Upload
nguyentram
View
241
Download
0
Embed Size (px)
Citation preview
Gr. di Ricerca AIEA COBIT-ISO 1
PLAN
DO
AC
T
CHECK
COBIT 4.1 E ISO 27001COBIT 4.1 E ISO 27001
CONFRONTO QUANTITATIVOCONFRONTO QUANTITATIVOEE
QUALITATIVOQUALITATIVO
COBIT 4.1 E ISO 27001COBIT 4.1 E ISO 27001
Gr. di Ricerca AIEA COBIT-ISO 2
PLAN
DO
AC
T
CHECK ContestoContesto�� Proposta di metodologie e standard (ISO 27001, Proposta di metodologie e standard (ISO 27001, CobiTCobiT, ,
ITIL/ISO20000, ITIL/ISO20000, ……))�� Elementi Elementi positivipositivi: crescita competenza e convergenza su : crescita competenza e convergenza su
processi e tecniche di valutazioneprocessi e tecniche di valutazione�� Elementi Elementi negativinegativi: difficolt: difficoltàà di integrazione in un quadro di integrazione in un quadro
coerente e di utilizzo sinergico coerente e di utilizzo sinergico �� Esigenza di armonizzazione e confronto giEsigenza di armonizzazione e confronto giàà recepita da recepita da
ISACA, ITGI, AIEA ISACA, ITGI, AIEA ……�� ITGI Mapping of ISO/IEC 17799:2005 With COBITITGI Mapping of ISO/IEC 17799:2005 With COBIT®® 4.04.0�� COBITCOBIT©© -- ITILITIL®® : due : due frameworkframework complementari (AIEA, capitolo ISACA di Milano/ complementari (AIEA, capitolo ISACA di Milano/ ititSMF SMF
Italia / SDA Bocconi) [novembre 2006]Italia / SDA Bocconi) [novembre 2006]�� Aligning Cobit, ITIL and ISO17799 for Business Benefit: ManagemeAligning Cobit, ITIL and ISO17799 for Business Benefit: Management Summary [The IT nt Summary [The IT
Governance Institute (ITGI), The Office of Government Commerce (Governance Institute (ITGI), The Office of Government Commerce (OGC), OGC), ititSMFSMF The IT The IT Service Management Forum]Service Management Forum]
�� An Introduction to An Introduction to CobiTCobiT 4.1 & Mapping 4.1 & Mapping CobiTCobiT to other Frameworks and Standards to other Frameworks and Standards --Jimmy Jimmy HeschlHeschl (ISACA e(ISACA e--Symposium)Symposium)
�� ITGI Mapping of ISO/IEC 17799:2000 With COBIT, 2ndEditionITGI Mapping of ISO/IEC 17799:2000 With COBIT, 2ndEdition
Gr. di Ricerca AIEA COBIT-ISO 3
PLAN
DO
AC
T
CHECK Obiettivi dello StudioObiettivi dello Studio
��Approccio di ricerca: Approccio di ricerca: èè stato costituito un Gruppo stato costituito un Gruppo di Ricerca AIEAdi Ricerca AIEA
��Valorizzazione e crescita di competenze Valorizzazione e crescita di competenze specifiche in AIEAspecifiche in AIEA
��Valutazione delle aree di sovrapposizione fra Valutazione delle aree di sovrapposizione fra CobiTCobiT e ISO 27001 e delle relative specificite ISO 27001 e delle relative specificitàà
��Con lCon l’’obiettivo di usarli al meglio entrambiobiettivo di usarli al meglio entrambi��NONNON una gara fra gli standarduna gara fra gli standard
Gr. di Ricerca AIEA COBIT-ISO 4
PLAN
DO
AC
T
CHECK CobitCobit –– PanoramicaPanoramica
��Il COBIT Il COBIT èè uno schema di riferimento ed un uno schema di riferimento ed un insieme di strumenti di supporto che consentono insieme di strumenti di supporto che consentono al management di collegare requisiti di controllo, al management di collegare requisiti di controllo, aspetti tecnici e rischi aziendali, e di comunicare aspetti tecnici e rischi aziendali, e di comunicare tale livello di controllo a tutte le parti interessate.tale livello di controllo a tutte le parti interessate.
��EE’’ strutturato instrutturato in��4 Domini4 Domini��34 Processi34 Processi
Gr. di Ricerca AIEA COBIT-ISO 5
PLAN
DO
AC
T
CHECK CobitCobit –– Panoramica Panoramica -- DominiDomini� Pianificazione e Organizzazione (PO) - Si riferisce agli aspetti
strategici e tattici, e riguarda l’identificazione del modo in cui l’IT può meglio contribuire al raggiungimento degli obiettivi aziendali.
� Acquisizione ed Implementazione (AI) - Per realizzare la strategia IT, le soluzioni IT devono essere identificate, sviluppate o acquistate, come pure realizzate ed integrate nei processi aziendali.
� Erogazione e Supporto (DS) - Si fa riferimento all’erogazione dei servizi richiesti, che includono l’erogazione del servizio vero e proprio, la gestione della sicurezza e della continuità, il servizio di assistenza agli utenti e la gestione dei dati e le infrastrutture operative.
� Monitoraggio e Valutazione (ME) - Tutti i processi IT devono essere regolarmente valutati nel tempo sotto l’aspetto della qualità e della conformità ai requisiti di controllo.
Gr. di Ricerca AIEA COBIT-ISO 6
PLAN
DO
AC
T
CHECK CobitCobit –– Panoramica Panoramica -- ProcessiProcessi
Gestire i ProgettiPO10
Valutare e Gestire i Rischi InformaticiPO9
Gestire la QualitàPO8
Gestire le risorse umane dell’ITPO7
Comunicare gli obiettivi e gli orientamenti delladirezione
PO6
Gestire gli investimenti ITPO5
Definire i processi, l’organizzazione e le relazioni dell’ITPO4
Definire gli indirizzi tecnologiciPO3
Definire l’architettura informaticaPO2
Definire un Piano Strategico per l’ITPO1
Gr. di Ricerca AIEA COBIT-ISO 7
PLAN
DO
AC
T
CHECK CobitCobit –– Panoramica Panoramica -- ProcessiProcessi
Installare e certificare le soluzioni e le modificheAI7
Gestire le modificheAI6
Approvvigionamento delle risorse ITAI5
Permettere il funzionamento e l’uso dei sistemi ITAI4
Acquisire e mantenere l’infrastruttura tecnologicaAI3
Acquisire e mantenere il software applicativoAI2
Identificare soluzioni automatizzateAI1
Gr. di Ricerca AIEA COBIT-ISO 8
PLAN
DO
AC
T
CHECK CobitCobit –– Panoramica Panoramica -- ProcessiProcessi
Gestione delle operazioniDS13
Gestione dell’ambiente fisicoDS12
Gestione dei datiDS11
Gestione dei problemiDS10
Gestione della configurazioneDS9
Gestione del Service Desk e degli incidentiDS8
Formare e addestrare gli utentiDS7
Identificare e attribuire i costiDS6
Garantire la sicurezza dei sistemiDS5
Assicurare la continuità di servizioDS4
Gestire le prestazioni e la capacità produttivaDS3
Gestire i servizi di terze partiDS2
Definire e gestire i livelli di servizioDS1
Gr. di Ricerca AIEA COBIT-ISO 9
PLAN
DO
AC
T
CHECK CobitCobit –– Panoramica Panoramica -- ProcessiProcessi
Istituzione dell’IT GovernanceME4
Assicurare la conformità a leggi e a regolamentiME3
Monitare e valutare i controlli interniME2
Monitorare e valutare le prestazioni dell’ITME1
Gr. di Ricerca AIEA COBIT-ISO 10
PLAN
DO
AC
T
CHECK ISO 27001 ISO 27001 -- PanoramicaPanoramica
�� Lo standard ISO 27001 descrive un modello per Lo standard ISO 27001 descrive un modello per definire, definire, attuare, gestire, monitorare, rivedere, attuare, gestire, monitorare, rivedere, manuteneremanutenere e e miglioraremigliorare un Sistema di Gestione della Sicurezza un Sistema di Gestione della Sicurezza delldell’’Informazione (SGSI) Informazione (SGSI)
�� Lo standard Lo standard èè descritto in due manuali:descritto in due manuali:�� ISO/IEC 27001:2005 ISO/IEC 27001:2005 -- InformationInformation security management security management systemssystems --
RequirementsRequirements -- Specifiche per la implementazione e gestione dellSpecifiche per la implementazione e gestione dell’’ISMSISMS�� ISO/IEC 27002:2005 (giISO/IEC 27002:2005 (giàà ISO/IEC 17799:2005) ISO/IEC 17799:2005) -- Code of practice for information Code of practice for information
security management security management -- Una guida Una guida implementativaimplementativa che elenca, per ciascuno dei che elenca, per ciascuno dei controlli definiti, uncontrolli definiti, un’’ampia serie di misure e ampia serie di misure e ““best best practicepractice”” della sicurezza della sicurezza delldell’’informazioneinformazione
�� Assumono valore normativo dal punto di vista dello standard Assumono valore normativo dal punto di vista dello standard unicamente i Cap. 4unicamente i Cap. 4--8 di ISO/IEC 27001:2005 ed il relativo 8 di ISO/IEC 27001:2005 ed il relativo Allegato A che ne elenca Obiettivi di controllo e ControlliAllegato A che ne elenca Obiettivi di controllo e Controlli
Gr. di Ricerca AIEA COBIT-ISO 11
PLAN
DO
AC
T
CHECK ISO 27001 ISO 27001 -- PanoramicaPanoramica
Cap.4-8ISMS ISMS -- Specifiche, ResponsabilitSpecifiche, Responsabilitàà della della Direzione, Audit Interni, Riesame, Direzione, Audit Interni, Riesame, MiglioramentoMiglioramento
Annex A11 Aree
39+13339+133 Obiettivi di Obiettivi di ControlloControllo e Controlli
Code of practice
Elenca: Elenca: ••ControlliControlli••Best Best practicespractices••Migliaia di ControlliMigliaia di Controlli
e e ““PracticesPractices””
Annex BPrincipi OECD
Annex CCorrispondenza conISO 9001 & 14001
Cap.1-3
ISO/IEC 27001:2005
ISO/IEC 27002:2005(già ISO/IEC 17799:2005)
NormativoNormativo
Informativo
Gr. di Ricerca AIEA COBIT-ISO 12
PLAN
DO
AC
T
CHECK ISO 27001 ISO 27001 -- PanoramicaPanoramica
��LL’’Allegato A di ISO/IEC 27001:2005 Allegato A di ISO/IEC 27001:2005 èè strutturato in:strutturato in:��AREE (11, da AAREE (11, da A.5.5 a Aa A.15.15))��Obiettivi di controllo (39)Obiettivi di controllo (39)��Controlli (133, definiti Controlli (133, definiti InformationInformation requirementsrequirements nel nel
citato documento dellcitato documento dell’’IT Governance IT Governance InstituteInstitute))
Gr. di Ricerca AIEA COBIT-ISO 13
PLAN
DO
AC
T
CHECK ISO 27001 ISO 27001 -- PanoramicaPanoramica
Aree•A.5 POLITICA PER LA SICUREZZA•A.6 ORGANIZZAZIONE DELLA SICUREZZA DELL'INFORMAZIONE•A.7 GESTIONE DEGLI ASSET•A.8 SICUREZZA DELLE RISORSE UMANE•A.9 SICUREZZA FISICA ED AMBIENTALE•A.10 GESTIONE DELLE OPERAZIONI E DELLE COMUNICAZIONI•A.11 CONTROLLO DEGLI ACCESSI•A.12 ACQUISIZIONE, SVILUPPO E GESTIONE DEI SISTEMI
INFORMATIVI•A.13 GESTIONE DEGLI INCIDENTI DI SICUREZZA•A.14 GESTIONE DELLA CONTINUITA' OPERATIVA•A.15 CONFORMITA'
Gr. di Ricerca AIEA COBIT-ISO 14
PLAN
DO
AC
T
CHECK Metodologia di valutazioneMetodologia di valutazione
��UnUn’’attivitattivitàà di valutazione e confronto fra COBIT di valutazione e confronto fra COBIT 4.1 ed ISO 27001 non può essere unicamente 4.1 ed ISO 27001 non può essere unicamente affidata a tecniche quantitativeaffidata a tecniche quantitative
��MaMa occorre definire un modello condiviso, occorre definire un modello condiviso, obiettivo e ripetibile di valutazioneobiettivo e ripetibile di valutazione
��Tenendo conto dei Cap. 4Tenendo conto dei Cap. 4--8 di ISO 27001 (questo 8 di ISO 27001 (questo motiva la scelta del Gruppo di Ricerca di proseguire motiva la scelta del Gruppo di Ricerca di proseguire nonostante la pubblicazione del documento ITGI)nonostante la pubblicazione del documento ITGI)
Gr. di Ricerca AIEA COBIT-ISO 15
PLAN
DO
AC
T
CHECK Metodologia di valutazioneMetodologia di valutazione
�� EE’’ stata definita la stata definita la RelazioneRelazione fra controlli ISO 27001 e fra controlli ISO 27001 e CobiTCobiT, in generale esiste una relazione uno a molti fra i , in generale esiste una relazione uno a molti fra i controlli, schematizzabile in una matricecontrolli, schematizzabile in una matrice
�� La valutazione, La valutazione, èè stata svolta stata svolta –– a cura dei partecipanti del a cura dei partecipanti del Gruppo di Ricerca Gruppo di Ricerca -- in due passi:in due passi:�� Valutazione di PertinenzaValutazione di Pertinenza: agli obiettivi CobiT associati ad : agli obiettivi CobiT associati ad
uno specifico controllo ISO uno specifico controllo ISO èè stato attribuito un peso stato attribuito un peso percentuale (la somma dei valori attribuiti deve valere 100). percentuale (la somma dei valori attribuiti deve valere 100). Tale scelta risponde allTale scelta risponde all’’esigenza di normalizzare le stime esigenza di normalizzare le stime evitando errori di sovra/sottoevitando errori di sovra/sotto--stima stima
�� Valutazione di MeritoValutazione di Merito: per i controlli ISO associati ad uno : per i controlli ISO associati ad uno specifico obiettivo CobiT specifico obiettivo CobiT èè stata svolta una valutazione di stata svolta una valutazione di merito, valutandone [in termini di Alto/Medio/Basso (0.8, 0.5, merito, valutandone [in termini di Alto/Medio/Basso (0.8, 0.5, 0.2] la corrispondenza all0.2] la corrispondenza all’’obiettivo obiettivo CobiTCobiT
� La VALUTAZIONEVALUTAZIONE per la specifica coppia di controlli CobiT/ISO deriva dalla moltiplicazione dei due valori
Gr. di Ricerca AIEA COBIT-ISO 16
PLAN
DO
AC
T
CHECK Metodologia di valutazioneMetodologia di valutazione
A.9.1.2 CONTROLLI FISICI DI ACCESSO - Le aree sicure saranno protette da appropriati controlli di accesso per garantire che solo al personale autorizzato sia consentito l'accesso.
Il controllo A.9.1.2 CONTROLLI FISICI DI ACCESSO è in relazione con:
60Accesso fisico - Definire e implementare procedure per concedere, limitare e revocare gliaccessi a locali, edifici ed aree secondo i fabbisogni di business incluse le emergenze. Gliaccessi ai locali, edifici ed aree dovrebbero essere giustificati, autorizzati, registrati e monitorati. Questo si applica a tutte le persone che entrano nei locali di edifici, inclusopersonale, personale temporaneo, clienti, fornitori, visitatori od ogni altra terza parte.
DS12.3
40Misure di sicurezza fisica - Definire e implementare misure di sicurezza fisica in linea con i fabbisogni di business. Le misure dovrebbero includere, ma non limitarsi a il layout del perimetro di sicurezza, zone di sicurezza, posizionamento di dispositivi critici, e aree dispedizione e di ricevimento. In particolare è necessario mantenere un basso profilo sullapresenza di operazioni IT critiche. Le responsabilità per il monitoraggio e le procedure per rendicontare e risolvere incidenti di sicurezza fisica devono essere stabilite.
DS12.2
Pert.COBIT
Gr. di Ricerca AIEA COBIT-ISO 17
PLAN
DO
AC
T
CHECK Metodologia di valutazioneMetodologia di valutazione
L'obiettivo DS12.3 – ACCESSO FISICO è in relazione con i controlli ISO 27001:
38,4A48A.9.2.5 SICUREZZA DELLE APPARECCHIATURE FUORI SEDE - Si devegarantire la sicurezza degli apparati fuori sede tenendo in considerazione i rischi derivanti dallo svolgimento di attività svolte all'esternodell'organizzazione.
32A40A.9.1.6 AREE PUBBLICHE, E PER IL CARICO E LO SCARICO DEI MATERIALI -I punti di accesso come le aree di carico e scarico ed altri punti in cui personale non autorizzato può accedere ai locali dell'organizzazione sarannocontrollate e, se possibile, isolate dalle risorse elaborative per evitare accessinon autorizzati.
36A45A.9.1.5 LAVORARE IN AREE SICURE - Saranno progettate e rese operative protezioni fisiche e definite linee-guida per il lavoro in aree sicure.
48A60A.9.1.2 CONTROLLI FISICI DI ACCESSO - Le aree sicure saranno protette daappropriati controlli di accesso per garantire che solo al personale autorizzatosia consentito l'accesso.
4A5A.6.2.1 IDENTIFICAZIONE DEL RISCHIO ASSOCIATO A TERZE PARTI - I rischiper l'organizzazione e le relative risorse elaborative derivanti da processi dibusiness che coinvolgono terze parti devono essere identificati ed appropriaticontrolli attuati prima di consentirne l'accesso.
Ris.Mer.Pert.ISO
Gr. di Ricerca AIEA COBIT-ISO 18
PLAN
DO
AC
T
CHECK Risultati valutazione Risultati valutazione (Solo Controlli)(Solo Controlli)
Tabella1 - Risultati valutazione
0 500 1000 1500 2000 2500 3000
1
3
5
7
9
11
13P
roce
sso
Cobi
T
POAIDSME
Gr. di Ricerca AIEA COBIT-ISO 19
PLAN
DO
AC
T
CHECK Risultati valutazione Risultati valutazione (Solo Controlli)(Solo Controlli)
Tabella 3 - Rapporto (Risultati valutazione / N° controlli per processo)
0 50 100 150 200 250
1
3
5
7
9
11
13P
roce
ssiC
obiT
POAIDSME
Gr. di Ricerca AIEA COBIT-ISO 20
PLAN
DO
AC
T
CHECK Risultati valutazioneRisultati valutazione (Solo Controlli)(Solo Controlli)
DefinireDefinire i i processiprocessi, , ll’’organizzazioneorganizzazione e le e le relazionirelazionidelldell’’ITIT
PO4PO4
GestioneGestione delladella configurazioneconfigurazioneDS9DS9
GestioneGestione deidei datidatiDS11DS11
ComunicareComunicare gligli obiettiviobiettivi e e gligliorientamentiorientamenti delladella direzionedirezione
PO6PO6
GestioneGestione delldell’’ambienteambiente fisicofisicoDS12DS12
GarantireGarantire la la sicurezzasicurezza deideisistemisistemi
DS5DS5 Tabella 3 - Rapporto (Risultati valutazione / N° controlli per processo)
0 50 100 150 200 250
1
3
5
7
9
11
13
Pro
cess
iCob
iT
POAIDSME
Gr. di Ricerca AIEA COBIT-ISO 21
PLAN
DO
AC
T
CHECK Risultati valutazioneRisultati valutazione (Solo Controlli)(Solo Controlli)
Tabella 3 - Rapporto (Risultati valutazione / N° controlli per processo)
0 50 100 150 200 250
1
3
5
7
9
11
13
Proc
essi
Cobi
T
POAIDSME
MonitorareMonitorare e e valutarevalutare I I controllicontrolliinterniinterni
ME2ME2
DefinireDefinire ll’’architetturaarchitettura informaticainformaticaPO2PO2
Gestire le risorse umane dellGestire le risorse umane dell’’ITITPO7PO7
AssicurareAssicurare la la conformitconformitàà a a leggileggi e e a a regolamentiregolamenti
ME3ME3
GestireGestire i i serviziservizi didi terzeterze partipartiDS2DS2
AcquisireAcquisire e e manteneremantenere ilil software software applicativoapplicativo
AI2AI2
Gr. di Ricerca AIEA COBIT-ISO 22
PLAN
DO
AC
T
CHECK
Risultati valutazioneRisultati valutazione (Solo Controlli)(Solo Controlli)Processi con punteggio Processi con punteggio ““bassobasso””
oo PO1PO1 Definire un Piano Strategico per lDefinire un Piano Strategico per l’’ITIToo PO3PO3 Definire gli indirizzi tecnologiciDefinire gli indirizzi tecnologicioo PO5PO5 Gestire gli investimenti ITGestire gli investimenti IToo PO8PO8 Gestire la QualitGestire la Qualitààoo PO9PO9 Valutare e Gestire i Rischi Valutare e Gestire i Rischi
InformaticiInformaticioo PO10PO10 Gestire i ProgettiGestire i Progetti
oo AI1AI1 Identificare soluzioni automatizzateIdentificare soluzioni automatizzateoo AI3AI3 Acquisire e mantenere lAcquisire e mantenere l’’infrastruttura infrastruttura
tecnologicatecnologicaoo AI4AI4 Permettere il funzionamento e lPermettere il funzionamento e l’’uso uso
dei sistemi ITdei sistemi IToo AI5AI5 Approvvigionamento delle risorse ITApprovvigionamento delle risorse IToo AI6AI6 Gestire le modificheGestire le modificheoo AI7AI7 Installare e certificare le soluzioni e Installare e certificare le soluzioni e
le modifichele modifiche
oo DS1DS1 Definire e gestire i livelli di servizioDefinire e gestire i livelli di serviziooo DS3DS3 Gestire le prestazioni e la capacitGestire le prestazioni e la capacitàà
produttivaproduttivaoo DS4DS4 Assicurare la continuitAssicurare la continuitàà di di
servizioserviziooo DS6DS6 Identificare e attribuire i costiIdentificare e attribuire i costioo DS7DS7 Formare e addestrare gli utentiFormare e addestrare gli utentioo DS8DS8 Gestione del Gestione del ServiceService Desk e Desk e
degli incidentidegli incidentioo DS10DS10 Gestione dei problemiGestione dei problemioo DS13DS13 Gestione delle operazioniGestione delle operazioni
oo ME1ME1 Monitorare e valutare le prestazioni Monitorare e valutare le prestazioni delldell’’ITIT
oo ME4ME4 Istituzione dellIstituzione dell’’IT GovernanceIT Governance
Gr. di Ricerca AIEA COBIT-ISO 23
PLAN
DO
AC
T
CHECK
Risultati valutazioneRisultati valutazione (Solo Controlli)(Solo Controlli)Confronto con valutazione ITGIConfronto con valutazione ITGI
--oooo--MEME
--++++--oo------++oo--oo--DSDS
--oo------oo--AIAI
------oo++--oo--oo--POPO
1313121211111010998877665544332211
Tabella 4 Tabella 4 -- Relazione con valutazione ITGIRelazione con valutazione ITGI
Valutazione ITGIValutazione ITGI
--++++--MEME
oo++++--oooo----++++--oo--DSDS
oooo----ooooooAIAI
--++--++++--oooooo--POPO
1313121211111010998877665544332211
Unrelated focusUnrelated focus--
Minor matchMinor matchoo
Significant matchSignificant match++
Gr. di Ricerca AIEA COBIT-ISO 24
PLAN
DO
AC
T
CHECK Risultati valutazione Risultati valutazione (Cap. 4(Cap. 4--8)8)
CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO DELLA ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per SICUREZZA, per gligli obiettiviobiettivi didi controllocontrollo::
-- PO7.1 PO7.1 AssunzioneAssunzione e e RitenzioneRitenzione del del PersonalePersonale-- PO7.2 PO7.2 CompetenzeCompetenze del del PersonalePersonale-- PO7.4 PO7.4 FormazioneFormazione del del PersonalePersonale-- PO7.7 PO7.7 ValutazioneValutazione delladella Performance del Performance del PersonalePersonale
GestireGestire le le risorserisorseumaneumanedelldell’’ITIT
PO7PO7
CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO DELLA ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per SICUREZZA, per ilil ProcessoProcesso e e specificamentespecificamente per per ll’’obiettivoobiettivodidi controllocontrollo::
-- PO6.5 PO6.5 ComunicazioneComunicazione deglidegli ObiettiviObiettivi e e gligli IndirizziIndirizzi delldell’’ITIT
ComunicareComunicare gligliobiettiviobiettivi e e gligliorientamentiorientamentidelladelladirezionedirezione
PO6PO6
CoperturaCopertura limitatalimitata agliagli obiettiviobiettivi didi controllocontrollo::-- PO2.3 Schema PO2.3 Schema didi ClassificazioneClassificazione deidei DatiDati-- PO2.4 PO2.4 GestioneGestione delldell’’IntegritIntegritàà
DefinireDefinirell’’architetturaarchitetturainformaticainformatica
PO2PO2
ImplicazioniImplicazioni ISO/IEC 27001:05 ISO/IEC 27001:05 -- Cap. 4Cap. 4--88ProcessoProcesso COBITCOBIT
Gr. di Ricerca AIEA COBIT-ISO 25
PLAN
DO
AC
T
CHECK Risultati valutazione Risultati valutazione (Cap. 4(Cap. 4--8)8)
CoperturaCopertura COMPLETA per COMPLETA per ll’’obiettivoobiettivo didi controllocontrollo::-- AI1.2 AI1.2 RiferireRiferire sullsull’’analisianalisi deidei rischirischi
IdentificareIdentificare soluzionisoluzioniautomatizzateautomatizzate
AI1AI1
CoperturaCopertura COMPLETA per COMPLETA per gligli obiettiviobiettivi didi controllocontrollo::-- PO9.1 PO9.1 AllineamentoAllineamento delladella GestioneGestione deidei RischiRischi
AziendaliAziendali ed ed InformaticiInformatici-- PO9.2 PO9.2 DefinizioneDefinizione del del contestocontesto didi RischioRischio-- PO9.4 PO9.4 ValutazioneValutazione deidei RischiRischi-- PO9.6 PO9.6 MantenimentoMantenimento e e MonitoraggioMonitoraggio didi un Piano un Piano
dd’’AzioneAzione per la per la GestioneGestione deidei RischiRischi (Risk Action Plan)(Risk Action Plan)
ValutareValutare e e GestireGestire i i RischiRischi InformaticiInformatici
PO9PO9
ImplicazioniImplicazioni ISO/IEC 27001:05 ISO/IEC 27001:05 -- Cap. 4Cap. 4--88ProcessoProcesso COBITCOBIT
Gr. di Ricerca AIEA COBIT-ISO 26
PLAN
DO
AC
T
CHECK Risultati valutazione Risultati valutazione (Cap. 4(Cap. 4--8)8)
CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO DELLA ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per SICUREZZA, per gligli obiettiviobiettivi didi controllocontrollo::
-- DS7.1 DS7.1 IdentificazioneIdentificazione delladella formazioneformazione e e delldell’’addestramentoaddestramento necessarionecessario
-- DS7.2 DS7.2 ErogazioneErogazione delladella formazioneformazione e e delldell’’addestramentoaddestramento-- DS7.3 DS7.3 ValutazioneValutazione delldell’’addestramentoaddestramento ricevutoricevuto
FormareFormare e e addestrareaddestrare gligliutentiutenti
DS7DS7
CoperturaCopertura COMPLETA per COMPLETA per gligli obiettiviobiettivi didi controllocontrollo::-- DS5.1 DS5.1 GestioneGestione delladella sicurezzasicurezza ITIT-- DS5.2 Piano DS5.2 Piano didi sicurezzasicurezza ITIT
GarantireGarantire la la sicurezzasicurezza deideisistemisistemi
DS5DS5
ImplicazioniImplicazioni ISO/IEC 27001:05 ISO/IEC 27001:05 -- Cap. 4Cap. 4--88ProcessoProcesso COBITCOBIT
Gr. di Ricerca AIEA COBIT-ISO 27
PLAN
DO
AC
T
CHECK Risultati valutazione Risultati valutazione (Cap. 4(Cap. 4--8)8)
CoperturaCopertura COMPLETA per COMPLETA per gligli obiettiviobiettivi didi controllocontrollo::-- ME4.5 ME4.5 GestioneGestione del del rischiorischio-- ME4.7 ME4.7 CertificazioneCertificazione indipendenteindipendente
IstituzioneIstituzione delldell’’ITITGovernanceGovernance
ME4ME4
CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per DELLA SICUREZZA, per ilil ProcessoProcesso..
MonitorareMonitorare e e valutarevalutare i i controllicontrolli interniinterni
ME2ME2
CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per DELLA SICUREZZA, per ilil ProcessoProcesso..
MonitorareMonitorare e e valutarevalutare le le prestazioniprestazioni delldell’’ITIT
ME1ME1
ImplicazioniImplicazioni ISO/IEC 27001:05 ISO/IEC 27001:05 -- Cap. 4Cap. 4--88ProcessoProcesso COBITCOBIT
Gr. di Ricerca AIEA COBIT-ISO 28
PLAN
DO
AC
T
CHECK
Risultati valutazione Risultati valutazione (Cap. 4(Cap. 4--8)8)PO9 (PO9 (Valutare e Gestire i Rischi Informatici)
Dettaglio Riferimenti ISO/IEC 27001:05 Dettaglio Riferimenti ISO/IEC 27001:05 -- Cap. 4Cap. 4--88
Cap. 4.2.1 [d) Cap. 4.2.1 [d) IdentificareIdentificare i i rischirischi, e) , e) AnalizzareAnalizzare e e valutarevalutare i i rischirischi]]
IdentificazioneIdentificazione delldell’’EventoEventoPO9.3PO9.3
Cap. 4.2.1 [a) Cap. 4.2.1 [a) IstituireIstituire ilil SGSI, b) SGSI, b) DefinireDefinire la la politicapolitica del SGSI, c) del SGSI, c) DefinireDefinire l'approcciol'approccio al Risk al Risk Assessment Assessment dell'organizzazionedell'organizzazione]]
DefinizioneDefinizione del del contestocontesto didiRischioRischio
PO9.2PO9.2
Cap. 4.2.1 Cap. 4.2.1 IstituireIstituire ilil SGSI [SGSI [dada c) a j)] c) a j)]
Cap. 4.2.3 [d) Cap. 4.2.3 [d) RivedereRivedere le le valutazionivalutazioni deidei rischirischia a intervalliintervalli prestabilitiprestabiliti, ed i , ed i rischirischi residuiresidui e i e i livellilivelli didi rischiorischio accettabileaccettabile gigiàà identificatiidentificati]]
Cap. 5.1 [f) Cap. 5.1 [f) DecidendoDecidendo i i critericriteri per per ll’’accettazioneaccettazione deidei rischiorischio]]
AllineamentoAllineamento delladella GestioneGestionedeidei RischiRischi AziendaliAziendali ed ed InformaticiInformatici
PO9.1PO9.1
Gr. di Ricerca AIEA COBIT-ISO 29
PLAN
DO
AC
T
CHECK
Risultati valutazione Risultati valutazione (Cap. 4(Cap. 4--8)8)PO9 (PO9 (Valutare e Gestire i Rischi Informatici)
Dettaglio Riferimenti ISO/IEC 27001:05 Dettaglio Riferimenti ISO/IEC 27001:05 -- Cap. 4Cap. 4--88
Cap. 4.2.2 [a) Cap. 4.2.2 [a) FormulareFormulare un piano un piano diditrattamentotrattamento deidei rischirischi ((azioniazioni, , risorserisorse, , responsabilitresponsabilitàà e e prioritprioritàà)])]
Cap. 4.2.2. [b) Cap. 4.2.2. [b) RealizzareRealizzare ilil piano piano diditrattamentotrattamento deidei rischirischi, c) , c) ImplementareImplementare i i controllicontrolli, c) , c) DefinireDefinire come come misuraremisurarel'efficacial'efficacia deidei controllicontrolli]]
MantenimentoMantenimento e e MonitoraggioMonitoraggio didi un Piano un Piano dd’’AzioneAzione per la per la GestioneGestionedeidei RischiRischi (Risk Action (Risk Action Plan)Plan)
PO9.6PO9.6
Cap. 4.2.1 [d) Cap. 4.2.1 [d) IdentificareIdentificare i i rischirischi, e) , e) AnalizzareAnalizzare e e valutarevalutare i i rischirischi, f) , f) IdentificareIdentificaree e valutarevalutare le le opzioniopzioni per per ilil trattamentotrattamento deideirischirischi]]
Cap. 4.2.3 [d) Cap. 4.2.3 [d) RivedereRivedere ad ad intervalliintervalliregolariregolari AnalisiAnalisi deidei RischiRischi, , RischioRischio residuoresiduo e e LivelloLivello accettabileaccettabile didi riscrisc
ValutazioneValutazione deidei RischiRischiPO9.4PO9.4
Gr. di Ricerca AIEA COBIT-ISO 30
PLAN
DO
AC
T
CHECK Risultati valutazioneRisultati valutazione
SSPPSSSSMEME
PPCCPPPPPPPPPPNNCCPPPPPPPPDSDS
PPPPNNNNPPPPPPAIAI
NNCCNNPPSSNNPPNNPPNNPOPO
1313121211111010998877665544332211
Tabella 5 Tabella 5 -- Valutazione complessivaValutazione complessiva
NulloNulloNN
ParzialeParzialePP
Completo per gli aspetti di sicurezzaCompleto per gli aspetti di sicurezzaSS
CompletoCompletoCC