VALUTAZIONE DEL LIVELLO DI SICUREZZA



Похожие документы
QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Banche e Sicurezza 2015

Politica per la Sicurezza

A cura di Giorgio Mezzasalma

Sicurezza informatica in azienda: solo un problema di costi?

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

MANDATO DI AUDIT DI GRUPPO

Associazione Italiana Information Systems Auditors

Esternalizzazione della Funzione Compliance

AUDIT. 2. Processo di valutazione

Configuration Management

Automazione Industriale (scheduling+mms) scheduling+mms.

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

SISTEMA DI GESTIONE INTEGRATO. Audit

5.1.1 Politica per la sicurezza delle informazioni

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

SCELTA DELL APPROCCIO. A corredo delle linee guida per l autovalutazione e il miglioramento

PROCEDURE ISTITUTO COMPRENSIVO STATALE Leonardo da Vinci OLEVANO SUL TUSCIANO. Processo: TENUTA SOTTO CONTROLLO DELLA DOCUMENTAZIONE

MANDATO INTERNAL AUDIT

La certificazione CISM

AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO

GLI AUDIT GCP. Valentine Sforza Quality Management Associates. XI CONGRESSO NAZIONALE SSFA Roma, 6-7 marzo 2008 ARGOMENTI TRATTATI

Modello dei controlli di secondo e terzo livello

SISTEMA DI GESTIONE PER LA QUALITÀ E CERTIFICAZIONE ISO 9001 ed PER L'UNIVERSITÀ DI CAMERINO PROGETTO DI MASSIMA

3. APPLICABILITÀ La presente procedura si applica nell organizzazione dell attività di Alac SpA.

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

1- Corso di IT Strategy

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

Audit & Sicurezza Informatica. Linee di servizio

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

INFORMAZIONE FORMAZIONE E CONSULENZA. benchmark ingbenchmarking benchmarkingbench marking

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

NOTA AIFIRM Associazione Italiana Financial Industry Risk Managers 23 luglio 2013

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

La Metodologia adottata nel Corso

MANUALE DELLA QUALITÀ Pag. 1 di 12

NOTA ESPLICATIVA AI FINI DELL APPLICAZIONE DEL REGOLAMENTO SCHEMA SEQUENZIALE

Effettuare gli audit interni

Fattori critici di successo

3. GESTIONE DELLE RISORSE UMANE

ISIPM Base. Project Management epmq: Project Management Fundamentals (ISIPM Base) Gruppo C Conoscenze Manageriali di Base Syllabus da a 3.4.

PIANO DI PREVENZIONE DELLA CORRUZIONE

P03 - GESTIONE DEGLI AUDIT INTERNI DEGLI AUDIT INTERNI DATA DI APPROVAZIONE REVISIONE. 00 Emissione del documento

I SISTEMI DI GESTIONE DELLA SICUREZZA

Gestione Operativa e Supporto

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

Gestione dei documenti e delle registrazioni Rev. 00 del

PO 01 Rev. 0. Azienda S.p.A.

Alberta Riccio (Responsabile Qualità, Ambiente, Sicurezza e Risorse Umane)

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

Allegato 17 Check list quality review

EA 03 Prospetto economico degli oneri complessivi 1

MANUALE DELLA QUALITÀ Pag. 1 di 6

Allegato A Tenuta e redazione delle carte di lavoro

Indagine su: L approccio delle aziende e delle associazioni nei confronti dell accessibilità dei siti web

IL SISTEMA DI CONTROLLO INTERNO

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

LA REVISIONE LEGALE DEI CONTI Clienti e

Università di Macerata Facoltà di Economia

Sistemi Qualità Certificazione ISO9001

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

I NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE

Progettaz. e sviluppo Data Base

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

L IT Governance e la gestione del rischio

PLUS. Syllabus rev. 1.04

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

PROGRAMMA CORSI PRIVACY 2013

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Sistema di gestione della Responsabilità Sociale

Il Sistema di Valutazione nel Gruppo UniCredit

SISTEMA DEI CONTROLLI INTERNI

LA CARTA DEI PRINCIPI PER LA SOSTENIBILITÀ AMBIENTALE: CONTESTO ED OBIETTIVI DELL INIZIATIVA CONFEDERALE

PIANIFICAZIONE DELLA FORMAZIONE: processi, attori e strumenti

REGOLE DEL GRUPPO RELATIVE ALLE RISORSE UMANE

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

LA VALUTAZIONE DELL ATTIVITA del CONSIGLIO DI AMMINISTRAZIONE

Policy sulla Gestione delle Informazioni

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

IL SOFTWARE SECONDO LA NORMA UNI EN ISO :2008 (IIA PARTE) 1

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

INDICE PR 13 COMUNICAZIONE E GESTIONE DELLE INFORMAZIONI 1 SCOPO 2 CAMPO DI APPLICAZIONE 3 TERMINOLOGIA E ABBREVIAZIONI 4 RESPONSABILITÀ

FORMAZIONE AVANZATA LA GESTIONE E VALUTAZIONE DEI CONTRATTI, PROGETTI E SERVIZI ICT NELLA PA

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

Транскрипт:

La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione 1

Note sul questionario di Auto - diagnosi - Il questionario ha lo scopo di guidare l Amministrazione nel processo di auto-valutazione del proprio livello di sicurezza, rispetto alla base minima raccomandata. - I risultati dell auto-valutazione sono proprietà riservata dell Amministrazione, la quale é libera di decidere come utilizzarli. - Il questionario é stato impostato al fine di consentire un processo operativo affidabile e rapido A tale scopo sono state definite sei schede, una per ciascuna delle aree chiave della sicurezza: Policy, Ruoli e Responsabilità, Norme e Procedure, Amministrazione della Sicurezza, Analisi del Rischio, Formazione e Sensibilizzazione. Ogni scheda comprende una lista di modalità operative, una guida alle domande che dovrebbero essere poste e un insieme di possibili risposte (1,2,3,4) nell ambito delle quali ci dovrebbe essere quella maggiormente coerente con la situazione riscontrata. - Valutare la scheda comporta semplicemente selezionare una delle 4 possibili risposte predefinite su ciascuna delle 6 schede. Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione 2

Policy della Sicurezza Obiettivo: Ci dovrebbe essere una appropriata Policy di sicurezza informatica ( ) Ottenere e valutare il documento di policy ( ) Intervistare alcuni responsabili per verificare l adeguatezza della policy per supportare la sicurezza ( ) Considerare la rilevanza della policy per l attività dell Amministrazione ( ) La policy indirizza sia la sicurezza informatica che quella informativa? ( ) Fornisce una base per gli obiettivi di sicurezza e di continuità? ( ) Fornisce una base sufficiente per realizzare la sicurezza? ( ) Fornisce una base sufficiente per misurare la coerenza della sicurezza alla policy? ( ) L amministrazione supporta adeguatamente il rispetto delle policy? ( ) 1. La policy è formalizzata e completa ( ) 2. La policy esiste e può essere migliorata ( ) 3. La sicurezza è solo parzialmente e indirettamente indirizzata dalla policy ( ) 4. Non esiste alcuna policy Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione 3

Ruoli e Responsabilità Obiettivo: Le Responsabilità della sicurezza informatica dovrebbero essere formalmente descritti ed efficacemente implementati ( ) Intervistare i ruoli utente sulla loro consapevolezza circa le responsabilità della sicurezza in azienda ( ) Rivedere le job description per verificare la presenza di specifiche responsabilità sulla sicurezza ( ) Verificare la documentazione relativa ad analisi del rischio, a classificazioni e ad autorizzazioni per valutare le responsabilità esercitate ( ) I Proprietari richiedono/sviluppano analisi del rischio e classificazioni delle risorse? ( ) Autorizzano chiaramente i privilegi di accesso ai dati? ( ) Hanno la responsabilità sulla sicurezza chiaramente specificata? ( ) Autorizzano gli investimenti in sicurezza? ( ) 1. Le responsabilità sulla sic.zza sembrano essere specificate e suff.nte implementate ( ) 2. Le responsabilità non sono documentate ma sembrano essere ragionevolmente applicate in pratica ( ) 3. Le responsabilità sono documentate ma sembrano inefficaci ( ) 4. Le responsabilità non esistono Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione 4

Norme e Procedure Obiettivo: Un insieme organico di norme e procedure dovrebbe fornire una guida efficace all utilizzo e allo sviluppo sicuro del sistema ICT ( ) Ottenere informazioni e documenti sulle metodologie di sviluppo e gestione dei sistemi informatici ( ) Valutare la completezza degli standard di sicurezza informatica ( ) Valutare l esistenza, l utilizzo, il rispetto e l adeguatezza delle norme di sicurezza ( ) Gli standard e le procedure di IT considerano le implicazioni di sicurezza? ( ) Gli standard e le procedure e le norme di sicurezza sono aggiornate? ( ) Le risorse sono classificate in base alla loro sensitività? ( ) La sicurezza informatica è considerata in tutte le fasi del ciclo di vita delle applicazioni? ( ) 1. Norme e procedure sono formalizzate e sembrano essere complete e attuali ( ) 2. Esistono ma devono essere significativamente migliorate ( ) 3. Esistono ma a livello informale o non documentate ( ) 4. Non esistono Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione 5

Amministrazione della Sicurezza Obiettivo: L Organizzazione della Funzione Sicurezza Informatica dovrebbe avere un adeguato numero di Professionalità con il compito di amministrare la sicurezza informatica ( ) Intervistare gli amministratori della sicurezza: funzioni, background, attività, ecc... ( ) Valutare la copertura delle posizioni rispetto a quantità e qualità ( ) Valutare la coerenza delle attività svolte rispetto alla missione ( ) Valutare i ruoli aziendali coinvolti e l interazione tra di essi. ( ) Sono individuati chiaramente i ruoli interni/esterni (utenti) e le relazioni tra i due? ( ) Esistono regole chiare e conosciute sulla richiesta, modifica, attivazione ed estinzione delle abilitazioni? ( ) Esistono e sono implementati adeguati strumenti per la configurazione centralizzata delle utenze/privilegi? ( ) Esistono e sono configurati sistemi di controllo accessi alle risorse? ( ) Esistono e sono aggiornati sistemi di gestione antivirus ( ) Esistono e sono operativi sistemi di gestione del back-up e recovery ( ) Esistono e sono operative strutture di gestione degli incidenti (gruppi di risposta) ( ) 1. L amministrazione della sicurezza risulta ben presidiata e operativamente efficiente ( ) 2. L amministr.ne è impropriamente presidiata ma appare essere oper.ente efficiente ( ) 3. Le responsabilità sono assegnate ma la funzione è solo parzialmente efficiente ( ) 4. L amministrazione è inefficiente Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione 6

Analisi del Rischio Obiettivo: Ci dovrebbe essere un efficace e tempestiva analisi delle minacce potenziali e del loro impatto sulla sicurezza delle informazioni critiche ( ) Identificare e rivedere le analisi del rischio più recenti ( ) Considerare il livello e l impatto dei rischi individuali ( ) Discutere le procedure di analisi e valutazione del rischio utilizzate ( ) Valutare i piani d azione generati dall analisi ( ) L analisi del rischio copre tutte le risorse informatiche? ( ) L analisi considera tutte le minacce ragionevolmente probabili? ( ) Il personale della sicurezza informatica e i Referenti applicativi sono coinvolti? ( ) Sono stimati gli impatti sul business? ( ) Sono valutati i costi/benefici delle contromisure suggerite? ( ) E valutata la riduzione di rischio conseguente? ( ) 1. Le analisi del rischio sono periodicamente eseguite ( ) 2. Le analisi del rischio sono eseguite ma sono superate ed hanno un obiettivo ristretto ( ) 3. Il rischio è stato informalmente considerato ( ) 4. Non c è analisi del rischio Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione 7

Sensibilizzazione e Formazione Obiettivo: Consapevolezza e sensibilizzazione sulla sicurezza dovrebbero essere sviluppati attraverso efficaci programmi di formazione a tutti i livelli dell Organizzazione ( ) Intervistare alcuni Responsabili per determinare se viene fornito uno specifico training sulla sicurezza ( ) Rivedere il materiale di training ( ) Rivedere i programmi e le procedure di formazione ( 3 ) E richiesto al personale di firmare un accordo di riservatezza sulle informazioni? ( 4 ) Il personale riceve periodicamente un bollettino sulla sicurezza o altro materiale? ( 4 ) Esistono programmi di sensibilizzazione e formazione? ( 4) La consapevolezza sulla sicurezza sembra ragionavolmente diffusa? ( ) 1. Sono impiegati programmi di sensibilizzazione e formazione ( ) 2. Il materiale disponibile può essere sensibilmente migliorato ( ) 3. Non c è un programma di training ma esiste una certa consapevolezza ( ) 4. Non esiste consapevolezza Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione 8

Quadro di Valutazione Esempio SECURITY MANAGEMENT CONCLUSIONI Adeguato Non adeguato 1. POLICY 1 2 3 4 2. RUOLI/RESPONSABILITA 1 2 3 4 3. NORME/PROCEDURE 1 2 3 4 4. AMMINISTRAZIONE 1 2 3 4 5. ANALISI DEL RISCHIO 1 2 3 4 6. SENSIBILIZZAZIONE E FORMAZIONE 1 2 3 4 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione 9

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back