Governance e Organizzazione
8 controlli
GOV-01Politica di sicurezza delle informazioni approvata dall'organo di gestione
GOV-02Ruoli e responsabilità per la sicurezza delle reti e dei sistemi informativi
GOV-03Programma di formazione e sensibilizzazione sulla cybersecurity
GOV-04Procedura di gestione dei rischi cyber approvata dalla direzione
GOV-05Revisione periodica delle politiche di sicurezza (almeno annuale)
GOV-06Responsabile della sicurezza (CISO o equivalente) nominato
GOV-07Budget dedicato alla cybersecurity definito e approvato
GOV-08Coinvolgimento diretto dell'organo di gestione nella supervisione cyber
Gestione del Rischio
9 controlli
RISK-01Metodologia di valutazione del rischio documentata e approvata
RISK-02Inventario aggiornato degli asset ICT critici
RISK-03Valutazione periodica delle vulnerabilità tecniche
RISK-04Piano di trattamento dei rischi con misure di mitigazione
RISK-05Classificazione delle informazioni e degli asset
RISK-06Analisi delle dipendenze critiche tra servizi...
RISK-07Registro dei rischi con stato di trattamento...
Gestione degli Incidenti
7 controlli
INC-01Piano di risposta agli incidenti documentato e testato
INC-02Procedura di notifica entro 24h (pre-notifica) e 72h (notifica completa)
INC-03Sistema di rilevamento e classificazione degli incidenti
INC-04Team di risposta agli incidenti con ruoli definiti
INC-05Procedura di escalation e comunicazione...