Sicurezza Informazioni · 2022
ISO-27001
Sistemi di Gestione per la Sicurezza delle Informazioni
Framework completo per proteggere la riservatezza, integrità e disponibilità delle informazioni attraverso un processo di gestione del rischio.
83 documenti totali
68 obbligatori per la norma
4 livelli gerarchici
Riepilogo per Livello
16
Livello 1
Politiche e Regolamenti
43
Livello 2
Procedure, Piani e Analisi
4
Livello 3
Istruzioni Operative
20
Livello 4
Moduli, Registri, Nomine e Allegati
Struttura Documentale Completa
Il pacchetto segue una struttura gerarchica a 4 livelli conforme alla norma ISO-27001. Ogni documento riporta le clausole di riferimento, la tipologia e viene generato con i dati della tua azienda, pronto per l'audit di certificazione.
Livello 1 — Politiche e Regolamenti
16 documentiDocumenti apicali: politiche aziendali, regolamenti interni e dichiarazioni di impegno della direzione.
| Codice | Titolo Documento | Tipo | Clausole | Obbl. |
|---|---|---|---|---|
| ISO-27001-L1-POL01 | Politica per la Sicurezza delle Informazioni | Politica | 5.2 | Obbligatorio |
| ISO-27001-L1-POL02 | Politiche specifiche per i controlli dell'Annex A | Politica | A.5.1 | Obbligatorio |
| ISO-27001-L1-POL03 | Politica di Controllo degli Accessi | Politica | A.5.15, A.8.3 | Obbligatorio |
| ISO-27001-L1-POL04 | Politica sull'uso accettabile delle risorse | Politica | A.5.10 | Obbligatorio |
| ISO-27001-L1-POL05 | Politica di classificazione delle informazioni | Politica | A.5.12 | Obbligatorio |
| ISO-27001-L1-POL06 | Politica per il telelavoro e il lavoro da remoto | Politica | A.7.6 | Raccomandato |
| ISO-27001-L1-POL07 | Politica sui dispositivi mobili (BYOD) | Politica | A.7.6 | Raccomandato |
| ISO-27001-L1-POL08 | Politica di clear desk e clear screen | Politica | A.7.7 | Raccomandato |
| ISO-27001-L1-POL09 | Politica di backup | Politica | A.8.13 | Obbligatorio |
| ISO-27001-L1-POL10 | Politica di gestione degli asset | Politica | A.5.9 | Obbligatorio |
| ISO-27001-L1-POL11 | Politica crittografica e di gestione delle chiavi | Politica | A.8.24 | Obbligatorio |
| ISO-27001-L1-POL12 | Politica di sviluppo sicuro | Politica | A.8.25 | Obbligatorio |
| ISO-27001-L1-POL13 | Politica di sicurezza dei fornitori | Politica | A.5.19 | Obbligatorio |
| ISO-27001-L1-REGL14 | Regolamento interno per l'uso degli strumenti informatici | Regolamento | A.5.10 | Raccomandato |
| ISO-27001-L1-REGL15 | Codice di condotta del personale | Regolamento | A.6.2 | Raccomandato |
| ISO-27001-L1-POL16 | Definizione dei ruoli e delle responsabilità per la sicurezza | Politica | A.6.1 | Obbligatorio |
Livello 2 — Procedure, Piani e Analisi
43 documentiProcedure operative, piani strategici e documenti di analisi che definiscono il funzionamento del sistema di gestione.
| Codice | Titolo Documento | Tipo | Clausole | Obbl. |
|---|---|---|---|---|
| ISO-27001-L2-PRO01 | Procedura per la gestione dei documenti | Procedura | 7.5 | Obbligatorio |
| ISO-27001-L2-PRO02 | Procedura per la gestione delle registrazioni | Procedura | 7.5 | Obbligatorio |
| ISO-27001-L2-PRO03 | Procedura per gli audit interni | Procedura | 9.2 | Obbligatorio |
| ISO-27001-L2-PRO04 | Procedura per il riesame della direzione | Procedura | 9.3 | Obbligatorio |
| ISO-27001-L2-PRO05 | Procedura per la gestione delle non conformità e delle azioni correttive | Procedura | 10.2 | Obbligatorio |
| ISO-27001-L2-PRO06 | Procedura di valutazione e trattamento del rischio | Procedura | 6.1.2 | Obbligatorio |
| ISO-27001-L2-PRO07 | Procedura di gestione degli incidenti di sicurezza | Procedura | A.5.24 | Obbligatorio |
| ISO-27001-L2-PRO08 | Procedura di gestione dei cambiamenti | Procedura | A.8.32 | Obbligatorio |
| ISO-27001-L2-PRO09 | Procedura per la gestione delle vulnerabilità | Procedura | A.8.8 | Obbligatorio |
| ISO-27001-L2-PRO10 | Procedura per la gestione della continuità operativa | Procedura | A.5.30 | Obbligatorio |
| ISO-27001-L2-PLAN11 | Piano di trattamento dei rischi | Piano | 6.1.3 | Obbligatorio |
| ISO-27001-L2-PLAN12 | Piano di audit interno | Piano | 9.2 | Obbligatorio |
| ISO-27001-L2-PLAN13 | Piano di formazione e consapevolezza | Piano | 7.3 | Obbligatorio |
| ISO-27001-L2-PLAN14 | Piano di continuità operativa e disaster recovery | Piano | A.5.30 | Obbligatorio |
| ISO-27001-L2-PLAN15 | Piano di comunicazione | Piano | 7.4 | Obbligatorio |
| ISO-27001-L2-ANL16 | Analisi del contesto dell'organizzazione (interni ed esterni) | Analisi | 4.1 | Obbligatorio |
| ISO-27001-L2-ANL17 | Analisi delle parti interessate e dei loro requisiti | Analisi | 4.2 | Obbligatorio |
| ISO-27001-L2-ANL18 | Analisi dei rischi per la sicurezza delle informazioni | Analisi | 6.1.2 | Obbligatorio |
| ISO-27001-L2-ANL19 | Valutazione dell'efficacia dei controlli | Analisi | 9.1 | Obbligatorio |
| ISO-27001-L2-PRO20 | Regole per il trasferimento delle informazioni | Procedura | A.5.14 | Obbligatorio |
| ISO-27001-L2-PRO21 | Procedure per la gestione dei supporti rimovibili | Procedura | A.7.10 | Obbligatorio |
| ISO-27001-L2-PRO22 | Procedure per lo smaltimento dei supporti | Procedura | A.7.10 | Obbligatorio |
| ISO-27001-L2-PRO23 | Procedure per la gestione della rete | Procedura | A.8.20 | Obbligatorio |
| ISO-27001-L2-PRO24 | Procedure di monitoraggio, revisione e modifica dei servizi dei fornitori | Procedura | A.5.22 | Obbligatorio |
| ISO-27001-L2-PRO25 | Verifica indipendente della sicurezza delle informazioni | Procedura | A.5.33 | Obbligatorio |
| ISO-27001-L2-PRO26 | Conformità a politiche, regole e standard per la sicurezza delle informazioni | Procedura | A.5.34 | Obbligatorio |
| ISO-27001-L2-PRO27 | Procedure operative documentate | Procedura | A.8.34 | Obbligatorio |
| ISO-27001-L2-PRO28 | Information security risk treatment process | Procedura | 6.1.3 | Obbligatorio |
| ISO-27001-L2-PRO28 | Information security risk treatment process | Procedura | 6.1.3 | Obbligatorio |
| ISO-27001-L2-PRO29 | Evidence of competence | Procedura | 7.2 | Obbligatorio |
| ISO-27001-L2-PRO29 | Evidence of competence | Procedura | 7.2 | Obbligatorio |
| ISO-27001-L2-PRO30 | Processes to implement the information security risk treatment | Procedura | 8.1 | Obbligatorio |
| ISO-27001-L2-PRO30 | Processes to implement the information security risk treatment | Procedura | 8.1 | Obbligatorio |
| ISO-27001-L2-PRO31 | Results of the information security risk assessment | Procedura | 8.2 | Obbligatorio |
| ISO-27001-L2-PRO31 | Results of the information security risk assessment | Procedura | 8.2 | Obbligatorio |
| ISO-27001-L2-PRO32 | Records of access rights | Procedura | A.5.18 | Obbligatorio |
| ISO-27001-L2-PRO32 | Records of access rights | Procedura | A.5.18 | Obbligatorio |
| ISO-27001-L2-PRO33 | Rules for the use of authentication information | Procedura | A.8.3 | Obbligatorio |
| ISO-27001-L2-PRO33 | Rules for the use of authentication information | Procedura | A.8.3 | Obbligatorio |
| ISO-27001-L2-PRO34 | Procedures for managing information security in the supplier lifecycle | Procedura | A.8.22 | Obbligatorio |
| ISO-27001-L2-PRO34 | Procedures for managing information security in the supplier lifecycle | Procedura | A.8.22 | Obbligatorio |
| ISO-27001-L2-PRO35 | Secure development life cycle | Procedura | A.8.25 | Obbligatorio |
| ISO-27001-L2-PRO35 | Secure development life cycle | Procedura | A.8.25 | Obbligatorio |
Livello 3 — Istruzioni Operative
4 documentiIstruzioni dettagliate passo-passo per attività operative specifiche sul campo.
| Codice | Titolo Documento | Tipo | Clausole | Obbl. |
|---|---|---|---|---|
| ISO-27001-L3-IO01 | Istruzioni operative per il backup dei dati | Istruzione Operativa | A.8.13 | Raccomandato |
| ISO-27001-L3-IO02 | Istruzioni operative per la gestione delle password | Istruzione Operativa | A.5.17 | Raccomandato |
| ISO-27001-L3-IO03 | Istruzioni operative per la classificazione e la gestione dei dati | Istruzione Operativa | A.5.12 | Raccomandato |
| ISO-27001-L3-IO04 | Istruzioni operative per l'uso sicuro della posta elettronica | Istruzione Operativa | A.8.23 | Raccomandato |
Livello 4 — Moduli, Registri, Nomine e Allegati
20 documentiModuli compilabili, registri di monitoraggio, nomine formali e allegati tecnici per le evidenze di audit.
| Codice | Titolo Documento | Tipo | Clausole | Obbl. |
|---|---|---|---|---|
| ISO-27001-L4-MOD01 | Modulo per la richiesta di accesso | Modulo | A.5.18 | Raccomandato |
| ISO-27001-L4-MOD02 | Modulo di segnalazione incidenti | Modulo | A.5.24 | Obbligatorio |
| ISO-27001-L4-MOD03 | Modulo per la gestione del cambiamento | Modulo | A.8.32 | Raccomandato |
| ISO-27001-L4-MOD04 | Checklist per audit interno | Modulo | 9.2 | Raccomandato |
| ISO-27001-L4-REG05 | Registro dei rischi | Registro | 6.1.2 | Obbligatorio |
| ISO-27001-L4-REG06 | Registro degli incidenti di sicurezza | Registro | A.5.26 | Obbligatorio |
| ISO-27001-L4-REG07 | Registro delle non conformità e azioni correttive | Registro | 10.2 | Obbligatorio |
| ISO-27001-L4-REG08 | Registro della formazione del personale | Registro | 7.2, 7.3 | Obbligatorio |
| ISO-27001-L4-REG09 | Registro degli audit interni | Registro | 9.2 | Obbligatorio |
| ISO-27001-L4-REG10 | Registro dei riesami della direzione | Registro | 9.3 | Obbligatorio |
| ISO-27001-L4-REG11 | Registro degli asset informativi | Registro | A.5.9 | Obbligatorio |
| ISO-27001-L4-REG12 | Registro dei log di accesso e degli eventi | Registro | A.8.15 | Obbligatorio |
| ISO-27001-L4-NOM13 | Nomina del Responsabile del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) | Nomina | 5.3 | Obbligatorio |
| ISO-27001-L4-NOM14 | Lettere di incarico per ruoli e responsabilità della sicurezza | Nomina | 5.3 | Raccomandato |
| ISO-27001-L4-ALL15 | Dichiarazione di Applicabilità (SoA) | Allegato | 6.1.3d | Obbligatorio |
| ISO-27001-L4-ALL16 | Matrice delle responsabilità (RACI) | Allegato | 5.3 | Raccomandato |
| ISO-27001-L4-ALL17 | Organigramma aziendale | Allegato | 5.3 | Raccomandato |
| ISO-27001-L4-REG18 | Inventario delle informazioni e degli altri asset associati | Registro | A.5.9 | Obbligatorio |
| ISO-27001-L4-ALL19 | Accordi di riservatezza o non divulgazione | Allegato | A.6.6 | Obbligatorio |
| ISO-27001-L4-REG20 | Requisiti legali, statutari, regolamentari e contrattuali | Registro | A.5.31 | Obbligatorio |