Machine Translated by Google

INTERNAZIONALE ISO/IEC
STANDARD 27001

Terza edizione
2022-10

Sicurezza delle informazioni, sicurezza

informatica e tutela della privacy — Sistemi
di gestione della sicurezza delle informazioni —
Requisiti
Sicurezza dell'informazione, sicurezza informatica e protezione
della vita privata — Sistemi di gestione della sicurezza dell'informazione —
Esigenze

Numero di riferimento
ISO/IEC 27001:2022(E)

--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

©ISO/IEC 2022
Machine Translated by Google

ISO/IEC 27001:2022(E)

DOCUMENTO PROTETTO DA COPYRIGHT

©ISO/IEC 2022
Tutti i diritti riservati. Se non diversamente specificato, o richiesto nel contesto della sua implementazione, nessuna parte di questa
pubblicazione può essere riprodotta o utilizzata altrimenti in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, inclusa la
fotocopiatura, o la pubblicazione su Internet o intranet, senza previa permesso scritto. L'autorizzazione può essere richiesta all'ISO all'indirizzo
riportato di seguito o all'organismo membro dell'ISO nel paese del richiedente.
Ufficio copyright ISO
CP 401 • Cap. di Blandonnet 8
CH-1214 Nonio, Ginevra
Telefono: +41 22 749 01 11
E-mail: copyright@iso.org
-,`,,`,`,`,`,,,-,,-`-```,`,``,`,,,`,,-`,`-

Sito web: www.iso.org

Pubblicato in Svizzera

ii © ISO/IEC 2022 – Tutti i diritti riservati

``,,,,,`````
Machine Translated by Google

`,,`,,`,`,,` Contenuti
ISO/IEC 27001:2022(E)

Pagina

Prefazione................................................. .................................................... .................................................... .................................................... .................................iv

Introduzione................................................. .................................................... .................................................... .................................................... ..........................v

1 Scopo................................................. .................................................... .................................................... .................................................... ........................1

2 Referenze normative ................................................ .................................................... .................................................... ..............................1

3 Termini e definizioni............................................... .................................................... .................................................... ..............................1

4 Il contesto dell’organizzazione ................................................ .................................................... .................................................... ....................1

4.1 Comprendere l’organizzazione e il suo contesto................................................ .................................................... ........ 1
4.2 Comprendere i bisogni e le aspettative delle parti interessate................................ .................... 1
4.3 Determinazione dell'ambito del sistema di gestione della sicurezza delle informazioni ................................ 2
4.4 Sistema di gestione della sicurezza delle informazioni............................................ .................................................... ...................... 2

5 Comando................................................. .................................................... .................................................... .................................................... ...........2

5.1 Leadership e impegno............................................ .................................................... .................................................... .... 2

5.2 Politica................................................ .................................................... .................................................... .................................................... .......... 3
`-
--

5.3 Ruoli organizzativi, responsabilità e autorità ................................................ .................................... 3

6 Pianificazione................................................. .................................................... .................................................... .................................................... ..............3

6.1 Azioni per affrontare rischi e opportunità ................................................ .................................................... ...................... 3

6.1.1 Generale............................................ .................................................... .................................................... .................................... 3

6.1.2 Valutazione del rischio per la sicurezza delle informazioni................................ .................................................... ................ 4
6.1.3 Trattamento del rischio legato alla sicurezza delle informazioni................................ .................................................... .................... 4
6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli ................................ .................... 5

7 Supporto................................................. .................................................... .................................................... .................................................... ....................6

7.1 Risorse ................................................ .................................................... .................................................... .................................... 6
7.2 Competenza.................................... .................................................... .................................................... .................................... 6
7.3 Consapevolezza............................................ .................................................... .................................................... .................................... 6
7.4 Comunicazione............................................ .................................................... .................................................... ................................... 6
7.5 Informazioni documentate............................................ .................................................... .................................................... ........... 6
7.5.1 Generale............................................ .................................................... .................................................... .................................... 6

7.5.2 Creazione e aggiornamento................................................ .................................................... .................................................... .... 7

7.5.3 Controllo delle informazioni documentate................................................ .................................................... .................... 7

8 Operazione............................................... .................................................... .................................................... .................................................... ..............7

8.1 Pianificazione e controllo operativo............................................ .................................................... .................................... 7

8.2 Valutazione del rischio per la sicurezza delle informazioni............................ .................................................... ............................ 8
8.3 Trattamento del rischio legato alla sicurezza delle informazioni............................ .................................................... .................................... 8

9 Valutazione delle prestazioni ................................................ .................................................... .................................................... ........................8

9.1 Monitoraggio, misurazione, analisi e valutazione.............................................. .................................................... ..8 _

9.2 Audit interno............................................ .................................................... .................................................... .................................... 8
9.2.1 Generale................................................ .................................................... .................................................... ...................................... 8

9.2.2 Programma di audit interno ............................................ .................................................... .................................... 9

9.3 Riesame della direzione............................................ .................................................... .................................................... ........................ 9
9.3.1 Generale................................................ .................................................... .................................................... ...................................... 9

9.3.2 Input del riesame della direzione ............................................ .................................................... .................................... 9

9.3.3 Risultati del riesame della direzione............................................ .................................................... .................................... 9

10 Miglioramento................................................. .................................................... .................................................... .................................................... ..10

10.1 Miglioramento continuo............................................ .................................................... .................................................... ............. 10

10.2 Non conformità e azioni correttive............................................ .................................................... .................... 10

Allegato A (normativo) Riferimento ai controlli di sicurezza delle informazioni ................................. .................................................... 11

Bibliografia................................................. .................................................... .................................................... .................................................... ......................19

© ISO/IEC 2022 – Tutti i diritti riservati iii

Machine Translated by Google

ISO/IEC 27001:2022(E)

Prefazione
L'ISO (l'Organizzazione internazionale per la standardizzazione) e l'IEC (la Commissione elettrotecnica internazionale)
costituiscono il sistema specializzato per la standardizzazione mondiale. Gli organismi nazionali membri dell'ISO o dell'IEC
partecipano allo sviluppo degli standard internazionali attraverso comitati tecnici istituiti dalla rispettiva organizzazione per
occuparsi di particolari campi di attività tecnica. I comitati tecnici ISO e IEC collaborano in campi di reciproco interesse. Ai
lavori prendono parte anche altre organizzazioni internazionali, governative e non governative, in collegamento con ISO e
IEC.

Le procedure utilizzate per la realizzazione del presente documento e quelle destinate al suo ulteriore mantenimento sono
descritte nelle Direttive ISO/IEC, Parte 1. In particolare si segnalano i diversi criteri di approvazione necessari per le diverse
tipologie di documento. Il presente documento è stato redatto in conformità con le regole editoriali delle Direttive ISO/IEC,
Parte 2 (vedi www.iso.org/directives o www.iec.ch/members_experts/refdocs).

Si richiama l'attenzione sulla possibilità che alcuni degli elementi del presente documento possano essere oggetto di diritti di
brevetto. ISO e IEC non saranno ritenuti responsabili dell'identificazione di alcuni o tutti questi diritti di brevetto. I dettagli di
eventuali diritti di brevetto identificati durante lo sviluppo del documento saranno nell'Introduzione e/o nell'elenco ISO delle
dichiarazioni di brevetto ricevute (vedi www.iso.org/patents) oppure l'elenco IEC delle dichiarazioni di brevetto ricevute (vedi
https://patents.iec.ch).

Qualsiasi nome commerciale utilizzato nel presente documento costituisce un'informazione fornita per comodità degli utenti e
non costituisce un'approvazione.

Per una spiegazione della natura volontaria degli standard, il significato dei termini e delle espressioni specifici dell'ISO
relativi alla valutazione della conformità, nonché informazioni sull'adesione dell'ISO ai principi dell'Organizzazione mondiale
del commercio (OMC) negli ostacoli tecnici al commercio (TBT), vedere www . .iso.org/iso/foreword.html. Nell'IEC, vedere
www.iec.ch/understanding-standards.

Il presente documento è stato preparato dal Comitato tecnico congiunto ISO/IEC JTC 1, Tecnologia dell'informazione,
Sottocomitato SC 27, Sicurezza delle informazioni, sicurezza informatica e protezione della privacy.

Questa terza edizione annulla e sostituisce la seconda edizione (ISO/IEC 27001:2013), che è stata rivista tecnicamente.
Incorpora inoltre le rettifiche tecniche ISO/IEC 27001:2013/Cor 1:2014 e ISO/IEC 27001:2013/Cor 2:2015.

Le principali modifiche sono le seguenti:

— il testo è stato allineato alla struttura armonizzata per le norme sui sistemi di gestione e alla norma ISO/IEC 27002:2022.

Qualsiasi feedback o domanda su questo documento deve essere indirizzato all'ente nazionale di standardizzazione
dell'utente. Un elenco completo di questi organismi può essere trovato su www.iso.org/members.html e www.iec.ch/national-
committees.

--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

iv © ISO/IEC 2022 – Tutti i diritti riservati

Machine Translated by Google

ISO/IEC 27001:2022(E)

introduzione
0.1 Generale

Il presente documento è stato preparato per fornire i requisiti per stabilire, implementare, mantenere e migliorare
continuamente un sistema di gestione della sicurezza delle informazioni. L’adozione di un sistema di gestione della sicurezza
delle informazioni è una decisione strategica per un’organizzazione. L'istituzione e l'implementazione del sistema di gestione
della sicurezza delle informazioni di un'organizzazione sono influenzate dalle esigenze e dagli obiettivi dell'organizzazione,
dai requisiti di sicurezza, dai processi organizzativi utilizzati e dalle dimensioni e dalla struttura dell'organizzazione. Si
prevede che tutti questi fattori d’influenza cambino nel tempo.

Il sistema di gestione della sicurezza delle informazioni preserva la riservatezza, l'integrità e la disponibilità delle informazioni
applicando un processo di gestione del rischio e dà fiducia alle parti interessate che i rischi siano adeguatamente gestiti.

È importante che il sistema di gestione della sicurezza delle informazioni sia parte e integrato con i processi
dell'organizzazione e la struttura di gestione complessiva e che la sicurezza delle informazioni sia considerata nella
progettazione dei processi, dei sistemi informativi e dei controlli. Si prevede che l'implementazione del sistema di gestione
della sicurezza delle informazioni sarà adattata alle esigenze dell'organizzazione.

Questo documento può essere utilizzato da soggetti interni ed esterni per valutare la capacità dell'organizzazione di
soddisfare i requisiti di sicurezza delle informazioni dell'organizzazione.

L'ordine in cui i requisiti sono presentati nel presente documento non riflette la loro importanza né implica l'ordine in cui
devono essere implementati. Gli elementi dell'elenco sono elencati solo a scopo di riferimento.

La norma ISO/IEC 27000 descrive la panoramica e il vocabolario dei sistemi di gestione della sicurezza delle informazioni,
facendo riferimento alla famiglia di standard dei sistemi di gestione della sicurezza delle informazioni (inclusi ISO/IEC
27003[2], ISO/IEC 27004[3] e ISO/IEC 27005[4] ), con i relativi termini e definizioni.

0.2 Compatibilità con altri standard di sistemi di gestione

Il presente documento applica la struttura di alto livello, i titoli identici delle sottoclausole, il testo identico, i termini comuni e
le definizioni fondamentali definiti nell'Allegato SL delle Direttive ISO/IEC, Parte 1, Supplemento ISO consolidato, e pertanto
mantiene la compatibilità con altri standard di sistema di gestione che hanno adottato l'Annex SL.

Questo approccio comune definito nell'Allegato SL sarà utile per quelle organizzazioni che scelgono di gestire un unico
sistema di gestione che soddisfa i requisiti di due o più sistemi di gestione
standard.

--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

© ISO/IEC 2022 – Tutti i diritti riservati v

 Machine Translated by Google

-,`,,`,`,`,`,,,-,,-`-```,`,``,`,,,`,,-`,`-
Machine Translated by Google

STANDARD INTERNAZIONALE ISO/IEC 27001:2022(E)

Sicurezza delle informazioni, sicurezza informatica e

tutela della privacy – Sistemi di gestione della sicurezza delle informazio
- Requisiti

1 ambito
Questo documento specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema
di gestione della sicurezza delle informazioni nel contesto dell'organizzazione. Questo documento include anche
requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni adattati alle esigenze
dell'organizzazione. I requisiti stabiliti nel presente documento sono generici e sono destinati ad essere applicabili a
tutte le organizzazioni, indipendentemente dal tipo, dimensione o natura. L'esclusione di uno qualsiasi dei requisiti
specificati nelle clausole da 4 a 10 non è accettabile quando un'organizzazione dichiara la conformità al presente
documento.

2 Riferimenti normativi
Nel testo si fa riferimento ai seguenti documenti in modo tale che parte o tutto il loro contenuto costituisca requisiti
del presente documento. Per i riferimenti datati vale solo l'edizione citata. Per i riferimenti non datati, si applica
l'ultima edizione del documento di riferimento (incluse eventuali modifiche).

ISO/IEC 27000, Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle
informazioni - Panoramica e vocabolario

3Termini e definizioni
Ai fini del presente documento si applicano i termini e le definizioni fornite nella norma ISO/IEC 27000.

ISO e IEC mantengono database terminologici da utilizzare nella standardizzazione ai seguenti indirizzi:

— Piattaforma di navigazione ISO Online: disponibile all'indirizzo https://www.iso.org/obp

— Elettropedia IEC: disponibile su https://www.electropedia.org/

-,`,,`,`,`,`,,,-,,-`-```,`,`,``,,,,`,-`,`-

4 Contesto dell'organizzazione

4.1 Comprendere l'organizzazione e il suo contesto

L'organizzazione deve determinare le questioni esterne e interne che sono rilevanti per il suo scopo e che influenzano
la sua capacità di raggiungere i risultati attesi dal suo sistema di gestione della sicurezza delle informazioni.

NOTA La determinazione di questi aspetti si riferisce alla definizione del contesto esterno ed interno dell'organizzazione
considerata nella clausola 5.4.1 della norma ISO 31000:2018[5].

4.2 Comprendere i bisogni e le aspettative delle parti interessate

L'organizzazione deve determinare:

a) soggetti interessati rilevanti rispetto al sistema di gestione della sicurezza delle informazioni;

b) le pertinenti esigenze di tali soggetti interessati;

c) quali di questi requisiti saranno affrontati attraverso la gestione della sicurezza delle informazioni
sistema.

© ISO/IEC 2022 – Tutti i diritti riservati 1

Machine Translated by Google

ISO/IEC 27001:2022(E)

NOTA I requisiti delle parti interessate possono includere requisiti legali e regolamentari e obblighi contrattuali.

4.3 Determinazione dell'ambito del sistema di gestione della sicurezza delle informazioni

L'organizzazione deve determinare i confini e l'applicabilità del sistema di gestione della sicurezza delle informazioni per
stabilirne l'ambito.

Nel determinare questo ambito, l'organizzazione deve considerare:

a) le questioni esterne ed interne di cui al punto 4.1;

b) i requisiti di cui al punto 4.2;

c) interfacce e dipendenze tra le attività svolte dall'organizzazione e quelle che lo sono

eseguiti da altre organizzazioni.

L'ambito deve essere disponibile come informazione documentata.

4.4 Sistema di gestione della sicurezza delle informazioni

L'organizzazione deve stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della
sicurezza delle informazioni, compresi i processi necessari e le loro interazioni, in conformità con i requisiti del presente
documento.

5 Direzione
5.1 Leadership e impegno

L'alta direzione deve dimostrare leadership e impegno rispetto al sistema di gestione della sicurezza delle informazioni:

a) garantire che siano stabiliti la politica di sicurezza delle informazioni e gli obiettivi di sicurezza delle informazioni
e sono compatibili con l'indirizzo strategico dell'organizzazione;

b) assicurare l'integrazione dei requisiti del sistema di gestione della sicurezza delle informazioni nel
i processi dell'organizzazione;

c) assicurare che siano disponibili le risorse necessarie per il sistema di gestione della sicurezza delle informazioni;

d) comunicare l'importanza di un'efficace gestione della sicurezza delle informazioni e del rispetto dei requisiti del sistema
di gestione della sicurezza delle informazioni;

e) garantire che il sistema di gestione della sicurezza delle informazioni raggiunga i risultati attesi;

f) indirizzare e supportare i soggetti affinché contribuiscano all'efficacia del sistema di gestione della sicurezza delle
informazioni;

g) promuovere il miglioramento continuo; E

h) supportare altri ruoli gestionali rilevanti per dimostrare la loro leadership applicata alle loro aree di responsabilità.

NOTA Il riferimento al “business” nel presente documento può essere interpretato in senso ampio, nel senso di quelle attività che
sono fondamentali per gli scopi dell'esistenza dell'organizzazione.

--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

2 © ISO/IEC 2022 – Tutti i diritti riservati

Machine Translated by Google

ISO/IEC 27001:2022(E)

5.2 Politica
L’alta direzione deve stabilire una politica di sicurezza delle informazioni che:

a) è adeguato allo scopo dell'organizzazione;

b) includa obiettivi di sicurezza delle informazioni (vedere 6.2) o fornisca il quadro per l'impostazione delle informazioni
obiettivi di sicurezza;

c) includa l'impegno a soddisfare i requisiti applicabili relativi alla sicurezza delle informazioni;

d) comprenda l'impegno al miglioramento continuo del sistema di gestione della sicurezza delle informazioni.

La politica di sicurezza delle informazioni deve:

e) essere disponibili come informazioni documentate;

f) essere comunicati all'interno dell'organizzazione;

g) essere a disposizione delle parti interessate, a seconda dei casi.

5.3 Ruoli, responsabilità e autorità organizzative

L'alta direzione deve garantire che le responsabilità e le autorità per i ruoli rilevanti per la sicurezza delle informazioni siano
assegnate e comunicate all'interno dell'organizzazione.

L’alta direzione assegna la responsabilità e l’autorità per:

a) garantire che il sistema di gestione della sicurezza delle informazioni sia conforme ai requisiti del presente
documento;

b) riferire all'alta direzione sulle prestazioni del sistema di gestione della sicurezza delle informazioni.

NOTA L'alta direzione può anche assegnare responsabilità e autorità per riferire sulle prestazioni del sistema di
gestione della sicurezza delle informazioni all'interno dell'organizzazione.

6 Pianificazione

6.1 Azioni per affrontare rischi e opportunità

6.1.1 Generale

Durante la pianificazione del sistema di gestione della sicurezza delle informazioni, l'organizzazione deve considerare le questioni
di cui al punto 4.1 e i requisiti di cui al punto 4.2 e determinare i rischi e le opportunità che devono essere affrontati per:

a) garantire che il sistema di gestione della sicurezza delle informazioni possa raggiungere i risultati previsti;

b) prevenire, o ridurre, effetti indesiderati;

c) conseguire un miglioramento continuo.

L’organizzazione deve pianificare:

d) azioni per affrontare tali rischi e opportunità; E

e) come fare

1) integrare e implementare le azioni nel proprio sistema di gestione della sicurezza delle informazioni
processi; E

2) valutare l'efficacia di queste azioni.

--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
3
© ISO/IEC 2022 – Tutti i diritti riservati
 Machine Translated by Google

``,,,,,```
`,,`,,`,`,
ISO/IEC 27001:2022(E)

6.1.2 Valutazione del rischio per la sicurezza delle informazioni

L'organizzazione deve definire e applicare un processo di valutazione del rischio per la sicurezza delle informazioni che:

a) stabilisce e mantiene criteri di rischio per la sicurezza delle informazioni che includono:

1) i criteri di accettazione del rischio; E

2) criteri per effettuare valutazioni del rischio per la sicurezza delle informazioni;

b) garantisce che le ripetute valutazioni del rischio per la sicurezza delle informazioni producano risultati coerenti, validi e
risultati comparabili;

c) identifica i rischi per la sicurezza delle informazioni:

1) applicare il processo di valutazione del rischio per la sicurezza delle informazioni per identificare i rischi associati alla perdita di
`-

riservatezza, integrità e disponibilità delle informazioni nell'ambito del sistema di gestione della sicurezza delle informazioni; E
--

2) identificare i proprietari del rischio;

d) analizza i rischi per la sicurezza delle informazioni:

1) valutare le potenziali conseguenze che deriverebbero se i rischi identificati al punto 6.1.2 c) 1) dovessero verificarsi
materializzarsi;

2) valutare la realistica probabilità del verificarsi dei rischi individuati al punto 6.1.2 c) 1); E

3) determinare i livelli di rischio;

e) valuta i rischi per la sicurezza delle informazioni:

1) confrontare i risultati dell'analisi del rischio con i criteri di rischio stabiliti al punto 6.1.2 a); E

2) dare la priorità ai rischi analizzati per il trattamento dei rischi.

L'organizzazione deve conservare informazioni documentate sul processo di valutazione del rischio per la sicurezza delle informazioni.

6.1.3 Trattamento del rischio legato alla sicurezza delle informazioni

L'organizzazione deve definire e applicare un processo di trattamento dei rischi legati alla sicurezza delle informazioni per:

a) selezionare opzioni adeguate di trattamento del rischio per la sicurezza delle informazioni, tenendo conto del rischio
risultati della valutazione;

b) determinare tutti i controlli necessari per attuare il trattamento dei rischi legati alla sicurezza delle informazioni
opzione/i scelta/e;

NOTA 1 Le organizzazioni possono progettare i controlli secondo necessità o identificarli da qualsiasi fonte.

c) confrontare i controlli determinati al precedente punto 6.1.3 b) con quelli di cui all'Allegato A e verificare che n
sono stati omessi i controlli necessari;

NOTA 2 L'Allegato A contiene un elenco di possibili controlli di sicurezza delle informazioni. Gli utenti di questo documento sono
indirizzati all'Allegato A per garantire che non venga trascurato alcun controllo necessario sulla sicurezza delle informazioni.

NOTA 3 I controlli di sicurezza delle informazioni elencati nell'Allegato A non sono esaustivi e, se necessario, è possibile includere
ulteriori controlli di sicurezza delle informazioni.

d) produrre una Dichiarazione di Applicabilità che contenga:

— i controlli necessari (vedi 6.1.3 b) ec));

4
© ISO/IEC 2022 – Tutti i diritti riservati
Machine Translated by Google

ISO/IEC 27001:2022(E)

— giustificazione della loro inclusione;

— se i controlli necessari sono attuati o meno; E

— la giustificazione per escludere uno qualsiasi dei controlli dell'allegato A.

e) formulare un piano di trattamento dei rischi relativi alla sicurezza delle informazioni; E

f) ottenere l'approvazione del piano di trattamento dei rischi relativi alla sicurezza delle informazioni da parte dei titolari del rischio e l'accettazione dello stesso
rischi residui per la sicurezza delle informazioni.

L'organizzazione deve conservare informazioni documentate sul processo di trattamento dei rischi per la sicurezza delle informazioni.

NOTA 4 Il processo di valutazione e trattamento dei rischi per la sicurezza delle informazioni nel presente documento è in linea con
i principi e le linee guida generiche fornite nella norma ISO 31000[5].

6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli

L'organizzazione deve stabilire obiettivi di sicurezza delle informazioni alle funzioni e ai livelli pertinenti.

Gli obiettivi di sicurezza delle informazioni devono:

a) essere coerente con la politica di sicurezza delle informazioni;

b) essere misurabili (se fattibile);

c) tenere conto dei requisiti applicabili in materia di sicurezza delle informazioni e dei risultati della valutazione del rischio
e trattamento del rischio;

d) essere monitorato;

e) essere comunicati;

f) essere aggiornato ove opportuno;

g) essere disponibili come informazioni documentate.

L'organizzazione deve conservare informazioni documentate sugli obiettivi di sicurezza delle informazioni.

Nel pianificare come raggiungere i propri obiettivi di sicurezza delle informazioni, l'organizzazione deve determinare:

h) cosa verrà fatto;

i) quali risorse saranno necessarie;

j) chi ne sarà responsabile;

k) quando sarà completato; E

l) come verranno valutati i risultati.

6.3 Pianificazione dei cambiamenti

Quando l'organizzazione determina la necessità di modifiche al sistema di gestione della sicurezza delle informazioni, le modifiche devono
essere eseguite in modo pianificato.
-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,`,,-`,`-

5
© ISO/IEC 2022 – Tutti i diritti riservati
Machine Translated by Google

ISO/IEC 27001:2022(E)

7 Supporto

7.1 Risorse

L'organizzazione deve determinare e fornire le risorse necessarie per l'istituzione, l'implementazione, il mantenimento e il
miglioramento continuo del sistema di gestione della sicurezza delle informazioni.

-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,,`,-`,`-
7.2 Competenza
L'organizzazione deve:

a) determinare la competenza necessaria delle persone che svolgono il lavoro sotto il suo controllo che lo influenza
prestazioni in materia di sicurezza delle informazioni;

b) garantire che queste persone siano competenti sulla base di un'istruzione, formazione o formazione adeguate
esperienza;

c) ove applicabile, intraprendere azioni per acquisire le competenze necessarie e valutarne l'efficacia
delle azioni intraprese; E

d) conservare adeguate informazioni documentate come prova della competenza.

NOTA Le azioni applicabili possono includere, ad esempio: l'offerta di formazione, il tutoraggio o il re-
assegnazione del personale in servizio; o l'assunzione o la contrattazione di persone competenti.

7.3 Consapevolezza

Le persone che svolgono attività lavorative sotto il controllo dell'organizzazione devono essere a conoscenza di:

a) la politica di sicurezza delle informazioni;

b) il loro contributo all'efficacia del sistema di gestione della sicurezza delle informazioni, compresi i benefici di una migliore
prestazione della sicurezza delle informazioni; E

c) le implicazioni della non conformità al sistema di gestione della sicurezza delle informazioni
requisiti.

7.4 Comunicazione

L'organizzazione deve determinare la necessità di comunicazioni interne ed esterne rilevanti per il sistema di gestione della
sicurezza delle informazioni, tra cui:

a) su cosa comunicare;

b) quando comunicare;

c) con chi comunicare;

d) come comunicare.

7.5 Informazioni documentate

7.5.1 Generale

Il sistema di gestione della sicurezza delle informazioni dell'organizzazione deve includere:

a) le informazioni documentate richieste dal presente documento; E

6 © ISO/IEC 2022 – Tutti i diritti riservati

Machine Translated by Google

ISO/IEC 27001:2022(E)

b) informazioni documentate ritenute necessarie dall'organizzazione per l'efficacia del sistema di gestione della sicurezza
delle informazioni.

NOTA La portata delle informazioni documentate per un sistema di gestione della sicurezza delle informazioni può
differire da un'organizzazione all'altra a causa di:

1) la dimensione dell'organizzazione e la sua tipologia di attività, processi, prodotti e servizi;

2) la complessità dei processi e le loro interazioni; E

3) la competenza delle persone.

7.5.2 Creazione e aggiornamento

Durante la creazione e l'aggiornamento delle informazioni documentate, l'organizzazione deve garantire che:

a) identificazione e descrizione (ad esempio titolo, data, autore o numero di riferimento);

b) formato (es. lingua, versione software, grafica) e supporto (es. cartaceo, elettronico); E

c) esame e approvazione dell'idoneità e dell'adeguatezza.

7.5.3 Controllo delle informazioni documentate

Le informazioni documentate richieste dal sistema di gestione della sicurezza delle informazioni e dal presente documento
devono essere controllate per garantire:

a) sia disponibile e idoneo all'uso, dove e quando necessario; E

b) siano adeguatamente protetti (ad esempio da perdita di riservatezza, uso improprio o perdita di integrità).

Per il controllo delle informazioni documentate, l'organizzazione deve affrontare le seguenti attività, a seconda dei casi:

c) distribuzione, accesso, recupero e utilizzo;

d) archiviazione e conservazione, compresa la preservazione della leggibilità;

e) controllo delle modifiche (es. controllo della versione); E

f) conservazione e disposizione.

Le informazioni documentate di origine esterna, ritenute necessarie dall'organizzazione per la pianificazione e il

funzionamento del sistema di gestione della sicurezza delle informazioni, devono essere identificate come appropriate e
controllate.

NOTA L'accesso può implicare una decisione riguardante il permesso di visualizzare solo le informazioni documentate,
o il permesso e l'autorità per visualizzare e modificare le informazioni documentate, ecc.
-,`,,`,`,`,`,,,-,,-`-```,`,``,`,,,`,,-`,`-

8 Funzionamento

8.1 Pianificazione e controllo operativo

L'organizzazione deve pianificare, implementare e controllare i processi necessari per soddisfare i requisiti e implementare
le azioni determinate al punto 6, mediante:

— stabilire criteri per i processi;

— attuare il controllo dei processi secondo i criteri.

Le informazioni documentate devono essere disponibili nella misura necessaria per avere la certezza che i processi siano
stati eseguiti come pianificato.

© ISO/IEC 2022 – Tutti i diritti riservati 7

 Machine Translated by Google

``,,,,,``````,,,,,`,`
ISO/IEC 27001:2022(E)

L'organizzazione deve controllare i cambiamenti pianificati ed esaminare le conseguenze dei cambiamenti non voluti, adottando
misure per mitigare eventuali effetti negativi, se necessario.

L'organizzazione deve garantire che i processi, i prodotti o i servizi forniti esternamente che sono rilevanti per il sistema di gestione
della sicurezza delle informazioni siano controllati.

8.2 Valutazione del rischio per la sicurezza delle informazioni

L'organizzazione deve eseguire valutazioni del rischio per la sicurezza delle informazioni a intervalli pianificati o quando vengono
`,,`,,`,`,,`---
proposti o si verificano cambiamenti significativi, tenendo conto dei criteri stabiliti al punto 6.1.2 a).

L'organizzazione deve conservare informazioni documentate sui risultati del rischio per la sicurezza delle informazioni
valutazioni.

8.3 Trattamento del rischio legato alla sicurezza delle informazioni

L'organizzazione deve attuare il piano di trattamento dei rischi per la sicurezza delle informazioni.

L'organizzazione deve conservare informazioni documentate sui risultati del trattamento del rischio per la sicurezza delle informazioni.

9 Valutazione delle prestazioni

9.1 Monitoraggio, misurazione, analisi e valutazione

L'organizzazione deve determinare:

a) cosa deve essere monitorato e misurato, compresi i processi e i controlli sulla sicurezza delle informazioni;

b) i metodi di monitoraggio, misurazione, analisi e valutazione, a seconda dei casi, per garantire risultati validi. I metodi selezionati
dovrebbero produrre risultati comparabili e riproducibili per essere considerati validi;

c) quando devono essere eseguiti il monitoraggio e la misurazione;

d) chi effettua il monitoraggio e la misurazione;

e) quando i risultati del monitoraggio e della misurazione devono essere analizzati e valutati;

f) chi analizzerà e valuterà tali risultati.

Le informazioni documentate devono essere disponibili come prova dei risultati.

`-

L'organizzazione deve valutare le prestazioni di sicurezza delle informazioni e l'efficacia del sistema di gestione della sicurezza delle
--

informazioni.

9.2 Audit interno

9.2.1 Generale

L'organizzazione deve condurre audit interni a intervalli pianificati per fornire informazioni sul fatto che il sistema di gestione della
sicurezza delle informazioni:

a) è conforme a

1) i requisiti propri dell'organizzazione per il proprio sistema di gestione della sicurezza delle informazioni;

8 © ISO/IEC 2022 – Tutti i diritti riservati

 Machine Translated by Google

``,,,,,`````
`,,`,,`,`,,` 2) i requisiti del presente documento;
ISO/IEC 27001:2022(E)

b) sia effettivamente implementato e mantenuto.

9.2.2 Programma di audit interno

L'organizzazione deve pianificare, stabilire, implementare e mantenere uno o più programmi di audit, compresi la frequenza, i
metodi, le responsabilità, i requisiti di pianificazione e il reporting.

Nello stabilire il/i programma/i di audit interno, l'organizzazione deve considerare l'importanza di
i processi interessati e i risultati degli audit precedenti.

L'organizzazione deve:

a) definire i criteri e l'ambito di audit per ciascun audit;

b) selezionare i revisori e condurre audit che garantiscano l'obiettività e l'imparzialità del processo di audit;

c) garantire che i risultati degli audit siano comunicati al management interessato;

Devono essere disponibili informazioni documentate come prova dell'attuazione del/i programma/i di audit e dei risultati dell'audit.
`-
--

9.3 Riesame della direzione

9.3.1 Generale

L'alta direzione deve riesaminare il sistema di gestione della sicurezza delle informazioni dell'organizzazione a intervalli pianificati
per garantirne la continua idoneità, adeguatezza ed efficacia.

9.3.2 Input del riesame della direzione

Il riesame della direzione deve includere la considerazione di:

a) lo stato delle azioni derivanti da precedenti riesami della direzione;

b) cambiamenti nelle questioni esterne ed interne rilevanti per la gestione della sicurezza delle informazioni
sistema;

c) cambiamenti nei bisogni e nelle aspettative delle parti interessate che sono rilevanti per il sistema di gestione della sicurezza
delle informazioni;

d) feedback sulle prestazioni in materia di sicurezza delle informazioni, comprese le tendenze in:

1) non conformità e azioni correttive;

2) risultati del monitoraggio e della misurazione;

3) risultati dell'audit;

4) raggiungimento degli obiettivi di sicurezza delle informazioni;

e) feedback delle parti interessate;

f) risultati della valutazione del rischio e stato del piano di trattamento del rischio;

g) opportunità di miglioramento continuo.

9.3.3 Risultati del riesame della direzione

I risultati del riesame della direzione includeranno decisioni relative alle opportunità di miglioramento continuo e ad eventuali
necessità di modifiche al sistema di gestione della sicurezza delle informazioni.

9
© ISO/IEC 2022 – Tutti i diritti riservati
Machine Translated by Google

ISO/IEC 27001:2022(E)

Le informazioni documentate devono essere disponibili come prova dei risultati dei riesami della direzione.

10 Miglioramento

10.1 Miglioramento continuo

L'organizzazione deve migliorare continuamente l'idoneità, l'adeguatezza e l'efficacia del sistema di gestione della
sicurezza delle informazioni.

10.2 Non conformità e azioni correttive

Quando si verifica una non conformità, l’organizzazione deve:

a) reagire alla non conformità e, a seconda dei casi:

1) agire per controllarlo e correggerlo;

2) affrontare le conseguenze;

b) valutare la necessità di interventi volti ad eliminare le cause della non conformità, affinché essa non si ripeta o si
verifichi altrove, mediante:

1) riesame della non conformità;

2) determinazione delle cause della non conformità; E

3) determinare se esistono o potrebbero potenzialmente verificarsi non conformità simili;

c) attuare ogni azione necessaria;

d) verificare l'efficacia di eventuali azioni correttive intraprese; E

e) apportare modifiche al sistema di gestione della sicurezza delle informazioni, se necessario.

Le azioni correttive devono essere adeguate agli effetti delle non conformità riscontrate.

Devono essere disponibili informazioni documentate come prova di:

f) la natura delle non conformità e le eventuali azioni successive intraprese,

g) i risultati di eventuali azioni correttive.

--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

10 © ISO/IEC 2022 – Tutti i diritti riservati

 Machine Translated by Google

``,,,,,``````,,,
`,,`,,`,`,,`--- Annesso A
ISO/IEC 27001:2022(E)

(normativo)

Riferimento ai controlli di sicurezza delle informazioni

I controlli di sicurezza delle informazioni elencati nella Tabella A.1 derivano direttamente e sono allineati con quelli elencati nella
norma ISO/IEC 27002:2022[1], clausole da 5 a 8, e devono essere utilizzati nel contesto di 6.1.3.

Tabella A.1 — Controlli sulla sicurezza delle informazioni

5 Controlli organizzativi
5.1 Politiche per la sicurezza delle Controllo
informazioni
La politica di sicurezza delle informazioni e le politiche specifiche per argomento
devono essere definite, approvate dalla direzione, pubblicate, comunicate e
riconosciute dal personale competente e dalle parti interessate rilevanti, e riviste a intervalli
pianificati e se si verificano cambiamenti significativi.
5.2 Ruoli di sicurezza delle informazioni e Controllo
responsabilità
I ruoli e le responsabilità in materia di sicurezza delle informazioni devono essere definiti e
assegnati in base alle esigenze dell'organizzazione.
5.3 Separazione dei compiti Controllo

I compiti contrastanti e le aree di responsabilità contrastanti devono essere separati.

5.4 Responsabilità gestionali Controllo

`-
--

La direzione deve richiedere a tutto il personale di applicare la sicurezza delle informazioni

in conformità con la politica di sicurezza delle informazioni stabilita, le politiche e le
procedure specifiche dell'argomento dell'organizzazione.
5.5 Contatto con le autorità Controllo

L'organizzazione deve stabilire e mantenere contatti con le autorità competenti.

5.6 Contatto con interesse speciale Controllo

gruppi
L'organizzazione deve stabilire e mantenere contatti con gruppi di interesse particolari o
altri forum specializzati in sicurezza e associazioni professionali.

5.7 Intelligenza sulle minacce Controllo

Le informazioni relative alle minacce alla sicurezza delle informazioni devono essere
raccolte e analizzate per produrre informazioni sulle minacce.
5.8 Sicurezza delle informazioni nel progetto Controllo
gestione
La sicurezza delle informazioni sarà integrata nella gestione del progetto.
5.9 Inventario delle informazioni e Controllo
altri beni associati
Deve essere sviluppato e mantenuto un inventario delle informazioni e di altre risorse
associate, compresi i proprietari.
5.10 Uso accettabile delle informazioni Controllo
e altri beni associati
Le regole per l'uso accettabile e le procedure per la gestione delle informazioni e
di altre risorse associate devono essere identificate, documentate e implementate.
5.11 Restituzione dei beni Controllo

Il personale e le altre parti interessate, a seconda dei casi, restituiscono tutti i beni
dell'organizzazione in loro possesso in caso di cambiamento o cessazione del rapporto di
lavoro, contratto o accordo.

© ISO/IEC 2022 – Tutti i diritti riservati 11

``,,,,,``````,,
Machine Translated by Google

`,,`,,`,`,,`--
ISO/IEC 27001:2022(E)

5.12 Classificazione delle informazioni Controllo

Tabella A.1 (continua)

Le informazioni devono essere classificate in base alle esigenze di sicurezza delle

informazioni dell'organizzazione in base alla riservatezza, all'integrità, alla disponibilità e ai
requisiti delle parti interessate pertinenti.
5.13 Etichettatura delle informazioni Controllo

Un insieme appropriato di procedure per l'etichettatura delle informazioni deve essere

sviluppato e implementato in conformità con lo schema di classificazione delle informazioni
adottato dall'organizzazione.
5.14 Trasferimento di informazioni Controllo

Devono essere in vigore regole, procedure o accordi per il trasferimento delle informazioni
per tutti i tipi di strutture di trasferimento all'interno dell'organizzazione e tra l'organizzazione
e altre parti.
5.15 Controllo di accesso Controllo

Le regole per controllare l'accesso fisico e logico alle informazioni e ad altre risorse
associate saranno stabilite e implementate in base ai requisiti aziendali e di sicurezza
delle informazioni.
5.16 Gestione dell'identità Controllo

Deve essere gestito l’intero ciclo di vita delle identità.

5.17 Informazioni di autenticazione Controllo

L'assegnazione e la gestione delle informazioni di autenticazione saranno controllate da un

processo di gestione, inclusa la consulenza al personale sulla gestione adeguata delle
`-

informazioni di autenticazione.
--

5.18 Diritti di accesso Controllo

I diritti di accesso alle informazioni e ad altre risorse associate devono essere forniti,
revisionati, modificati e rimossi in conformità con la politica specifica dell'argomento e le
regole per il controllo degli accessi dell'organizzazione.
5.19 Sicurezza delle informazioni nel fornitore Controllo
relazioni
Devono essere definiti e implementati processi e procedure per gestire i rischi per la
sicurezza delle informazioni associati all'uso dei prodotti o servizi del fornitore.

5.20 Affrontare il controllo della sicurezza delle informazioni

all'interno degli accordi con i fornitori
I pertinenti requisiti di sicurezza delle informazioni devono essere stabiliti e concordati con
ciascun fornitore in base al tipo di rapporto con il fornitore.
5.21 Gestione del controllo della sicurezza delle informazioni
nella fornitura di informazioni e
comunicazioni Devono essere definiti e implementati processi e procedure per gestire i rischi per la
sicurezza delle informazioni associati ai
prodotti e alla catena ICT
filiera dei servizi.
5.22 Monitoraggio, revisione e controllo delle modifiche
gestione dei servizi dei fornitori
L'organizzazione deve monitorare, rivedere, valutare e gestire regolarmente i
cambiamenti nelle pratiche di sicurezza delle informazioni dei fornitori e nell'erogazione dei servizi.
5.23 Sicurezza delle informazioni per l'uso di Controllo
servizi cloud
I processi di acquisizione, utilizzo, gestione e uscita dai servizi cloud devono essere stabiliti
in conformità con i requisiti di sicurezza delle informazioni dell'organizzazione.

5.24 Incidente sulla sicurezza delle informazioni Controllo

pianificazione e preparazione della
gestione L’organizzazione deve pianificare e prepararsi per la gestione degli incidenti di sicurezza
delle informazioni definendo, stabilendo e comunicando i processi, i ruoli e le responsabilità
di gestione degli incidenti di sicurezza delle informazioni.

12 © ISO/IEC 2022 – Tutti i diritti riservati

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabella A.1 (continua)

5.25 Valutazione e decisione sugli eventi Controllo
legati alla sicurezza delle informazioni
L'organizzazione deve valutare gli eventi di sicurezza delle informazioni e decidere se devono
essere classificati come incidenti di sicurezza delle informazioni.
5.26 Risposta alla sicurezza informatica Controllo
incidenti
Si dovrà rispondere agli incidenti relativi alla sicurezza delle informazioni in conformità con le
procedure documentate.
5.27 Imparare dagli incidenti legati alla Controllo
sicurezza delle informazioni
Le conoscenze acquisite dagli incidenti relativi alla sicurezza delle informazioni saranno
utilizzate per rafforzare e migliorare i controlli sulla sicurezza delle informazioni.
5.28 Raccolta di prove Controllo

L'organizzazione deve stabilire e implementare procedure per l'identificazione , la raccolta,

l'acquisizione e la conservazione delle prove relative agli eventi di sicurezza delle informazioni.

5.29 Sicurezza delle informazioni durante Controllo

interruzione
L'organizzazione deve pianificare come mantenere la sicurezza delle informazioni a un livello
appropriato durante l'interruzione.
5.30 Preparazione ICT per la continuità Controllo
aziendale
La preparazione ICT deve essere pianificata, implementata, mantenuta e testata sulla base
degli obiettivi di continuità operativa e dei requisiti di continuità ICT.
5.31 Legali, statutari, regolamentari e Controllo
requisiti contrattuali
I requisiti legali, statutari, normativi e contrattuali relativi alla sicurezza delle informazioni e
l'approccio dell'organizzazione per soddisfare tali requisiti devono essere identificati,
documentati e mantenuti aggiornati.
5.32 Diritti di proprietà intellettuale Controllo

L'organizzazione deve implementare procedure adeguate per proteggere i diritti di proprietà

intellettuale.
5.33 Protezione dei documenti Controllo

Le registrazioni devono essere protette da perdita, distruzione, falsificazione, accesso non

autorizzato e diffusione non autorizzata.

5.34 Privacy e protezione delle Controllo

informazioni di identificazione personale (PII)
L'organizzazione deve identificare e soddisfare i requisiti relativi alla tutela della privacy e alla

-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,`,,-`,`-
protezione delle PII secondo le leggi e i regolamenti applicabili e i requisiti contrattuali.

5.35 Revisione indipendente della sicurezza Controllo

delle informazioni
L'approccio dell'organizzazione alla gestione della sicurezza delle informazioni e alla sua
implementazione, comprese le persone, i processi e le tecnologie, deve essere rivisto in modo
indipendente a intervalli pianificati o quando si verificano cambiamenti significativi.

5.36 Conformità con politiche, regole e Controllo

standard per le informazioni Conformità
con la politica di sicurezza delle informazioni dell'organizzazione, massima sicurezza
Le politiche, le norme e gli standard specifici dell'IC sono soggetti a revisione periodica.
5.37 Procedure operative documentate Controllo

Le procedure operative per le strutture di elaborazione delle informazioni devono essere

documentate e messe a disposizione del personale che ne abbia bisogno.

© ISO/IEC 2022 – Tutti i diritti riservati 13

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabella A.1 (continua)

6 Controlli sulle persone
6.1 Selezione Controllo

I controlli di verifica dei precedenti su tutti i candidati che entreranno a far parte del
personale devono essere effettuati prima di entrare a far parte dell'organizzazione e su
base continuativa, tenendo conto delle leggi, dei regolamenti e dell'etica applicabili ed
essere proporzionati ai requisiti aziendali, alla classificazione delle informazioni a cui
accedere e alla rischi percepiti.
6.2 Termini e condizioni di lavoro Controllo

Gli accordi contrattuali di lavoro stabiliscono le responsabilità del personale e

dell'organizzazione per la sicurezza delle informazioni.
6.3 Consapevolezza della sicurezza informatica, Controllo
istruzione e formazione
Il personale dell'organizzazione e le parti interessate rilevanti devono ricevere un'adeguata
consapevolezza sulla sicurezza delle informazioni, istruzione e formazione e aggiornamenti
regolari della politica di sicurezza delle informazioni dell'organizzazione, delle politiche e
delle procedure specifiche per argomento, rilevanti per la loro funzione lavorativa.
6.4 Procedimento disciplinare Controllo

Dovrà essere formalizzato e comunicato un processo disciplinare per intraprendere azioni

contro il personale e altre parti interessate rilevanti che hanno commesso una violazione
della politica di sicurezza delle informazioni.
6.5 Responsabilità dopo la cessazione Controllo
o cambio di lavoro
Le responsabilità e i doveri in materia di sicurezza delle informazioni che rimangono validi
dopo la cessazione o il cambio di rapporto di lavoro devono essere definiti, applicati e
comunicati al personale interessato e alle altre parti interessate.
6.6 Riservatezza o non divulgazione Controllo
accordi
Gli accordi di riservatezza o non divulgazione che riflettono le esigenze dell'organizzazione
per la protezione delle informazioni devono essere identificati, documentati, regolarmente
riesaminati e firmati dal personale e da altre parti interessate rilevanti.

6.7 Lavoro a distanza Controllo

Le misure di sicurezza devono essere implementate quando il personale lavora in remoto

per proteggere le informazioni a cui si accede, vengono elaborate o archiviate all'esterno
dei locali dell'organizzazione.
6.8 Segnalazione di eventi legati alla sicurezza delle Controllo
informazioni
L'organizzazione deve fornire un meccanismo che consenta al personale di segnalare
tempestivamente eventi di sicurezza delle informazioni osservati o sospetti attraverso
canali appropriati .
7 Controlli fisici
7.1 Controllo dei perimetri di sicurezza fisica

I perimetri di sicurezza devono essere definiti e utilizzati per proteggere le aree che
contengono informazioni e altre risorse associate.
7.2 Ingresso fisico Controllo

Le aree sicure devono essere protette da adeguati controlli di ingresso e punti di accesso.

7.3 Messa in sicurezza di uffici, stanze e Controllo

strutture
La sicurezza fisica degli uffici, dei locali e delle strutture dovrà essere progettata e
implementata.
7.4 Monitoraggio della sicurezza fisica Controllo

I locali devono essere costantemente monitorati per individuare eventuali fisici non autorizzati
accesso.

--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

14 © ISO/IEC 2022 – Tutti i diritti riservati

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabella A.1 (continua)

7.5 Protezione contro i danni fisici e Controllo
minacce ambientali
Deve essere progettata e implementata la protezione contro le minacce fisiche e ambientali,
come i disastri naturali e altre minacce fisiche intenzionali o non intenzionali alle infrastrutture.

7.6 Lavorare in aree sicure Controllo

Devono essere progettate e implementate misure di sicurezza per lavorare in aree protette.

7.7 Scrivania chiara e schermo chiaro Controllo

Devono essere definite e opportunamente applicate regole documentali chiare per documenti e
supporti di memorizzazione rimovibili e regole chiare per lo schermo per le strutture di
elaborazione delle informazioni.
7.8 Controllo ubicazione e protezione delle apparecchiature

-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,,`,-`,`-
Le attrezzature dovranno essere posizionate in modo sicuro e protetto.
7.9 Controllo della sicurezza dei beni fuori sede

I beni fuori sede devono essere protetti.

7.10 Supporti di memorizzazione Controllo

I supporti di memorizzazione devono essere gestiti attraverso il loro ciclo di vita di acquisizione,
utilizzo, trasporto e smaltimento in conformità con lo schema di classificazione e i requisiti di
gestione dell'organizzazione .
7.11 Utilità di supporto Controllo

Le strutture di elaborazione delle informazioni devono essere protette da interruzioni di corrente

e altre interruzioni causate da guasti nei servizi di supporto.
7.12 Sicurezza del cablaggio Controllo

I cavi che trasportano energia, dati o servizi di informazione di supporto devono essere protetti
da intercettazioni, interferenze o danni.
7.13 Manutenzione dell'equipaggiamento Controllo

Le attrezzature devono essere mantenute correttamente per garantire la disponibilità, l'integrità

e la riservatezza delle informazioni.
7.14 Smaltimento o riutilizzo sicuro di Controllo
attrezzatura
Gli elementi dell'apparecchiatura contenenti supporti di memorizzazione devono essere verificati
per garantire che tutti i dati sensibili e il software concesso in licenza siano stati rimossi o
sovrascritti in modo sicuro prima dello smaltimento o del riutilizzo.
8 Controlli tecnologici
8.1 Dispositivi del punto finale dell'utente Controllo

Le informazioni archiviate, elaborate o accessibili tramite i dispositivi finali degli utenti devono
essere protette.
8.2 Diritti di accesso privilegiati Controllo

L'assegnazione e l'uso dei diritti di accesso privilegiato saranno limitati e gestiti.

8.3 Controllo della restrizione dell'accesso alle informazioni

L'accesso alle informazioni e ad altre risorse associate sarà limitato in

conformità con la politica specifica per argomento stabilita sul controllo degli accessi.
8.4 Accesso al codice sorgente Controllo

L'accesso in lettura e scrittura al codice sorgente, agli strumenti di sviluppo e alle librerie software
deve essere adeguatamente gestito.

© ISO/IEC 2022 – Tutti i diritti riservati 15

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabella A.1 (continua)

8.5 Autenticazione sicura Controllo

Le tecnologie e le procedure di autenticazione sicura saranno implementate sulla base delle

restrizioni di accesso alle informazioni e della politica specifica per argomento sul controllo
degli accessi.

8.6 Gestione della capacità Controllo

L'utilizzo delle risorse sarà monitorato e adeguato in linea con i requisiti di capacità attuali e
previsti.
8.7 Protezione contro il controllo del malware

La protezione contro il malware deve essere implementata e supportata da un'adeguata

consapevolezza degli utenti.
8.8 Gestione delle vulnerabilità tecniche Controllo

Devono essere ottenute informazioni sulle vulnerabilità tecniche dei sistemi informativi in
uso, deve essere valutata l'esposizione dell'organizzazione a tali vulnerabilità e devono
essere adottate misure appropriate.
8.9 Controllo della gestione della configurazione

Le configurazioni, comprese le configurazioni di sicurezza, di hardware, software, servizi e

reti devono essere stabilite, documentate, implementate, monitorate e riviste.

8.10 Cancellazione delle informazioni Controllo

Le informazioni archiviate nei sistemi informativi, nei dispositivi o in qualsiasi altro supporto
di memorizzazione saranno cancellate quando non saranno più necessarie.
8.11 Mascheramento dei dati Controllo

Il mascheramento dei dati deve essere utilizzato in conformità con la politica specifica
dell'argomento dell'organizzazione sul controllo degli accessi e altre politiche correlate
specifiche dell'argomento e i requisiti aziendali, tenendo in considerazione la legislazione
applicabile.

8.12 Prevenzione della fuga di dati Controllo

Le misure di prevenzione della fuga di dati devono essere applicate ai sistemi, alle reti e a
qualsiasi altro dispositivo che elabora, archivia o trasmette informazioni sensibili.

8.13 Backup delle informazioni Controllo

Le copie di backup di informazioni, software e sistemi devono essere mantenute e

-,`,,`,`,`,`,,,-,,-`-```,`,``,`,,,`,,-`,`-
regolarmente testate in conformità con la politica concordata sull'argomento specifico sul
backup.
8.14 Ridondanza delle strutture di Controllo
elaborazione delle informazioni
Le strutture di elaborazione delle informazioni devono essere implementate con una
ridondanza sufficiente a soddisfare i requisiti di disponibilità.
8.15 Registrazione Controllo

I registri che registrano attività, eccezioni, guasti e altri eventi rilevanti devono essere prodotti,
archiviati, protetti e analizzati.
8.16 Attività di monitoraggio Controllo

Le reti, i sistemi e le applicazioni devono essere monitorati per comportamenti anomali e

vengono intraprese azioni appropriate per valutare potenziali incidenti legati alla sicurezza
delle informazioni.
8.17 Sincronizzazione dell'orologio Controllo

Gli orologi dei sistemi di elaborazione delle informazioni utilizzati dall'organizzazione devono
essere sincronizzati con fonti orarie approvate.

16 © ISO/IEC 2022 – Tutti i diritti riservati

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabella A.1 (continua)

8.18 Utilizzo di programmi di utilità privilegiati Controllo

L'uso di programmi di utilità che possono essere in grado di ignorare i controlli del
sistema e delle applicazioni deve essere limitato e strettamente controllato.
8.19 Installazione di software su sistemi Controllo
operativi
Dovranno essere implementate procedure e misure per gestire in sicurezza
l'installazione del software sui sistemi operativi.
8.20 Sicurezza delle reti Controllo

Le reti e i dispositivi di rete devono essere protetti, gestiti e controllati per proteggere
le informazioni nei sistemi e nelle applicazioni.
8.21 Controllo della sicurezza dei servizi di rete

I meccanismi di sicurezza, i livelli di servizio e i requisiti di servizio dei servizi di rete

devono essere identificati, implementati e monitorati.
8.22 Segregazione delle reti Controllo

I gruppi di servizi di informazione, utenti e sistemi di informazione devono essere

separati nelle reti dell'organizzazione.
8.23 Filtraggio web Controllo

L'accesso a siti Web esterni deve essere gestito per ridurre l'esposizione a contenuti
dannosi.
8.24 Uso della crittografia Controllo

Dovranno essere definite e attuate norme per l'uso efficace della crittografia,
compresa la gestione delle chiavi crittografiche .
8.25 Controllo sicuro del ciclo di vita dello sviluppo

-,`,,`,`,`,`,,,-,,-`-```,`,`,``,,,`,,-`,`-
Saranno stabilite e applicate norme per lo sviluppo sicuro di software e sistemi.

8.26 Requisiti di sicurezza dell'applicazione: Controllo

menti
I requisiti di sicurezza delle informazioni devono essere identificati, specificati e
approvati durante lo sviluppo o l'acquisizione di applicazioni.
8.27 Architettura del sistema sicura e Controllo
principi ingegneristici
I principi per l'ingegneria dei sistemi sicuri devono essere stabiliti, documentati ,
mantenuti e applicati a qualsiasi attività di sviluppo del sistema informativo.

8.28 Codifica sicura Controllo

I principi di codifica sicura saranno applicati allo sviluppo del software.

8.29 Test di sicurezza in fase di sviluppo Controllo
e accettazione
I processi di test di sicurezza devono essere definiti e implementati nel ciclo di vita
dello sviluppo.
8.30 Sviluppo in outsourcing Controllo

L'organizzazione deve dirigere, monitorare e rivedere le attività relative allo sviluppo

del sistema esternalizzato.
8.31 Separazione dello sviluppo, test Controllo
e ambienti di produzione
Gli ambienti di sviluppo, test e produzione devono essere separati e protetti.

8.32 Cambio gestione Controllo

Le modifiche alle strutture di elaborazione delle informazioni e ai sistemi informativi

saranno soggette a procedure di gestione delle modifiche.
8.33 Informazioni di prova Controllo

Le informazioni sui test devono essere opportunamente selezionate, protette e gestite.

© ISO/IEC 2022 – Tutti i diritti riservati 17

Machine Translated by Google

ISO/IEC 27001:2022(E)

Tabella A.1 (continua)

8.34 Protezione dei sistemi informativi
durante i test di audit
Controllo
I test di audit e altre attività di garanzia che comportano la valutazione dei
sistemi operativi devono essere pianificati e concordati tra il tester e la
direzione appropriata.

-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,,`,-`,`-

18 © ISO/IEC 2022 – Tutti i diritti riservati

Machine Translated by Google

ISO/IEC 27001:2022(E)

Bibliografia

[1] ISO/IEC 27002:2022, Sicurezza delle informazioni, sicurezza informatica e tutela della privacy — Controlli della
sicurezza delle informazioni

[2] ISO/IEC 27003, Tecnologia dell'informazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle
informazioni – Guida

[3] ISO/IEC 27004, Tecnologia dell'informazione - Tecniche di sicurezza - Gestione della sicurezza delle informazioni
— Monitoraggio, misurazione, analisi e valutazione

[4] ISO/IEC 27005, Sicurezza delle informazioni, sicurezza informatica e protezione della privacy – Guida alla gestione dei
rischi per la sicurezza delle informazioni

[5] ISO 31000:2018, Gestione del rischio – Linee guida

--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---

19
© ISO/IEC 2022 – Tutti i diritti riservati
`,,`,,`,`,,`---
``,,,,,``````,,
`-
-- Machine Translated by Google

ISO/IEC 27001:2022(E)

ICS 03.100.70; 35.030

Prezzo basato su 19 pagine

© ISO/IEC 2022 – Tutti i diritti riservati