Professional Documents
Culture Documents
ISO 27001-2022 ITA (Traduzione Da Google Machine)
ISO 27001-2022 ITA (Traduzione Da Google Machine)
INTERNAZIONALE ISO/IEC
STANDARD 27001
Terza edizione
2022-10
Numero di riferimento
ISO/IEC 27001:2022(E)
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
©ISO/IEC 2022
Machine Translated by Google
ISO/IEC 27001:2022(E)
©ISO/IEC 2022
Tutti i diritti riservati. Se non diversamente specificato, o richiesto nel contesto della sua implementazione, nessuna parte di questa
pubblicazione può essere riprodotta o utilizzata altrimenti in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, inclusa la
fotocopiatura, o la pubblicazione su Internet o intranet, senza previa permesso scritto. L'autorizzazione può essere richiesta all'ISO all'indirizzo
riportato di seguito o all'organismo membro dell'ISO nel paese del richiedente.
Ufficio copyright ISO
CP 401 • Cap. di Blandonnet 8
CH-1214 Nonio, Ginevra
Telefono: +41 22 749 01 11
E-mail: copyright@iso.org
-,`,,`,`,`,`,,,-,,-`-```,`,``,`,,,`,,-`,`-
`,,`,,`,`,,` Contenuti
ISO/IEC 27001:2022(E)
Pagina
6.1.2 Valutazione del rischio per la sicurezza delle informazioni................................ .................................................... ................ 4
6.1.3 Trattamento del rischio legato alla sicurezza delle informazioni................................ .................................................... .................... 4
6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli ................................ .................... 5
ISO/IEC 27001:2022(E)
Prefazione
L'ISO (l'Organizzazione internazionale per la standardizzazione) e l'IEC (la Commissione elettrotecnica internazionale)
costituiscono il sistema specializzato per la standardizzazione mondiale. Gli organismi nazionali membri dell'ISO o dell'IEC
partecipano allo sviluppo degli standard internazionali attraverso comitati tecnici istituiti dalla rispettiva organizzazione per
occuparsi di particolari campi di attività tecnica. I comitati tecnici ISO e IEC collaborano in campi di reciproco interesse. Ai
lavori prendono parte anche altre organizzazioni internazionali, governative e non governative, in collegamento con ISO e
IEC.
Le procedure utilizzate per la realizzazione del presente documento e quelle destinate al suo ulteriore mantenimento sono
descritte nelle Direttive ISO/IEC, Parte 1. In particolare si segnalano i diversi criteri di approvazione necessari per le diverse
tipologie di documento. Il presente documento è stato redatto in conformità con le regole editoriali delle Direttive ISO/IEC,
Parte 2 (vedi www.iso.org/directives o www.iec.ch/members_experts/refdocs).
Si richiama l'attenzione sulla possibilità che alcuni degli elementi del presente documento possano essere oggetto di diritti di
brevetto. ISO e IEC non saranno ritenuti responsabili dell'identificazione di alcuni o tutti questi diritti di brevetto. I dettagli di
eventuali diritti di brevetto identificati durante lo sviluppo del documento saranno nell'Introduzione e/o nell'elenco ISO delle
dichiarazioni di brevetto ricevute (vedi www.iso.org/patents) oppure l'elenco IEC delle dichiarazioni di brevetto ricevute (vedi
https://patents.iec.ch).
Qualsiasi nome commerciale utilizzato nel presente documento costituisce un'informazione fornita per comodità degli utenti e
non costituisce un'approvazione.
Per una spiegazione della natura volontaria degli standard, il significato dei termini e delle espressioni specifici dell'ISO
relativi alla valutazione della conformità, nonché informazioni sull'adesione dell'ISO ai principi dell'Organizzazione mondiale
del commercio (OMC) negli ostacoli tecnici al commercio (TBT), vedere www . .iso.org/iso/foreword.html. Nell'IEC, vedere
www.iec.ch/understanding-standards.
Il presente documento è stato preparato dal Comitato tecnico congiunto ISO/IEC JTC 1, Tecnologia dell'informazione,
Sottocomitato SC 27, Sicurezza delle informazioni, sicurezza informatica e protezione della privacy.
Questa terza edizione annulla e sostituisce la seconda edizione (ISO/IEC 27001:2013), che è stata rivista tecnicamente.
Incorpora inoltre le rettifiche tecniche ISO/IEC 27001:2013/Cor 1:2014 e ISO/IEC 27001:2013/Cor 2:2015.
— il testo è stato allineato alla struttura armonizzata per le norme sui sistemi di gestione e alla norma ISO/IEC 27002:2022.
Qualsiasi feedback o domanda su questo documento deve essere indirizzato all'ente nazionale di standardizzazione
dell'utente. Un elenco completo di questi organismi può essere trovato su www.iso.org/members.html e www.iec.ch/national-
committees.
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
ISO/IEC 27001:2022(E)
introduzione
0.1 Generale
Il presente documento è stato preparato per fornire i requisiti per stabilire, implementare, mantenere e migliorare
continuamente un sistema di gestione della sicurezza delle informazioni. L’adozione di un sistema di gestione della sicurezza
delle informazioni è una decisione strategica per un’organizzazione. L'istituzione e l'implementazione del sistema di gestione
della sicurezza delle informazioni di un'organizzazione sono influenzate dalle esigenze e dagli obiettivi dell'organizzazione,
dai requisiti di sicurezza, dai processi organizzativi utilizzati e dalle dimensioni e dalla struttura dell'organizzazione. Si
prevede che tutti questi fattori d’influenza cambino nel tempo.
Il sistema di gestione della sicurezza delle informazioni preserva la riservatezza, l'integrità e la disponibilità delle informazioni
applicando un processo di gestione del rischio e dà fiducia alle parti interessate che i rischi siano adeguatamente gestiti.
È importante che il sistema di gestione della sicurezza delle informazioni sia parte e integrato con i processi
dell'organizzazione e la struttura di gestione complessiva e che la sicurezza delle informazioni sia considerata nella
progettazione dei processi, dei sistemi informativi e dei controlli. Si prevede che l'implementazione del sistema di gestione
della sicurezza delle informazioni sarà adattata alle esigenze dell'organizzazione.
Questo documento può essere utilizzato da soggetti interni ed esterni per valutare la capacità dell'organizzazione di
soddisfare i requisiti di sicurezza delle informazioni dell'organizzazione.
L'ordine in cui i requisiti sono presentati nel presente documento non riflette la loro importanza né implica l'ordine in cui
devono essere implementati. Gli elementi dell'elenco sono elencati solo a scopo di riferimento.
La norma ISO/IEC 27000 descrive la panoramica e il vocabolario dei sistemi di gestione della sicurezza delle informazioni,
facendo riferimento alla famiglia di standard dei sistemi di gestione della sicurezza delle informazioni (inclusi ISO/IEC
27003[2], ISO/IEC 27004[3] e ISO/IEC 27005[4] ), con i relativi termini e definizioni.
Il presente documento applica la struttura di alto livello, i titoli identici delle sottoclausole, il testo identico, i termini comuni e
le definizioni fondamentali definiti nell'Allegato SL delle Direttive ISO/IEC, Parte 1, Supplemento ISO consolidato, e pertanto
mantiene la compatibilità con altri standard di sistema di gestione che hanno adottato l'Annex SL.
Questo approccio comune definito nell'Allegato SL sarà utile per quelle organizzazioni che scelgono di gestire un unico
sistema di gestione che soddisfa i requisiti di due o più sistemi di gestione
standard.
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
-,`,,`,`,`,`,,,-,,-`-```,`,``,`,,,`,,-`,`-
Machine Translated by Google
1 ambito
Questo documento specifica i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema
di gestione della sicurezza delle informazioni nel contesto dell'organizzazione. Questo documento include anche
requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni adattati alle esigenze
dell'organizzazione. I requisiti stabiliti nel presente documento sono generici e sono destinati ad essere applicabili a
tutte le organizzazioni, indipendentemente dal tipo, dimensione o natura. L'esclusione di uno qualsiasi dei requisiti
specificati nelle clausole da 4 a 10 non è accettabile quando un'organizzazione dichiara la conformità al presente
documento.
2 Riferimenti normativi
Nel testo si fa riferimento ai seguenti documenti in modo tale che parte o tutto il loro contenuto costituisca requisiti
del presente documento. Per i riferimenti datati vale solo l'edizione citata. Per i riferimenti non datati, si applica
l'ultima edizione del documento di riferimento (incluse eventuali modifiche).
ISO/IEC 27000, Tecnologia dell'informazione - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle
informazioni - Panoramica e vocabolario
3Termini e definizioni
Ai fini del presente documento si applicano i termini e le definizioni fornite nella norma ISO/IEC 27000.
ISO e IEC mantengono database terminologici da utilizzare nella standardizzazione ai seguenti indirizzi:
-,`,,`,`,`,`,,,-,,-`-```,`,`,``,,,,`,-`,`-
4 Contesto dell'organizzazione
L'organizzazione deve determinare le questioni esterne e interne che sono rilevanti per il suo scopo e che influenzano
la sua capacità di raggiungere i risultati attesi dal suo sistema di gestione della sicurezza delle informazioni.
NOTA La determinazione di questi aspetti si riferisce alla definizione del contesto esterno ed interno dell'organizzazione
considerata nella clausola 5.4.1 della norma ISO 31000:2018[5].
a) soggetti interessati rilevanti rispetto al sistema di gestione della sicurezza delle informazioni;
c) quali di questi requisiti saranno affrontati attraverso la gestione della sicurezza delle informazioni
sistema.
ISO/IEC 27001:2022(E)
NOTA I requisiti delle parti interessate possono includere requisiti legali e regolamentari e obblighi contrattuali.
4.3 Determinazione dell'ambito del sistema di gestione della sicurezza delle informazioni
L'organizzazione deve determinare i confini e l'applicabilità del sistema di gestione della sicurezza delle informazioni per
stabilirne l'ambito.
L'organizzazione deve stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della
sicurezza delle informazioni, compresi i processi necessari e le loro interazioni, in conformità con i requisiti del presente
documento.
5 Direzione
5.1 Leadership e impegno
L'alta direzione deve dimostrare leadership e impegno rispetto al sistema di gestione della sicurezza delle informazioni:
a) garantire che siano stabiliti la politica di sicurezza delle informazioni e gli obiettivi di sicurezza delle informazioni
e sono compatibili con l'indirizzo strategico dell'organizzazione;
b) assicurare l'integrazione dei requisiti del sistema di gestione della sicurezza delle informazioni nel
i processi dell'organizzazione;
c) assicurare che siano disponibili le risorse necessarie per il sistema di gestione della sicurezza delle informazioni;
d) comunicare l'importanza di un'efficace gestione della sicurezza delle informazioni e del rispetto dei requisiti del sistema
di gestione della sicurezza delle informazioni;
e) garantire che il sistema di gestione della sicurezza delle informazioni raggiunga i risultati attesi;
f) indirizzare e supportare i soggetti affinché contribuiscano all'efficacia del sistema di gestione della sicurezza delle
informazioni;
h) supportare altri ruoli gestionali rilevanti per dimostrare la loro leadership applicata alle loro aree di responsabilità.
NOTA Il riferimento al “business” nel presente documento può essere interpretato in senso ampio, nel senso di quelle attività che
sono fondamentali per gli scopi dell'esistenza dell'organizzazione.
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
ISO/IEC 27001:2022(E)
5.2 Politica
L’alta direzione deve stabilire una politica di sicurezza delle informazioni che:
b) includa obiettivi di sicurezza delle informazioni (vedere 6.2) o fornisca il quadro per l'impostazione delle informazioni
obiettivi di sicurezza;
c) includa l'impegno a soddisfare i requisiti applicabili relativi alla sicurezza delle informazioni;
d) comprenda l'impegno al miglioramento continuo del sistema di gestione della sicurezza delle informazioni.
a) garantire che il sistema di gestione della sicurezza delle informazioni sia conforme ai requisiti del presente
documento;
b) riferire all'alta direzione sulle prestazioni del sistema di gestione della sicurezza delle informazioni.
NOTA L'alta direzione può anche assegnare responsabilità e autorità per riferire sulle prestazioni del sistema di
gestione della sicurezza delle informazioni all'interno dell'organizzazione.
6 Pianificazione
Durante la pianificazione del sistema di gestione della sicurezza delle informazioni, l'organizzazione deve considerare le questioni
di cui al punto 4.1 e i requisiti di cui al punto 4.2 e determinare i rischi e le opportunità che devono essere affrontati per:
a) garantire che il sistema di gestione della sicurezza delle informazioni possa raggiungere i risultati previsti;
e) come fare
1) integrare e implementare le azioni nel proprio sistema di gestione della sicurezza delle informazioni
processi; E
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
3
© ISO/IEC 2022 – Tutti i diritti riservati
Machine Translated by Google
``,,,,,```
`,,`,,`,`,
ISO/IEC 27001:2022(E)
L'organizzazione deve definire e applicare un processo di valutazione del rischio per la sicurezza delle informazioni che:
a) stabilisce e mantiene criteri di rischio per la sicurezza delle informazioni che includono:
2) criteri per effettuare valutazioni del rischio per la sicurezza delle informazioni;
b) garantisce che le ripetute valutazioni del rischio per la sicurezza delle informazioni producano risultati coerenti, validi e
risultati comparabili;
1) applicare il processo di valutazione del rischio per la sicurezza delle informazioni per identificare i rischi associati alla perdita di
`-
riservatezza, integrità e disponibilità delle informazioni nell'ambito del sistema di gestione della sicurezza delle informazioni; E
--
1) valutare le potenziali conseguenze che deriverebbero se i rischi identificati al punto 6.1.2 c) 1) dovessero verificarsi
materializzarsi;
2) valutare la realistica probabilità del verificarsi dei rischi individuati al punto 6.1.2 c) 1); E
1) confrontare i risultati dell'analisi del rischio con i criteri di rischio stabiliti al punto 6.1.2 a); E
L'organizzazione deve conservare informazioni documentate sul processo di valutazione del rischio per la sicurezza delle informazioni.
L'organizzazione deve definire e applicare un processo di trattamento dei rischi legati alla sicurezza delle informazioni per:
a) selezionare opzioni adeguate di trattamento del rischio per la sicurezza delle informazioni, tenendo conto del rischio
risultati della valutazione;
b) determinare tutti i controlli necessari per attuare il trattamento dei rischi legati alla sicurezza delle informazioni
opzione/i scelta/e;
NOTA 1 Le organizzazioni possono progettare i controlli secondo necessità o identificarli da qualsiasi fonte.
c) confrontare i controlli determinati al precedente punto 6.1.3 b) con quelli di cui all'Allegato A e verificare che n
sono stati omessi i controlli necessari;
NOTA 2 L'Allegato A contiene un elenco di possibili controlli di sicurezza delle informazioni. Gli utenti di questo documento sono
indirizzati all'Allegato A per garantire che non venga trascurato alcun controllo necessario sulla sicurezza delle informazioni.
NOTA 3 I controlli di sicurezza delle informazioni elencati nell'Allegato A non sono esaustivi e, se necessario, è possibile includere
ulteriori controlli di sicurezza delle informazioni.
4
© ISO/IEC 2022 – Tutti i diritti riservati
Machine Translated by Google
ISO/IEC 27001:2022(E)
e) formulare un piano di trattamento dei rischi relativi alla sicurezza delle informazioni; E
f) ottenere l'approvazione del piano di trattamento dei rischi relativi alla sicurezza delle informazioni da parte dei titolari del rischio e l'accettazione dello stesso
rischi residui per la sicurezza delle informazioni.
L'organizzazione deve conservare informazioni documentate sul processo di trattamento dei rischi per la sicurezza delle informazioni.
NOTA 4 Il processo di valutazione e trattamento dei rischi per la sicurezza delle informazioni nel presente documento è in linea con
i principi e le linee guida generiche fornite nella norma ISO 31000[5].
c) tenere conto dei requisiti applicabili in materia di sicurezza delle informazioni e dei risultati della valutazione del rischio
e trattamento del rischio;
d) essere monitorato;
e) essere comunicati;
L'organizzazione deve conservare informazioni documentate sugli obiettivi di sicurezza delle informazioni.
Nel pianificare come raggiungere i propri obiettivi di sicurezza delle informazioni, l'organizzazione deve determinare:
Quando l'organizzazione determina la necessità di modifiche al sistema di gestione della sicurezza delle informazioni, le modifiche devono
essere eseguite in modo pianificato.
-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,`,,-`,`-
5
© ISO/IEC 2022 – Tutti i diritti riservati
Machine Translated by Google
ISO/IEC 27001:2022(E)
7 Supporto
7.1 Risorse
L'organizzazione deve determinare e fornire le risorse necessarie per l'istituzione, l'implementazione, il mantenimento e il
miglioramento continuo del sistema di gestione della sicurezza delle informazioni.
-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,,`,-`,`-
7.2 Competenza
L'organizzazione deve:
a) determinare la competenza necessaria delle persone che svolgono il lavoro sotto il suo controllo che lo influenza
prestazioni in materia di sicurezza delle informazioni;
b) garantire che queste persone siano competenti sulla base di un'istruzione, formazione o formazione adeguate
esperienza;
c) ove applicabile, intraprendere azioni per acquisire le competenze necessarie e valutarne l'efficacia
delle azioni intraprese; E
NOTA Le azioni applicabili possono includere, ad esempio: l'offerta di formazione, il tutoraggio o il re-
assegnazione del personale in servizio; o l'assunzione o la contrattazione di persone competenti.
7.3 Consapevolezza
Le persone che svolgono attività lavorative sotto il controllo dell'organizzazione devono essere a conoscenza di:
b) il loro contributo all'efficacia del sistema di gestione della sicurezza delle informazioni, compresi i benefici di una migliore
prestazione della sicurezza delle informazioni; E
c) le implicazioni della non conformità al sistema di gestione della sicurezza delle informazioni
requisiti.
7.4 Comunicazione
L'organizzazione deve determinare la necessità di comunicazioni interne ed esterne rilevanti per il sistema di gestione della
sicurezza delle informazioni, tra cui:
a) su cosa comunicare;
b) quando comunicare;
d) come comunicare.
7.5.1 Generale
ISO/IEC 27001:2022(E)
b) informazioni documentate ritenute necessarie dall'organizzazione per l'efficacia del sistema di gestione della sicurezza
delle informazioni.
NOTA La portata delle informazioni documentate per un sistema di gestione della sicurezza delle informazioni può
differire da un'organizzazione all'altra a causa di:
Durante la creazione e l'aggiornamento delle informazioni documentate, l'organizzazione deve garantire che:
b) formato (es. lingua, versione software, grafica) e supporto (es. cartaceo, elettronico); E
Le informazioni documentate richieste dal sistema di gestione della sicurezza delle informazioni e dal presente documento
devono essere controllate per garantire:
b) siano adeguatamente protetti (ad esempio da perdita di riservatezza, uso improprio o perdita di integrità).
Per il controllo delle informazioni documentate, l'organizzazione deve affrontare le seguenti attività, a seconda dei casi:
f) conservazione e disposizione.
NOTA L'accesso può implicare una decisione riguardante il permesso di visualizzare solo le informazioni documentate,
o il permesso e l'autorità per visualizzare e modificare le informazioni documentate, ecc.
-,`,,`,`,`,`,,,-,,-`-```,`,``,`,,,`,,-`,`-
8 Funzionamento
Le informazioni documentate devono essere disponibili nella misura necessaria per avere la certezza che i processi siano
stati eseguiti come pianificato.
``,,,,,``````,,,,,`,`
ISO/IEC 27001:2022(E)
L'organizzazione deve controllare i cambiamenti pianificati ed esaminare le conseguenze dei cambiamenti non voluti, adottando
misure per mitigare eventuali effetti negativi, se necessario.
L'organizzazione deve garantire che i processi, i prodotti o i servizi forniti esternamente che sono rilevanti per il sistema di gestione
della sicurezza delle informazioni siano controllati.
L'organizzazione deve eseguire valutazioni del rischio per la sicurezza delle informazioni a intervalli pianificati o quando vengono
`,,`,,`,`,,`---
proposti o si verificano cambiamenti significativi, tenendo conto dei criteri stabiliti al punto 6.1.2 a).
L'organizzazione deve conservare informazioni documentate sui risultati del rischio per la sicurezza delle informazioni
valutazioni.
L'organizzazione deve attuare il piano di trattamento dei rischi per la sicurezza delle informazioni.
L'organizzazione deve conservare informazioni documentate sui risultati del trattamento del rischio per la sicurezza delle informazioni.
a) cosa deve essere monitorato e misurato, compresi i processi e i controlli sulla sicurezza delle informazioni;
b) i metodi di monitoraggio, misurazione, analisi e valutazione, a seconda dei casi, per garantire risultati validi. I metodi selezionati
dovrebbero produrre risultati comparabili e riproducibili per essere considerati validi;
e) quando i risultati del monitoraggio e della misurazione devono essere analizzati e valutati;
L'organizzazione deve valutare le prestazioni di sicurezza delle informazioni e l'efficacia del sistema di gestione della sicurezza delle
--
informazioni.
9.2.1 Generale
L'organizzazione deve condurre audit interni a intervalli pianificati per fornire informazioni sul fatto che il sistema di gestione della
sicurezza delle informazioni:
a) è conforme a
1) i requisiti propri dell'organizzazione per il proprio sistema di gestione della sicurezza delle informazioni;
``,,,,,`````
`,,`,,`,`,,` 2) i requisiti del presente documento;
ISO/IEC 27001:2022(E)
L'organizzazione deve pianificare, stabilire, implementare e mantenere uno o più programmi di audit, compresi la frequenza, i
metodi, le responsabilità, i requisiti di pianificazione e il reporting.
Nello stabilire il/i programma/i di audit interno, l'organizzazione deve considerare l'importanza di
i processi interessati e i risultati degli audit precedenti.
L'organizzazione deve:
b) selezionare i revisori e condurre audit che garantiscano l'obiettività e l'imparzialità del processo di audit;
Devono essere disponibili informazioni documentate come prova dell'attuazione del/i programma/i di audit e dei risultati dell'audit.
`-
--
L'alta direzione deve riesaminare il sistema di gestione della sicurezza delle informazioni dell'organizzazione a intervalli pianificati
per garantirne la continua idoneità, adeguatezza ed efficacia.
b) cambiamenti nelle questioni esterne ed interne rilevanti per la gestione della sicurezza delle informazioni
sistema;
c) cambiamenti nei bisogni e nelle aspettative delle parti interessate che sono rilevanti per il sistema di gestione della sicurezza
delle informazioni;
d) feedback sulle prestazioni in materia di sicurezza delle informazioni, comprese le tendenze in:
3) risultati dell'audit;
f) risultati della valutazione del rischio e stato del piano di trattamento del rischio;
I risultati del riesame della direzione includeranno decisioni relative alle opportunità di miglioramento continuo e ad eventuali
necessità di modifiche al sistema di gestione della sicurezza delle informazioni.
9
© ISO/IEC 2022 – Tutti i diritti riservati
Machine Translated by Google
ISO/IEC 27001:2022(E)
Le informazioni documentate devono essere disponibili come prova dei risultati dei riesami della direzione.
10 Miglioramento
2) affrontare le conseguenze;
b) valutare la necessità di interventi volti ad eliminare le cause della non conformità, affinché essa non si ripeta o si
verifichi altrove, mediante:
Le azioni correttive devono essere adeguate agli effetti delle non conformità riscontrate.
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
``,,,,,``````,,,
`,,`,,`,`,,`--- Annesso A
ISO/IEC 27001:2022(E)
(normativo)
I controlli di sicurezza delle informazioni elencati nella Tabella A.1 derivano direttamente e sono allineati con quelli elencati nella
norma ISO/IEC 27002:2022[1], clausole da 5 a 8, e devono essere utilizzati nel contesto di 6.1.3.
5 Controlli organizzativi
5.1 Politiche per la sicurezza delle Controllo
informazioni
La politica di sicurezza delle informazioni e le politiche specifiche per argomento
devono essere definite, approvate dalla direzione, pubblicate, comunicate e
riconosciute dal personale competente e dalle parti interessate rilevanti, e riviste a intervalli
pianificati e se si verificano cambiamenti significativi.
5.2 Ruoli di sicurezza delle informazioni e Controllo
responsabilità
I ruoli e le responsabilità in materia di sicurezza delle informazioni devono essere definiti e
assegnati in base alle esigenze dell'organizzazione.
5.3 Separazione dei compiti Controllo
Le informazioni relative alle minacce alla sicurezza delle informazioni devono essere
raccolte e analizzate per produrre informazioni sulle minacce.
5.8 Sicurezza delle informazioni nel progetto Controllo
gestione
La sicurezza delle informazioni sarà integrata nella gestione del progetto.
5.9 Inventario delle informazioni e Controllo
altri beni associati
Deve essere sviluppato e mantenuto un inventario delle informazioni e di altre risorse
associate, compresi i proprietari.
5.10 Uso accettabile delle informazioni Controllo
e altri beni associati
Le regole per l'uso accettabile e le procedure per la gestione delle informazioni e
di altre risorse associate devono essere identificate, documentate e implementate.
5.11 Restituzione dei beni Controllo
Il personale e le altre parti interessate, a seconda dei casi, restituiscono tutti i beni
dell'organizzazione in loro possesso in caso di cambiamento o cessazione del rapporto di
lavoro, contratto o accordo.
`,,`,,`,`,,`--
ISO/IEC 27001:2022(E)
Devono essere in vigore regole, procedure o accordi per il trasferimento delle informazioni
per tutti i tipi di strutture di trasferimento all'interno dell'organizzazione e tra l'organizzazione
e altre parti.
5.15 Controllo di accesso Controllo
Le regole per controllare l'accesso fisico e logico alle informazioni e ad altre risorse
associate saranno stabilite e implementate in base ai requisiti aziendali e di sicurezza
delle informazioni.
5.16 Gestione dell'identità Controllo
informazioni di autenticazione.
--
I diritti di accesso alle informazioni e ad altre risorse associate devono essere forniti,
revisionati, modificati e rimossi in conformità con la politica specifica dell'argomento e le
regole per il controllo degli accessi dell'organizzazione.
5.19 Sicurezza delle informazioni nel fornitore Controllo
relazioni
Devono essere definiti e implementati processi e procedure per gestire i rischi per la
sicurezza delle informazioni associati all'uso dei prodotti o servizi del fornitore.
ISO/IEC 27001:2022(E)
-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,`,,-`,`-
protezione delle PII secondo le leggi e i regolamenti applicabili e i requisiti contrattuali.
ISO/IEC 27001:2022(E)
I controlli di verifica dei precedenti su tutti i candidati che entreranno a far parte del
personale devono essere effettuati prima di entrare a far parte dell'organizzazione e su
base continuativa, tenendo conto delle leggi, dei regolamenti e dell'etica applicabili ed
essere proporzionati ai requisiti aziendali, alla classificazione delle informazioni a cui
accedere e alla rischi percepiti.
6.2 Termini e condizioni di lavoro Controllo
I perimetri di sicurezza devono essere definiti e utilizzati per proteggere le aree che
contengono informazioni e altre risorse associate.
7.2 Ingresso fisico Controllo
Le aree sicure devono essere protette da adeguati controlli di ingresso e punti di accesso.
I locali devono essere costantemente monitorati per individuare eventuali fisici non autorizzati
accesso.
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
ISO/IEC 27001:2022(E)
Devono essere progettate e implementate misure di sicurezza per lavorare in aree protette.
Devono essere definite e opportunamente applicate regole documentali chiare per documenti e
supporti di memorizzazione rimovibili e regole chiare per lo schermo per le strutture di
elaborazione delle informazioni.
7.8 Controllo ubicazione e protezione delle apparecchiature
-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,,`,-`,`-
Le attrezzature dovranno essere posizionate in modo sicuro e protetto.
7.9 Controllo della sicurezza dei beni fuori sede
I supporti di memorizzazione devono essere gestiti attraverso il loro ciclo di vita di acquisizione,
utilizzo, trasporto e smaltimento in conformità con lo schema di classificazione e i requisiti di
gestione dell'organizzazione .
7.11 Utilità di supporto Controllo
I cavi che trasportano energia, dati o servizi di informazione di supporto devono essere protetti
da intercettazioni, interferenze o danni.
7.13 Manutenzione dell'equipaggiamento Controllo
Le informazioni archiviate, elaborate o accessibili tramite i dispositivi finali degli utenti devono
essere protette.
8.2 Diritti di accesso privilegiati Controllo
L'accesso in lettura e scrittura al codice sorgente, agli strumenti di sviluppo e alle librerie software
deve essere adeguatamente gestito.
ISO/IEC 27001:2022(E)
L'utilizzo delle risorse sarà monitorato e adeguato in linea con i requisiti di capacità attuali e
previsti.
8.7 Protezione contro il controllo del malware
Devono essere ottenute informazioni sulle vulnerabilità tecniche dei sistemi informativi in
uso, deve essere valutata l'esposizione dell'organizzazione a tali vulnerabilità e devono
essere adottate misure appropriate.
8.9 Controllo della gestione della configurazione
Le informazioni archiviate nei sistemi informativi, nei dispositivi o in qualsiasi altro supporto
di memorizzazione saranno cancellate quando non saranno più necessarie.
8.11 Mascheramento dei dati Controllo
Il mascheramento dei dati deve essere utilizzato in conformità con la politica specifica
dell'argomento dell'organizzazione sul controllo degli accessi e altre politiche correlate
specifiche dell'argomento e i requisiti aziendali, tenendo in considerazione la legislazione
applicabile.
Le misure di prevenzione della fuga di dati devono essere applicate ai sistemi, alle reti e a
qualsiasi altro dispositivo che elabora, archivia o trasmette informazioni sensibili.
I registri che registrano attività, eccezioni, guasti e altri eventi rilevanti devono essere prodotti,
archiviati, protetti e analizzati.
8.16 Attività di monitoraggio Controllo
Gli orologi dei sistemi di elaborazione delle informazioni utilizzati dall'organizzazione devono
essere sincronizzati con fonti orarie approvate.
ISO/IEC 27001:2022(E)
L'uso di programmi di utilità che possono essere in grado di ignorare i controlli del
sistema e delle applicazioni deve essere limitato e strettamente controllato.
8.19 Installazione di software su sistemi Controllo
operativi
Dovranno essere implementate procedure e misure per gestire in sicurezza
l'installazione del software sui sistemi operativi.
8.20 Sicurezza delle reti Controllo
Le reti e i dispositivi di rete devono essere protetti, gestiti e controllati per proteggere
le informazioni nei sistemi e nelle applicazioni.
8.21 Controllo della sicurezza dei servizi di rete
L'accesso a siti Web esterni deve essere gestito per ridurre l'esposizione a contenuti
dannosi.
8.24 Uso della crittografia Controllo
Dovranno essere definite e attuate norme per l'uso efficace della crittografia,
compresa la gestione delle chiavi crittografiche .
8.25 Controllo sicuro del ciclo di vita dello sviluppo
-,`,,`,`,`,`,,,-,,-`-```,`,`,``,,,`,,-`,`-
Saranno stabilite e applicate norme per lo sviluppo sicuro di software e sistemi.
ISO/IEC 27001:2022(E)
-,`,,`,`,`,`,,,,-,-`-```,`,`,``,,,,`,-`,`-
ISO/IEC 27001:2022(E)
Bibliografia
[1] ISO/IEC 27002:2022, Sicurezza delle informazioni, sicurezza informatica e tutela della privacy — Controlli della
sicurezza delle informazioni
[2] ISO/IEC 27003, Tecnologia dell'informazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle
informazioni – Guida
[3] ISO/IEC 27004, Tecnologia dell'informazione - Tecniche di sicurezza - Gestione della sicurezza delle informazioni
— Monitoraggio, misurazione, analisi e valutazione
[4] ISO/IEC 27005, Sicurezza delle informazioni, sicurezza informatica e protezione della privacy – Guida alla gestione dei
rischi per la sicurezza delle informazioni
--``,,,,,``````,,,,,`,`,`,`,,`,-`-`,,`,,`,`,,`---
19
© ISO/IEC 2022 – Tutti i diritti riservati
`,,`,,`,`,,`---
``,,,,,``````,,
`-
-- Machine Translated by Google
ISO/IEC 27001:2022(E)