Tool gratuito per Gap Analysis Framework Nazionale per la Cybersecurity e la Data Protection

Abilita JavaScript nel browser per completare questo modulo.
Passo 1 di 7

Tool gratuito per l’analisi del Gap di implementazione di un sistema di gestione per la sicurezza delle informazioni basato sul Framework Nazionale per la Cybersecurity e la Data Protection versione 2.0 (Framework core).

Rispondi alle domande ed otterrai una valutazione di base sul sistema di gestione implementato. E’ possibile salvare i progressi, in questo caso una copia dei dati viene memorizzata su questo server. Per motivi di sicurezza, eventuali informazioni sensibili dovranno essere reinserite alla ripresa del lavoro. I dati vengono salvati per un massimo di 30 giorni. Riceverai via mail un link per poter accedere ai dati salvati.

In collaborazione con

Cerchi la versione del Tool di Gap Analysis per la norma ISO 27001:2022? Clicca qui!
Inserisci il nome dell’organizzazione

IDENTIFY (ID)

Asset Management (ID.AM): I dati, il personale, i dispositivi e i sistemi e le facilities necessari all’organizzazione sono identificati e gestiti in coerenza con gli obiettivi e con la strategia di rischio dell’organizzazione.

ID.AM-1: Sono censiti i sistemi e gli apparati fisici in uso nell'organizzazione
ID.AM-2: Sono censite le piattaforme e le applicazioni software in uso nell'organizzazione
ID.AM-3: I flussi di dati e comunicazioni inerenti l'organizzazione sono identificati
ID.AM-4: I sistemi informativi esterni all'organizzazione sono catalogati
ID.AM-5: Le risorse (es: hardware, dispositivi, dati, allocazione temporale, personale e software) sono prioritizzate in base alla loro classificazione (e.g. confidenzialità, integrità, disponibilità), criticità e valore per il business dell'organizzazione
ID.AM-6: Sono definiti e resi noti ruoli e responsabilità inerenti la cybersecurity per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner)
DP-ID.AM-7: Sono definiti e resi noti ruoli e responsabilità inerenti al trattamento e la protezione dei dati personali per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner)
DP-ID.AM-8: I trattamenti di dati personali sono identificati e catalogati

Business Environment (ID.BE): La mission dell’organizzazione, gli obiettivi, le attività e gli attori coinvolti sono compresi e valutate in termini di priorità. Tali informazioni influenzano i ruoli, le responsabilità di cybersecurity e le decisioni in materia di gestione del rischio.

ID.BE-1: Il ruolo dell'organizzazione all'interno della filiera produttiva è identificato e reso noto
ID.BE-2: Il ruolo dell'organizzazione come infrastruttura critica e nel settore industriale di riferimento è identificato e reso noto
ID.BE-3: Sono definite e rese note delle priorità per quanto riguarda la missione, gli obiettivi e le attività dell'organizzazione
ID.BE-4: Sono identificate e rese note interdipendenze e funzioni fondamentali per la fornitura di servizi critici
ID.BE-5: Sono identificati e resi noti i requisiti di resilienza a supporto della fornitura di servizi critici per tutti gli stati di esercizio (es. sotto stress/attacco, in fase di recovery, normale esercizio)

Governance (ID.GV): Le politiche, le procedure e i processi per gestire e monitorare i requisiti dell’organizzazione (organizzativi, legali, relativi al rischio, ambientali) sono compresi e utilizzati nella gestione del rischio di cybersecurity.

ID.GV-1: È indetificata e resa nota una policy di cybersecurity
ID.GV-2: Ruoli e responsabilità inerenti la cybersecurity sono coordinati ed allineati con i ruoli interni ed i partner esterni
ID.GV-3: I requisiti legali in materia di cybersecurity, con l'inclusione degli obblighi riguardanti la privacy e le libertà civili, sono compresi e gestiti
ID.GV-4: La governance ed i processi di risk management includono la gestione dei rischi legati alla cybersecurity

Risk Assessment (ID.RA): L’impresa comprende il rischio di cybersecurity inerente l’operatività dell’organizzazione (incluse la mission, le funzioni, l’immagine o la reputazione), gli asset e gli individui.

ID.RA-1: Le vulnerabilità delle risorse (es. sistemi, locali, dispositivi) dell'organizzazione sono identificate e documentate
ID.RA-2: L'organizzazione riceve informazioni su minacce, vulnerabilità ed altri dati configurabili come Cyber Threat Intelligence da fonti esterne (e.g. CERT, fonti aperte, forum di information sharing)
ID.RA-3: Le minacce, sia interne che esterne, sono identificate e documentate
ID.RA-4: Sono identificati i potenziali impatti sul business e le relative probabilità di accadimento
ID.RA-5: Le minacce, le vulnerabilità, le relative probabilità di accadimento e conseguenti impatti sono utilizzati per determinare il rischio
ID.RA-6: Sono identificate e prioritizzate le risposte al rischio
DP-ID.RA-7: Viene effettuata una valutazione di impatto sulla protezione dei dati personali

Risk Management Strategy (ID.RM): Le priorità e i requisiti dell’organizzazione e la tolleranza al rischio sono definiti e utilizzati per supportare le decisioni sul rischio operazionale.

ID.RM-1: I processi di risk management sono stabiliti, gestiti e concordati tra i responsabili dell'organizzazione (c.d. stakeholder)
ID.RM-2: Il rischio tollerato dall'organizzazione è identificato ed espresso chiaramente
ID.RM-3: Il rischio tollerato è determinato tenendo conto del ruolo dell'organizzazione come infrastruttura critica e dei rischi specifici presenti nel settore industriale di appartenenza

Supply Chain Risk Management (ID.SC): Le priorità, i vincoli, le tolleranze al rischio e le ipotesi dell’organizzazione sono stabilite e utilizzate per supportare le decisioni di rischio associate alla gestione del rischio legato alla catena di approvvigionamento. L’organizzazione ha definito e implementato i processi atti a identificare, valutare e gestire il rischio legato alla catena di approvvigionamento.

ID.SC-1: I processi di gestione del rischio inerenti la catena di approvvigionamento cyber sono identificati, ben definiti, validati, gestiti e approvati da attori interni all'organizzazione
ID.SC-2: I fornitori e i partner terzi di sistemi informatici, componenti e servizi sono identificati, prioritizzati e valutati utilizzando un processo di valutazione del rischio inerente la catena di approvvigionamento cyber
ID.SC-3: I contratti con i fornitori e i partner terzi sono utilizzati per realizzare appropriate misure progettate per rispettare gli obiettivi del programma di cybersecurity dell'organizzazione e del Piano di Gestione del Rischio della catena di approvvigionamento cyber
ID.SC-4: Fornitori e partner terzi sono regolarmente valutati utilizzando audit, verifiche, o altre forme di valutazione per confermare il rispetto degli obblighi contrattuali
ID.SC-5: La pianificazione e la verifica della risposta e del ripristino sono condotti con i fornitori e i partner terzi

Data Management (DP-ID.DM): i dati personali sono trattati attraverso processi definiti, in coerenza con le normative di riferimento.

DP-ID.DM-1: Il ciclo di vita dei dati è definito e documentato
DP-ID.DM-2: Sono definiti, implementati e documentati i processi riguardanti l'informazione dell'interessato in merito al trattamento dei dati
DP-ID.DM-3: Sono definiti, implementati e documentati i processi di raccolta e revoca del consenso dell'interessato al trattamento di dati
DP-ID.DM-4: Sono definiti, implementati e documentati i processi per l'esercizio dei diritti (accesso, rettifica, cancellazione, ecc.) dell'interessato
DP-ID.DM-5: Sono definiti, implementati e documentati i processi di trasferimento dei dati in ambito internazionale