Indicatore

Descrizione del rischio

Soluzioni possibili

Riferimenti

Considerazioni generali

Accesso non autorizzato e/o intrusioni nei sistemi informatici dell’operatore economico.

Una politica, procedure e norme di sicurezza informatica devono essere attuate e a disposizione del personale;

Presentazione di un certificato ISO 27001 che dimostri standard elevati di sicurezza informatica;

politica di sicurezza informatica;

nomina di funzionario responsabile della sicurezza informatica;
- valutazione della  sicurezza informatica o individuazione degli aspetti correlati ai rischi informatici;

procedure per concedere/revocare i diritti di accesso a persone autorizzate;

i diritti di accesso devono essere ritirati immediatamente al momento del passaggio di funzioni o della cessazione del rapporto di lavoro.

- accesso ai dati in base al principio dell’esigenza di conoscere. utilizzare, ove necessario, software di criptazione;

protezione “firewall”;

protezione anti-virus;

protezione mediante password su tutti i PC ed eventualmente su programmi importanti

Quando i dipendenti lasciano il posto di lavoro, il computer deve sempre essere protetto con una parola chiave

La password deve essere di almeno otto caratteri e comprendere due o più lettere maiuscole e minuscole, numeri e altri caratteri. Quanto più è lunga la password, tanto più è sicura. I nomi utenti e le password non devono mai essere condivisi.

verifiche dell’accesso non autorizzato;

limitazione a persone autorizzate dell’accesso ai locali in cui si trovano i server;

effettuare prove di intrusione con frequenza periodica; registrare le prove di intrusione;

porre in atto procedure applicabili in caso di incidenti.

QAV - 3.7

ISO 27001:2013

Considerazioni generali

Distruzione intenzionale o perdita di informazioni pertinenti

Piano di emergenza in caso di perdita di dati;

procedure di back-up in caso di guasti o disfunzioni dei sistemi;

procedure di revoca del diritto di accesso;
procedure per vietare l’utilizzo di articoli di consumo personale come chiavi USB, CD, DVD e periferiche elettroniche personali;

limitare l’uso di internet a siti destinati unicamente alle attività professionali

ISO 28001:2007, sezione A 3

ISO 27001:2013