Cybersec4® - Consulenza, Servizi, Soluzioni e Formazione su Cybersecurity, IT e Networking per Aziende e Privati

Tool gratuito per Gap analysis Framework Nazionale per la Cybersecurity e la Data Protection v2.0

Abilita JavaScript nel browser per completare questo modulo.
Passo 1 di 7

Tool gratuito per l’analisi del Gap di implementazione di un sistema di gestione per la sicurezza delle informazioni basato sul Framework Nazionale per la Cybersecurity e la Data Protection versione 2.0 (Framework core).

Rispondi alle domande ed otterrai una valutazione di base sul sistema di gestione implementato. E’ possibile salvare i progressi, in questo caso una copia dei dati viene memorizzata su questo server. Per motivi di sicurezza, eventuali informazioni sensibili dovranno essere reinserite alla ripresa del lavoro. I dati vengono salvati per un massimo di 30 giorni. Riceverai via mail un link per poter accedere ai dati salvati.

Inserisci il nome dell’organizzazione

IDENTIFY (ID)

Asset Management (ID.AM): I dati, il personale, i dispositivi e i sistemi e le facilities necessari all’organizzazione sono identificati e gestiti in coerenza con gli obiettivi e con la strategia di rischio dell’organizzazione.

ID.AM-1: Sono censiti i sistemi e gli apparati fisici in uso nell'organizzazione
ID.AM-2: Sono censite le piattaforme e le applicazioni software in uso nell'organizzazione
ID.AM-3: I flussi di dati e comunicazioni inerenti l'organizzazione sono identificati
ID.AM-4: I sistemi informativi esterni all'organizzazione sono catalogati
ID.AM-5: Le risorse (es: hardware, dispositivi, dati, allocazione temporale, personale e software) sono prioritizzate in base alla loro classificazione (e.g. confidenzialità, integrità, disponibilità), criticità e valore per il business dell'organizzazione
ID.AM-6: Sono definiti e resi noti ruoli e responsabilità inerenti la cybersecurity per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner)
DP-ID.AM-7: Sono definiti e resi noti ruoli e responsabilità inerenti al trattamento e la protezione dei dati personali per tutto il personale e per eventuali terze parti rilevanti (es. fornitori, clienti, partner)
DP-ID.AM-8: I trattamenti di dati personali sono identificati e catalogati

Business Environment (ID.BE): La mission dell’organizzazione, gli obiettivi, le attività e gli attori coinvolti sono compresi e valutate in termini di priorità. Tali informazioni influenzano i ruoli, le responsabilità di cybersecurity e le decisioni in materia di gestione del rischio.

ID.BE-1: Il ruolo dell'organizzazione all'interno della filiera produttiva è identificato e reso noto
ID.BE-2: Il ruolo dell'organizzazione come infrastruttura critica e nel settore industriale di riferimento è identificato e reso noto
ID.BE-3: Sono definite e rese note delle priorità per quanto riguarda la missione, gli obiettivi e le attività dell'organizzazione
ID.BE-4: Sono identificate e rese note interdipendenze e funzioni fondamentali per la fornitura di servizi critici
ID.BE-5: Sono identificati e resi noti i requisiti di resilienza a supporto della fornitura di servizi critici per tutti gli stati di esercizio (es. sotto stress/attacco, in fase di recovery, normale esercizio)

Governance (ID.GV): Le politiche, le procedure e i processi per gestire e monitorare i requisiti dell’organizzazione (organizzativi, legali, relativi al rischio, ambientali) sono compresi e utilizzati nella gestione del rischio di cybersecurity.

ID.GV-1: È indetificata e resa nota una policy di cybersecurity
ID.GV-2: Ruoli e responsabilità inerenti la cybersecurity sono coordinati ed allineati con i ruoli interni ed i partner esterni
ID.GV-3: I requisiti legali in materia di cybersecurity, con l'inclusione degli obblighi riguardanti la privacy e le libertà civili, sono compresi e gestiti
ID.GV-4: La governance ed i processi di risk management includono la gestione dei rischi legati alla cybersecurity

Risk Assessment (ID.RA): L’impresa comprende il rischio di cybersecurity inerente l’operatività dell’organizzazione (incluse la mission, le funzioni, l’immagine o la reputazione), gli asset e gli individui.

ID.RA-1: Le vulnerabilità delle risorse (es. sistemi, locali, dispositivi) dell'organizzazione sono identificate e documentate
ID.RA-2: L'organizzazione riceve informazioni su minacce, vulnerabilità ed altri dati configurabili come Cyber Threat Intelligence da fonti esterne (e.g. CERT, fonti aperte, forum di information sharing)
ID.RA-3: Le minacce, sia interne che esterne, sono identificate e documentate
ID.RA-4: Sono identificati i potenziali impatti sul business e le relative probabilità di accadimento
ID.RA-5: Le minacce, le vulnerabilità, le relative probabilità di accadimento e conseguenti impatti sono utilizzati per determinare il rischio
ID.RA-6: Sono identificate e prioritizzate le risposte al rischio
DP-ID.RA-7: Viene effettuata una valutazione di impatto sulla protezione dei dati personali

Risk Management Strategy (ID.RM): Le priorità e i requisiti dell’organizzazione e la tolleranza al rischio sono definiti e utilizzati per supportare le decisioni sul rischio operazionale.

ID.RM-1: I processi di risk management sono stabiliti, gestiti e concordati tra i responsabili dell'organizzazione (c.d. stakeholder)
ID.RM-2: Il rischio tollerato dall'organizzazione è identificato ed espresso chiaramente
ID.RM-3: Il rischio tollerato è determinato tenendo conto del ruolo dell'organizzazione come infrastruttura critica e dei rischi specifici presenti nel settore industriale di appartenenza

Supply Chain Risk Management (ID.SC): Le priorità, i vincoli, le tolleranze al rischio e le ipotesi dell’organizzazione sono stabilite e utilizzate per supportare le decisioni di rischio associate alla gestione del rischio legato alla catena di approvvigionamento. L’organizzazione ha definito e implementato i processi atti a identificare, valutare e gestire il rischio legato alla catena di approvvigionamento.

ID.SC-1: I processi di gestione del rischio inerenti la catena di approvvigionamento cyber sono identificati, ben definiti, validati, gestiti e approvati da attori interni all'organizzazione
ID.SC-2: I fornitori e i partner terzi di sistemi informatici, componenti e servizi sono identificati, prioritizzati e valutati utilizzando un processo di valutazione del rischio inerente la catena di approvvigionamento cyber
ID.SC-3: I contratti con i fornitori e i partner terzi sono utilizzati per realizzare appropriate misure progettate per rispettare gli obiettivi del programma di cybersecurity dell'organizzazione e del Piano di Gestione del Rischio della catena di approvvigionamento cyber
ID.SC-4: Fornitori e partner terzi sono regolarmente valutati utilizzando audit, verifiche, o altre forme di valutazione per confermare il rispetto degli obblighi contrattuali
ID.SC-5: La pianificazione e la verifica della risposta e del ripristino sono condotti con i fornitori e i partner terzi

Data Management (DP-ID.DM): i dati personali sono trattati attraverso processi definiti, in coerenza con le normative di riferimento.

DP-ID.DM-1: Il ciclo di vita dei dati è definito e documentato
DP-ID.DM-2: Sono definiti, implementati e documentati i processi riguardanti l'informazione dell'interessato in merito al trattamento dei dati
DP-ID.DM-3: Sono definiti, implementati e documentati i processi di raccolta e revoca del consenso dell'interessato al trattamento di dati
DP-ID.DM-4: Sono definiti, implementati e documentati i processi per l'esercizio dei diritti (accesso, rettifica, cancellazione, ecc.) dell'interessato
DP-ID.DM-5: Sono definiti, implementati e documentati i processi di trasferimento dei dati in ambito internazionale