Tool gratuito per Gap Analysis ISO 27001:2022

Abilita JavaScript nel browser per completare questo modulo.

– Passo 1 di 9

Tool gratuito per l’analisi del Gap di implementazione di un sistema di gestione per la sicurezza delle informazioni ISO 27001:2022.

Rispondi alle domande ed otterrai una valutazione di base sul sistema di gestione implementato. E’ possibile salvare i progressi, in questo caso una copia dei dati viene memorizzata su questo server. Per motivi di sicurezza, eventuali informazioni sensibili dovranno essere reinserite alla ripresa del lavoro. I dati vengono salvati per un massimo di 30 giorni. Riceverai via mail un link per poter accedere ai dati salvati.

Nome e Cognome *

Azienda/Ente *

Inserisci il nome dell’organizzazione

Email *

Accettazione GDPR *

Acconsento che questo sito conservi le informazioni inviate così che possano rispondere alla mia richiesta.

4 Contesto dell’organizzazione

4.1 Comprendere l’organizzazione e il suo contesto

L'organizzazione ha determinato le questioni esterne e interne che sono rilevanti per il suo scopo e che influenzano la sua capacità di raggiungere i risultati previsti del suo sistema di gestione della sicurezza delle informazioni?

4.2 Comprendere le esigenze e le aspettative delle parti interessate

L'organizzazione ha determinato le parti interessate che sono rilevanti per il sistema di gestione della sicurezza delle informazioni?

L'organizzazione ha determinato i requisiti delle parti interessate rilevanti per la sicurezza delle informazioni?

L'organizzazione ha determinato quali dei requisiti saranno affrontati attraverso il sistema di gestione della sicurezza delle informazioni?

4.3 Determinare l’ambito del sistema di gestione della sicurezza delle informazioni

L'organizzazione ha determinato i perimetri e l'applicabilità del sistema di gestione della sicurezza delle informazioni per stabilirne l'ambito?

Nel determinare questo ambito, l'organizzazione ha considerato le questioni esterne e interne di cui al punto 4.1?

Nel determinare questo ambito, l'organizzazione ha considerato i requisiti di cui al punto 4.2?

Nel determinare questo ambito, l'organizzazione ha considerato le interfacce e le dipendenze tra le attività svolte dall'organizzazione e quelle svolte da altre organizzazioni?

L'ambito è disponibile come informazione documentata?

4.4 Sistema di gestione della sicurezza delle informazioni

L'organizzazione ha stabilito, implementato, mantenuto e migliorato continuamente il sistema di gestione della sicurezza delle informazioni, compresi i processi necessari e la loro interazione, in conformità ai requisiti della norma ISO 27001?

Salva e riprendi più tardi

5 Leadership
5.1 Leadership e impegno

L’alta direzione ha dimostrato leadership e impegno nei confronti del sistema di gestione della sicurezza delle informazioni attraverso:

a) assicurando che la politica di sicurezza delle informazioni e gli obiettivi di sicurezza delle informazioni siano stabiliti e compatibili con la direzione strategica dell'organizzazione

b) garantendo l'integrazione dei requisiti del sistema di gestione della sicurezza delle informazioni nei processi dell'organizzazione

c) garantendo la disponibilità delle risorse necessarie per il sistema di gestione della sicurezza delle informazioni

d) comunicando l'importanza di una gestione efficace della sicurezza delle informazioni e della conformità ai requisiti del sistema di gestione della sicurezza delle informazioni

e) assicurando che il sistema di gestione della sicurezza delle informazioni raggiunga i risultati previsti

f) dirigendo e sostenendo le persone che contribuiscono all'efficacia del sistema di gestione della sicurezza delle informazioni

g) promuovendo il miglioramento continuo

h) supportando altri ruoli manageriali pertinenti a dimostrare la loro leadership in relazione alle loro aree di responsabilità

5.2 Politica

Il top management ha stabilito una politica di sicurezza delle informazioni che:

a) è appropriata allo scopo dell'organizzazione

b) include obiettivi di sicurezza delle informazioni (vedere 6.2) o fornisce il quadro di riferimento per la definizione di obiettivi di sicurezza delle informazioni

c) comprende l'impegno a soddisfare i requisiti applicabili in materia di sicurezza delle informazioni

d) include un impegno al miglioramento continuo del sistema di gestione della sicurezza delle informazioni

La politica di sicurezza delle informazioni è:

e) è disponibile come informazione documentata

f) è comunicata all'interno dell'organizzazione

g) è disponibile per le parti interessate, come previsto

5.3 Ruoli organizzativi, responsabilità e autorità

L'alta direzione si è assicurata che le responsabilità e le autorità per i ruoli rilevanti per la sicurezza delle informazioni siano assegnate e comunicate all'interno dell'organizzazione?

L’alta direzione ha assegnato la responsabilità e l’autorità per:

a) assicurare che il sistema di gestione della sicurezza delle informazioni sia conforme ai requisiti della norma ISO 27001

b) riferire all'alta direzione sulle prestazioni del sistema di gestione della sicurezza delle informazioni

Salva e riprendi più tardi

6 Pianificazione
6.1 Azioni per affrontare i rischi e le opportunità
6.1.1 In generale

Nella pianificazione del sistema di gestione della sicurezza delle informazioni, l’organizzazione ha considerato gli aspetti di cui al punto 4.1 e i requisiti di cui al punto 4.2 e ha determinato i rischi e le opportunità che devono essere affrontati:

a) garantire che il sistema di gestione della sicurezza delle informazioni possa raggiungere i risultati previsti

b) prevenire o ridurre gli effetti indesiderati

c) ottenere un miglioramento continuo

L’organizzazione ha pianificato:

d) azioni per affrontare questi rischi e opportunità

e1) come integrare e attuare le azioni nei processi del proprio sistema di gestione della sicurezza delle informazioni

e2) come valutare l'efficacia di tali azioni

6.1.2 Valutazione del rischio per la sicurezza delle informazioni

L’organizzazione ha definito e applicato un processo di valutazione del rischio per la sicurezza delle informazioni che:

a) stabilisca e mantenga criteri di rischio per la sicurezza delle informazioni che includono:

a1) i criteri di accettazione del rischio

a2) i criteri per l'esecuzione delle valutazioni del rischio per la sicurezza delle informazioni

b) assicuri che le ripetute valutazioni del rischio per la sicurezza delle informazioni producano risultati coerenti, validi e comparabili

c) identifichi i rischi per la sicurezza delle informazioni:

c1) applichi il processo di valutazione del rischio per la sicurezza delle informazioni per identificare i rischi associati alla perdita di riservatezza, integrità e disponibilità delle informazioni nell'ambito del sistema di gestione della sicurezza delle informazioni

c2) identifichi i proprietari dei rischi

d) analizzi i rischi per la sicurezza delle informazioni:

d1) valutando le potenziali conseguenze che si verificherebbero se i rischi individuati al punto 6.1.2 c1) dovessero concretizzarsi

d2) valutando la probabilità realistica che si verifichino i rischi identificati al punto 6.1.2 c1)

d3) determinando i livelli di rischio

f) valuti i rischi per la sicurezza delle informazioni:

f1) confrontando i risultati dell'analisi dei rischi con i criteri di rischio stabiliti in 6.1.2

f2) stabilendo la priorità dei rischi analizzati per il trattamento dei rischi

L'organizzazione conserva informazioni documentate sul processo di valutazione del rischio di sicurezza delle informazioni

6.1.3 Trattamento del rischio per la sicurezza delle informazioni

L’organizzazione ha definito e applicato un processo di trattamento dei rischi per la sicurezza delle informazioni per:

a) selezionare le opzioni appropriate di trattamento del rischio per la sicurezza delle informazioni, tenendo conto dei risultati della valutazione del rischio

b) determinare tutti i controlli necessari per implementare le opzioni di trattamento del rischio per la sicurezza delle informazioni scelte

c) confrontare i controlli determinati al punto 6.1.3 b) con quelli dell'Allegato A e verificare che non siano stati omessi i controlli necessari

d) produrre una dichiarazione di applicabilità che contenga i controlli necessari (cfr. 6.1.3 b) e c)) e la giustificazione delle inclusioni, che siano o meno implementate, e la giustificazione delle esclusioni dei controlli dall'Allegato A

e) formulare un piano di trattamento dei rischi per la sicurezza delle informazioni

f) ottenere l'approvazione del piano di trattamento dei rischi per la sicurezza delle informazioni e l'accettazione dei rischi residui per la sicurezza delle informazioni da parte dei proprietari dei rischi

L'organizzazione conserva informazioni documentate sul processo di trattamento del rischio per la sicurezza delle informazioni

6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli

L'organizzazione ha stabilito obiettivi di sicurezza delle informazioni per le funzioni e i livelli pertinenti

Gli obiettivi di sicurezza delle informazioni sono:

a) coerenti con la politica di sicurezza delle informazioni

b) misurabili (se possibile)

c) tengono conto dei requisiti di sicurezza delle informazioni applicabili e dei risultati della valutazione e del trattamento dei rischi

d) monitorati

e) comunicati

f) aggiornati se necessario

L'organizzazione conserva informazioni documentate sugli obiettivi di sicurezza delle informazioni

Quando si pianifica il raggiungimento degli obiettivi di sicurezza delle informazioni, l’organizzazione determina:

g) cosa verrà fatto

h) quali risorse saranno necessarie

i) chi sarà responsabile

j) quando sarà completato

k) come verranno valutati i risultati

Salva e riprendi più tardi

7 Supporto
7.1 Risorse

L'organizzazione determina e fornisce le risorse necessarie per la creazione, l'implementazione, il mantenimento e il miglioramento continuo del sistema di gestione della sicurezza delle informazioni

7.2 Competenza

L’organizzazione:

a) determina la competenza necessaria delle persone che svolgono un lavoro sotto il suo controllo che influisce sulle prestazioni di sicurezza delle informazioni

b) si assicura che tali persone siano competenti sulla base di un'adeguata istruzione, formazione o esperienza

c) ove applicabile, intraprendere azioni per acquisire la competenza necessaria e valutare l'efficacia delle azioni intraprese

d) conservare le informazioni documentate appropriate come prova della competenza

7.3 Consapevolezza

Le persone che lavorano sotto il controllo dell’organizzazione sono a conoscenza di:

a) della politica di sicurezza delle informazioni

b) del loro contributo all'efficacia del sistema di gestione della sicurezza delle informazioni, compresi i benefici derivanti dal miglioramento delle prestazioni in materia di sicurezza delle informazioni

c) delle implicazioni derivanti dalla mancata conformità ai requisiti del sistema di gestione della sicurezza delle informazioni

7.4 Comunicazione

L’organizzazione ha determinato la necessità di comunicazioni interne ed esterne relative al sistema di gestione della sicurezza delle informazioni, tra cui:

a) cosa comunicare

b) quando comunicare

c) con chi comunicare

d) chi deve comunicare

e) i processi attraverso i quali la comunicazione deve essere effettuata

7.5 Informazioni documentate
7.5.1 Generalità

Il sistema di gestione della sicurezza delle informazioni dell’organizzazione include:

a) informazioni documentate richieste dalla norma ISO 27001

b) informazioni documentate che l'organizzazione ritiene necessarie per l'efficacia del sistema di gestione della sicurezza delle informazioni

7.5.2 Creazione e aggiornamento

Durante la creazione e l’aggiornamento delle informazioni documentate, l’organizzazione si è assicurata che siano appropriati

a) identificazione e descrizione (ad esempio, titolo, data, autore o numero di riferimento)

b) il formato (ad esempio, lingua, versione del software, grafica) e i supporti (ad esempio, carta, elettronica)

c) revisione e approvazione per l'idoneità e l'adeguatezza

7.5.3 Controllo delle informazioni documentate

Le informazioni documentate richieste dal sistema di gestione della sicurezza delle informazioni e dalla presente norma internazionale sono controllate per garantire che:

a) siano disponibili e adatte all'uso, dove e quando sono necessarie

b) sia adeguatamente protetta (ad esempio, dalla perdita di riservatezza, dall'uso improprio o dalla perdita di integrità)

Per il controllo delle informazioni documentate, l’organizzazione ha affrontato le seguenti attività, a seconda dei casi:

c) distribuzione, accesso, recupero e utilizzo

d) archiviazione e conservazione, compresa la conservazione della leggibilità

e) controllo delle modifiche (ad esempio, controllo delle versioni)

f) conservazione e smaltimento

Salva e riprendi più tardi

8 Funzionamento

8.1 Pianificazione e controllo operativo

L'organizzazione pianifica, implementa e controlla i processi necessari per soddisfare i requisiti di sicurezza delle informazioni e per implementare le azioni determinate al punto 6, stabilendo criteri per i processi ed implementando il controllo dei processi in conformità ai criteri

L'organizzazione conserva le informazioni documentate nella misura necessaria a garantire che i processi siano stati eseguiti come previsto

L'organizzazione controlla le modifiche pianificate ed esamina le conseguenze delle modifiche non intenzionali, intervenendo per mitigare gli effetti negativi, se necessario

L'organizzazione assicura che i processi, i prodotti o i servizi forniti dall'esterno e rilevanti per il sistema di gestione della sicurezza delle informazioni siano controllati

8.2 Valutazione del rischio per la sicurezza delle informazioni

L'organizzazione esegue valutazioni del rischio per la sicurezza delle informazioni a intervalli pianificati o quando vengono proposti o si verificano cambiamenti significativi, tenendo conto dei criteri stabiliti al punto 6.1.2 a)

L'organizzazione conserva informazioni documentate sui risultati delle valutazioni del rischio per la sicurezza delle informazioni

8.3 Trattamento dei rischi per la sicurezza delle informazioni

L'organizzazione ha implementato il piano di trattamento dei rischi per la sicurezza delle informazioni

L'organizzazione conserva informazioni documentate sui risultati del trattamento del rischio per la sicurezza delle informazioni

Salva e riprendi più tardi

9.1 Monitoraggio, misurazione, analisi e valutazione

L'organizzazione valuta le prestazioni della sicurezza delle informazioni e l'efficacia del sistema di gestione della sicurezza delle informazioni

L’organizzazione determina:

a) cosa deve essere monitorato e misurato, compresi i processi e i controlli di sicurezza delle informazioni

b) i metodi di monitoraggio, misurazione, analisi e valutazione, a seconda dei casi, per garantire risultati validi. I metodi scelti devono produrre risultati comparabili e riproducibili per essere considerati validi

c) quando devono essere eseguiti il monitoraggio e la misurazione

d) chi deve effettuare il monitoraggio e la misurazione

e) quando i risultati del monitoraggio e della misurazione devono essere analizzati e valutati

f) chi analizzerà e valuterà questi risultati

Sono disponibili informazioni documentate come prova dei risultati del monitoraggio e della misurazione

9.2 Audit interna

9.2.1 Generale

L’organizzazione deve condurre audit interni a intervalli pianificati per fornire informazioni sul fatto che il sistema di gestione della sicurezza delle informazioni:

a) è conforme a:

a1) ai requisiti dell'organizzazione per il suo sistema di gestione della sicurezza delle informazioni

a2) ai requisiti della norma ISO 27001

b) è efficacemente implementato e mantenuto

9.2.2 Programma di audit interno

L’organizzazione:

c) pianifica, stabilisce, attua e mantiene uno o più programmi di audit, compresi la frequenza, i metodi, le responsabilità, i requisiti di pianificazione e il reporting. Il programma o i programmi di audit devono prendere in considerazione l'importanza dei processi interessati e i risultati degli audit precedenti

d) definire i criteri di audit e l'ambito di applicazione per ciascun audit

e) selezionare gli auditor e condurre gli audit in modo da garantire l'obiettività e l'imparzialità del processo di audit

f) garantire che i risultati degli audit siano comunicati alla direzione competente

g) conservare le informazioni documentate come prova dei programmi di audit e dei risultati degli audit

9.3 Riesame della gestione
9.3.1 Generalità

L'alta direzione riesamina il sistema di gestione della sicurezza delle informazioni dell'organizzazione a intervalli pianificati per assicurarne la continua idoneità, adeguatezza ed efficacia

9.3.2 Input del riesame della direzione

I riesami della direzione comprendono l’esame di:

a) lo stato di avanzamento delle azioni dei precedenti riesami della direzione

b) i cambiamenti nelle problematiche esterne e interne rilevanti per il sistema di gestione della sicurezza delle informazioni

c) i cambiamenti nelle esigenze e nelle aspettative delle parti interessate che sono rilevanti per il sistema di gestione della sicurezza delle informazioni

d) feedback sulle prestazioni in materia di sicurezza delle informazioni, comprese le tendenze in materia di:

d1) non conformità e azioni correttive

d2) risultati del monitoraggio e della misurazione

d3) risultati degli audit

d4) raggiungimento degli obiettivi di sicurezza delle informazioni

e) feedback delle parti interessate

f) risultati della valutazione del rischio e stato del piano di trattamento del rischio

g) opportunità di miglioramento continuo

9.3.3 Risultati del riesame della direzione

I risultati del riesame della direzione includono decisioni relative alle opportunità di miglioramento continuo e alle eventuali necessità di modifica del sistema di gestione della sicurezza delle informazioni

L'organizzazione conserva informazioni documentate come prova dei risultati dei riesami della direzione

Salva e riprendi più tardi

10 Miglioramento

10.1 Non conformità e azioni correttive

Quando si verifica una non conformità, l’organizzazione:

a) reagisce alla non conformità e, se del caso:

a1) si intraprendono azioni per controllarla e correggerla;

a2) si affrontano le conseguenze

b) si valuta la necessità di intervenire per eliminare le cause della non conformità, in modo che non si ripeta o si ripeta altrove, attraverso:

b1) riesaminando la non conformità

b2) determinando le cause della non conformità

b3) determinando se esistono, o potrebbero potenzialmente verificarsi, non conformità simili

c) implementa qualsiasi azione necessaria

d) riesamina l'efficacia di qualsiasi azione correttiva intrapresa

e) apporta modifiche al sistema di gestione della sicurezza delle informazioni, se necessario

Le azioni correttive sono adeguate agli effetti delle non conformità riscontrate

L’organizzazione conserva informazioni documentate a riprova di:

f) la natura delle non conformità e le eventuali azioni successive intraprese

g) i risultati delle azioni correttive

10.2 Miglioramento continuo

L'organizzazione migliora continuamente l'idoneità, l'adeguatezza e l'efficacia del sistema di gestione della sicurezza delle informazioni

Salva e riprendi più tardi

Valutazione delle risposte inserite

Total

0,00 €

–

Valuta il tool

Valuta 1 su 5Valuta 2 su 5Valuta 3 su 5Valuta 4 su 5Valuta 5 su 5

Quanto hai trovato utile il tool?

Proseguendo potrai inoltrare il Form per essere ricontattato. Non sarà più possibile modificare le risposte.

Salva e riprendi più tardi

Telefono

Salva e riprendi più tardi

Attenzione! Se salvi ora i progressi, una copia dei dati viene memorizzata su questo server e chi possiede il sito può accedervi. Per motivi di sicurezza, dovrai reinserire informazioni sensibili quando riprendi il lavoro.

Torna indietro

Il tuo modulo è stato salvato ed è stato creato un link unico a cui puoi accedere per ripristinarlo.

Inserisci il tuo indirizzo email per ricevere il link via email. In alternativa, puoi copiare e salvare il link qui sotto.

Ricorda che questo link non deve essere condiviso e scadrà tra 30 giorni, dopodiché i dati del tuo modulo verranno eliminati.

Copia il link

Email *

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Tool gratuito per Gap Analysis ISO 27001:2022

Tool gratuito per l’analisi del Gap di implementazione di un sistema di gestione per la sicurezza delle informazioni ISO 27001:2022.

4 Contesto dell’organizzazione

4.1 Comprendere l’organizzazione e il suo contesto

4.2 Comprendere le esigenze e le aspettative delle parti interessate

4.3 Determinare l’ambito del sistema di gestione della sicurezza delle informazioni

4.4 Sistema di gestione della sicurezza delle informazioni

5 Leadership 5.1 Leadership e impegno

5.2 Politica

5.3 Ruoli organizzativi, responsabilità e autorità

6 Pianificazione 6.1 Azioni per affrontare i rischi e le opportunità 6.1.1 In generale

6.1.2 Valutazione del rischio per la sicurezza delle informazioni

6.1.3 Trattamento del rischio per la sicurezza delle informazioni

6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli

7 Supporto 7.1 Risorse

7.2 Competenza

7.3 Consapevolezza

7.4 Comunicazione

7.5 Informazioni documentate 7.5.1 Generalità

7.5.2 Creazione e aggiornamento

7.5.3 Controllo delle informazioni documentate

8 Funzionamento

8.1 Pianificazione e controllo operativo

8.2 Valutazione del rischio per la sicurezza delle informazioni

8.3 Trattamento dei rischi per la sicurezza delle informazioni

9.1 Monitoraggio, misurazione, analisi e valutazione

9.2 Audit interna

9.2.1 Generale

9.2.2 Programma di audit interno

9.3 Riesame della gestione 9.3.1 Generalità

9.3.2 Input del riesame della direzione

9.3.3 Risultati del riesame della direzione

10 Miglioramento

10.1 Non conformità e azioni correttive

10.2 Miglioramento continuo

Valutazione delle risposte inserite

–

Proseguendo potrai inoltrare il Form per essere ricontattato. Non sarà più possibile modificare le risposte.

Cybersec4®

5 Leadership
5.1 Leadership e impegno

6 Pianificazione
6.1 Azioni per affrontare i rischi e le opportunità
6.1.1 In generale

7 Supporto
7.1 Risorse

7.5 Informazioni documentate
7.5.1 Generalità

9.3 Riesame della gestione
9.3.1 Generalità