischi e opportunità

Nella pianificazione del sistema di gestione della sicurezza delle

6.1.1 (d) L'organizzazione deve pianificare le azioni per affrontare questi

6.1.2 Valutazione del rischio per la sicurezza delle informazioni

garantisce che valutazioni ripetute del rischio per la sicurezza

identifica i rischi per la sicurezza delle informazioni:

analizza i rischi per la sicurezza delle informazioni:

valuta i rischi per la sicurezza delle informazioni:

ne del rischio per la sicurezza delle informazioni

6.1.3 Trattamento dei rischi per la sicurezza delle informazioni

selezionare appropriate opzioni di trattamento del rischio per la

determinare tutti i controlli necessari per implementare le

confrontare i controlli determinati in 6.1.3 (b) con quelli

produrre una dichiarazione di applicabilità che contenga i

formulare un piano di trattamento dei rischi per la sicurezza

ottenere l'approvazione dei proprietari del rischio del piano di

nto dei rischi per la sicurezza delle informazioni

6.2 Obiettivi di sicurezza delle informazioni e piani per raggiungerli

6.2 L'organizzazione deve stabilire obiettivi di sicurezza delle

Gli obiettivi di sicurezza dell'informazione:

Nel pianificare come raggiungere i propri obiettivi di sicurezza

L'organizzazione deve determinare e fornire le risorse

7.2 L'organizzazione deve:

determinare la competenza necessaria della persona o delle

ove applicabile, intraprendere azioni per acquisire la

conservare le informazioni documentate appropriate come

7.2 L'organizzazione deve:

determinare la competenza necessaria della persona o delle

ove applicabile, intraprendere azioni per acquisire la

7.2 (d) conservare le informazioni documentate appropriate come

7.2 L'organizzazione deve:

determinare la competenza necessaria della persona o delle

ove applicabile, intraprendere azioni per acquisire la

conservare le informazioni documentate appropriate come

Le persone che svolgono un lavoro sotto il controllo

7.3 (a) la politica di sicurezza delle informazioni;

il loro contributo all'efficacia del sistema di gestione della

7.3 ( c ) le implicazioni della non conformità con i requisiti del sistema di

L'organizzazione deve determinare la necessità di comunicazioni

7.4 (a) su cosa comunicare;

9.1( c ) quando devono essere eseguiti il monitoraggio e la misurazione;