COBIT 4.1 E ISO 27001 CONFRONTO QUANTITATIVO E … · 2015-03-07 · CobiT e ISO 27001 e delle relative specificit ... •ISO/IEC 27002:2005 (già ISO/IEC 17799:2005) - Code of practice

Gr. di Ricerca AIEA COBIT-ISO 1

PLAN

DO

AC

T

CHECK

COBIT 4.1 E ISO 27001COBIT 4.1 E ISO 27001

CONFRONTO QUANTITATIVOCONFRONTO QUANTITATIVOEE

QUALITATIVOQUALITATIVO

COBIT 4.1 E ISO 27001COBIT 4.1 E ISO 27001


PLAN

DO

AC

T

CHECK ContestoContesto�� Proposta di metodologie e standard (ISO 27001, Proposta di metodologie e standard (ISO 27001, CobiTCobiT, ,

ITIL/ISO20000, ITIL/ISO20000, ……))�� Elementi Elementi positivipositivi: crescita competenza e convergenza su : crescita competenza e convergenza su

processi e tecniche di valutazioneprocessi e tecniche di valutazione�� Elementi Elementi negativinegativi: difficolt: difficoltàà di integrazione in un quadro di integrazione in un quadro

coerente e di utilizzo sinergico coerente e di utilizzo sinergico �� Esigenza di armonizzazione e confronto giEsigenza di armonizzazione e confronto giàà recepita da recepita da

ISACA, ITGI, AIEA ISACA, ITGI, AIEA ……�� ITGI Mapping of ISO/IEC 17799:2005 With COBITITGI Mapping of ISO/IEC 17799:2005 With COBIT®® 4.04.0�� COBITCOBIT©© -- ITILITIL®® : due : due frameworkframework complementari (AIEA, capitolo ISACA di Milano/ complementari (AIEA, capitolo ISACA di Milano/ ititSMF SMF

Italia / SDA Bocconi) [novembre 2006]Italia / SDA Bocconi) [novembre 2006]�� Aligning Cobit, ITIL and ISO17799 for Business Benefit: ManagemeAligning Cobit, ITIL and ISO17799 for Business Benefit: Management Summary [The IT nt Summary [The IT

Governance Institute (ITGI), The Office of Government Commerce (Governance Institute (ITGI), The Office of Government Commerce (OGC), OGC), ititSMFSMF The IT The IT Service Management Forum]Service Management Forum]

�� An Introduction to An Introduction to CobiTCobiT 4.1 & Mapping 4.1 & Mapping CobiTCobiT to other Frameworks and Standards to other Frameworks and Standards --Jimmy Jimmy HeschlHeschl (ISACA e(ISACA e--Symposium)Symposium)

�� ITGI Mapping of ISO/IEC 17799:2000 With COBIT, 2ndEditionITGI Mapping of ISO/IEC 17799:2000 With COBIT, 2ndEdition


PLAN

DO

AC

T

CHECK Obiettivi dello StudioObiettivi dello Studio

��Approccio di ricerca: Approccio di ricerca: èè stato costituito un Gruppo stato costituito un Gruppo di Ricerca AIEAdi Ricerca AIEA

��Valorizzazione e crescita di competenze Valorizzazione e crescita di competenze specifiche in AIEAspecifiche in AIEA

��Valutazione delle aree di sovrapposizione fra Valutazione delle aree di sovrapposizione fra CobiTCobiT e ISO 27001 e delle relative specificite ISO 27001 e delle relative specificitàà

��Con lCon l’’obiettivo di usarli al meglio entrambiobiettivo di usarli al meglio entrambi��NONNON una gara fra gli standarduna gara fra gli standard


PLAN

DO

AC

T

CHECK CobitCobit –– PanoramicaPanoramica

��Il COBIT Il COBIT èè uno schema di riferimento ed un uno schema di riferimento ed un insieme di strumenti di supporto che consentono insieme di strumenti di supporto che consentono al management di collegare requisiti di controllo, al management di collegare requisiti di controllo, aspetti tecnici e rischi aziendali, e di comunicare aspetti tecnici e rischi aziendali, e di comunicare tale livello di controllo a tutte le parti interessate.tale livello di controllo a tutte le parti interessate.

��EE’’ strutturato instrutturato in��4 Domini4 Domini��34 Processi34 Processi


PLAN

DO

AC

T

CHECK CobitCobit –– Panoramica Panoramica -- DominiDomini� Pianificazione e Organizzazione (PO) - Si riferisce agli aspetti

strategici e tattici, e riguarda l’identificazione del modo in cui l’IT può meglio contribuire al raggiungimento degli obiettivi aziendali.

� Acquisizione ed Implementazione (AI) - Per realizzare la strategia IT, le soluzioni IT devono essere identificate, sviluppate o acquistate, come pure realizzate ed integrate nei processi aziendali.

� Erogazione e Supporto (DS) - Si fa riferimento all’erogazione dei servizi richiesti, che includono l’erogazione del servizio vero e proprio, la gestione della sicurezza e della continuità, il servizio di assistenza agli utenti e la gestione dei dati e le infrastrutture operative.

� Monitoraggio e Valutazione (ME) - Tutti i processi IT devono essere regolarmente valutati nel tempo sotto l’aspetto della qualità e della conformità ai requisiti di controllo.


PLAN

DO

AC

T

CHECK CobitCobit –– Panoramica Panoramica -- ProcessiProcessi

Gestire i ProgettiPO10

Valutare e Gestire i Rischi InformaticiPO9

Gestire la QualitàPO8

Gestire le risorse umane dell’ITPO7

Comunicare gli obiettivi e gli orientamenti delladirezione

PO6

Gestire gli investimenti ITPO5

Definire i processi, l’organizzazione e le relazioni dell’ITPO4

Definire gli indirizzi tecnologiciPO3

Definire l’architettura informaticaPO2

Definire un Piano Strategico per l’ITPO1


PLAN

DO

AC

T


Installare e certificare le soluzioni e le modificheAI7

Gestire le modificheAI6

Approvvigionamento delle risorse ITAI5

Permettere il funzionamento e l’uso dei sistemi ITAI4

Acquisire e mantenere l’infrastruttura tecnologicaAI3

Acquisire e mantenere il software applicativoAI2

Identificare soluzioni automatizzateAI1


PLAN

DO

AC

T


Gestione delle operazioniDS13

Gestione dell’ambiente fisicoDS12

Gestione dei datiDS11

Gestione dei problemiDS10

Gestione della configurazioneDS9

Gestione del Service Desk e degli incidentiDS8

Formare e addestrare gli utentiDS7

Identificare e attribuire i costiDS6

Garantire la sicurezza dei sistemiDS5

Assicurare la continuità di servizioDS4

Gestire le prestazioni e la capacità produttivaDS3

Gestire i servizi di terze partiDS2

Definire e gestire i livelli di servizioDS1


PLAN

DO

AC

T


Istituzione dell’IT GovernanceME4

Assicurare la conformità a leggi e a regolamentiME3

Monitare e valutare i controlli interniME2

Monitorare e valutare le prestazioni dell’ITME1


PLAN

DO

AC

T

CHECK ISO 27001 ISO 27001 -- PanoramicaPanoramica

�� Lo standard ISO 27001 descrive un modello per Lo standard ISO 27001 descrive un modello per definire, definire, attuare, gestire, monitorare, rivedere, attuare, gestire, monitorare, rivedere, manuteneremanutenere e e miglioraremigliorare un Sistema di Gestione della Sicurezza un Sistema di Gestione della Sicurezza delldell’’Informazione (SGSI) Informazione (SGSI)

�� Lo standard Lo standard èè descritto in due manuali:descritto in due manuali:�� ISO/IEC 27001:2005 ISO/IEC 27001:2005 -- InformationInformation security management security management systemssystems --

RequirementsRequirements -- Specifiche per la implementazione e gestione dellSpecifiche per la implementazione e gestione dell’’ISMSISMS�� ISO/IEC 27002:2005 (giISO/IEC 27002:2005 (giàà ISO/IEC 17799:2005) ISO/IEC 17799:2005) -- Code of practice for information Code of practice for information

security management security management -- Una guida Una guida implementativaimplementativa che elenca, per ciascuno dei che elenca, per ciascuno dei controlli definiti, uncontrolli definiti, un’’ampia serie di misure e ampia serie di misure e ““best best practicepractice”” della sicurezza della sicurezza delldell’’informazioneinformazione

�� Assumono valore normativo dal punto di vista dello standard Assumono valore normativo dal punto di vista dello standard unicamente i Cap. 4unicamente i Cap. 4--8 di ISO/IEC 27001:2005 ed il relativo 8 di ISO/IEC 27001:2005 ed il relativo Allegato A che ne elenca Obiettivi di controllo e ControlliAllegato A che ne elenca Obiettivi di controllo e Controlli


PLAN

DO

AC

T


Cap.4-8ISMS ISMS -- Specifiche, ResponsabilitSpecifiche, Responsabilitàà della della Direzione, Audit Interni, Riesame, Direzione, Audit Interni, Riesame, MiglioramentoMiglioramento

Annex A11 Aree

39+13339+133 Obiettivi di Obiettivi di ControlloControllo e Controlli

Code of practice

Elenca: Elenca: ••ControlliControlli••Best Best practicespractices••Migliaia di ControlliMigliaia di Controlli

e e ““PracticesPractices””

Annex BPrincipi OECD

Annex CCorrispondenza conISO 9001 & 14001

Cap.1-3

ISO/IEC 27001:2005

ISO/IEC 27002:2005(già ISO/IEC 17799:2005)

NormativoNormativo

Informativo


PLAN

DO

AC

T


��LL’’Allegato A di ISO/IEC 27001:2005 Allegato A di ISO/IEC 27001:2005 èè strutturato in:strutturato in:��AREE (11, da AAREE (11, da A.5.5 a Aa A.15.15))��Obiettivi di controllo (39)Obiettivi di controllo (39)��Controlli (133, definiti Controlli (133, definiti InformationInformation requirementsrequirements nel nel

citato documento dellcitato documento dell’’IT Governance IT Governance InstituteInstitute))


PLAN

DO

AC

T


Aree•A.5 POLITICA PER LA SICUREZZA•A.6 ORGANIZZAZIONE DELLA SICUREZZA DELL'INFORMAZIONE•A.7 GESTIONE DEGLI ASSET•A.8 SICUREZZA DELLE RISORSE UMANE•A.9 SICUREZZA FISICA ED AMBIENTALE•A.10 GESTIONE DELLE OPERAZIONI E DELLE COMUNICAZIONI•A.11 CONTROLLO DEGLI ACCESSI•A.12 ACQUISIZIONE, SVILUPPO E GESTIONE DEI SISTEMI

INFORMATIVI•A.13 GESTIONE DEGLI INCIDENTI DI SICUREZZA•A.14 GESTIONE DELLA CONTINUITA' OPERATIVA•A.15 CONFORMITA'


PLAN

DO

AC

T

CHECK Metodologia di valutazioneMetodologia di valutazione

��UnUn’’attivitattivitàà di valutazione e confronto fra COBIT di valutazione e confronto fra COBIT 4.1 ed ISO 27001 non può essere unicamente 4.1 ed ISO 27001 non può essere unicamente affidata a tecniche quantitativeaffidata a tecniche quantitative

��MaMa occorre definire un modello condiviso, occorre definire un modello condiviso, obiettivo e ripetibile di valutazioneobiettivo e ripetibile di valutazione

��Tenendo conto dei Cap. 4Tenendo conto dei Cap. 4--8 di ISO 27001 (questo 8 di ISO 27001 (questo motiva la scelta del Gruppo di Ricerca di proseguire motiva la scelta del Gruppo di Ricerca di proseguire nonostante la pubblicazione del documento ITGI)nonostante la pubblicazione del documento ITGI)


PLAN

DO

AC

T


�� EE’’ stata definita la stata definita la RelazioneRelazione fra controlli ISO 27001 e fra controlli ISO 27001 e CobiTCobiT, in generale esiste una relazione uno a molti fra i , in generale esiste una relazione uno a molti fra i controlli, schematizzabile in una matricecontrolli, schematizzabile in una matrice

�� La valutazione, La valutazione, èè stata svolta stata svolta –– a cura dei partecipanti del a cura dei partecipanti del Gruppo di Ricerca Gruppo di Ricerca -- in due passi:in due passi:�� Valutazione di PertinenzaValutazione di Pertinenza: agli obiettivi CobiT associati ad : agli obiettivi CobiT associati ad

uno specifico controllo ISO uno specifico controllo ISO èè stato attribuito un peso stato attribuito un peso percentuale (la somma dei valori attribuiti deve valere 100). percentuale (la somma dei valori attribuiti deve valere 100). Tale scelta risponde allTale scelta risponde all’’esigenza di normalizzare le stime esigenza di normalizzare le stime evitando errori di sovra/sottoevitando errori di sovra/sotto--stima stima

�� Valutazione di MeritoValutazione di Merito: per i controlli ISO associati ad uno : per i controlli ISO associati ad uno specifico obiettivo CobiT specifico obiettivo CobiT èè stata svolta una valutazione di stata svolta una valutazione di merito, valutandone [in termini di Alto/Medio/Basso (0.8, 0.5, merito, valutandone [in termini di Alto/Medio/Basso (0.8, 0.5, 0.2] la corrispondenza all0.2] la corrispondenza all’’obiettivo obiettivo CobiTCobiT

� La VALUTAZIONEVALUTAZIONE per la specifica coppia di controlli CobiT/ISO deriva dalla moltiplicazione dei due valori


PLAN

DO

AC

T


A.9.1.2 CONTROLLI FISICI DI ACCESSO - Le aree sicure saranno protette da appropriati controlli di accesso per garantire che solo al personale autorizzato sia consentito l'accesso.

Il controllo A.9.1.2 CONTROLLI FISICI DI ACCESSO è in relazione con:

60Accesso fisico - Definire e implementare procedure per concedere, limitare e revocare gliaccessi a locali, edifici ed aree secondo i fabbisogni di business incluse le emergenze. Gliaccessi ai locali, edifici ed aree dovrebbero essere giustificati, autorizzati, registrati e monitorati. Questo si applica a tutte le persone che entrano nei locali di edifici, inclusopersonale, personale temporaneo, clienti, fornitori, visitatori od ogni altra terza parte.

DS12.3

40Misure di sicurezza fisica - Definire e implementare misure di sicurezza fisica in linea con i fabbisogni di business. Le misure dovrebbero includere, ma non limitarsi a il layout del perimetro di sicurezza, zone di sicurezza, posizionamento di dispositivi critici, e aree dispedizione e di ricevimento. In particolare è necessario mantenere un basso profilo sullapresenza di operazioni IT critiche. Le responsabilità per il monitoraggio e le procedure per rendicontare e risolvere incidenti di sicurezza fisica devono essere stabilite.

DS12.2

Pert.COBIT


PLAN

DO

AC

T


L'obiettivo DS12.3 – ACCESSO FISICO è in relazione con i controlli ISO 27001:

38,4A48A.9.2.5 SICUREZZA DELLE APPARECCHIATURE FUORI SEDE - Si devegarantire la sicurezza degli apparati fuori sede tenendo in considerazione i rischi derivanti dallo svolgimento di attività svolte all'esternodell'organizzazione.

32A40A.9.1.6 AREE PUBBLICHE, E PER IL CARICO E LO SCARICO DEI MATERIALI -I punti di accesso come le aree di carico e scarico ed altri punti in cui personale non autorizzato può accedere ai locali dell'organizzazione sarannocontrollate e, se possibile, isolate dalle risorse elaborative per evitare accessinon autorizzati.

36A45A.9.1.5 LAVORARE IN AREE SICURE - Saranno progettate e rese operative protezioni fisiche e definite linee-guida per il lavoro in aree sicure.

48A60A.9.1.2 CONTROLLI FISICI DI ACCESSO - Le aree sicure saranno protette daappropriati controlli di accesso per garantire che solo al personale autorizzatosia consentito l'accesso.

4A5A.6.2.1 IDENTIFICAZIONE DEL RISCHIO ASSOCIATO A TERZE PARTI - I rischiper l'organizzazione e le relative risorse elaborative derivanti da processi dibusiness che coinvolgono terze parti devono essere identificati ed appropriaticontrolli attuati prima di consentirne l'accesso.

Ris.Mer.Pert.ISO


PLAN

DO

AC

T

CHECK Risultati valutazione Risultati valutazione (Solo Controlli)(Solo Controlli)

Tabella1 - Risultati valutazione

0 500 1000 1500 2000 2500 3000

1

3

5

7

9

11

13P

roce

sso

Cobi

T

POAIDSME


PLAN

DO

AC

T

CHECK Risultati valutazione Risultati valutazione (Solo Controlli)(Solo Controlli)

Tabella 3 - Rapporto (Risultati valutazione / N° controlli per processo)

0 50 100 150 200 250

1

3

5

7

9

11

13P

roce

ssiC

obiT

POAIDSME


PLAN

DO

AC

T

CHECK Risultati valutazioneRisultati valutazione (Solo Controlli)(Solo Controlli)

DefinireDefinire i i processiprocessi, , ll’’organizzazioneorganizzazione e le e le relazionirelazionidelldell’’ITIT

PO4PO4

GestioneGestione delladella configurazioneconfigurazioneDS9DS9

GestioneGestione deidei datidatiDS11DS11

ComunicareComunicare gligli obiettiviobiettivi e e gligliorientamentiorientamenti delladella direzionedirezione

PO6PO6

GestioneGestione delldell’’ambienteambiente fisicofisicoDS12DS12

GarantireGarantire la la sicurezzasicurezza deideisistemisistemi

DS5DS5 Tabella 3 - Rapporto (Risultati valutazione / N° controlli per processo)

0 50 100 150 200 250

1

3

5

7

9

11

13

Pro

cess

iCob

iT

POAIDSME


PLAN

DO

AC

T

CHECK Risultati valutazioneRisultati valutazione (Solo Controlli)(Solo Controlli)

Tabella 3 - Rapporto (Risultati valutazione / N° controlli per processo)

0 50 100 150 200 250

1

3

5

7

9

11

13

Proc

essi

Cobi

T

POAIDSME

MonitorareMonitorare e e valutarevalutare I I controllicontrolliinterniinterni

ME2ME2

DefinireDefinire ll’’architetturaarchitettura informaticainformaticaPO2PO2

Gestire le risorse umane dellGestire le risorse umane dell’’ITITPO7PO7

AssicurareAssicurare la la conformitconformitàà a a leggileggi e e a a regolamentiregolamenti

ME3ME3

GestireGestire i i serviziservizi didi terzeterze partipartiDS2DS2

AcquisireAcquisire e e manteneremantenere ilil software software applicativoapplicativo

AI2AI2


PLAN

DO

AC

T

CHECK

Risultati valutazioneRisultati valutazione (Solo Controlli)(Solo Controlli)Processi con punteggio Processi con punteggio ““bassobasso””

oo PO1PO1 Definire un Piano Strategico per lDefinire un Piano Strategico per l’’ITIToo PO3PO3 Definire gli indirizzi tecnologiciDefinire gli indirizzi tecnologicioo PO5PO5 Gestire gli investimenti ITGestire gli investimenti IToo PO8PO8 Gestire la QualitGestire la Qualitààoo PO9PO9 Valutare e Gestire i Rischi Valutare e Gestire i Rischi

InformaticiInformaticioo PO10PO10 Gestire i ProgettiGestire i Progetti

oo AI1AI1 Identificare soluzioni automatizzateIdentificare soluzioni automatizzateoo AI3AI3 Acquisire e mantenere lAcquisire e mantenere l’’infrastruttura infrastruttura

tecnologicatecnologicaoo AI4AI4 Permettere il funzionamento e lPermettere il funzionamento e l’’uso uso

dei sistemi ITdei sistemi IToo AI5AI5 Approvvigionamento delle risorse ITApprovvigionamento delle risorse IToo AI6AI6 Gestire le modificheGestire le modificheoo AI7AI7 Installare e certificare le soluzioni e Installare e certificare le soluzioni e

le modifichele modifiche

oo DS1DS1 Definire e gestire i livelli di servizioDefinire e gestire i livelli di serviziooo DS3DS3 Gestire le prestazioni e la capacitGestire le prestazioni e la capacitàà

produttivaproduttivaoo DS4DS4 Assicurare la continuitAssicurare la continuitàà di di

servizioserviziooo DS6DS6 Identificare e attribuire i costiIdentificare e attribuire i costioo DS7DS7 Formare e addestrare gli utentiFormare e addestrare gli utentioo DS8DS8 Gestione del Gestione del ServiceService Desk e Desk e

degli incidentidegli incidentioo DS10DS10 Gestione dei problemiGestione dei problemioo DS13DS13 Gestione delle operazioniGestione delle operazioni

oo ME1ME1 Monitorare e valutare le prestazioni Monitorare e valutare le prestazioni delldell’’ITIT

oo ME4ME4 Istituzione dellIstituzione dell’’IT GovernanceIT Governance


PLAN

DO

AC

T

CHECK

Risultati valutazioneRisultati valutazione (Solo Controlli)(Solo Controlli)Confronto con valutazione ITGIConfronto con valutazione ITGI

--oooo--MEME

--++++--oo------++oo--oo--DSDS

--oo------oo--AIAI

------oo++--oo--oo--POPO

1313121211111010998877665544332211

Tabella 4 Tabella 4 -- Relazione con valutazione ITGIRelazione con valutazione ITGI

Valutazione ITGIValutazione ITGI

--++++--MEME

oo++++--oooo----++++--oo--DSDS

oooo----ooooooAIAI

--++--++++--oooooo--POPO

1313121211111010998877665544332211

Unrelated focusUnrelated focus--

Minor matchMinor matchoo

Significant matchSignificant match++


PLAN

DO

AC

T

CHECK Risultati valutazione Risultati valutazione (Cap. 4(Cap. 4--8)8)

CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO DELLA ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per SICUREZZA, per gligli obiettiviobiettivi didi controllocontrollo::

-- PO7.1 PO7.1 AssunzioneAssunzione e e RitenzioneRitenzione del del PersonalePersonale-- PO7.2 PO7.2 CompetenzeCompetenze del del PersonalePersonale-- PO7.4 PO7.4 FormazioneFormazione del del PersonalePersonale-- PO7.7 PO7.7 ValutazioneValutazione delladella Performance del Performance del PersonalePersonale

GestireGestire le le risorserisorseumaneumanedelldell’’ITIT

PO7PO7

CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO DELLA ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per SICUREZZA, per ilil ProcessoProcesso e e specificamentespecificamente per per ll’’obiettivoobiettivodidi controllocontrollo::

-- PO6.5 PO6.5 ComunicazioneComunicazione deglidegli ObiettiviObiettivi e e gligli IndirizziIndirizzi delldell’’ITIT

ComunicareComunicare gligliobiettiviobiettivi e e gligliorientamentiorientamentidelladelladirezionedirezione

PO6PO6

CoperturaCopertura limitatalimitata agliagli obiettiviobiettivi didi controllocontrollo::-- PO2.3 Schema PO2.3 Schema didi ClassificazioneClassificazione deidei DatiDati-- PO2.4 PO2.4 GestioneGestione delldell’’IntegritIntegritàà

DefinireDefinirell’’architetturaarchitetturainformaticainformatica

PO2PO2

ImplicazioniImplicazioni ISO/IEC 27001:05 ISO/IEC 27001:05 -- Cap. 4Cap. 4--88ProcessoProcesso COBITCOBIT


PLAN

DO

AC

T


CoperturaCopertura COMPLETA per COMPLETA per ll’’obiettivoobiettivo didi controllocontrollo::-- AI1.2 AI1.2 RiferireRiferire sullsull’’analisianalisi deidei rischirischi

IdentificareIdentificare soluzionisoluzioniautomatizzateautomatizzate

AI1AI1

CoperturaCopertura COMPLETA per COMPLETA per gligli obiettiviobiettivi didi controllocontrollo::-- PO9.1 PO9.1 AllineamentoAllineamento delladella GestioneGestione deidei RischiRischi

AziendaliAziendali ed ed InformaticiInformatici-- PO9.2 PO9.2 DefinizioneDefinizione del del contestocontesto didi RischioRischio-- PO9.4 PO9.4 ValutazioneValutazione deidei RischiRischi-- PO9.6 PO9.6 MantenimentoMantenimento e e MonitoraggioMonitoraggio didi un Piano un Piano

dd’’AzioneAzione per la per la GestioneGestione deidei RischiRischi (Risk Action Plan)(Risk Action Plan)

ValutareValutare e e GestireGestire i i RischiRischi InformaticiInformatici

PO9PO9



PLAN

DO

AC

T


CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO DELLA ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per SICUREZZA, per gligli obiettiviobiettivi didi controllocontrollo::

-- DS7.1 DS7.1 IdentificazioneIdentificazione delladella formazioneformazione e e delldell’’addestramentoaddestramento necessarionecessario

-- DS7.2 DS7.2 ErogazioneErogazione delladella formazioneformazione e e delldell’’addestramentoaddestramento-- DS7.3 DS7.3 ValutazioneValutazione delldell’’addestramentoaddestramento ricevutoricevuto

FormareFormare e e addestrareaddestrare gligliutentiutenti

DS7DS7

CoperturaCopertura COMPLETA per COMPLETA per gligli obiettiviobiettivi didi controllocontrollo::-- DS5.1 DS5.1 GestioneGestione delladella sicurezzasicurezza ITIT-- DS5.2 Piano DS5.2 Piano didi sicurezzasicurezza ITIT

GarantireGarantire la la sicurezzasicurezza deideisistemisistemi

DS5DS5



PLAN

DO

AC

T


CoperturaCopertura COMPLETA per COMPLETA per gligli obiettiviobiettivi didi controllocontrollo::-- ME4.5 ME4.5 GestioneGestione del del rischiorischio-- ME4.7 ME4.7 CertificazioneCertificazione indipendenteindipendente

IstituzioneIstituzione delldell’’ITITGovernanceGovernance

ME4ME4

CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per DELLA SICUREZZA, per ilil ProcessoProcesso..

MonitorareMonitorare e e valutarevalutare i i controllicontrolli interniinterni

ME2ME2

CoperturaCopertura ALTA LIMITATAMENTE AL PERIMETRO ALTA LIMITATAMENTE AL PERIMETRO DELLA SICUREZZA, per DELLA SICUREZZA, per ilil ProcessoProcesso..

MonitorareMonitorare e e valutarevalutare le le prestazioniprestazioni delldell’’ITIT

ME1ME1



PLAN

DO

AC

T

CHECK

Risultati valutazione Risultati valutazione (Cap. 4(Cap. 4--8)8)PO9 (PO9 (Valutare e Gestire i Rischi Informatici)

Dettaglio Riferimenti ISO/IEC 27001:05 Dettaglio Riferimenti ISO/IEC 27001:05 -- Cap. 4Cap. 4--88

Cap. 4.2.1 [d) Cap. 4.2.1 [d) IdentificareIdentificare i i rischirischi, e) , e) AnalizzareAnalizzare e e valutarevalutare i i rischirischi]]

IdentificazioneIdentificazione delldell’’EventoEventoPO9.3PO9.3

Cap. 4.2.1 [a) Cap. 4.2.1 [a) IstituireIstituire ilil SGSI, b) SGSI, b) DefinireDefinire la la politicapolitica del SGSI, c) del SGSI, c) DefinireDefinire l'approcciol'approccio al Risk al Risk Assessment Assessment dell'organizzazionedell'organizzazione]]

DefinizioneDefinizione del del contestocontesto didiRischioRischio

PO9.2PO9.2

Cap. 4.2.1 Cap. 4.2.1 IstituireIstituire ilil SGSI [SGSI [dada c) a j)] c) a j)]

Cap. 4.2.3 [d) Cap. 4.2.3 [d) RivedereRivedere le le valutazionivalutazioni deidei rischirischia a intervalliintervalli prestabilitiprestabiliti, ed i , ed i rischirischi residuiresidui e i e i livellilivelli didi rischiorischio accettabileaccettabile gigiàà identificatiidentificati]]

Cap. 5.1 [f) Cap. 5.1 [f) DecidendoDecidendo i i critericriteri per per ll’’accettazioneaccettazione deidei rischiorischio]]

AllineamentoAllineamento delladella GestioneGestionedeidei RischiRischi AziendaliAziendali ed ed InformaticiInformatici

PO9.1PO9.1


PLAN

DO

AC

T

CHECK

Risultati valutazione Risultati valutazione (Cap. 4(Cap. 4--8)8)PO9 (PO9 (Valutare e Gestire i Rischi Informatici)

Dettaglio Riferimenti ISO/IEC 27001:05 Dettaglio Riferimenti ISO/IEC 27001:05 -- Cap. 4Cap. 4--88

Cap. 4.2.2 [a) Cap. 4.2.2 [a) FormulareFormulare un piano un piano diditrattamentotrattamento deidei rischirischi ((azioniazioni, , risorserisorse, , responsabilitresponsabilitàà e e prioritprioritàà)])]

Cap. 4.2.2. [b) Cap. 4.2.2. [b) RealizzareRealizzare ilil piano piano diditrattamentotrattamento deidei rischirischi, c) , c) ImplementareImplementare i i controllicontrolli, c) , c) DefinireDefinire come come misuraremisurarel'efficacial'efficacia deidei controllicontrolli]]

MantenimentoMantenimento e e MonitoraggioMonitoraggio didi un Piano un Piano dd’’AzioneAzione per la per la GestioneGestionedeidei RischiRischi (Risk Action (Risk Action Plan)Plan)

PO9.6PO9.6

Cap. 4.2.1 [d) Cap. 4.2.1 [d) IdentificareIdentificare i i rischirischi, e) , e) AnalizzareAnalizzare e e valutarevalutare i i rischirischi, f) , f) IdentificareIdentificaree e valutarevalutare le le opzioniopzioni per per ilil trattamentotrattamento deideirischirischi]]

Cap. 4.2.3 [d) Cap. 4.2.3 [d) RivedereRivedere ad ad intervalliintervalliregolariregolari AnalisiAnalisi deidei RischiRischi, , RischioRischio residuoresiduo e e LivelloLivello accettabileaccettabile didi riscrisc

ValutazioneValutazione deidei RischiRischiPO9.4PO9.4


PLAN

DO

AC

T

CHECK Risultati valutazioneRisultati valutazione

SSPPSSSSMEME

PPCCPPPPPPPPPPNNCCPPPPPPPPDSDS

PPPPNNNNPPPPPPAIAI

NNCCNNPPSSNNPPNNPPNNPOPO

1313121211111010998877665544332211

Tabella 5 Tabella 5 -- Valutazione complessivaValutazione complessiva

NulloNulloNN

ParzialeParzialePP

Completo per gli aspetti di sicurezzaCompleto per gli aspetti di sicurezzaSS

CompletoCompletoCC


PLAN

DO

AC

T

CHECK Risultati valutazioneRisultati valutazione

1 2 3 4 5 6 7 8 9 10 11 12 13

POAIDSME

Processi CobiT

Tabella 5 - Valutazione complessiva

PO AI DS ME

Documents

COBIT 4.1 E ISO 27001 CONFRONTO QUANTITATIVO E … · 2015-03-07 · CobiT e ISO 27001 e delle relative specificit ... •ISO/IEC 27002:2005 (già ISO/IEC 17799:2005) - Code of practice