Scribd
Carica
1 visualizzazioni11 pagine

AnnexA_ISO27001_EsempiPratici

Il documento fornisce linee guida per la conformità ai controlli dell'Annex A della norma ISO/IEC 27001:2022, evidenziando politiche e procedure necessarie per la sicurezza delle informazioni. Ogni controllo è accompagnato da una descrizione, esempi pratici e spazi per raccogliere evidenze e valutare la conformità. Le sezioni trattano vari aspetti, tra cui ruoli e responsabilità, formazione, gestione degli accessi e protezione da malware.

Caricato da

campesanemilio
Copyright
© © All Rights Reserved
Per noi i diritti sui contenuti sono una cosa seria. Se sospetti che questo contenuto sia tuo, rivendicalo qui.
Formati disponibili
Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
1 visualizzazioni11 pagine

AnnexA_ISO27001_EsempiPratici

Il documento fornisce linee guida per la conformità ai controlli dell'Annex A della norma ISO/IEC 27001:2022, evidenziando politiche e procedure necessarie per la sicurezza delle informazioni. Ogni controllo è accompagnato da una descrizione, esempi pratici e spazi per raccogliere evidenze e valutare la conformità. Le sezioni trattano vari aspetti, tra cui ruoli e responsabilità, formazione, gestione degli accessi e protezione da malware.

Caricato da

campesanemilio
Copyright
© © All Rights Reserved
Per noi i diritti sui contenuti sono una cosa seria. Se sospetti che questo contenuto sia tuo, rivendicalo qui.
Formati disponibili
Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
Sei sulla pagina 1/ 11

Annex A – ISO/IEC 27001:2022

Raccolta evidenze e valutazione della conformità ai controlli dell'Annex A, con esempi


pratici.

A.5.1 — Politiche per la sicurezza delle informazioni


Descrizione: Le politiche per la sicurezza delle informazioni devono essere definite,
approvate dalla direzione, pubblicate e comunicate a tutti i dipendenti e alle parti
interessate rilevanti.

Esempio pratico: Esempio: Pubblicazione della politica di sicurezza sul portale intranet
aziendale con conferma di lettura da parte dei dipendenti.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.5.2 — Ruoli e responsabilità per la sicurezza delle informazioni


Descrizione: I ruoli e le responsabilità in materia di sicurezza delle informazioni devono
essere chiaramente definiti e assegnati.

Esempio pratico: Esempio: Assegnazione formale delle responsabilità per la gestione degli
incidenti informatici al responsabile IT.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme


Azioni correttive / Osservazioni:

A.5.3 — Comitati per la sicurezza delle informazioni


Descrizione: Un comitato o altro meccanismo di coordinamento deve essere istituito per
supportare la gestione della sicurezza delle informazioni.

Esempio pratico: Esempio: Riunioni mensili del comitato per la sicurezza per analizzare i
rischi emergenti e le misure attuate.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.5.4 — Contatto con autorità


Descrizione: Devono essere stabiliti e mantenuti contatti adeguati con le autorità
competenti.

Esempio pratico: Esempio: Registrazione dell'organizzazione presso il CERT nazionale per


ricevere aggiornamenti sugli attacchi informatici.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:


A.5.5 — Contatto con gruppi specializzati
Descrizione: Devono essere stabiliti e mantenuti contatti con gruppi specializzati in
materia di sicurezza delle informazioni.

Esempio pratico: Esempio: Partecipazione a forum internazionali sulla sicurezza informatica


come FIRST o ISACA.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.5.6 — Sicurezza delle informazioni nella gestione dei progetti


Descrizione: La sicurezza delle informazioni deve essere integrata nella gestione dei
progetti, indipendentemente dal tipo di progetto.

Esempio pratico: Esempio: Inclusione di una checklist di sicurezza nella fase di


progettazione di un nuovo sistema informatico.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.6.1 — Screening
Descrizione: I candidati per l'impiego devono essere sottoposti a screening in accordo con
le leggi, regolamenti e principi etici rilevanti.

Esempio pratico: Esempio: Verifica dei precedenti penali e referenze professionali durante il
processo di assunzione.
Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.6.2 — Termini e condizioni di impiego


Descrizione: I termini e le condizioni contrattuali di impiego devono affermare le
responsabilità dei dipendenti e collaboratori in materia di sicurezza delle informazioni.

Esempio pratico: Esempio: Clausola contrattuale che vieta la divulgazione di informazioni


riservate anche dopo la fine del contratto.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.6.3 — Responsabilità post-impiego


Descrizione: Le responsabilità dei dipendenti e collaboratori per la sicurezza delle
informazioni devono essere definite e applicate anche dopo la cessazione del rapporto di
lavoro.

Esempio pratico: Esempio: Obbligo per i dipendenti di restituire i dispositivi aziendali alla
fine del rapporto di lavoro.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme


Azioni correttive / Osservazioni:

A.7.1 — Formazione e sensibilizzazione alla sicurezza delle informazioni


Descrizione: Tutti i dipendenti e collaboratori devono ricevere adeguata formazione e
sensibilizzazione in materia di sicurezza delle informazioni.

Esempio pratico: Esempio: Formazione annuale obbligatoria per tutti i dipendenti sulla
gestione delle password e il phishing.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.7.2 — Conoscenze aggiornate alla sicurezza delle informazioni


Descrizione: Le conoscenze sulla sicurezza delle informazioni devono essere mantenute
aggiornate.

Esempio pratico: Esempio: Aggiornamento mensile con news sulla sicurezza e nuove
minacce distribuite via email aziendale.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:


A.8.1 — Inventario degli asset informativi
Descrizione: Gli asset informativi devono essere identificati, inventariati e gestiti in modo
appropriato.

Esempio pratico: Esempio: Inventario in formato Excel degli asset informatici con
informazioni su proprietà, posizione e criticità.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.8.2 — Uso accettabile degli asset


Descrizione: Le regole per l'uso accettabile degli asset informativi devono essere
identificate, documentate e implementate.

Esempio pratico: Esempio: Linee guida che vietano l'uso di dispositivi USB personali sui
computer aziendali.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.8.3 — Gestione della proprietà degli asset


Descrizione: Gli asset devono avere un proprietario designato responsabile della loro
gestione.

Esempio pratico: Esempio: Assegnazione formale della responsabilità di ciascun server a


uno specifico amministratore di sistema.
Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.9.1 — Classificazione delle informazioni


Descrizione: Le informazioni devono essere classificate in base alla loro sensibilità e
criticità.

Esempio pratico: Esempio: Classificazione dei documenti come 'Pubblico', 'Interno',


'Riservato' e 'Confidenziale'.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.9.2 — Etichettatura delle informazioni


Descrizione: Le informazioni devono essere etichettate secondo il loro livello di
classificazione.

Esempio pratico: Esempio: Etichettatura visibile dei file riservati nei sistemi di gestione
documentale.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme


Azioni correttive / Osservazioni:

A.9.3 — Gestione delle informazioni


Descrizione: Le informazioni devono essere gestite in conformità alla loro classificazione
per garantire un trattamento appropriato.

Esempio pratico: Esempio: Criteri per la cifratura e la distruzione sicura delle informazioni
riservate.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.10.1 — Controlli di accesso


Descrizione: L'accesso alle informazioni e ad altri asset associati deve essere limitato in
base ai requisiti aziendali.

Esempio pratico: Esempio: Controllo dell’accesso ai sistemi informativi mediante credenziali


individuali e autenticazione a due fattori.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:


A.10.2 — Gestione degli accessi utente
Descrizione: Le procedure devono essere implementate per la gestione dell'assegnazione e
della revoca dei diritti di accesso.

Esempio pratico: Esempio: Procedura formale per richiedere, approvare e revocare gli
account utente.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.10.3 — Obblighi di accesso utente


Descrizione: Gli utenti devono essere tenuti a mantenere segrete le proprie credenziali di
accesso.

Esempio pratico: Esempio: Policy aziendale che proibisce la condivisione di password tra
utenti.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.10.4 — Gestione degli accessi privilegiati


Descrizione: L'uso dei diritti di accesso privilegiati deve essere ristretto e controllato.

Esempio pratico: Esempio: Accesso amministrativo solo tramite account nominativi con
tracciatura delle attività.

Evidenze raccolte:
Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.10.5 — Gestione delle informazioni di autenticazione segrete


Descrizione: Le informazioni di autenticazione segrete devono essere protette durante
tutto il loro ciclo di vita.

Esempio pratico: Esempio: Utilizzo di un gestore di password sicuro per la gestione delle
credenziali aziendali.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.10.6 — Revisione dei diritti di accesso utente


Descrizione: I diritti di accesso degli utenti devono essere riesaminati regolarmente.

Esempio pratico: Esempio: Revisione trimestrale dei diritti di accesso da parte dei
responsabili di reparto.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:


A.11.1 — Protezione da malware
Descrizione: Le misure di protezione contro il malware devono essere implementate,
combinate con una consapevolezza degli utenti.

Esempio pratico: Esempio: Utilizzo di antivirus aggiornati automaticamente su tutti i


dispositivi aziendali.

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

A.11.2 — Prevenzione dell'uso non autorizzato di software


Descrizione: È necessario prevenire l'installazione e l'uso non autorizzato di software.

Esempio pratico: Esempio: Blocco dell’installazione di software non autorizzato tramite


criteri di gruppo (GPO).

Evidenze raccolte:

Conformità:

☐ Conforme ☐ Non conforme ☐ Parzialmente conforme

Azioni correttive / Osservazioni:

Potrebbero piacerti anche