Sei sulla pagina 1di 81

NNV&

Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

4 Sistema di gestione della sicurezza delle informazioni

4.1 Capire l'organizzazione e il suo contesto

L'organizzazione deve determinare le questioni esterne e


interne che sono rilevanti per il suo scopo e che influenzano la
4.1 sua capacità di raggiungere i risultati attesi del suo sistema di
gestione della sicurezza delle informazioni.

4.2 Comprendere le esigenze e le aspettative delle parti interessate

L'organizzazione deve determinare:


a) parti interessate rilevanti per il sistema di gestione della
4.2 sicurezza delle informazioni; e
b) i requisiti di tali parti interessate rilevanti per la sicurezza
delle informazioni

4.3 Determinazione dell'ambito del sistema di gestione della sicurezza delle informazioni

L'organizzazione deve determinare i confini e l'applicabilità del


4.3 sistema di gestione della sicurezza delle informazioni per
stabilirne l'ambito.

4.4 Sistema di gestione della sicurezza delle informazioni

L'organizzazione deve stabilire, implementare, mantenere e


migliorare continuamente un sistema di gestione della sicurezza
4.4 delle informazioni, in conformità con i requisiti della presente
norma internazionale.
NNV&PARTENS
Stato Note sui tuoi risultati

delle informazioni
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

5 Comando

5.1 Leadership e impegno

La direzione deve fornire la prova del proprio impegno per


5.1 l'istituzione, l'attuazione, il funzionamento, il monitoraggio, la
revisione, la manutenzione e il miglioramento dell'ISMS:

assicurare che la politica di sicurezza delle informazioni e gli


5.1(a) obiettivi di sicurezza delle informazioni siano stabiliti e siano
compatibili con la direzione strategica dell'organizzazione;

assicurare l'integrazione dei requisiti del sistema di gestione


5.1(b) della sicurezza delle informazioni nei processi
dell'organizzazione;

5.1( c ) garantire la disponibilità delle risorse necessarie per il sistema di


gestione della sicurezza delle informazioni;

comunicare l'importanza di una gestione efficace della sicurezza


5.1(d) delle informazioni e della conformità ai requisiti del sistema di
gestione della sicurezza delle informazioni;

5.1( e ) garantire che il sistema di gestione della sicurezza delle


informazioni raggiunga i suoi risultati intesi;

5.1(f) indirizzare e supportare le persone a contribuire all'efficacia del


sistema di gestione della sicurezza delle informazioni;

5.1(g) promuovere il miglioramento continuo; e

5.1(h) supportare altri ruoli manageriali rilevanti per dimostrare la loro


leadership applicata alle loro aree di responsabilità.
5.1(h) supportare altri ruoli manageriali rilevanti per dimostrare la loro
leadership applicata alle loro aree di responsabilità.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

5.2

L'alta direzione stabilisce una politica di sicurezza delle


informazioni che:
a) è appropriato allo scopo dell'organizzazione;
b) include obiettivi di sicurezza delle informazioni (vedere 6.2) o
fornisce il quadro per la definizione degli obiettivi di sicurezza
delle informazioni;
c) include un impegno a soddisfare i requisiti applicabili relativi
5.2 alla sicurezza delle informazioni; e
d) include un impegno al miglioramento continuo del sistema di
gestione della sicurezza delle informazioni.

La politica in materia di sicurezza delle informazioni:


e) essere disponibile come informazione documentata;
f) essere comunicati all'interno dell'organizzazione; e
g) essere a disposizione delle parti interessate, se del caso

5.3 Ruoli organizzativi, responsabilità e autorità

L'alta direzione assicura che le responsabilità e le autorità per i


5.3 ruoli rilevanti per la sicurezza delle informazioni siano assegnate
e comunicate.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

6 Pianificazione

6.1 Azioni per affrontare rischi e opportunità

6.1.1 Generale

Nella pianificazione del sistema di gestione della sicurezza delle


informazioni, l'organizzazione deve considerare le questioni di
cui al punto 4.1 e i requisiti di cui al punto 4.2 e determinare i
6.1.1 rischi e le opportunità che devono essere affrontati:
a) garantire che il sistema di gestione della sicurezza delle
informazioni possa raggiungere i risultati previsti;
b) prevenire o ridurre gli effetti indesiderati; e
c) ottenere un miglioramento continuo

6.1.1 (d) L'organizzazione deve pianificare le azioni per affrontare questi


rischi e opportunità; e
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

6.1.2 Valutazione del rischio per la sicurezza delle informazioni

6.1.2 L'organizzazione deve definire e applicare un processo di valutazione del rischio per la sicurezza d
che:
stabilisce e mantiene criteri di rischio per la sicurezza delle
informazioni che includono:
1) i criteri di accettazione del rischio; e
6.1.2 (a) 2) criteri per eseguire valutazioni del rischio per la sicurezza
delle informazioni;

garantisce che valutazioni ripetute del rischio per la sicurezza


6.1.2 (b) delle informazioni producano risultati coerenti, validi e
comparabili;

identifica i rischi per la sicurezza delle informazioni:


1) applicare il processo di valutazione del rischio per la sicurezza
delle informazioni per identificare i rischi associati alla perdita di
6.1.2 ( c ) riservatezza, integrità e disponibilità delle informazioni
nell'ambito del sistema di gestione della sicurezza delle
informazioni; e
2) identificare i risk owner;

analizza i rischi per la sicurezza delle informazioni:


1) valutare le potenziali conseguenze che deriverebbero se si
6.1.2 (d) concretizzassero i rischi individuati al punto 6.1.2 c) 1);
2) valutare la probabilità realistica del verificarsi dei rischi
individuati al punto 6.1.2 c) 1); e
3) determinare i livelli di rischio;

valuta i rischi per la sicurezza delle informazioni:


1) confrontare i risultati dell'analisi dei rischi con i criteri di
6.1.2 ( e ) rischio stabiliti al punto 6.1.2 a); e
2) dare la priorità ai rischi analizzati per il trattamento del
rischio.
NNV&PARTENS
Stato Note sui tuoi risultati

ne del rischio per la sicurezza delle informazioni


Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

6.1.3 Trattamento dei rischi per la sicurezza delle informazioni

6.1.3 L'organizzazione deve definire e applicare un processo di trattamento dei rischi per la sicurezza de
per:

selezionare appropriate opzioni di trattamento del rischio per la


6.1.3 (a) sicurezza delle informazioni, tenendo conto dei risultati della
valutazione del rischio;

determinare tutti i controlli necessari per implementare le


6.1.3 (b) opzioni di trattamento del rischio per la sicurezza delle
informazioni scelte;

confrontare i controlli determinati in 6.1.3 (b) con quelli


6.1.3 ( c ) nell'Allegato A e verificare che non siano stati omessi i controlli
necessari:

produrre una dichiarazione di applicabilità che contenga i


6.1.3 (d) controlli necessari (vedere 6.1.3.be c) e la giustificazione delle
inclusioni, che siano implementate o meno, e la giustificazione
dell'esclusione dei controlli dall'allegato A;

formulare un piano di trattamento dei rischi per la sicurezza


6.1.3 ( e ) delle informazioni; e

ottenere l'approvazione dei proprietari del rischio del piano di


6.1.3 (f) trattamento dei rischi per la sicurezza delle informazioni e
l'accettazione dei rischi residui per la sicurezza delle
informazioni.
NNV&PARTENS
Stato Note sui tuoi risultati

nto dei rischi per la sicurezza delle informazioni


Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Status

6.2 Obiettivi di sicurezza delle informazioni e piani per raggiungerli

6.2 L'organizzazione deve stabilire obiettivi di sicurezza delle


informazioni alle funzioni e ai livelli pertinenti.

Gli obiettivi di sicurezza dell'informazione:


a) essere coerente con la politica di sicurezza delle informazioni;
b) essere misurabile (se praticabile);
6.2 c) tiene conto dei requisiti applicabili in materia di sicurezza
delle informazioni e dei risultati della valutazione e del
trattamento del rischio;
d) essere comunicati; e
e) essere aggiornato come appropriato.

Nel pianificare come raggiungere i propri obiettivi di sicurezza


delle informazioni, l'organizzazione deve determinare:
f) cosa verrà fatto;
6.2 g) quali risorse saranno necessarie;
h) chi sarà responsabile;
i) quando sarà completato; e
j) come verranno valutati i risultati.
NNV&PARTENS
Status Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

7 Supporto

7.1 Risorse

L'organizzazione deve determinare e fornire le risorse


7.1 necessarie per l'istituzione, l'implementazione, la manutenzione
e il miglioramento continuo del sistema di gestione della
sicurezza delle informazioni.

7.2 Competenza

7.2 L'organizzazione deve:

determinare la competenza necessaria della persona o delle


7.2 (a) persone che svolgono un lavoro sotto il suo controllo che
influisce sulle prestazioni della sicurezza delle informazioni;

7.2 (b) garantire che queste persone siano competenti sulla base di
un'istruzione, formazione o esperienza adeguate;

ove applicabile, intraprendere azioni per acquisire la


7.2 ( c ) competenza necessaria e valutare l'efficacia delle azioni
intraprese; e

conservare le informazioni documentate appropriate come


7.2 (d) prova della competenza.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

7.2 Competenza

7.2 L'organizzazione deve:

determinare la competenza necessaria della persona o delle


7.2 (a) persone che svolgono un lavoro sotto il suo controllo che
influisce sulle prestazioni della sicurezza delle informazioni;

7.2 (b) garantire che queste persone siano competenti sulla base di
un'istruzione, formazione o esperienza adeguate;

ove applicabile, intraprendere azioni per acquisire la


7.2 ( c ) competenza necessaria e valutare l'efficacia delle azioni
intraprese; e

7.2 (d) conservare le informazioni documentate appropriate come


prova della competenza.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

7.2 Competenza

7.2 L'organizzazione deve:

determinare la competenza necessaria della persona o delle


7.2(a) persone che svolgono un lavoro sotto il suo controllo che
influisce sulle prestazioni della sicurezza delle informazioni;

7.2 (b) garantire che queste persone siano competenti sulla base di
un'istruzione, formazione o esperienza adeguate;

ove applicabile, intraprendere azioni per acquisire la


7.2 ( c ) competenza necessaria e valutare l'efficacia delle azioni
intraprese; e

conservare le informazioni documentate appropriate come


7.2 (d) prova della competenza.
NNV&PARTENS
Note sui tuoi risultati
Stato
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

7.3 Consapevolezza

Le persone che svolgono un lavoro sotto il controllo


7.3 dell'organizzazione devono essere consapevoli di:

7.3 (a) la politica di sicurezza delle informazioni;

il loro contributo all'efficacia del sistema di gestione della


7.3 (b) sicurezza delle informazioni, compresi i vantaggi di una migliore
prestazione della sicurezza delle informazioni; e

7.3 ( c ) le implicazioni della non conformità con i requisiti del sistema di


gestione della sicurezza delle informazioni.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

7.4 Comunicazione

L'organizzazione deve determinare la necessità di comunicazioni


7.4 interne ed esterne rilevanti per il sistema di gestione della
sicurezza delle informazioni, tra cui:

7.4 (a) su cosa comunicare;

7.4 (b) quando comunicare;

7.4 ( c ) con chi comunicare;

7.4 (d) chi comunicherà; e

7.4 ( e ) i processi attraverso i quali deve essere effettuata la


comunicazione.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

7.5 Informazioni documentate

7.5.1 Generale

7.5.1 Il sistema di gestione della sicurezza delle informazioni


dell'organizzazione deve includere:

informazioni documentate richieste dalla presente norma


7.5.1 (a) internazionale; e

informazioni documentate determinate dall'organizzazione


7.5.1 (b) come necessarie per l'efficacia del sistema di gestione della
sicurezza delle informazioni.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

7.5.2 Creazione e aggiornamento

7.5.2 Durante la creazione e l'aggiornamento delle informazioni


documentate, l'organizzazione deve garantire che:

7.5.2 (a) Durante la creazione e l'aggiornamento delle informazioni


documentate, l'organizzazione deve garantire che:

7.5.2 (b) formato (es. lingua, versione software, grafica) e supporto (es.
cartaceo, elettronico); e

7.5.2 ( c ) revisione e approvazione per l'idoneità e l'adeguatezza.


NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

7.5.3 Controllo delle informazioni documentate

Le informazioni documentate richieste dal sistema di gestione


7.5.3 della sicurezza delle informazioni e dalla presente norma
internazionale devono essere controllate per garantire:

7.5.3 (a) è disponibile e adatto all'uso, dove e quando serve; e

7.5.3 (b) è adeguatamente protetto (ad es. dalla perdita di riservatezza,


uso improprio o perdita di integrità).
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

7.5.3 Per il controllo delle informazioni documentate, l'organizzazione


deve svolgere le seguenti attività, a seconda dei casi:

7.5.3 ( c ) distribuzione, accesso, recupero e utilizzo;

7.5.3 (d) conservazione e conservazione, compresa la conservazione della


leggibilità;

7.5.3 ( e ) controllo delle modifiche (es. controllo della versione); e

7.5.3 (f) conservazione e disposizione.

Le informazioni documentate di origine esterna, ritenute


7.5.3 necessarie dall'organizzazione per la pianificazione e il
funzionamento del sistema di gestione della sicurezza delle
informazioni, devono essere identificate come appropriate e
controllate.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

8 Operazione

8.1 Pianificazione e controllo operativo

L'organizzazione deve pianificare, implementare e controllare i


processi necessari per soddisfare i requisiti di sicurezza delle
8.1 informazioni e per attuare le azioni determinate in 6.1.
L'organizzazione deve anche implementare piani per
raggiungere gli obiettivi di sicurezza delle informazioni
determinati in 6.2.

L'organizzazione deve conservare le informazioni documentate


8.1 nella misura necessaria per avere fiducia che i processi siano
stati eseguiti come pianificato.

L'organizzazione deve controllare i cambiamenti pianificati e


8.1 riesaminare le conseguenze di cambiamenti non intenzionali,
intervenendo per mitigare gli effetti negativi, se necessario.

8.1 L'organizzazione deve garantire che i processi esternalizzati


siano determinati e controllati.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

8.2 Valutazione del rischio per la sicurezza delle informazioni

L'organizzazione deve eseguire valutazioni del rischio per la


sicurezza delle informazioni a intervalli pianificati o quando
8.2 vengono proposte o si verificano modifiche significative,
tenendo conto dei criteri stabiliti al 6.1.2.a.

L'organizzazione deve conservare le informazioni documentate


8.2 dei risultati delle valutazioni del rischio per la sicurezza delle
informazioni.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

8.3 Trattamento dei rischi per la sicurezza delle informazioni

8.3 L'organizzazione deve implementare il piano di trattamento dei


rischi per la sicurezza delle informazioni.

L'organizzazione deve conservare le informazioni documentate


8.3 sui risultati del trattamento dei rischi per la sicurezza delle
informazioni.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

9 Valutazione delle prestazioni

9.1 Monitoraggio, misurazione, analisi e valutazione

L'organizzazione deve valutare le prestazioni in materia di


9.1 sicurezza delle informazioni e l'efficacia del sistema di gestione
della sicurezza delle informazioni. L'organizzazione deve
determinare:

9.1 (a) cosa deve essere monitorato e misurato, inclusi processi e


controlli di sicurezza delle informazioni;

9.1 (b) i metodi di monitoraggio, misurazione, analisi e valutazione, ove


applicabile, per garantire risultati validi;

9.1( c ) quando devono essere eseguiti il ​monitoraggio e la misurazione;

9.1 (d) chi deve monitorare e misurare;

9.1 ( e ) quando i risultati del monitoraggio e della misurazione devono


essere analizzati e valutati; e

9.1 (f) chi analizzerà e valuterà questi risultati.


NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

9.2
L'organizzazione deve condurre audit interni a intervalli
9.2 pianificati per fornire informazioni sul fatto che il sistema di
gestione della sicurezza delle informazioni:

conforme a
9.2 (a) 1) i requisiti dell'organizzazione per il proprio sistema di
gestione della sicurezza delle informazioni; e
2) i requisiti della presente norma internazionale;

9.2 (b) è efficacemente implementato e mantenuto.

9.2 L'organizzazione deve:

pianificare, stabilire, attuare e mantenere uno o più programmi


di audit, compresa la frequenza, i metodi, le responsabilità, i
9.2 (c) requisiti di pianificazione e la rendicontazione. Il programma oi
programmi di audit tengono conto dell'importanza dei processi
interessati e dei risultati degli audit precedenti;

9.2 (d) definire i criteri e la portata dell'audit per ogni audit;

9.2 ( e ) garantire che i risultati degli audit siano riferiti alla direzione
competente; e

9.2 (f) garantire che i risultati degli audit siano riferiti alla direzione
competente; e

9.2 (g) conservare le informazioni documentate come prova del


programma o dei programmi di audit e dei risultati dell'audit.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

9.3 Management review

L'alta direzione deve riesaminare il sistema di gestione della


sicurezza delle informazioni dell'organizzazione a intervalli
9.3 pianificati per garantire la sua continua idoneità, adeguatezza
ed efficacia. Il riesame della direzione deve includere la
considerazione di:

9.3 (a) lo stato delle azioni derivanti da precedenti revisioni della


direzione;

9.3 (b) cambiamenti in questioni esterne e interne che sono rilevanti


per il sistema di gestione della sicurezza delle informazioni;

feedback sulle prestazioni della sicurezza delle informazioni,


comprese le tendenze in:
9.3 ( c ) 1) non conformità e azioni correttive;
2) risultati di monitoraggio e misurazione;
3) risultati dell'audit; e
4) raggiungimento degli obiettivi di sicurezza delle informazioni;

9.3 (d) feedback dalle parti interessate;

9.3 ( e ) risultati della valutazione del rischio e stato del piano di


trattamento del rischio; e

9.3 (f) opportunità di miglioramento continuo.

I risultati del riesame della direzione devono includere decisioni


9.3 relative a opportunità di miglioramento continuo e qualsiasi
esigenza di modifica al sistema di gestione della sicurezza delle
informazioni. L'organizzazione deve conservare le informazioni
documentate come prova dei risultati dei riesami della
direzione.
I risultati del riesame della direzione devono includere decisioni
9.3 relative a opportunità di miglioramento continuo e qualsiasi
esigenza di modifica al sistema di gestione della sicurezza delle
informazioni. L'organizzazione deve conservare le informazioni
documentate come prova dei risultati dei riesami della
direzione.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

10 Miglioramento

10.1 Non conformità e azioni correttive

10.1 Quando si verifica una non conformità, l'organizzazione deve:

rispetta la non conformità e, se applicabile:


10.1 (a) 1) agire per controllarlo e correggerlo; e
2) affrontare le conseguenze;

valutare la necessità di intervenire per eliminare le cause della


non conformità, affinché non si ripresenti o si verifichi altrove,
mediante:
10.1 (b) 1) riesaminare la non conformità;
2) determinazione delle cause della non conformità; e
3) determinare se esistono o potrebbero potenzialmente
verificarsi non conformità simili;

10.1 ( c ) attuare qualsiasi azione necessaria;

10.1 (d) esaminare l'efficacia di qualsiasi azione correttiva intrapresa; e

10.1 ( e ) apportare modifiche al sistema di gestione della sicurezza delle


informazioni, se necessario.

Le azioni correttive devono essere appropriate agli effetti delle


10.1 non conformità riscontrate. L'organizzazione deve conservare le
informazioni documentate come prova di:
10.1 (f) la natura delle non conformità e le eventuali azioni successive
intraprese, e

10.1 (g) i risultati di qualsiasi azione correttiva.


NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi
NNV&
Clausola ISO 27001 Requisito obbligatorio per l'ISMS Stato

10.2 Miglioramento continuo

L'organizzazione deve migliorare continuamente l'idoneità,


10.2 l'adeguatezza e l'efficacia del sistema di gestione della sicurezza
delle informazioni.
NNV&PARTENS
Stato Note sui tuoi risultati
Note sui tuoi consigli e passaggi successivi