A.5 |
Politiche per la sicurezza delle informazioni |
A.5.1 |
Indirizzi della direzione per la sicurezza delle informazioni |
A.5.1.1 |
Politiche per la sicurezza delle informazioni |
A.5.1.2 |
Riesame delle politiche per la sicurezza delle informazioni |
A.6 |
Organizzazione della sicurezza delle informazioni |
A.6.1 |
Organizzazione interna |
A.6.1.1 |
Ruoli e responsabilità per la sicurezza delle informazioni |
A.6.1.2 |
Separazione dei compiti |
A.6.1.3 |
Contatti con le autorità |
A.6.1.4 |
Contatti con gruppi specialistici |
A.6.1.5 |
Sicurezza delle informazioni della gestione dei progetti |
A.6.2 |
Dispositivi portatili e telelavoro |
A.6.2.1 |
Politica per i dispositivi portatili |
A.6.2.2 |
Telelavoro |
A.7 |
Sicurezza delle risorse umane |
A.7.1 |
Prima dell’impiego |
A.7.1.1 |
Screening |
A.7.1.2 |
Termini e condizioni di impiego |
A.7.2 |
Durante l’impiego |
A.7.2.1 |
Responsabilità della direzione |
A.7.2.2 |
Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni |
A.7.2.3 |
Processo disciplinare |
A.7.3 |
Cessazione e variazione del rapporto di lavoro |
A.7.3.1 |
Cessazione o variazione delle responsabilità durante il rapporto di lavoro |
A.8 |
Gestione degli asset |
A.8.1 |
Responsabilità per gli asset |
A.8.1.1 |
Inventario degli asset |
A.8.1.2 |
Responsabilità degli asset |
A.8.1.3 |
Utilizzo accettabile degli asset |
A.8.1.4 |
Restituzione degli asset |
A.8.2 |
Classificazione delle informazioni |
A.8.2.1 |
Classificazione delle informazioni |
A.8.2.2 |
Etichettatura delle informazioni |
A.8.2.3 |
Trattamento degli asset |
A.8.3 |
Trattamento dei supporti |
A.8.3.1 |
Gestione dei supporti rimovibili |
A.8.3.2 |
Dismissione dei supporti |
A.8.3.3 |
Trasporto dei supporti fisici |
A.9 |
Controllo degli accessi |
A.9.1 |
Requisiti di business per il controllo degli accessi |
A.9.1.1 |
Politica di controllo degli accessi |
A.9.1.2 |
Accesso alle reti e ai servizi di rete |
A.9.2 |
Gestione degli accessi degli utenti |
A.9.2.1 |
Registrazione e de-registrazione degli utenti |
A.9.2.2 |
Provisioning degli accessi degli utenti |
A.9.2.3 |
Gestione dei diritti di accesso privilegiato |
A.9.2.4 |
Gestione delle informazioni segrete di autenticazione degli utenti |
A.9.2.5 |
Riesame dei diritti di accesso degli utenti |
A.9.2.6 |
Rimozione o adattamento dei diritti di accesso |
A.9.3 |
Responsabilità dell’utente |
A.9.3.1 |
Utilizzo delle informazioni segrete di autenticazione |
A.9.4 |
Controllo degli accessi ai sistemi e alle applicazioni |
A.9.4.1 |
Limitazione dell’accesso alle informazioni |
A.9.4.2 |
Procedure di log-on sicure |
A.9.4.3 |
Sistema di gestione delle password |
A.9.4.4 |
Uso di programmi di utilità privilegiati |
A.9.4.5 |
Controllo degli accessi al codice sorgente dei programmi |
A.10 |
Crittografia |
A.10.1 |
Controlli crittografici |
A.10.1.1 |
Politica sull’uso dei controlli crittografici |
A.10.1.2 |
Gestione delle chiavi |
A.11 |
Sicurezza fisica e ambientale |
A.11.1 |
Aree sicure |
A.11.1.1 |
Perimetro di sicurezza fisica |
A.11.1.2 |
Controlli di accesso fisico |
A.11.1.3 |
Rendere sicuri uffici, locali e strutture |
A.11.1.4 |
Protezione contro minacce esterne ed ambientali |
A.11.1.5 |
Lavoro in aree sicure |
A.11.1.6 |
Aree di carico e scarico |
A.11.2 |
Apparecchiature |
A.11.2.1 |
Disposizione delle apparecchiature e loro protezione |
A.11.2.2 |
Infrastrutture di supporto |
A.11.2.3 |
Sicurezza dei cablaggi |
A.11.2.4 |
Manutenzione delle apparecchiature |
A.11.2.5 |
Trasferimento degli asset |
A.11.2.6 |
Sicurezza delle apparecchiature e degli asset all’esterno delle sedi |
A.11.2.7 |
Dismissione sicura o riutilizzo delle apparecchiature |
A.11.2.8 |
Apparecchiature incustodite degli utenti |
A.11.2.9 |
Politica di schermo e scrivania puliti |
A.12 |
Sicurezza delle attività operative |
A.12.1 |
Procedure operative e responsabilità |
A.12.1.1 |
Procedure operative documentate |
A.12.1.2 |
Gestione dei cambiamenti |
A.12.1.3 |
Gestione delle capacità |
A.12.1.4 |
Separazione degli ambienti di sviluppo, test e produzione |
A.12.2 |
Protezione dal malware |
A.12.2.1 |
Controlli contro i malware |
A.12.3 |
Backup |
A.12.3.1 |
Backup delle informazioni |
A.12.4. |
Raccolta di log e monitoraggio |
A.12.4.1 |
Raccolta di log degli eventi |
A.12.4.2 |
Protezione delle informazioni di log |
A.12.4.3 |
Log di amministratori e operatori |
A.12.4.4 |
Sincronizzazione degli orologi |
A.12.5 |
Controllo del software di produzione |
A.12.5.1 |
Installazione del software sui sistemi di produzione |
A.12.6 |
Gestione delle vulnerabilità tecniche |
A.12.6.1 |
Gestione delle vulnerabilità tecniche |
A.12.6.2 |
Limitazioni all’installazione del software |
A.12.7 |
Considerazioni sull’audit dei sistemi informativi |
A.12.7.1 |
Controlli per l’audit dei sistemi informativi |
A.13 |
Sicurezza delle comunicazioni |
A.13.1 |
Gestione della sicurezza della rete |
A.13.1.1 |
Controlli di rete |
A.13.1.2 |
Sicurezza dei servizi di rete |
A.13.1.3 |
Segregazione nelle reti |
A.13.2 |
Trasferimento delle informazioni |
A.13.2.1 |
Politiche e procedure per il trasferimento delle informazioni |
A.13.2.2 |
Accordi per il trasferimento delle informazioni |
A.13.2.3 |
Messaggistica elettronica |
A.13.2.4 |
Accordi di riservatezza o di non divulgazione |
A.14 |
Acquisizione, sviluppo e manutenzione dei sistemi |
A.14.1 |
Requisiti di sicurezza dei sistemi informativi |
A.14.1.1 |
Analisi e specifica dei requisiti per la sicurezza delle informazioni |
A.14.1.2 |
Sicurezza dei servizi applicativi su reti pubbliche |
A.14.1.3 |
Protezione delle transazioni dei servizi applicativi |
A.14.2 |
Sicurezza nei processi di sviluppo e supporto |
A.14.2.1 |
Politica per lo sviluppo sicuro |
A.14.2.2 |
Procedure per il controllo dei cambiamenti di sistema |
A.14.2.3 |
Riesame tecnico delle applicazioni in seguito a cambiamenti nelle piattaforme operative |
A.14.2.4 |
Limitazioni ai cambiamenti dei pacchetti software |
A.14.2.5 |
Principi per l’ingegnerizzazione sicura dei sistemi |
A.14.2.6 |
Ambiente di sviluppo sicuro |
A.14.2.7 |
Sviluppo affidato al’esterno |
A.14.2.8 |
Test di sicurezza dei sistemi |
A.14.2.9 |
Test di accettazione dei sistemi |
A.14.3 |
Dati di test |
A.14.3.1 |
Protezione dei dati di test |
A.15 |
Relazioni con i fornitori |
A.15.1 |
Sicurezza delle informazioni nelle relazioni con i fornitori |
A.15.1.1 |
Politica per la sicurezza delle informazioni nei rapporti con i fornitori |
A.15.1.2 |
Indirizzare la sicurezza all’interno degli accordi con i fornitori |
A.15.1.3 |
Filiera di fornitura per l’ICT (Information and Comunication Technology) |
A.15.2 |
Gestione dell’erogazione dei servizi dei fornitori |
A.15.2.1 |
Monitoraggio e riesame dei servizi dei fornitori |
A.15.2.2 |
Gestione dei cambiamenti ai servizi dei fornitori |
A.16 |
Gestione degli incidenti relativi alla sicurezza delle informazioni |
A.16.1 |
Gestione degli incidenti relativi alla sicurezza delle informazioni e dei miglioramenti |
A.16.1.1 |
Responsabilità e procedure |
A.16.1.2 |
Segnalazione degli eventi relativi alla sicurezza delle informazioni |
A.16.1.3 |
Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni |
A.16.1.4 |
Valutazione e decisione sugli eventi relativi alla sicurezza delle informazioni |
A.16.1.5 |
Risposta agli incidenti relativi alla sicurezza delle informazioni |
A.16.1.6 |
Apprendimento dagli incidenti relativi alla sicurezza delle informazioni |
A.16.1.7 |
Raccolta di evidenze |
A.17 |
Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa |
A.17.1 |
Continuità della sicurezza delle informazioni |
A.17.1.1 |
Pianificazione della continuità della sicurezza delle informazioni |
A.17.1.2 |
Attuazione della continuità della sicurezza delle informazioni |
A.17.1.3 |
Verifica, riesame e valutazione della continuità della sicurezza delle informazioni |
A.17.2 |
Ridondanze |
A.17.2.1 |
Disponibilità delle strutture per l’elaborazione delle informazioni |
A.18 |
Conformità |
A.18.1 |
Conformità ai requisiti cogenti e contrattuali |
A.18.1.1 |
Identificazione della legislazione applicabile e dei requisiti contrattuali |
A.18.1.2 |
Diritti di proprietà intellettuale |
A.18.1.3 |
Protezione delle registrazioni |
A.18.1.4 |
Privacy e protezione dei dati personali |
A.18.1.5 |
Regolamentazione sui controlli crittografici |
A.18.2 |
Riesame della sicurezza delle informazioni |
A.18.2.1 |
Riesame indipendente della sicurezza delle informazioni |
A.18.2.2 |
Conformità alle politiche e alle norme per la sicurezza |
A.18.2.3 |
Verifica tecnica delle conformità |