Indicatore |
Descrizione del rischio |
Soluzioni possibili |
Riferimenti |
Considerazioni generali |
Accesso non autorizzato e/o intrusioni nei sistemi informatici dell’operatore economico. |
Una politica, procedure e norme di sicurezza informatica devono essere attuate e a disposizione del personale; Presentazione di un certificato ISO 27001 che dimostri standard elevati di sicurezza informatica; politica di sicurezza informatica; nomina di funzionario responsabile della sicurezza informatica; procedure per concedere/revocare i diritti di accesso a persone autorizzate; i diritti di accesso devono essere ritirati immediatamente al momento del passaggio di funzioni o della cessazione del rapporto di lavoro. - accesso ai dati in base al principio dell’esigenza di conoscere. utilizzare, ove necessario, software di criptazione; protezione “firewall”; protezione anti-virus; protezione mediante password su tutti i PC ed eventualmente su programmi importanti Quando i dipendenti lasciano il posto di lavoro, il computer deve sempre essere protetto con una parola chiave La password deve essere di almeno otto caratteri e comprendere due o più lettere maiuscole e minuscole, numeri e altri caratteri. Quanto più è lunga la password, tanto più è sicura. I nomi utenti e le password non devono mai essere condivisi. verifiche dell’accesso non autorizzato; limitazione a persone autorizzate dell’accesso ai locali in cui si trovano i server; effettuare prove di intrusione con frequenza periodica; registrare le prove di intrusione; porre in atto procedure applicabili in caso di incidenti. |
QAV - 3.7 ISO 27001:2013 |
Considerazioni generali |
Distruzione intenzionale o perdita di informazioni pertinenti |
Piano di emergenza in caso di perdita di dati; procedure di back-up in caso di guasti o disfunzioni dei sistemi; procedure di revoca del diritto di accesso; limitare l’uso di internet a siti destinati unicamente alle attività professionali |
ISO 28001:2007, sezione A 3 ISO 27001:2013 |