Sei sulla pagina 1di 35

LICENZA DUSO

UNI riconosce al cliente di questo prodotto scaricato on-line dal webstore UNI (dora in avanti denominati solo prodotto) i diritti non esclusivi e non trasferibili di cui al dettaglio seguente, in conseguenza del pagamento degli importi dovuti. Il cliente ha accettato di essere vincolato ai termini fissati in questa licenza circa l'installazione e la realizzazione di copie o qualsiasi altro utilizzo del prodotto. La licenza d'uso non riconosce al cliente la propriet del prodotto, ma esclusivamente un diritto d'uso secondo i termini fissati in questa licenza. UNI pu modificare in qualsiasi momento le condizioni di licenza d'uso.

USER LICENSE
For this product downloaded online from the UNI webstore (hereafter referred to as "products") UNI grants the client with the non-exclusive and non-transferable rights as specified in detail below, subordinate to payment of the sums due. The client accepted the limits stated in this license regarding the installation or production of copies or any other use of the products. The user license does not confer to clients ownership of the product, but exclusively the right to use according to the conditions specified in this license. UNI may modify the conditions of the user license at any time without notice.

COPYRIGHT
Il cliente ha riconosciuto che: il prodotto di propriet di UNI in quanto titolare del copyright -cos come indicato all'interno del prodotto- e che tali diritti sono tutelati dalle leggi nazionali e dai trattati internazionali sulla tutela del copyright tutti i diritti, titoli e interessi nel e sul prodotto sono e saranno di UNI, compresi i diritti di propriet intellettuale.

COPYRIGHT
The client acknowledged that: The product is property of UNI, as copyright owner as specified in the product itsselves and the said rights are governed by national legislation and international agreements on copyright. All rights, deeds and interests in and on the product shall remain property of UNI, including those of intellectual property.

UTILIZZO DEL PRODOTTO


Il cliente pu installare ed utilizzare esclusivamente per fini interni del proprio personale dipendente una sola copia di questo prodotto, su postazione singola. I clienti interessati alla condivisione delle norme UNI da parte di pi postazioni possono rivolgersi all'innovativo servizio di consultazione online denominato UNICoNTO. Con UNICoNTO possibile consultare tramite un collegamento internet ad accesso protetto ed un reader di file in formato Adobe PDF 5.0 (Portable Document Format) - i testi integrali delle norme tecniche, continuamente aggiornate. Al cliente consentita la realizzazione di UNA SOLA COPIA del file del prodotto, ai fini di backup. Il testo del prodotto non pu essere modificato, tradotto, adattato e ridotto. L'unica versione del testo che fa fede quella conservata negli archivi UNI. autorizzata la riproduzione NON INTEGRALE- del prodotto solo su documenti ad esclusivo uso interno del cliente. vietato dare il prodotto in licenza o in affitto, rivenderlo, distribuirlo o cederlo a qualunque titolo in alcuna sua parte, n in originale n in copia.

PRODUCT USE
The client may install and use a single copy of the product on one workstation exclusively for internal use by employed personnel. Those clients who are interested in sharing UNI standards on more workstations can apply to the innovatory online consultation service called UNICoNTO. By UNICoNTO the complete texts of technical standards, continuously updated, may be consulted, just by using an internet connection, provided with a protected access and a file reader in Adobe PDF 5.0 (Portable Document Format) format. The client is permitted to make ONE COPY ONLY for backup purposes. The text of the product may not be modified, translated, adapted or reduced. The only version of the authentic text is that conserved in the UNI archives. NONINTEGRAL reproduction of the product is authorised only on documents used exclusively internally by the client. Granting of the product license, hire, resale, distribution or transfer of any part of the product, in its original version or copy is strictly prohibited.

AGGIORNAMENTO DEL PRODOTTO


Questo prodotto scaricato on-line dal webstore UNI la versione in vigore al momento della vendita. Il prodotto revisionato, quando necessario, con la pubblicazione di nuove edizioni o di aggiornamenti. UNI non si impegna ad avvisare il cliente della pubblicazione di varianti, errata corrige o nuove edizioni che modificano, aggiornano o superano completamente il prodotto; importante quindi che il cliente si accerti di essere in possesso dell'ultima edizione e degli eventuali aggiornamenti.

PRODUCT UPDATES
This product downloaded online from the UNI webstore is the current version of the UNI standard valid at the time of sale. Products are revised, when necessary, with the publication of new editions or updates. UNI does not undertake to notify clients of publication of the said variants, errata corrige or new editions which modify, update or completely replace products; it is therefore important that the clients ensure possession of the latest edition and updates where relevant.

RESPONSABILITA UNI
N UNI n un suo dirigente, dipendente o distributore pu essere considerato responsabile per ogni eventuale danno che possa derivare, nascere o essere in qualche modo correlato con il possesso o l'uso del prodotto da parte del cliente. Tali responsabilit sono a carico del cliente.

UNI LIABILITY
Neither UNI nor relative manager, employee or distributor may be held liable for any damage deriving/arising from or correlated to the use of any products by clients. Liability lies exclusively with the clients.

TUTELA LEGALE
Il cliente assicura a UNI la fornitura di tutte le informazioni necessarie affinch sia garantito il pieno rispetto dei termini di questo accordo da parte di terzi. Nel caso in cui l'azione di terzi possa mettere in discussione il rispetto dei termini di questo accordo, il cliente si impegna a collaborare con UNI al fine di garantirne l'osservanza. UNI si riserva di intraprendere qualsiasi azione legale nei confronti del cliente a salvaguardia dei propri diritti in qualsiasi giurisdizione presso la quale vi sia stata una violazione del presente accordo. L'accordo regolato dalla normativa vigente in Italia e il tribunale competente per qualsiasi controversia quello di Milano.

LEGAL PROTECTION
The client shall guarantee to UNI the supply of all information required to ensure the full observance of the terms of this agreement by third parties. Should the action of third parties compromise observance of the said terms of agreement, the client undertakes to collaborate with UNI to guarantee compliance. The agreement is governed by current standards in Italy, and in the event of dispute the competent court shall be that of Milan. UNI reserves to undertake legal action with respect to the client to safeguard specific rights in all aspects of jurisdiction in which the present agreement has been breached.

Ente Nazionale Italiano di Unificazione Membro Italiano ISO e CEN www.uni.com Sede di Milano Via Sannio, 2 20137 Milano Tel +39 02700241, Fax +39 0270024375 uni@uni.com Ufficio di Roma Via del Collegio Capranica, 4 00186 Roma Tel +39 0669923074, Fax +39 06 6991604 uni.roma@uni.com

BABEL SRL - 2009 - 582251 - eco

Tecnologia delle informazioni


NORMA ITALIANA

Tecniche di sicurezza
Sistemi di gestione della sicurezza delle informazioni - Requisiti

UNI CEI ISO/IEC 27001


MARZO 2006

Information technology

Versione italiana del settembre 2007

Security techniques
Information security management systems - Requirements La norma copre tutte le tipologie di organizzazioni (imprese commerciali, agenzie governative, organizzazioni senza scopo di lucro). Essa specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato allinterno di un contesto di rischi legati alle attivit centrali dellorganizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessit di una singola organizzazione o di una sua parte. Il sistema progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati.

TESTO ITALIANO

La presente norma ladozione nazionale in lingua italiana della norma internazionale ISO/IEC 27001 (edizione ottobre 2005).

ICS

35.040

COMITATO ELETTROTECNICO ITALIANO

UNI - CEI Milano Riproduzione vietata. Tutti i diritti sono riservati. Nessuna parte del presente documento pu essere riprodotta o diffusa con un mezzo qualsiasi, fotocopie, microfilm o altro, senza il consenso scritto dellUNI e del CEI.

ENTE NAZIONALE ITALIANO DI UNIFICAZIONE

UNI CEI ISO/IEC 27001:2006

Pagina I

BABEL SRL - 2009 - 582251 - eco

PREMESSA NAZIONALE
La presente norma costituisce ladozione nazionale, in lingua italiana, della norma internazionale ISO/IEC 27001 (edizione ottobre 2005) che assume cos lo status di norma nazionale italiana. La norma internazionale ISO/IEC 27001 stata elaborata dal Comitato Tecnico ISO/IEC JTC 1 "Tecnologia dellinformazione". La presente norma stata elaborata sotto la competenza dellente federato allUNI UNINFO - Tecnologie Informatiche e loro applicazioni e del CEI - Comitato Elettrotecnico Italiano che hanno giudicato la norma ISO/IEC 27001 rispondente, da un punto di vista tecnico, alle esigenze nazionali e ne hanno proposto alla Commissione Centrale Tecnica dellUNI ladozione nella presente versione in lingua italiana. La Commissione Centrale Tecnica dellUNI ha dato la sua approvazione il 22 marzo 2006. La presente norma stata ratificata dal Presidente del CEI, con delibera del 6 marzo 2006. La presente norma stata ratificata dal Presidente dellUNI ed entrata a far parte del corpo normativo nazionale il 28 marzo 2006.

Le norme UNI sono elaborate cercando di tenere conto dei punti di vista di tutte le parti interessate e di conciliare ogni aspetto conflittuale, per rappresentare il reale stato dellarte della materia ed il necessario grado di consenso. Chiunque ritenesse, a seguito dellapplicazione di questa norma, di poter fornire suggerimenti per un suo miglioramento o per un suo adeguamento ad uno stato dellarte in evoluzione pregato di inviare i propri contributi allUNI, Ente Nazionale Italiano di Unificazione, che li terr in considerazione per leventuale revisione della norma stessa. Le norme UNI sono revisionate, quando necessario, con la pubblicazione di nuove edizioni o di aggiornamenti. importante pertanto che gli utilizzatori delle stesse si accertino di essere in possesso dellultima edizione e degli eventuali aggiornamenti. Si invitano inoltre gli utilizzatori a verificare lesistenza di norme UNI corrispondenti alle norme EN o ISO ove citate nei riferimenti normativi. UNI CEI ISO/IEC 27001:2006 UNI Pagina II

BABEL SRL - 2009 - 582251 - eco

INDICE
0 0.1 0.2
figura 1

0.3 1 1.1 1.2 2 3 4 4.1 4.2


4.2.1 4.2.2 4.2.3 4.2.4

INTRODUZIONE 1 Generalit...................................................................................................................................................... 1 Approccio per processi .......................................................................................................................... 1 Modello PDCA applicato ai processi del SGSI ................................................................................... 2 Compatibilit con altri sistemi di gestione ................................................................................... 2 SCOPO E CAMPO DI APPLICAZIONE 2 Generalit...................................................................................................................................................... 2 Applicazione ................................................................................................................................................ 3 RIFERIMENTI NORMATIVI TERMINI E DEFINIZIONI 3 3

4.3
4.3.1 4.3.2 4.3.3

SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 5 Requisiti generali....................................................................................................................................... 5 Stabilire e gestire il SGSI ...................................................................................................................... 5 Stabilire il SGSI ............................................................................................................................................. 5 Attuare e condurre il SGSI ......................................................................................................................... 7 Monitorare e riesaminare il SGSI ............................................................................................................ 7 Mantenere attivo, aggiornato e migliorare il SGSI ............................................................................. 8 Requisiti relativi alla documentazione ........................................................................................... 8 Generalit ........................................................................................................................................................ 8 Tenuta sotto controllo dei documenti ..................................................................................................... 9 Tenuta sotto controllo delle registrazioni .............................................................................................. 9 RESPONSABILIT DELLA DIREZIONE 10 Impegno della direzione ..................................................................................................................... 10 Gestione delle risorse .......................................................................................................................... 10 Messa a disposizione delle risorse ...................................................................................................... 10 Formazione e addestramento, consapevolezza e competenza ................................................ 10 AUDIT INTERNI DEL SGSI 11

5 5.1 5.2
5.2.1 5.2.2

6 7 7.1 7.2 7.3 8 8.1 8.2 8.3 APPENDICE (normativa) A

RIESAME DEL SGSI DA PARTE DELLA DIREZIONE 11 Generalit................................................................................................................................................... 11 Elementi in ingresso per il riesame .............................................................................................. 11 Elementi in uscita dal riesame ........................................................................................................ 12 MIGLIORAMENTO DEL SGSI 12 Miglioramento continuo ...................................................................................................................... 12 Azioni correttive ...................................................................................................................................... 12 Azioni preventive .................................................................................................................................... 12 OBIETTIVI DI CONTROLLO E CONTROLLI 14

prospetto A.1

Obiettivi di controllo e controlli............................................................................................................... 14

APPENDICE (informativa)

I PRINCIPI DELLOECD E LA PRESENTE NORMA INTERNAZIONALE

26

prospetto B.1

Principi dellOECD e modello PDCA ................................................................................................... 26

APPENDICE (informativa)

CORRISPONDENZE TRA ISO 9001:2000, ISO 14001:2004 E LA PRESENTE NORMA INTERNAZIONALE

27

UNI CEI ISO/IEC 27001:2006

UNI

Pagina III

BABEL SRL - 2009 - 582251 - eco

prospetto C.1

Corrispondenze tra ISO 9001:2000, ISO 14001:2004 e la presente norma internazionale ............................................................................................................................................ 27

BIBLIOGRAFIA

29

UNI CEI ISO/IEC 27001:2006

UNI

Pagina IV

BABEL SRL - 2009 - 582251 - eco

0
0.1

INTRODUZIONE
Generalit
La presente norma internazionale stata elaborata allo scopo di fornire un modello per stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare un sistema di gestione per la sicurezza delle informazioni (SGSI). Ladozione di un SGSI dovrebbe essere una scelta strategica per unorganizzazione. La progettazione e lattuazione di un SGSI sono influenzate dalle esigenze e dagli obiettivi, dai requisiti di sicurezza, dai processi utilizzati e dalla dimensione e struttura dellorganizzazione. verosimile che questi aspetti e relativi sistemi di supporto, cambino nel tempo. La realizzazione del SGSI varia in base alle esigenze dellorganizzazione. Per esempio una situazione semplice richiede una semplice soluzione di SGSI. La presente norma internazionale pu essere utilizzata da parti interessate interne ed esterne per le valutazioni di conformit.

0.2

Approccio per processi


La presente norma internazionale adotta lapproccio per processi per stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare il SGSI di unorganizzazione. Lorganizzazione necessita di identificare e gestire diverse attivit al fine di operare in maniera efficace. Ogni attivit che utilizzi risorse e che sia gestita in modo da consentire la trasformazione di elementi in ingresso in elementi in uscita, pu essere considerata un processo. Spesso lelemento in uscita da un processo costituisce direttamente lelemento in ingresso per il processo successivo. Lapplicazione di un sistema di processi nellambito di unorganizzazione, unitamente allidentificazione e alle interazioni di questi processi, nonch alla loro gestione, viene denominata "approccio per processi". Lapproccio per processi per la gestione della sicurezza delle informazioni, presentato nella presente norma internazionale, incoraggia gli utenti a enfatizzare limportanza: a) della comprensione dei requisiti per la sicurezza delle informazioni di unorganizzazione e della necessit di stabilire politiche e obiettivi per la sicurezza delle informazioni; di attuare ed eseguire controlli per gestire i rischi collegati alla sicurezza delle informazioni di unorganizzazione, nel contesto dei rischi relativi al business*) complessivo dellorganizzazione; di monitorare e riesaminare le prestazioni e lefficacia del SGSI; e del miglioramento continuo sulla base di misurazioni oggettive.

b)

c) d)

La presente norma internazionale adotta il modello noto come "Plan-Do-Check-Act" (PDCA), che viene applicato per strutturare tutti i processi del SGSI. La figura 1 illustra come un SGSI assuma come elementi in ingresso i requisiti per la sicurezza delle informazioni e le aspettative delle parti interessate e come, attraverso le necessarie azioni e processi, fornisca i risultati per la sicurezza delle informazioni che soddisfino tali requisiti e aspettative. La figura 1 illustra anche i collegamenti nei processi presentati nei punti 4, 5, 6, 7 e 8. Ladozione di un modello PDCA, inoltre, riflette i principi specificati nelle linee guida OECD (2002)1) che regolano la sicurezza dei sistemi informativi e delle reti. La presente norma internazionale fornisce un robusto modello per applicare i principi esposti in tali linee guida riguardanti la valutazione del rischio, la progettazione, lattuazione, la gestione e il riesame della sicurezza.

*) 1)

Nota nazionale - Nella presente norma, con il termine "business", si devono intendere "le attivit istituzionali e gli affari" dellorganizzazione. OECD Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org. UNI Pagina 1

UNI CEI ISO/IEC 27001:2006

BABEL SRL - 2009 - 582251 - eco

Esempio 1: Un requisito potrebbe essere che le violazioni della sicurezza delle informazioni non causino gravi danni finanziari allorganizzazione e/o non creino situazioni di imbarazzo per la medesima. Esempio 2: Unaspettativa potrebbe consistere nel fatto che, qualora accadesse un grave incidente per esempio la compromissione di un sito di commercio elettronico dellorganizzazione dovrebbero esistere persone, con sufficiente formazione e addestramento nelle procedure appropriate, per minimizzarne limpatto.
figura 1

Modello PDCA applicato ai processi del SGSI

Parti interessate

Plan Stabilire il SGSI Do Attuare e condurre il SGSI Check Act Mantenere attivo, aggiornato e migliorare il SGSI

Parti interessate

Requisiti ed aspettative per la sicurezza delle informazioni

Monitorare e riesaminare il SGSI

Sicurezza delle informazioni gestita

Plan (stabilire il SGSI)

Stabilire la politica del SGSI, gli obiettivi, i processi e le procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati conformi alle politiche e agli obiettivi generali dellorganizzazione. Attuare e rendere operativa la politica del SGSI, i controlli, i processi e le procedure.

Do (attuare e condurre il SGSI)

Check (monitorare e riesaminare il Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del SGSI, degli obiettivi e SGSI) delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame. Act (mantenere attivo, aggiornato Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del SGSI e sul riesame da e migliorare il SGSI) parte della direzione o su altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del SGSI.

0.3

Compatibilit con altri sistemi di gestione


La presente norma internazionale allineata alla ISO 9001:2000 e alla ISO 14001:2004 al fine di supportare unattuazione coerente e integrata e un utilizzo coordinato delle norme di gestione collegate. Un sistema di gestione opportunamente progettato pu quindi soddisfare i requisiti di tutte queste norme. Il prospetto C.1 illustra le relazioni tra i punti della presente norma internazionale, della ISO 9001:2000 e della ISO 14001:2004. La presente norma internazionale elaborata per consentire ad unorganizzazione di allineare o integrare il proprio SGSI ai requisiti del sistema di gestione collegato.

1
1.1

SCOPO E CAMPO DI APPLICAZIONE


Generalit
La presente norma internazionale applicabile a tutte le tipologie di organizzazioni (per esempio, imprese commerciali, agenzie governative, organizzazioni senza scopo di lucro). La presente norma internazionale specifica i requisiti per stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare un SGSI
UNI Pagina 2

UNI CEI ISO/IEC 27001:2006

BABEL SRL - 2009 - 582251 - eco

documentato allinterno di un contesto di rischi relativi al business complessivo dellorganizzazione. Essa specifica, inoltre, i requisiti per la realizzazione di controlli per la sicurezza personalizzati in base alle esigenze di singole organizzazioni o di parti delle medesime. Il SGSI progettato per assicurare la selezione di controlli per la sicurezza adeguati e proporzionati, in grado di proteggere i beni informativi e dare fiducia alle parti interessate.
Nota 1

Tutti i riferimenti al "business", allinterno della presente norma internazionale, dovrebbero essere interpretati in maniera allargata per includere tutte quelle attivit che sono centrali per lesistenza dellorganizzazione. La ISO/IEC 17799 fornisce linee guida per lattuazione che possono essere utilizzate nella progettazione dei controlli**).

Nota 2

1.2

Applicazione
I requisiti specificati nella presente norma internazionale sono di carattere generale e predisposti per essere applicabili a tutte le organizzazioni, indipendentemente dalla tipologia, dimensione e natura. Lesclusione di qualunque requisito specificato nei punti 4, 5, 6, 7 e 8 non accettabile se unorganizzazione vuole dichiarare la sua conformit alla presente norma internazionale. Qualsiasi esclusione dei controlli che si ritengano necessari a soddisfare i criteri di accettazione dei rischi necessita di essere giustificata e deve essere fornita evidenza che i rischi associati siano stati accettati dalle persone responsabili. Nel caso vengano esclusi alcuni controlli, le dichiarazioni di conformit alla presente norma non sono accettabili a meno che tali esclusioni siano ininfluenti verso la capacit e/o la responsabilit dellorganizzazione di fornire la sicurezza delle informazioni che soddisfi i requisiti di sicurezza stabiliti mediante la valutazione del rischio e le prescrizioni legali o regolamentari applicabili.
Nota

Se unorganizzazione ha gi operativo un sistema di gestione dei processi aziendali (per esempio riconducibile alla ISO 9001 o alla ISO 14001), nella maggior parte dei casi preferibile soddisfare i requisiti della presente norma internazionale allinterno di tale preesistente sistema di gestione.

RIFERIMENTI NORMATIVI
I documenti richiamati di seguito sono indispensabili per lapplicazione del presente documento. Per quanto riguarda i riferimenti datati, si applica esclusivamente ledizione citata. Per i riferimenti non datati vale lultima edizione del documento a cui si fa riferimento (compresi gli aggiornamenti). ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management**)

3
3.1

TERMINI E DEFINIZIONI
Ai fini del presente documento si applicano i termini e le definizioni seguenti***).

bene: Qualsiasi cosa cha abbia valore per lorganizzazione.


[ISO/IEC 13335-1:2004]

3.2

disponibilit: Propriet di essere accessibile e utilizzabile su richiesta di unentit


autorizzata. [ISO/IEC 13335-1:2004]

3.3

riservatezza: Propriet per cui linformazione non resa disponibile o rivelata a individui,
entit o processi non autorizzati. [ISO/IEC 13335-1:2004]
**) ***) La norma internazionale ISO/IEC 17799 stata sostituita dalla ISO/IEC 27002:2005. Per le traduzioni dei termini e dei concetti riguardanti la gestione del rischio si utilizzato come riferimento la UNI 11230:2007 "Gestione del rischio - Vocabolario". UNI Pagina 3

UNI CEI ISO/IEC 27001:2006

BABEL SRL - 2009 - 582251 - eco

3.4

sicurezza delle informazioni: Conservazione della riservatezza, dell'integrit e della disponibilit delle informazioni; inoltre, possono essere coinvolte altre propriet quali l'autenticit, la responsabilit, il non ripudio e l'affidabilit.
[ISO/IEC 17799:2005]

3.5

evento relativo alla sicurezza delle informazioni: Un identificato accadimento relativo allo
stato di un sistema, servizio o rete, indicante una possibile violazione della politica per la sicurezza delle informazioni, un malfunzionamento delle contromisure o una situazione mai osservata in precedenza, che possa interessare la sicurezza. [ISO/IEC TR 18044:2004]

3.6

incidente relativo alla sicurezza delle informazioni: Evento o serie di eventi relativi alla sicurezza delle informazioni, non voluti o inattesi, che hanno una probabilit significativa di compromettere le operazioni relative al business e di minacciare la sicurezza delle informazioni.
[ISO/IEC TR 18044:2004]

3.7

sistema di gestione per la sicurezza delle informazioni (SGSI): Quella parte del sistema di gestione complessivo, basata su un approccio rivolto al rischio relativo al business, volta a stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare la sicurezza delle informazioni.
Nota

Il sistema di gestione include la struttura organizzativa, le politiche, le attivit di pianificazione, le responsabilit, le prassi, le procedure, i processi e le risorse.

3.8

integrit: Propriet relativa alla salvaguardia dellaccuratezza e della completezza dei beni.
[ISO/IEC 13335-1:2004]

3.9

rischio residuo: Rischio rimanente dopo il processo di trattamento del rischio.


[ISO/IEC Guide 73:2002]

3.10

accettazione del rischio: Decisione di accettare un rischio.


[ISO/IEC Guide 73:2002]

3.11

analisi del rischio: Utilizzo sistematico di informazioni per identificare le cause e stimare
il rischio. [ISO/IEC Guide 73:2002]

3.12

valutazione del rischio: Processo complessivo di analisi del rischio e di ponderazione del
rischio. [ISO/IEC Guide 73:2002]

3.13

ponderazione del rischio: Processo di comparazione del rischio stimato con i criteri di
rischio prestabiliti, al fine di determinare la significativit del rischio. [ISO/IEC Guide 73:2002]

3.14

gestione del rischio: Insieme di attivit coordinate per guidare e tenere sotto controllo
unorganizzazione con riferimento ai rischi. [ISO/IEC Guide 73:2002]

3.15

trattamento del rischio: Processo di selezione e attuazione di misure per modificare il


rischio. [ISO/IEC Guide 73:2002]
Nota

Nella presente norma internazionale il termine "controllo" utilizzato come sinonimo di "misura", sia tecnica sia organizzativa.

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 4

BABEL SRL - 2009 - 582251 - eco

3.16
Nota

dichiarazione di applicabilit: Dichiarazione documentata che descrive gli obiettivi di controllo e i controlli pertinenti e applicabili al SGSI dellorganizzazione.
Gli obiettivi di controllo e i controlli sono basati sui risultati e le conclusioni dei processi di valutazione e trattamento del rischio, sulle prescrizioni legali o regolamentari, sugli obblighi contrattuali e sui requisiti derivanti dal business dellorganizzazione per la sicurezza delle informazioni.

4
4.1

SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI


Requisiti generali
Lorganizzazione deve stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare un SGSI documentato nel contesto del business complessivo dellorganizzazione e dei rischi che questa si trova ad affrontare. Per le finalit della presente norma internazionale il processo utilizzato basato sul modello PDCA illustrato in figura 1.

4.2
4.2.1

Stabilire e gestire il SGSI


Stabilire il SGSI
Lorganizzazione deve compiere quanto segue: a) Definire il campo di applicazione e i limiti del SGSI in riferimento alle caratteristiche del business, allorganizzazione, alla sua localizzazione, a beni e tecnologia adottata, includendo dettagli e motivazioni per ogni esclusione dal campo di applicazione (vedere punto 1.2). Definire una politica del SGSI, in riferimento alle caratteristiche del business, allorganizzazione, alla sua localizzazione, a beni e tecnologia adottata, la quale: 1) includa una struttura metodologica per fissare gli obiettivi e stabilisca un indirizzo generale e i principi di azione concernenti la sicurezza delle informazioni; 2) consideri i requisiti derivanti dal business e le prescrizioni legali o regolamentari, nonch gli obblighi contrattuali relativi alla sicurezza; 3) si allinei al contesto di gestione dei rischi strategici dellorganizzazione, allinterno del quale avranno luogo lattuazione e la manutenzione del SGSI; 4) stabilisca i criteri rispetto ai quali ponderare i rischi [vedere punto 4.2.1 c)]; e 5) sia approvata dalla direzione.
Nota

b)

Ai fini della presente norma internazionale la politica del SGSI considerata di livello superiore rispetto alla politica per la sicurezza delle informazioni. Dette politiche possono essere descritte in un unico documento. c) Definire lapproccio alla valutazione del rischio dellorganizzazione. 1) Identificare una metodologia di valutazione del rischio adeguata al SGSI e ai requisiti individuati per la sicurezza delle informazioni relative al business, nonch alle prescrizioni legali e regolamentari; 2) sviluppare criteri per accettare i rischi e identificare i livelli di rischio accettabili [vedere punto 5.1 f)]. La metodologia scelta per la valutazione del rischio deve assicurare che le valutazioni dei rischi forniscano risultati comparabili e riproducibili.

Nota

Esistono differenti metodologie per la valutazione del rischio. Esempi di metodologie vengono trattate nella ISO/IEC TR 13335-3, Information technology - Guidelines for the management of IT Security Techniques for the management of IT Security. d) Identificare i rischi. 1) Identificare i beni allinterno del campo di applicazione del SGSI e i responsabili2) di tali beni;

2)

Il termine "responsabile" identifica un individuo o entit in possesso di riconosciute responsabilit gestionali verso il controllo della produzione, dello sviluppo, della manutenzione, dellutilizzo e della sicurezza dei beni. Il termine "responsabile" non sottintende alcun diritto di propriet verso il bene. UNI CEI ISO/IEC 27001:2006 UNI Pagina 5

BABEL SRL - 2009 - 582251 - eco

2) identificare le minacce verso questi beni; 3) identificare le vulnerabilit che potrebbero essere sfruttate dalle minacce; e 4) identificare gli impatti che la perdita di riservatezza, integrit e disponibilit possono avere sui beni. e) Analizzare e ponderare i rischi. 1) valutare gli impatti sul business dellorganizzazione che potrebbero derivare da malfunzionamenti della sicurezza, tenendo in considerazione le conseguenze della perdita di riservatezza, integrit o disponibilit dei beni; 2) valutare una realistica possibilit di accadimento di malfunzionamenti della sicurezza alla luce delle minacce e vulnerabilit prevalenti e degli impatti associati a tali beni, nonch i controlli attualmente attuati; 3) stimare i livelli dei rischi; e 4) stabilire se i rischi siano accettabili o se richiedano un trattamento, utilizzando i criteri per accettare i rischi stabiliti al punto 4.2.1 c)2). f) Identificare e ponderare le opzioni per il trattamento dei rischi. Le azioni possibili includono: 1) applicare i controlli appropriati; 2) accettare i rischi in modo consapevole e obiettivo, purch soddisfino chiaramente le politiche dellorganizzazione e i criteri per laccettazione dei rischi [vedere punto 4.2.1 c)2)]; 3) evitare i rischi; e 4) trasferire i rischi associati al business ad altre parti, per esempio assicuratori e fornitori. g) Scegliere gli obiettivi di controllo e i controlli per il trattamento dei rischi. Gli obiettivi di controllo e i controlli devono essere selezionati e attuati al fine di soddisfare i requisiti identificati dai processi di valutazione e trattamento del rischio. Tale scelta deve tenere in considerazione i criteri per laccettazione dei rischi [vedere punto 4.2.1 c) 2)] cos come le prescrizioni legali, regolamentari e i requisiti contrattuali. Gli obiettivi di controllo e i controlli di cui allappendice A devono essere scelti come parte di questo processo, ove ritenuti adatti a soddisfare i requisiti identificati. Gli obiettivi di controllo e i controlli elencati nellappendice A non sono esaustivi e possono anche essere selezionati ulteriori obiettivi di controllo e controlli.
Nota

Lappendice A contiene una lista comprensiva di obiettivi di controllo e controlli generalmente individuati come significativi nelle organizzazioni. Si rinviano gli utenti della presente norma internazionale allappendice A quale punto di partenza per la selezione dei controlli al fine di assicurarsi che non venga trascurata nessuna importante opzione di controllo. h) i) j) Ottenere lapprovazione della direzione circa i rischi residui proposti. Ottenere lautorizzazione della direzione per attuare e condurre il SGSI. Predisporre una Dichiarazione di Applicabilit. Deve essere predisposta una Dichiarazione di Applicabilit che contenga quanto segue: 1) gli obiettivi di controllo e i controlli selezionati al punto 4.2.1 g) e le motivazioni per la loro selezione; 2) gli obiettivi di controllo e i controlli attualmente attuati [vedere punto 4.2.1 e) 2)]; e 3) lesclusione di qualunque obiettivo di controllo e controlli previsti nell'appendice A e la motivazione per la relativa esclusione.

Nota

La Dichiarazione di Applicabilit fornisce un sommario delle decisioni riguardanti il trattamento del rischio. Motivare le esclusioni fornisce la prova incrociata che nessun controllo sia stato omesso inavvertitamente.
Il termine "responsabile" identifica un individuo o entit in possesso di riconosciute responsabilit gestionali verso il controllo della produzione, dello sviluppo, della manutenzione, dellutilizzo e della sicurezza dei beni. Il termine "responsabile" non sottintende alcun diritto di propriet verso il bene. UNI CEI ISO/IEC 27001:2006 UNI Pagina 6

2)

BABEL SRL - 2009 - 582251 - eco

4.2.2

Attuare e condurre il SGSI


Lorganizzazione deve compiere le seguenti azioni: a) Formulare un piano di trattamento del rischio che identifichi le azioni gestionali appropriate, le risorse, le responsabilit e le priorit per gestire i rischi riguardanti la sicurezza delle informazioni (vedere punto 5). Attuare il piano di trattamento del rischio per conseguire gli obiettivi di controllo identificati, includendo considerazioni sulla relativa copertura economica, nonch sullattribuzione di ruoli e responsabilit. Attuare i controlli selezionati al punto 4.2.1 g) per conseguire gli obiettivi di controllo. Definire come misurare lefficacia dei controlli o di gruppi di controlli selezionati e specificare come tali misurazioni debbano essere utilizzate per valutare lefficacia dei controlli al fine di produrre risultati comparabili e riproducibili [vedere punto 4.2.3 c)]. Misurare lefficacia dei controlli permette alla direzione e al personale di stabilire il grado di capacit dei controlli nel conseguire gli obiettivi di controllo pianificati. e) f) g) h) Attuare programmi di formazione e addestramento e di sviluppo della consapevolezza (vedere punto 5.2.2). Gestire il funzionamento del SGSI. Gestire le risorse per il SGSI (vedere punto 5.2). Attuare procedure e altri controlli in grado di consentire una pronta individuazione degli eventi relativi alla sicurezza e la reazione agli incidenti relativi alla sicurezza [vedere punto 4.2.3 a)].

b)

c) d)

Nota

4.2.3

Monitorare e riesaminare il SGSI


Lorganizzazione deve compiere le seguenti azioni: a) Eseguire procedure di monitoraggio e di riesame, nonch altri controlli per: 1) individuare prontamente errori nei risultati delle elaborazioni; 2) identificare prontamente le violazioni relative alla sicurezza e gli incidenti, sia tentati sia riusciti; 3) dare la possibilit alla direzione di stabilire se le attivit relative alla sicurezza delegate alle persone o attuate attraverso tecnologie informatiche, si stanno svolgendo come atteso; 4) agevolare lindividuazione degli eventi relativi alla sicurezza e quindi prevenire incidenti relativi alla sicurezza, attraverso lutilizzo di indicatori; e 5) stabilire se le azioni intraprese per rimediare ad una violazione della sicurezza sono state efficaci. b) Svolgere dei riesami regolari sullefficacia del SGSI (includendo sia la conformit alla politica e il raggiungimento degli obiettivi del SGSI, sia il riesame dei controlli relativi alla sicurezza) tenendo in considerazione i risultati degli audit della sicurezza, gli incidenti, i risultati delle misurazioni dell'efficacia, i suggerimenti e le informazioni di ritorno di tutte le parti interessate. Misurare lefficacia dei controlli per verificare che i requisiti di sicurezza siano stati soddisfatti. Riesaminare le valutazioni del rischio a intervalli pianificati, riesaminare i rischi residui e i livelli accettabili di rischio residuo gi identificati, tenendo in considerazione i cambiamenti relativi a: 1) organizzazione; 2) tecnologia adottata; 3) obiettivi e processi relativi al business; 4) minacce identificate; 5) efficacia dei controlli attuati; e

c) d)

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 7

BABEL SRL - 2009 - 582251 - eco

6) eventi esterni, quali cambiamenti del quadro legale o regolamentare, variazioni degli obblighi contrattuali e cambiamenti nel clima sociale. e)
Nota

Condurre gli audit interni del SGSI a intervalli pianificati (vedere punto 6). Gli audit interni, talvolta denominati audit di prima parte, sono condotti dalla stessa organizzazione o per suo conto, esclusivamente per finalit interne.

f)

Effettuare un riesame da parte della direzione del SGSI a cadenza regolare per assicurarsi che il campo di applicazione rimanga adeguato e i miglioramenti dei processi del SGSI siano identificati (vedere punto 7.1). Aggiornare i piani per la sicurezza al fine di tenere in considerazione le risultanze emerse dalle attivit di monitoraggio e riesame. Registrare le azioni e gli eventi che potrebbero avere un impatto sullefficacia o sulle prestazioni del SGSI (vedere punto 4.3.3).

g) h)

4.2.4

Mantenere attivo, aggiornato e migliorare il SGSI


Lorganizzazione deve compiere regolarmente le seguenti azioni: a) b) Attuare i miglioramenti individuati allinterno del SGSI. Intraprendere le appropriate azioni correttive e preventive in conformit ai punti 8.2 e 8.3. Applicare gli insegnamenti in materia di sicurezza acquisiti dalle esperienze di altre organizzazioni e dellorganizzazione stessa. Comunicare le azioni e i miglioramenti a tutte le parti interessate con un livello di dettaglio appropriato alle situazioni e, se pertinente, accordarsi con le stesse su come procedere. Assicurarsi che i miglioramenti conseguano gli obiettivi prefissati.

c)

d)

4.3
4.3.1

Requisiti relativi alla documentazione


Generalit
La documentazione deve includere le registrazioni delle decisioni della direzione, assicurare che le azioni intraprese siano tracciabili a fronte delle decisioni della direzione e delle politiche e assicurare che i risultati registrati siano riproducibili. importante essere in grado di dimostrare la relazione tra i controlli selezionati e i risultati del processo di valutazione e di trattamento del rischio nonch, successivamente, rispetto alla politica e agli obiettivi del SGSI. La documentazione del SGSI deve includere: a) b) c) d) e) f) g) le dichiarazioni documentate della politica [vedere punto 4.2.1 b)] e degli obiettivi del SGSI; il campo di applicazione del SGSI [vedere punto 4.2.1 a)]; le procedure e i controlli a supporto del SGSI; una descrizione della metodologia della valutazione del rischio [vedere punto 4.2.1 c)]; il rapporto della valutazione del rischio [vedere punti da 4.2.1 c) a 4.2.1 g)]; il piano di trattamento del rischio [vedere punto 4.2.2 b)]; le procedure documentate necessarie allorganizzazione per assicurare lefficace pianificazione, loperativit e il controllo dei propri processi di sicurezza delle informazioni e per descrivere come misurare lefficacia dei controlli [vedere punto 4.2.3 c)]; le registrazioni richieste dalla presente norma internazionale (vedere punto 4.3.3); e la Dichiarazione di Applicabilit.

h) i)
Nota 1

Dove, nella presente norma internazionale, viene utilizzato il termine "procedura documentata", ci significa che tale procedura stabilita, documentata, attuata e mantenuta attiva. Lestensione della documentazione del SGSI pu variare da unorganizzazione allaltra a causa: della dimensione dellorganizzazione e della tipologia delle sue attivit; e del campo di applicazione, della complessit dei requisiti di sicurezza e del sistema in gestione.

Nota 2

Nota 3

I documenti e le registrazioni possono essere in ogni formato o tipo di supporto.


UNI CEI ISO/IEC 27001:2006 UNI Pagina 8

BABEL SRL - 2009 - 582251 - eco

4.3.2

Tenuta sotto controllo dei documenti


I documenti richiesti dal SGSI devono essere protetti e controllati. Deve essere stabilita una procedura documentata per definire le azioni di gestione necessarie a: a) b) c) d) e) f) approvare i documenti per ladeguatezza prima dell'emissione; riesaminare e aggiornare i documenti quando necessario e riapprovarli; assicurare che i cambiamenti e lo stato di revisione attuale dei documenti siano identificati; assicurare che le versioni pertinenti dei documenti applicabili siano disponibili nei luoghi di utilizzazione; assicurare che i documenti rimangano leggibili e prontamente identificabili; assicurare che i documenti siano a disposizione di chi ne ha bisogno e siano trasmessi, conservati e infine eliminati, nel rispetto delle procedure applicabili alla loro classificazione; assicurare che i documenti di origine esterna siano identificati; assicurare che la distribuzione dei documenti sia tenuta sotto controllo; prevenire lutilizzo involontario di documenti obsoleti; e adottare una loro adeguata identificazione qualora siano da conservare per un qualsiasi scopo.

g) h) i) j)

4.3.3

Tenuta sotto controllo delle registrazioni


Le registrazioni devono essere predisposte e conservate per fornire evidenza della conformit ai requisiti e delleffettivo funzionamento del SGSI. Esse devono essere protette e tenute sotto controllo. Il SGSI deve tenere in considerazione qualunque prescrizione legale o regolamentare pertinente e gli obblighi contrattuali. Le registrazioni devono rimanere leggibili, facilmente identificabili e tracciabili. Devono essere documentati e attuati i controlli necessari per lidentificazione, larchiviazione, la protezione, la reperibilit, la definizione della durata di conservazione e le modalit di eliminazione delle registrazioni. Vanno conservate registrazioni riguardanti le prestazioni del processo come sottolineato al punto 4.2, oltre che di tutti gli incidenti significativi relativi alla sicurezza collegabili al SGSI. Esempio: Esempi di registrazioni sono un registro dei visitatori, i rapporti di audit e i moduli di autorizzazione allaccesso compilati.

5
5.1

RESPONSABILIT DELLA DIREZIONE


Impegno della direzione
La direzione deve fornire evidenza del suo impegno per stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare il SGSI: a) b) c) d) stabilendo una politica relativa al SGSI; assicurando che siano definiti gli obiettivi e i piani del SGSI; definendo ruoli e responsabilit per la sicurezza delle informazioni; comunicando allorganizzazione limportanza di conseguire gli obiettivi per la sicurezza delle informazioni e mantenendo la conformit alla politica per la sicurezza delle informazioni, alle proprie responsabilit legali e alle esigenze di miglioramento continuo; fornendo sufficienti risorse per stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare il SGSI (vedere punto 5.2.1); decidendo i criteri per laccettazione dei rischi e i livelli di rischio accettabili; assicurando che gli audit interni del SGSI vengano effettuati (vedere punto 6); e conducendo i riesami da parte della direzione del SGSI (vedere punto 7).

e) f) g) h)

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 9

BABEL SRL - 2009 - 582251 - eco

5.2
5.2.1

Gestione delle risorse


Messa a disposizione delle risorse
Lorganizzazione deve stabilire e fornire le risorse necessarie per: a) b) c) d) e) f) stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare un SGSI; assicurare che le procedure per la sicurezza delle informazioni supportino i requisiti relativi al business; identificare e prendere in considerazione le prescrizioni legali e regolamentari, nonch gli obblighi contrattuali per la sicurezza; mantenere un livello di sicurezza adeguato tramite la corretta applicazione di tutti i controlli attuati; condurre riesami, quando necessario, e prendere provvedimenti appropriati a fronte dei risultati di tali riesami; e migliorare, ove richiesto, lefficacia del SGSI.

5.2.2

Formazione e addestramento, consapevolezza e competenza


Lorganizzazione deve assicurare che tutto il personale, a cui vengano assegnate responsabilit definite allinterno del SGSI, sia competente per svolgere i compiti richiesti: a) b) c) d) stabilendo le competenze del personale necessarie a effettuare lavori aventi effetto sul SGSI; fornendo formazione e addestramento o intraprendendo altre azioni (per esempio, impiegando personale competente) per soddisfare tali necessit; valutando lefficacia delle azioni intraprese; e conservando registrazioni circa listruzione, formazione e addestramento, abilit, esperienza e qualifiche (vedere punto 4.3.3).

Lorganizzazione deve inoltre assicurare che tutto il personale interessato sia consapevole della rilevanza e dellimportanza delle proprie attivit collegate alla sicurezza delle informazioni e di come esso contribuisca al conseguimento degli obiettivi del SGSI.

AUDIT INTERNI DEL SGSI


Lorganizzazione deve condurre gli audit interni del SGSI ad intervalli pianificati per stabilire se gli obiettivi di controllo, i controlli, i processi e le procedure del proprio SGSI siano: a) b) c) d) conformi ai requisiti della presente norma internazionale e alle leggi o regolamenti pertinenti; conformi ai requisiti identificati per la sicurezza delle informazioni; efficacemente realizzati e mantenuti attivi e aggiornati; e funzionanti secondo le attese.

Deve essere pianificato un programma di audit considerando lo stato e limportanza dei processi e delle aree da sottoporre ad audit, cos come i risultati degli audit precedenti. Devono essere definiti i criteri, il campo di applicazione, la frequenza e i metodi dellaudit. La scelta degli auditor e la conduzione degli audit devono assicurare l'obiettivit e l'imparzialit del processo di audit stesso. Gli auditor non devono sottoporre ad audit il proprio lavoro. Devono essere definiti, allinterno di procedure documentate, le responsabilit e i requisiti per pianificare e condurre gli audit, nonch per riportarne i risultati e conservare le registrazioni (vedere punto 4.3.3).

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 10

BABEL SRL - 2009 - 582251 - eco

La direzione, responsabile dellarea sottoposta ad audit, deve assicurare che tutte le azioni per eliminare le non conformit individuate e le loro cause, siano intraprese senza indebiti ritardi. Le attivit successive devono includere la verifica delle azioni intraprese e la segnalazione dei risultati della verifica (vedere punto 8).
Nota

La ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, pu fornire unutile guida per condurre gli audit interni del SGSI.

7
7.1

RIESAME DEL SGSI DA PARTE DELLA DIREZIONE


Generalit
La direzione deve riesaminare il SGSI dellorganizzazione a intervalli pianificati (almeno una volta allanno) per assicurare la sua continua idoneit, adeguatezza ed efficacia. Tale riesame deve includere la valutazione delle opportunit per il miglioramento e lesigenza di apportare cambiamenti al SGSI, ivi compresi la politica per la sicurezza delle informazioni e gli obiettivi della stessa. I risultati dei riesami devono essere chiaramente documentati e le registrazioni devono essere conservate (vedere punto 4.3.3).

7.2

Elementi in ingresso per il riesame


Gli elementi in ingresso a un riesame da parte della direzione devono includere: a) b) c) d) e) f) g) h) i) risultati di audit e riesami del SGSI; informazioni di ritorno dalle parti interessate; tecniche, prodotti o procedure che potrebbero essere utilizzati allinterno dellorganizzazione per migliorare le prestazioni e lefficacia del SGSI; stato delle azioni preventive e correttive; vulnerabilit o minacce non adeguatamente considerate nella precedente valutazione del rischio; risultati delle misurazioni dellefficacia; azioni successive ai precedenti riesami da parte della direzione; ogni cambiamento che potrebbe aver effetto sul SGSI; e raccomandazioni per il miglioramento.

7.3

Elementi in uscita dal riesame


Gli elementi in uscita dal riesame da parte della direzione devono includere ogni decisione e azione collegata a: a) b) c) miglioramento dellefficacia del SGSI; aggiornamento dei piani di valutazione e trattamento del rischio; modifiche a procedure e controlli che hanno effetto sulla sicurezza delle informazioni, nella misura necessaria per rispondere ad eventi interni o esterni che possono avere impatto sul SGSI, inclusi cambiamenti riguardanti: 1) requisiti derivanti dal business, 2) requisiti di sicurezza, 3) processi relativi al business che hanno effetto sui requisiti esistenti relativi alle predette attivit, 4) prescrizioni legali o regolamentari, 5) obblighi contrattuali, e 6) livelli di rischio e/o criteri di accettazione dei rischi; d) e) esigenze di risorse; miglioramento del metodo di misurazione dellefficacia dei controlli.

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 11

BABEL SRL - 2009 - 582251 - eco

8
8.1

MIGLIORAMENTO DEL SGSI


Miglioramento continuo
Lorganizzazione deve continuamente migliorare lefficacia del SGSI mediante lutilizzo della politica e degli obiettivi per la sicurezza delle informazioni, dei risultati degli audit, dellanalisi degli eventi monitorati, nonch delle azioni correttive e preventive e del riesame da parte della direzione (vedere punto 7).

8.2

Azioni correttive
Lorganizzazione deve agire per eliminare le cause di non conformit ai requisiti del SGSI al fine di prevenirne la ripetizione. La procedura documentata per le azioni correttive deve definire i requisiti per: a) b) c) d) e) f) identificare le non conformit; stabilire le cause di non conformit; valutare lesigenza di azioni che escludano il ripetersi delle non conformit; stabilire e attuare le azioni correttive necessarie; registrare i risultati delle azioni intraprese (vedere punto 4.3.3); e riesaminare le azioni correttive intraprese.

8.3

Azioni preventive
Lorganizzazione deve stabilire le azioni per eliminare le cause di potenziali non conformit ai requisiti del SGSI al fine di prevenire il loro verificarsi. Le azioni preventive intraprese devono essere commisurate allimpatto dei potenziali problemi. La procedura documentata per le azioni preventive deve definire i requisiti per: a) b) c) d) e) identificare le potenziali non conformit e le loro cause; valutare lesigenza di intraprendere azioni per prevenire il verificarsi di non conformit; stabilire e attuare le azioni preventive necessarie; registrare i risultati delle azioni intraprese (vedere punto 4.3.3); e riesaminare le azioni preventive intraprese.

Lorganizzazione deve identificare i cambiamenti nei rischi e i requisiti per le azioni preventive, con particolare attenzione ai rischi che sono cambiati in modo significativo. La priorit delle azioni preventive deve essere stabilita in base ai risultati della valutazione del rischio.
Nota

Gli interventi per prevenire le non conformit sono spesso pi economici delle azioni necessarie per correggerle.

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 12

BABEL SRL - 2009 - 582251 - eco

APPENDICE (normativa)

A OBIETTIVI DI CONTROLLO E CONTROLLI


Gli obiettivi di controllo e i controlli elencati nel prospetto A.1 sono direttamente derivati da e allineati con la ISO/IEC 17799:2005, punti da 5 a 15. Gli elenchi nel prospetto A.1 non sono esaustivi e un'organizzazione pu considerare obiettivi di controllo e controlli addizionali se necessari. Gli obiettivi di controllo e i controlli previsti da questi prospetti devono essere selezionati come parte del processo del SGSI descritto nel punto 4.2.1. I punti da 5 a 15 della ISO/IEC 17799:2005 forniscono consigli circa lattuazione e una guida relativa alle migliori prassi per supportare i controlli specificati nei punti da A.5 ad A.15.

prospetto

A.1

Obiettivi di controllo e controlli

A.5 Politica per la sicurezza A.5.1 Politica per la sicurezza delle informazioni Obiettivo : Fornire gli indirizzi e il supporto della direzione per la sicurezza delle informazioni in conformit ai requisiti del business e alle leggi e regolamenti pertinenti. A.5.1.1 Documento relativo alla politica per la sicurezza delle informazioni Controllo Un documento relativo alla politica per la sicurezza delle informazioni deve essere approvato dalla direzione, pubblicato e trasmesso a tutti i dipendenti, nonch alle terze parti interessate. Controllo La politica per la sicurezza delle informazioni deve essere riesaminata a intervalli prestabiliti o in concomitanza di cambiamenti significativi, per assicurare la sua continua idoneit, adeguatezza ed efficacia.

A.5.1.2

Riesame della politica per la sicurezza delle informazioni

A.6 Organizzazione della sicurezza delle informazioni A.6.1 Organizzazione interna Obiettivo : Gestire la sicurezza delle informazioni allinterno dellorganizzazione. A.6.1.1 Impegno della direzione per la sicurezza delle Controllo informazioni La direzione deve supportare attivamente la sicurezza dellorganizzazione, attraverso un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilit relative alla sicurezza delle informazioni. Coordinamento della sicurezza delle informazioni Controllo Le attivit di sicurezza delle informazioni devono essere coordinate da rappresentanti di diverse parti dellorganizzazione, che ricoprono ruoli e funzioni pertinenti.

A.6.1.2

A.6.1.3

Assegnazione delle responsabilit di sicurezza Controllo delle informazioni Tutte le responsabilit per la sicurezza delle informazioni devono essere chiaramente definite. Processo di autorizzazione per le strutture di elaborazione delle informazioni Accordi di riservatezza Controllo Deve essere definito e attuato un processo di autorizzazione della direzione per le nuove strutture di elaborazione delle informazioni. Controllo I requisiti per la riservatezza o gli accordi di non divulgazione, che rispecchiano le esigenze dellorganizzazione per la protezione delle informazioni, devono essere identificati e regolarmente riesaminati. Controllo Devono essere mantenuti appropriati contatti con le autorit pertinenti. Controllo Devono essere mantenuti appropriati contatti con gruppi di interesse specifico o con altri forum specifici per la sicurezza e associazioni professionali. Controllo Lapproccio dellorganizzazione per la gestione della sicurezza delle informazioni e la sua attuazione (cio obiettivi di controllo, controlli, politiche, processi e procedure per la sicurezza delle informazioni) deve essere riesaminato indipendentemente a intervalli prestabiliti, oppure quando si verificano significativi cambiamenti nella attuazione della sicurezza.

A.6.1.4

A.6.1.5

A.6.1.6 A.6.1.7

Contatti con le autorit Contatti con gruppi di interesse specifico

A.6.1.8

Riesame indipendente della sicurezza delle informazioni

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 13

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)

A.6.2 Parti esterne Obiettivo : Mantenere la sicurezza delle informazioni dellorganizzazione e delle strutture di elaborazione delle informazioni oggetto di accessi, elaborate, comunicate a o gestite da parti esterne. A.6.2.1 Identificazione dei rischi derivanti da parti esterne Controllo Devono essere identificati i rischi per le informazioni dellorganizzazione e per le strutture di elaborazione delle informazioni, derivanti da processi inerenti il business che coinvolgono parti esterne. Vanno realizzati gli appropriati controlli prima di consentire gli accessi. Controllo Devono essere considerati tutti i requisiti di sicurezza identificati prima di concedere ai clienti laccesso a informazioni o beni dellorganizzazione. Controllo Gli accordi con terze parti che prevedono accesso, elaborazione, comunicazione o gestione delle informazioni o delle strutture di elaborazione delle informazioni dell'organizzazione, o ancora laggiunta di prodotti o servizi alle strutture di elaborazione delle informazioni, devono considerare tutti i requisiti di sicurezza pertinenti.

A.6.2.2

Sicurezza nel trattare con i clienti

A.6.2.3

Sicurezza negli accordi con terze parti

A.7 Gestione dei beni A.7.1 Responsabilit dei beni Obiettivo : Conseguire e mantenere attiva unadeguata protezione dei beni dellorganizzazione. A.7.1.1 Inventario dei beni Controllo Tutti i beni devono essere chiaramente identificati e deve essere compilato e mantenuto aggiornato un inventario di tutti i beni importanti. Controllo Tutte le informazioni e i beni associati alle strutture di elaborazione delle informazioni devono essere sotto la "responsabilit"3) di una parte designata dellorganizzazione. Controllo Le regole per un utilizzo accettabile delle informazioni e dei beni associati alle strutture di elaborazione delle informazioni, devono essere identificate, documentate e attuate.

A.7.1.2

Responsabilit dei beni

A.7.1.3

Utilizzo accettabile dei beni

A.7.2 Classificazione delle informazioni Obiettivo : Assicurare che le informazioni ricevano un adeguato livello di protezione. A.7.2.1 Linee guida per la classificazione Controllo Le informazioni devono essere classificate in base al loro valore, alle prescrizioni legali, alla sensibilit e criticit nei confronti dellorganizzazione. Controllo Deve essere sviluppato e attuato un appropriato insieme di procedure per letichettatura e il trattamento delle informazioni, in base allo schema di classificazione adottato dallorganizzazione.

A.7.2.2

Etichettatura e trattamento delle informazioni

3)

Spiegazione: Il termine "responsabile" identifica un individuo o entit in possesso di riconosciute responsabilit gestionali verso il controllo della produzione, dello sviluppo, della manutenzione, dellutilizzo e della sicurezza dei beni. Il termine "responsabile" non sottintende alcun diritto di propriet verso il bene. UNI Pagina 14

UNI CEI ISO/IEC 27001:2006

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)

A.8 Sicurezza delle risorse umane A.8.1 Prima dellimpiego 4) Obiettivo : Assicurare che i dipendenti, i collaboratori e gli utenti di terze parti comprendano le loro responsabilit e siano idonei a ricoprire i ruoli per cui sono presi in considerazione, nonch ridurre il rischio di furto, frode o utilizzo improprio delle strutture. A.8.1.1 Ruoli e responsabilit Controllo I ruoli e le responsabilit per la sicurezza di dipendenti, collaboratori e utenti di terze parti devono essere definiti e documentati conformemente alla politica per la sicurezza delle informazioni dellorganizzazione. Controllo Devono essere effettuate verifiche sul profilo di tutti i candidati all'impiego, dei collaboratori e degli utenti di terze parti, conformemente alla legislazione e ai regolamenti pertinenti, nonch dei principi etici. Tali verifiche devono essere proporzionate ai requisiti derivanti dal business, alla classificazione delle informazioni cui si deve accedere e ai rischi percepiti. Controllo Dipendenti, collaboratori e utenti di terze parti, come parte dei loro obblighi contrattuali, devono accettare e sottoscrivere i termini e le condizioni del loro contratto di impiego, che deve precisare le loro responsabilit e quelle dellorganizzazione circa la sicurezza delle informazioni.

A.8.1.2

Profilo del personale (Screening)

A.8.1.3

Termini e condizioni dimpiego

A.8.2 Durante limpiego Obiettivo : Assicurare che tutti i dipendenti, i collaboratori e gli utenti di terze parti, siano consapevoli delle minacce e delle preoccupazioni relative alla sicurezza delle informazioni, delle loro responsabilit verso l'organizzazione e verso la legge, e che siano messi in grado di supportare la politica per la sicurezza dellorganizzazione durante lo svolgimento della loro normale attivit lavorativa, nonch di ridurre il rischio di errore umano. A.8.2.1 Responsabilit della direzione Controllo La direzione deve richiedere che i dipendenti, i collaboratori e gli utenti di terze parti applichino le norme di sicurezza nel rispetto delle politiche e delle procedure vigenti nellorganizzazione.

A.8.2.2

Consapevolezza, formazione e addestramento Controllo per la sicurezza delle informazioni Tutti i dipendenti dellorganizzazione e, ove opportuno, i collaboratori e gli utenti di terze parti, devono ricevere adeguati formazione e addestramento orientati alla consapevolezza e aggiornamenti regolari sulle politiche e sulle procedure organizzative, come necessario in base alla loro funzione lavorativa. Processi disciplinari Controllo Deve esistere un processo disciplinare formale per gli impiegati che hanno commesso una violazione della sicurezza.

A.8.2.3

A.8.3 Interruzione o variazione dimpiego Obiettivo : Assicurare che i dipendenti, i collaboratori e gli utenti di terze parti lascino lorganizzazione o varino il loro impiego in modo ordinato. A.8.3.1 Responsabilit di interruzione del rapporto di lavoro Restituzione dei beni Controllo Le responsabilit per interrompere o variare un impiego devono essere chiaramente definite e assegnate. Controllo Tutti i dipendenti, i collaboratori e gli utenti di terze parti devono restituire ogni bene dellorganizzazione in loro possesso al termine del loro contratto o accordo dimpiego. Controllo I diritti di accesso alle informazioni e alle strutture di elaborazione delle informazioni di tutti i dipendenti, i collaboratori e gli utenti di terze parti, devono essere rimossi al termine dellimpiego, contratto o accordo, oppure essere modificati in caso di variazione dello stesso.

A.8.3.2

A.8.3.3

Rimozione dei diritti di accesso

4)

Spiegazione: Il termine "impiego" qui riferito alle seguenti situazioni: impiego del personale (temporaneo o a pi lunga durata), incarico per ruoli lavorativi, modifica dei ruoli lavorativi, assegnazione di contratti e interruzione di ognuno dei suddetti accordi.

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 15

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)

A.9 Sicurezza fisica e ambientale A.9.1 Aree sicure Obiettivo : Prevenire laccesso fisico non autorizzato, il danneggiamento e le interferenze verso i locali e le informazioni dellorganizzazione. A.9.1.1 Perimetro di sicurezza fisica Controllo Devono essere utilizzati perimetri di sicurezza (barriere fisiche come muri, punti di accesso basati su tessere magnetiche o punti di accoglienza presidiati dal personale) al fine di proteggere le aree che contengono informazioni e le strutture di elaborazione delle medesime. Controllo Le aree sicure devono essere protette da adeguati controlli di accesso per assicurare che sia permesso lingresso solo a personale autorizzato. Controllo Deve essere progettata e realizzata la sicurezza fisica degli uffici, dei locali e delle strutture. Controllo Devono essere progettate e realizzate protezioni fisiche contro i danni derivanti da incendi, allagamenti, terremoti, esplosioni, agitazioni popolari e altre forme di disastri naturali o causati dalluomo. Controllo Devono essere progettate e realizzate delle protezioni fisiche e delle linee guida per lavorare in aree sicure. Controllo I punti di accesso, come le aree di carico e scarico e altri punti attraverso i quali le persone non autorizzate possono accedere ai locali, devono essere controllati e, se possibile, isolati dalle strutture di elaborazione delle informazioni per evitare accessi non autorizzati.

A.9.1.2

Controlli di accesso fisico

A.9.1.3

Rendere sicuri uffici, locali e strutture

A.9.1.4

Protezione contro minacce esterne e ambientali

A.9.1.5

Lavoro in aree sicure

A.9.1.6

Aree pubbliche di accesso, carico e scarico

A.9.2 Sicurezza delle apparecchiature Obiettivo : Prevenire la perdita, il danneggiamento, il furto o la compromissione di beni e linterruzione delle attivit dellorganizzazione. A.9.2.1 Disposizione delle apparecchiature e loro protezione Controllo Le apparecchiature devono essere disposte o protette al fine di ridurre i rischi derivanti dalle minacce e dai pericoli ambientali, oltre che dalle occasioni di accesso non autorizzato. Controllo Le apparecchiature vanno protette da malfunzionamenti alla rete elettrica dalimentazione e da altri disservizi causati dai malfunzionamenti dei servizi ausiliari. Controllo I cablaggi per lalimentazione elettrica e per le telecomunicazioni adibiti al trasporto di dati o a supporto dei servizi informativi, devono essere protetti da possibili intercettazioni o danneggiamento. Controllo Le apparecchiature devono essere correttamente manutenute per assicurare la loro continua disponibilit e integrit. Controllo Devono essere previste misure di sicurezza per le apparecchiature fuori sede, considerando i diversi rischi derivanti dalloperare allesterno dei locali dellorganizzazione. Controllo Tutte le apparecchiature contenenti supporti di memorizzazione devono essere controllate per assicurare che ogni dato sensibile o il software concesso in licenza, sia rimosso o sovrascritto in modo sicuro prima della dismissione. Controllo Apparecchiature, informazioni o software non devono essere trasferiti allesterno del sito senza una preventiva autorizzazione.

A.9.2.2

Infrastrutture di supporto

A.9.2.3

Sicurezza dei cablaggi

A.9.2.4

Manutenzione delle apparecchiature

A.9.2.5

Sicurezza delle apparecchiature allesterno dellorganizzazione

A.9.2.6

Dismissione o riutilizzo sicuri delle apparecchiature

A.9.2.7

Trasferimento di propriet

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 16

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)

A.10 Gestione delle comunicazioni e dell'operativit A.10.1 Procedure operative e responsabilit Obiettivo : Assicurare la sicura e corretta operativit delle strutture di elaborazione delle informazioni. A.10.1.1 Procedure operative documentate Controllo Le procedure operative devono essere documentate, mantenute attive e aggiornate, nonch rese disponibili a tutti gli utenti che ne hanno bisogno. Controllo I cambiamenti apportati alle strutture di elaborazione delle informazioni e ai sistemi devono essere controllati. Controllo I compiti e le aree di responsabilit devono essere separati al fine di ridurre le occasioni di modifica non autorizzata o incidentale o ancora lutilizzo improprio dei beni dellorganizzazione. Controllo Le strutture di sviluppo, di test e operative devono essere separate per ridurre i rischi di accessi o cambiamenti non autorizzati ai sistemi in funzione.

A.10.1.2

Tenuta sotto controllo dei cambiamenti

A.10.1.3

Separazione dei compiti

A.10.1.4

Separazione delle strutture di sviluppo, di test****) e operative

A.10.2 Gestione dellerogazione di servizi di terze parti Obiettivo : Attuare e mantenere il livello appropriato di sicurezza delle informazioni ed erogazione dei servizi in linea con gli accordi di erogazione di servizi di terza parte. A.10.2.1 Erogazione di servizi Controllo Deve essere assicurato che i controlli per la sicurezza, le definizioni di servizio e i livelli di erogazione, inclusi nellaccordo di erogazione di servizi di terze parti, siano attuati, condotti e mantenuti attivi da dette terze parti.

A.10.2.2

Monitoraggio e riesame dei servizi di terze parti Controllo Servizi, rapporti e registrazioni forniti da terze parti devono essere regolarmente monitorati e riesaminati, e gli audit devono essere effettuati regolarmente. Gestione dei cambiamenti dei servizi di terza parte Controllo I cambiamenti relativi alla fornitura dei servizi, inclusi il mantenimento e il miglioramento delle politiche, delle procedure e dei controlli esistenti per la sicurezza delle informazioni, devono essere gestiti tenendo in considerazione la criticit dei sistemi relativi al business e dei processi coinvolti, nonch della ri-valutazione dei rischi.

A.10.2.3

A.10.3 Pianificazione e approvazione dei sistemi Obiettivo : Minimizzare il rischio di malfunzionamenti dei sistemi. A.10.3.1 Gestione della capacit Controllo Lutilizzo di risorse deve essere monitorato e regolato, inoltre devono essere effettuate proiezioni sulle future esigenze di capacit al fine di assicurare le prestazioni richieste ai sistemi. Controllo Devono essere stabiliti criteri di approvazione per nuovi sistemi informativi, aggiornamenti e nuove versioni; inoltre, devono essere effettuati adeguati test del sistema in fase di sviluppo e prima dellapprovazione.

A.10.3.2

Approvazione dei sistemi

****)

Nota nazionale - Si ritenuto opportuna lintroduzione dei neologismi "test" e "testare" - al posto del termine "prova" e della locuzione "sottoporre a prova", tipiche nel caso della valutazione della conformit di prodotti - al fine di valorizzare la specificit del settore informatico, dove il processo di "test", oltre alla verifica del rispetto dei requisiti/specifiche, intrinsecamente correlato al concetto di verifica del corretto funzionamento (validazione, debugging).

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 17

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)

A.10.4 Protezione contro software dannosi e codici autoeseguibili Obiettivo : Proteggere lintegrit del software e delle informazioni. A.10.4.1 Controlli contro software dannosi Controllo Devono essere realizzati controlli di individuazione, prevenzione e ripristino per proteggersi contro software dannosi e si devono realizzare adeguate procedure per rendere consapevoli gli utenti. Controllo Ovunque sia autorizzato lutilizzo di codice autoeseguibile, la configurazione deve assicurare che questo agisca nel rispetto di una politica per la sicurezza chiaramente definita, mentre il codice autoeseguibile non autorizzato deve essere escluso dallesecuzione.

A.10.4.2

Controlli contro codici autoeseguibili

A.10.5 Back-up Obiettivo : Mantenere lintegrit e la disponibilit delle informazioni e delle strutture di elaborazione delle informazioni. A.10.5.1 Back-up delle informazioni Controllo Si devono creare e testare regolarmente, copie di back-up delle informazioni e del software conformemente alla politica per il back-up stabilita.

A.10.6 Gestione della sicurezza della rete Obiettivo : Assicurare la salvaguardia delle informazioni nelle reti e la protezione delle infrastrutture di supporto. A.10.6.1 Controlli di rete Controllo Le reti devono essere adeguatamente gestite e controllate al fine di essere protette dalle minacce e di mantenere la sicurezza dei sistemi e delle applicazioni che utilizzano la rete, incluse le informazioni in transito. Controllo Le caratteristiche di sicurezza, i livelli di servizio e i requisiti gestionali di tutti i servizi di rete devono essere identificati e inclusi in qualunque accordo sui servizi di rete, interni o affidati allesterno.

A.10.6.2

Sicurezza dei servizi di rete

A.10.7 Trattamento dei supporti Obiettivo : Prevenire la divulgazione non autorizzata, la modifica, la rimozione o la distruzione di beni e interruzioni del business. A.10.7.1 A.10.7.2 Gestione dei supporti rimovibili Dismissione dei supporti Controllo Devono essere in vigore delle procedure per la gestione dei supporti rimovibili. Controllo La dismissione dei supporti non pi necessari deve avvenire in modo sicuro, attraverso lutilizzo di procedure formali. Controllo Devono essere stabilite delle procedure per il trattamento e la memorizzazione delle informazioni, al fine di proteggerle da divulgazione non autorizzata o utilizzi impropri. Controllo La documentazione di sistema deve essere protetta da accessi non autorizzati.

A.10.7.3

Procedure di trattamento delle informazioni

A.10.7.4

Sicurezza della documentazione di sistema

A.10.8 Trasmissione delle informazioni Obiettivo : Mantenere la sicurezza delle informazioni e del software trasmesso allinterno dellorganizzazione e allesterno. A.10.8.1 Politiche e procedure di trasmissione delle informazioni Controllo Devono essere in vigore politiche, procedure e controlli formali per proteggere la trasmissione delle informazioni, indipendentemente dalla struttura di comunicazione utilizzata. Controllo Devono essere stabiliti accordi per la trasmissione di informazioni e software tra lorganizzazione e le parti esterne. Controllo I supporti che contengono informazioni devono essere protetti da accessi non autorizzati, utilizzi impropri o manomissioni durante il trasporto allesterno del perimetro fisico dellorganizzazione.

A.10.8.2

Accordi per la trasmissione

A.10.8.3

Trasporto dei supporti fisici

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 18

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)


Controllo Le informazioni collegate ai servizi di messaggistica elettronica devono essere appropriatamente protette. Controllo Si devono sviluppare e attuare politiche e procedure per proteggere le informazioni associate allinterconnessione dei sistemi informativi relativi al business.

A.10.8.4

Messaggistica elettronica

A.10.8.5

Sistemi informativi relativi al business

A.10.9 Servizi di commercio elettronico Obiettivo : Assicurare la sicurezza dei servizi di commercio elettronico e il loro utilizzo sicuro. A.10.9.1 Commercio elettronico Controllo Le informazioni di commercio elettronico, in transito su reti pubbliche, devono essere protette da attivit fraudolente, dispute contrattuali e divulgazione o modifica non autorizzate. Controllo Le informazioni relative a transazioni on-line devono essere protette al fine di prevenire trasmissioni incomplete, errori di instradamento, alterazione non autorizzata del messaggio, divulgazione non autorizzata, duplicazione non autorizzata del messaggio o attacco di tipo "replay". Controllo Lintegrit delle informazioni messe a disposizione su sistemi accessibili al pubblico deve essere protetta al fine di prevenire modifiche non autorizzate.

A.10.9.2

Transazioni on-line

A.10.9.3

Informazioni disponibili al pubblico

A.10.10 Monitoraggio Obiettivo : Individuare le attivit di elaborazione delle informazioni non autorizzate. A.10.10.1 Log di audit Controllo I log di audit che registrano attivit degli utenti, condizioni eccezionali ed eventi relativi alla sicurezza delle informazioni, devono essere generati e mantenuti aggiornati per un periodo di tempo prestabilito per essere daiuto a future attivit investigative e per monitorare il controllo degli accessi. Controllo Devono essere stabilite procedure per monitorare lutilizzo delle strutture di elaborazione delle informazioni e i risultati delle attivit di monitoraggio devono essere riesaminati regolarmente. Controllo Le strutture e le informazioni di logging devono essere protette contro lalterazione e laccesso non autorizzato. Controllo Le attivit degli amministratori di sistema e degli operatori devono essere registrate cronologicamente. Controllo Gli errori devono essere registrati cronologicamente, analizzati e devono essere intraprese le azione appropriate. Controllo Gli orologi di tutti i sistemi di elaborazione delle informazioni pertinenti, allinterno dellorganizzazione o di un dominio di sicurezza, devono essere sincronizzati con una sorgente accurata e predefinita.

A.10.10.2

Monitoraggio dellutilizzo dei sistemi

A.10.10.3

Protezione dei log

A.10.10.4

Log degli amministratori e degli operatori

A.10.10.5

Log degli errori

A.10.10.6

Sincronizzazione degli orologi

A.11 Controllo degli accessi A.11.1 Requisiti relativi al business per il controllo degli accessi Obiettivo : Controllare gli accessi alle informazioni. A.11.1.1 Politica per la tenuta sotto controllo degli accessi Controllo Deve essere stabilita, documentata e riesaminata una politica relativa alla tenuta sotto controllo degli accessi, basata sui requisiti di sicurezza e riguardanti il business ai fini dellaccesso.

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 19

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)

A.11.2 Gestione dellaccesso degli utenti Obiettivo : Assicurare laccesso ai sistemi informativi agli utenti autorizzati e prevenire gli accessi non autorizzati. A.11.2.1 Registrazione degli utenti Controllo Deve esistere una procedura formale per la registrazione degli utenti e la cancellazione della stessa, ai fini della concessione e della revoca dellaccesso a tutti i sistemi e servizi informativi. Controllo Lassegnazione e lutilizzo dei privilegi devono essere limitati e sotto controllo. Controllo Lassegnazione delle password deve essere controllata attraverso un processo di gestione formale. Controllo La direzione deve condurre, a intervalli regolari, un processo formale per riesaminare i diritti di accesso degli utenti.

A.11.2.2 A.11.2.3

Gestione dei privilegi Gestione delle password degli utenti

A.11.2.4

Riesame dei diritti di accesso degli utenti

A.11.3 Responsabilit degli utenti Obiettivo : Prevenire laccesso non autorizzato di utenti e la compromissione o il furto di informazioni e strutture di elaborazione di informazioni. A.11.3.1 Utilizzo delle password Controllo Gli utenti devono seguire istruzioni di sicurezza valide per la scelta e l'utilizzo delle password. Controllo Gli utenti devono assicurare che le apparecchiature incustodite siano appropriatamente protette. Controllo Devono essere adottate sia una politica di "scrivania pulita" per il cartaceo e i supporti di memorizzazione rimovibili, sia una politica di "schermo pulito" per le strutture di elaborazione delle informazioni.

A.11.3.2

Apparecchiature incustodite degli utenti

A.11.3.3

Politica di schermo e scrivania puliti

A.11.4 Controllo degli accessi alla rete Obiettivo : Proteggere i servizi di rete dagli accessi non autorizzati. A.11.4.1 Politica per lutilizzo dei servizi di rete Controllo Gli utenti devono avere accesso diretto solamente ai servizi che sono stati specificatamente autorizzati ad utilizzare. Controllo Devono essere utilizzati appropriati metodi di autenticazione per controllare laccesso remoto degli utenti. Controllo Per autenticare le connessioni da locazioni e apparecchiature specifiche deve essere considerata lidentificazione automatica di queste ultime. Controllo Deve essere controllato laccesso fisico e logico alle porte per la diagnostica remota e la configurazione. Controllo I gruppi di servizi informativi, di utenti e di sistemi informativi, devono essere separati in reti. Controllo Per le reti condivise, in particolar modo quelle che si estendono attraverso il perimetro dellorganizzazione, la capacit degli utenti di connettersi alla rete deve essere limitata, in linea con la politica per il controllo degli accessi e con i requisiti delle applicazioni per il business (vedere punto 11.1). Controllo I controlli di instradamento di rete devono essere realizzati per assicurare che le connessioni informatiche e i flussi di informazioni, non violino la politica per il controllo degli accessi inerente alle applicazioni per il business.

A.11.4.2

Autenticazione dellutente per le connessioni esterne Autenticazione dellapparecchiatura in rete

A.11.4.3

A.11.4.4

Protezione delle porte per la diagnostica remota e la configurazione Separazione in reti

A.11.4.5

A.11.4.6

Controllo di connessione della rete

A.11.4.7

Controllo di instradamento di rete

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 20

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)

A.11.5 Controllo degli accessi al sistema operativo Obiettivo : Prevenire gli accessi non autorizzati ai sistemi operativi. A.11.5.1 Procedure di log-on sicure Controllo Laccesso ai sistemi operativi deve essere controllato da una procedura di log-on sicura. Controllo Tutti gli utenti devono possedere un identificativo unico (user ID) per il loro utilizzo personale ed esclusivo e deve essere scelta una tecnica di autenticazione adatta per verificare lidentit dichiarata dallutente. Controllo I sistemi per la gestione delle password devono essere interattivi e assicurare la qualit delle password. Controllo Lutilizzo di programmi di utilit potenzialmente in grado di annullare i controlli applicativi e di sistema, deve essere limitato e rigidamente controllato. Controllo Le sessioni inattive devono essere terminate dopo un determinato periodo di inattivit. Controllo Per fornire sicurezza aggiuntiva alle applicazioni ad alto rischio, devono essere poste restrizioni sui tempi di connessione.

A.11.5.2

Identificazione e autenticazione degli utenti

A.11.5.3

Sistema per la gestione delle password

A.11.5.4

Utilizzo di programmi di utilit del sistema

A.11.5.5

Time-out della sessione

A.11.5.6

Limitazione del tempo di connessione

A.11.6 Controllo degli accessi ad applicazioni e informazioni Obiettivo : Prevenire laccesso non autorizzato alle informazioni contenute nei sistemi applicativi. A.11.6.1 Limitazione allaccesso alle informazioni Controllo Laccesso a informazioni e funzioni di sistemi applicativi, da parte di utenti e personale di supporto, deve essere limitato nel rispetto della politica per il controllo degli accessi in vigore. Controllo I sistemi sensibili devono avere un ambiente di elaborazione dedicato (isolato).

A.11.6.2

Isolamento dei sistemi sensibili

A.11.7 Utilizzo di dispositivi portatili e telelavoro Obiettivo : Assicurare la sicurezza delle informazioni durante lutilizzo di dispositivi portatili e di strutture di telelavoro. A.11.7.1 Utilizzo di dispositivi portatili e comunicazioni Controllo Per proteggersi contro i rischi connessi allutilizzo di dispositivi e di strutture di comunicazione portatili, deve essere adottata una politica formale, nonch appropriate misure di sicurezza. Controllo Si devono sviluppare e attuare una politica, piani operativi e procedure per le attivit di telelavoro.

A.11.7.2

Telelavoro

A.12 Acquisizione, sviluppo e manutenzione dei sistemi informativi A.12.1 Requisiti di sicurezza dei sistemi informativi Obiettivo : Assicurare che la sicurezza sia parte integrante dei sistemi informativi. A.12.1.1 Analisi e formalizzazione dei requisiti di sicurezza Controllo La formalizzazione dei requisiti relativi al business per i nuovi sistemi informativi o per laggiornamento di quelli esistenti, deve specificare i requisiti per i controlli relativi alla sicurezza.

A.12.2 Corretta elaborazione nelle applicazioni Obiettivo : Prevenire errori, perdite, modifiche non autorizzate o utilizzi impropri delle informazioni nelle applicazioni. A.12.2.1 Validazione dei dati in ingresso Controllo I dati in ingresso alle applicazioni devono essere validati per assicurare che siano corretti e appropriati.

A.12.2.2

Tenuta sotto controllo dellelaborazione interna Controllo Al fine di individuare qualsiasi alterazione delle informazioni dovuta a errori di elaborazione o ad azioni deliberate, si devono integrare controlli di validazione allinterno delle applicazioni.

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 21

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)


Controllo Devono essere identificati i requisiti per assicurare lautenticit e proteggere lintegrit dei messaggi allinterno delle applicazioni, e vanno inoltre identificati e attuati i controlli appropriati. Controllo I dati in uscita dalle applicazioni devono essere validati per assicurare che lelaborazione delle informazioni memorizzate sia corretta e appropriata alle circostanze.

A.12.2.3

Integrit dei messaggi

A.12.2.4

Validazione dei dati in uscita

A.12.3 Controlli crittografici Obiettivo : Proteggere la riservatezza, l'autenticit o l'integrit delle informazioni a mezzo della crittografia. A.12.3.1 Politica per lutilizzo di controlli crittografici Controllo Deve essere sviluppata e attuata una politica per lutilizzo di controlli crittografici volti alla protezione delle informazioni. Controllo Deve essere in vigore la gestione delle chiavi per supportare lutilizzo di tecniche crittografiche da parte dellorganizzazione.

A.12.3.2

Gestione delle chiavi

A.12.4 Sicurezza dei file di sistema Obiettivo : Assicurare la sicurezza dei file di sistema. A.12.4.1 Controllo del software in funzione Controllo Devono essere in vigore procedure per controllare linstallazione di software sui sistemi in funzione. Controllo I dati di test devono essere scelti con attenzione, protetti e tenuti sotto controllo. Controllo Laccesso al codice sorgente dei programmi deve essere limitato.

A.12.4.2 A.12.4.3

Protezione dei dati di test di sistema Tenuta sotto controllo degli accessi al codice sorgente dei programmi

A.12.5 Sicurezza nei processi di sviluppo e supporto Obiettivo : Mantenere la sicurezza del software applicativo di sistema e delle informazioni. A.12.5.1 Procedure di tenuta sotto controllo dei cambiamenti Controllo Lattuazione di cambiamenti deve essere tenuta sotto controllo attraverso lutilizzo di procedure formali di controllo dei cambiamenti.

A.12.5.2

Riesame tecnico delle applicazioni in seguito a Controllo cambiamenti nei sistemi operativi Quando avvengono dei cambiamenti nei sistemi operativi, le applicazioni critiche per il business devono essere riesaminate e testate per assicurare che non ci siano impatti negativi sulloperativit o sulla sicurezza dellorganizzazione. Limitazioni ai cambiamenti nei pacchetti software Fuga di informazioni Sviluppo di software affidato allesterno Controllo La modifica dei pacchetti software deve essere ostacolata, limitata ai cambiamenti necessari, inoltre tutti i cambiamenti devono essere strettamente controllati. Controllo Si devono prevenire le occasioni di fuga delle informazioni. Controllo Lo sviluppo di software affidato allesterno deve essere supervisionato e monitorato dallorganizzazione.

A.12.5.3

A.12.5.4 A.12.5.5

A.12.6 Gestione delle vulnerabilit tecniche Obiettivo : Ridurre i rischi derivanti dallo sfruttamento di vulnerabilit tecniche pubblicate. A.12.6.1 Tenuta sotto controllo delle vulnerabilit tecniche Controllo Devono essere ottenute tempestive informazioni sulle vulnerabilit tecniche dei sistemi informativi utilizzati; lesposizione dellorganizzazione a tali vulnerabilit deve essere valutata e si devono prendere misure appropriate per fronteggiare i rischi associati.

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 22

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)

A.13 Gestione degli incidenti relativi alla sicurezza delle informazioni A.13.1 Segnalazione degli eventi e dei punti di debolezza relativi alla sicurezza delle informazioni Obiettivo : Assicurare che gli eventi relativi alla sicurezza delle informazioni e i punti di debolezza dei sistemi informativi siano segnalati in modo da permettere tempestive azioni correttive. A.13.1.1 Segnalazione degli eventi relativi alla sicurezza Controllo delle informazioni Gli eventi relativi alla sicurezza delle informazioni devono essere segnalati il pi velocemente possibile attraverso appropriati canali direzionali. Segnalazione di debolezze nella sicurezza Controllo A tutti i dipendenti, collaboratori e utenti di terze parti dei sistemi e servizi informativi, deve essere richiesto di registrare e segnalare ogni debolezza osservata o sospettata nei sistemi o nei servizi.

A.13.1.2

A.13.2 Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti Obiettivo : Assicurare lapplicazione di un approccio coerente ed efficace per la gestione degli incidenti relativi alla sicurezza delle informazioni. A.13.2.1 Responsabilit e procedure Controllo Devono essere stabilite le responsabilit di gestione e le procedure per assicurare una risposta rapida, efficace e ordinata agli incidenti relativi alla sicurezza delle informazioni. Controllo Devono essere attivati dei meccanismi per quantificare e monitorare le tipologie, i volumi e i costi degli incidenti relativi alla sicurezza delle informazioni. Controllo Qualora, a seguito di un incidente relativo alla sicurezza delle informazioni, risulti necessario intraprendere unazione legale (civile o penale) contro una persona fisica o giuridica, le evidenze oggettive devono essere raccolte, conservate e presentate, al fine di conformarsi ai requisiti di legge applicabili nella/e giurisdizione/i pertinente/i.

A.13.2.2

Apprendimento dagli incidenti relativi alla sicurezza delle informazioni Raccolta di evidenze oggettive (prove)

A.13.2.3

A.14 Gestione della continuit operativa A.14.1 Aspetti di sicurezza delle informazioni relativi alla gestione della continuit operativa Obiettivo : Contrastare le interruzioni delle attivit relative al business, proteggerne i processi critici dagli effetti di malfunzionamenti significativi dei sistemi informativi o da disastri e assicurare il loro tempestivo ripristino. A.14.1.1 Inclusione della sicurezza delle informazioni nel Controllo processo di gestione della continuit operativa Deve essere sviluppato e mantenuto attivo un processo per la gestione della continuit operativa in tutta lorganizzazione, che prenda in considerazione i requisiti di sicurezza delle informazioni necessari per la continuit operativa dellorganizzazione. Continuit operativa e valutazione del rischio Controllo Si devono identificare gli eventi che possono causare interruzioni ai processi relativi al business, unitamente alle probabilit e agli impatti di tali interruzioni e alle loro conseguenze per la sicurezza delle informazioni. Controllo A seguito di interruzioni o malfunzionamenti nei processi critici relativi al business, devono essere sviluppati e attuati piani per mantenere o ripristinare il funzionamento e per assicurare la disponibilit delle informazioni al livello e nei tempi richiesti,

A.14.1.2

A.14.1.3

Sviluppo e attuazione di piani di continuit operativa comprensivi della sicurezza delle informazioni

A.14.1.4

Struttura di supporto per la pianificazione della Controllo continuit operativa Deve essere mantenuta una singola struttura metodologica di supporto per piani di continuit operativa al fine di assicurare che tutti i piani siano coerenti, considerare in maniera coerente i requisiti di sicurezza delle informazioni e identificare le priorit ai fini dei test e della manutenzione. Testare, mantenere attivi e sottoporre a ri-valutazione i piani di continuit operativa Controllo I piani di continuit operativa devono essere testati e aggiornati regolarmente, per assicurare che siano aggiornati ed efficaci.

A.14.1.5

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 23

BABEL SRL - 2009 - 582251 - eco

prospetto

A.1

Obiettivi di controllo e controlli (Continua)

A.15 Conformit A.15.1 Conformit alle prescrizioni legali Obiettivo : Evitare violazioni di qualsiasi legge, vincoli statutari o regolamentari, obblighi contrattuali, nonch di ogni requisito di sicurezza. A.15.1.1 Identificazione della legislazione applicabile Controllo Tutti gli specifici requisiti derivanti da vincoli statutari, regolamentari o contrattuali, nonch lapproccio dellorganizzazione per soddisfare gli stessi, devono essere definiti esplicitamente, documentati e mantenuti aggiornati per ogni sistema informativo e per lorganizzazione. Controllo Si devono attuare appropriate procedure per assicurare la conformit ai requisiti legislativi, regolamentari e contrattuali circa lutilizzo di materiali rispetto ai quali possono esserci diritti di propriet intellettuale, nonch per lutilizzo di prodotti software proprietari. Controllo Le registrazioni critiche devono essere protette da perdita, distruzione e falsificazione, in conformit ai requisiti statutari, regolamentari, contrattuali e relativi al business.

A.15.1.2

Diritti di propriet intellettuale (IPR)

A.15.1.3

Protezione delle registrazioni dellorganizzazione

A.15.1.4

Protezione dei dati e privacy delle informazioni Controllo personali La protezione dei dati e la privacy devono essere assicurate, come richiesto nella legislazione, nei regolamenti e, se applicabili, nelle clausole contrattuali pertinenti. Prevenzione dellutilizzo non appropriato delle Controllo strutture di elaborazione delle informazioni Gli utenti devono essere dissuasi dallutilizzare le strutture di elaborazione delle informazioni per scopi non autorizzati. Regolamentazione dei controlli crittografici Controllo I controlli crittografici devono essere utilizzati in conformit a tutti gli accordi, leggi e regolamenti pertinenti.

A.15.1.5

A.15.1.6

A.15.2 Conformit a politiche e norme di sicurezza e conformit tecnica Obiettivo : Assicurare che i sistemi rispettino le politiche per la sicurezza e le norme adottate dallorganizzazione. A.15.2.1 Conformit a politiche e norme di sicurezza Controllo I dirigenti devono assicurare che tutte le procedure di sicurezza, allinterno della loro area di responsabilit, siano eseguite correttamente per ottenere la conformit alle politiche ed alle norme di sicurezza. Controllo I sistemi informativi devono essere sottoposti a verifiche regolari per il rispetto delle norme di attuazione della sicurezza.

A.15.2.2

Verifica della conformit tecnica

A.15.3 Considerazioni sullaudit dei sistemi informativi Obiettivo : Massimizzare lefficacia e minimizzare linterferenza sul/del processo di audit dei sistemi informativi. A.15.3.1 Controlli di audit dei sistemi informativi Controllo I requisiti di audit e le attivit che comportano verifiche sui sistemi in funzione, devono essere attentamente pianificati e concordati per minimizzare il rischio di disturbo dei processi relativi al business. Controllo Laccesso agli strumenti per gli audit dei sistemi informativi deve essere protetto per prevenire ogni possibile utilizzo improprio o compromissione.

A.15.3.2

Protezione degli strumenti per gli audit dei sistemi informativi

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 24

BABEL SRL - 2009 - 582251 - eco

APPENDICE (informativa)

B I PRINCIPI DELLOECD E LA PRESENTE NORMA INTERNAZIONALE


I principi esposti nelle Linee Guida per la Sicurezza dei Sistemi Informativi e delle Reti dellOECD si applicano a tutti i livelli di politica e operativi preposti alla sicurezza dei sistemi informativi e delle reti. La presente norma internazionale fornisce un modello strutturato di sistema di gestione per la sicurezza delle informazioni per attuare alcuni dei principi dellOECD, utilizzando il modello PDCA e i processi descritti nei punti 4, 5, 6 e 8, come indicato nel prospetto B.1.

prospetto

B.1

Principi dellOECD e modello PDCA


Principio dellOECD Processo del SGSI corrispondente e fase PDCA Questa attivit parte della fase di attuazione e conduzione (vedere punti 4.2.2 e 5.2.2).

Consapevolezza I partecipanti dovrebbero essere consci delle esigenze di sicurezza dei sistemi informativi e delle reti, nonch di quello che possono fare per migliorare la sicurezza. Responsabilit Tutti i partecipanti sono responsabili per la sicurezza dei sistemi informativi e delle reti.

Questa attivit parte della fase di attuazione e conduzione (vedere punti 4.2.2 e 5.1).

Risposta Questa in parte una attivit di monitoraggio della fase di monitoraggio e I partecipanti dovrebbero agire in modo tempestivo e cooperativo al fine di riesame (vedere punto 4.2.3 e punti da 6 a 7.3) e una attivit di risposta prevenire, individuare e rispondere agli incidenti relativi alla sicurezza. della fase di manutenzione e miglioramento (vedere punto 4.2.4 e punti da 8.1 a 8.3). Pu anche essere coperta da alcuni aspetti delle fasi di istituzione e di monitoraggio e riesame. Valutazione del rischio I partecipanti dovrebbero condurre valutazioni dei rischi. Questa attivit parte della fase di istituzione (vedere punto 4.2.1) e la ri-valutazione del rischio parte della fase di monitoraggio e riesame (vedere punto 4.2.3 e punti da 6 a 7.3).

Una volta che un processo di valutazione del rischio stato completato, si Progettazione e attuazione della sicurezza I partecipanti dovrebbero inserire la sicurezza come elemento essenziale selezionano i controlli per il trattamento dei rischi, come parte della fase di istituzione (vedere punto 4.2.1). La fase di attuazione e conduzione dei sistemi informativi e delle reti. (vedere punti 4.2.2 e 5.2) riguarda quindi lattuazione e lutilizzo operativo di questi controlli. Gestione della sicurezza La gestione del rischio un processo che include prevenzione, I partecipanti dovrebbero adottare un approccio globale verso la gestione individuazione e risposta agli incidenti, manutenzione in corso, riesame e della sicurezza. audit. Tutti questi aspetti sono inclusi nelle fasi di istituzione, attuazione e conduzione, monitoraggio e riesame e manutenzione e miglioramento. Ri-valutazione I partecipanti dovrebbero riesaminare e rivalutare la sicurezza dei sistemi informativi e delle reti, nonch provvedere alle modifiche appropriate a politiche, prassi, misure e procedure per la sicurezza. La ri-valutazione della sicurezza delle informazioni parte della fase di monitoraggio e riesame (vedere punto 4.2.3 e punti da 6 a 7.3), in cui dovrebbero essere condotti riesami regolari per verificare lefficacia del sistema di gestione della sicurezza delle informazioni. Migliorare la sicurezza fa parte della fase di manutenzione e miglioramento (vedere punto 4.2.4 e punti da 8.1 a 8.3).

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 25

BABEL SRL - 2009 - 582251 - eco

APPENDICE (informativa)

C CORRISPONDENZE TRA ISO 9001:2000, ISO 14001:2004 E LA PRESENTE NORMA INTERNAZIONALE


Il prospetto C.1 mostra le corrispondenze tra ISO 9001:2000, ISO 14001:2004 e la presente norma internazionale.

prospetto

C.1

Corrispondenze tra ISO 9001:2000, ISO 14001:2004 e la presente norma internazionale


ISO 9001:2000 0 Introduzione 0.1 Generalit 0.2 Approccio per processi 0.3 Relazione con la ISO 9004 0.4 Compatibilit con altri sistemi di gestione 1 Scopo e campo di applicazione 1.1 Generalit 1.2 Applicazione 2 Riferimenti normativi 3 Termini e definizioni 4 Sistema di gestione per la qualit Introduzione ISO 14001:2004

Presente norma internazionale 0 Introduzione 0.1 Generalit 0.2 Approccio per processi 0.3 Compatibilit con altri sistemi di gestione 1 Scopo e campo di applicazione 1.1 Generalit 1.2 Applicazione 2 Riferimenti normativi 3 Termini e definizioni 4 Sistema di gestione per la sicurezza delle informazioni 4.1 Requisiti generali 4.2 Stabilire e gestire il SGSI 4.2.1 Stabilire il SGSI 4.2.2 Attuare e condurre il SGSI 4.2.3 Monitorare e riesaminare il SGSI

1 Scopo e campo di applicazione

2 Riferimenti normativi 3 Termini e definizioni 4 Requisiti del sistema di gestione ambientale 4.1 Requisiti generali

4.1 Requisiti generali

8.2.3 Monitoraggio e misurazione dei processi 8.2.4 Monitoraggio e misurazione dei prodotti

4.4 Attuazione e funzionamento 4.5.1 Sorveglianza e misurazione

4.2.4 Mantenere attivo, aggiornato e migliorare il SGSI 4.3 Requisiti relativi alla documentazione 4.3.1 Generalit 4.3.2 Tenuta sotto controllo dei documenti 4.3.3 Tenuta sotto controllo delle registrazioni 5 Responsabilit della direzione 5.1 Impegno della direzione 4.2 Requisiti relativi alla documentazione 4.2.1 Generalit 4.2.2 Manuale della qualit 4.2.3 Tenuta sotto controllo dei documenti 4.2.4 Tenuta sotto controllo delle registrazioni 5 Responsabilit della direzione 5.1 Impegno della direzione 5.2 Attenzione focalizzata al cliente 5.3 Politica per la qualit 5.4 Pianificazione 5.5 Responsabilit, autorit e comunicazione 6 Gestione delle risorse 6.1 Messa a disposizione delle risorse 6.2 Risorse umane 6.2.2 Competenza, consapevolezza e addestramento 6.3 Infrastrutture 6.4 Ambiente di lavoro

4.4.5 Controllo dei documenti 4.5.4 Controllo delle registrazioni

4.2 Politica ambientale 4.3 Pianificazione

5.2 Gestione delle risorse 5.2.1 Messa a disposizione delle risorse 5.2.2 Formazione ed addestramento, consapevolezza e competenza

4.4.2 Competenza, formazione e consapevolezza

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 26

BABEL SRL - 2009 - 582251 - eco

prospetto

C.1

Corrispondenze tra ISO 9001:2000, ISO 14001:2004 e la presente Norma Internazionale (Continua)
ISO 9001:2000 8.2.2 Verifiche ispettive interne 5.6 Riesame da parte della direzione 5.6.1 Generalit 5.6.2 Elementi in ingresso per il riesame 5.6.3 Elementi in uscita dal riesame 8.5 Miglioramento 8.5.1 Miglioramento continuo 8.5.2 Azioni correttive 8.5.3 Azioni preventive Appendice A Guida alluso della presente Norma Internazionale ISO 14001:2004 4.5.5 Audit interno 4.6 Riesame da parte della direzione

Presente norma internazionale 6 Audit interni del SGSI 7 Riesame del SGSI da parte della direzione 7.1 Generalit 7.2 Elementi in ingresso per il riesame 7.3 Elementi in uscita dal riesame 8 Miglioramento del SGSI 8.1 Miglioramento continuo 8.2 Azioni correttive 8.3 Azioni preventive Appendice A Obiettivi di controllo e controlli Appendice B Principi dellOECD e la presente norma internazionale

4.5.3 Non conformit, azioni correttive e azioni preventive

Appendice C Corrispondenze tra ISO 9001:2000, Appendice A Corrispondenze tra ISO 9001:2000 Appendice B Corrispondenza fra la ISO 14001:2004 e la ISO 9001:2000 ISO 14001:2004 e la presente norma e ISO 14001:1996 internazionale

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 27

BABEL SRL - 2009 - 582251 - eco

BIBLIOGRAFIA
Pubblicazioni normative [1] [2] ISO 9001:2000 ISO/IEC 13335-1:2004 Quality management systems - Requirements Information technology - Security techniques Management of information and communications technology security - Part 1: Concepts and models for information and communications technology security management

[3]

ISO/IEC TR 13335-3:1998 Information technology - Guidelines for the management of IT Security - Part 3: Techniques for the management of IT security ISO/IEC TR 13335-4:2000 Information technology - Guidelines for the management of IT Security - Part 4: Selection of safeguards ISO 14001:2004 ISO/IEC TR 18044:2004 ISO 19011:2002 ISO/IEC Guide 62:1996 Environmental management systems - Requirements with guidance for use Information technology - Security techniques Information security incident management Guidelines for quality and/or management systems auditing environmental

[4]

[5] [6] [7] [8]

General requirements for bodies operating assessment and certification/registration of quality systems Risk management - Vocabulary - Guidelines for use in standards

[9]

ISO/IEC Guide 73:2002

Altre pubblicazioni [1] [2] [3] OECD, Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org NIST SP 800-30, Risk Management Guide for Information Technology Systems Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986

UNI CEI ISO/IEC 27001:2006

UNI

Pagina 28

BABEL SRL - 2009 - 582251 - eco

BABEL SRL - 2009 - 582251 - eco

UNI Ente Nazionale Italiano di Unificazione Via Sannio, 2 20137 Milano, Italia

Riproduzione vietata - Legge 22 aprile 1941 N 633 e successivi aggiornamenti.