idcontrol,idcontroltype,codcontrol,controltype_description,description,trattamento,ref,enisa_type,efficacia,trattamento_desc
428,26,A.1,"Politica di sicurezza e procedure per la protezione dei dati personali","L'ORGANIZZAZIONE DOVREBBE DOCUMENTARE LA PROPRIA POLITICA IN MERITO AL TRATTAMENTO DEI DATI PERSONALI COME PARTE DELLA SUA POLITICA DI SICUREZZA DELLE INFORMAZIONI.",428,"A.5 Politica di sicurezza",B,,
429,26,A.2,"Politica di sicurezza e procedure per la protezione dei dati personali","LA POLITICA DI SICUREZZA DOVREBBE ESSERE REVISIONATA E RIVISTA, SE NECESSARIO, SU BASE ANNUALE.",429,"A.5 Politica di sicurezza",B,,
474,24,A.3,"Policy di sicurezza e procedure per la protezione dei dati personali","L'ORGANIZZAZIONE DOVREBBE DOCUMENTARE UNA POLICY DI SICUREZZA DEDICATA SEPARATA PER QUANTO RIGUARDA IL TRATTAMENTO DEI DATI PERSONALI. LA POLICY DEVE ESSERE APPROVATA DAL MANAGEMENT COMPETENTE E COMUNICATA A TUTTI I DIPENDENTI, PERSONE AUTORIZZATE AL TRATTAMENTO E ALLE PARTI ESTERNE INTERESSATE",474,"A.5 Policy di sicurezza",M,,
475,24,A.4,"Policy di sicurezza e procedure per la protezione dei dati personali","LA POLICY DI SICUREZZA DOVREBBE ALMENO RIFERIRSI A: I RUOLI E LE RESPONSABILITà DEL PERSONALE, LE MISURE TECNICHE E ORGANIZZATIVE DI BASE ADOTTATE PER LA SICUREZZA DEI DATI PERSONALI, I RESPONSABILI DEL TRATTAMENTO DEI DATI O ALTRE TERZE PARTI COINVOLTE NEL TRATTAMENTO DEI DATI PERSONALI.",475,"A.5 Policy di sicurezza",M,,
476,24,A.5,"Policy di sicurezza e procedure per la protezione dei dati personali","DOVREBBE ESSERE CREATO E MANTENUTO UN INVENTARIO DI POLICY/PROCEDURE SPECIFICHE RELATIVE ALLA SICUREZZA DEI DATI PERSONALI, BASATO SULLA POLICY GENERALE DI SICUREZZA.",476,"A.5 Policy di sicurezza",M,,
520,28,A.6,"Procedure e policy di sicurezza per la protezione dei dati personali","LE POLICY DI SICUREZZA DOVREBBERO ESSERE RIVISTE E CORRETTE, SE NECESSARIO, SU BASE SEMESTRALE.",520,"A.5 Security policy",A,,
430,30,B.1,"Ruoli e responsabilità","I RUOLI E LE RESPONSABILITà RELATIVI AL TRATTAMENTO DEI DATI PERSONALI DEVONO ESSERE CHIARAMENTE DEFINITI E ASSEGNATI IN CONFORMITà CON LE POLITICHE DI SICUREZZA.",430,"A.6.1.1 Ruoli e responsabilità della sicurezza delle informazioni",B,,
431,30,B.2,"Ruoli e responsabilità","IN CASO DI RIORGANIZZAZIONI INTERNE O DI DISMISSIONE DI PERSONALE O ASSEGNAZIONE AD ALTRO RUOLO, L’ORGANIZZAZIONE DEVE PREVEDERE UNA PROCEDURA CHIARAMENTE DEFINITA PER LA REVOCA DEI DIRITTI, DELLE RESPONSABILITà E DEI PROFILI DI AUTORIZZAZIONE E LA CONSEGUENTE RICONSEGNA DI MATERIALI E MEZZI DEL TRATTAMENTO.",431,"A.6.1.1 Ruoli e responsabilità della sicurezza delle informazioni",B,,
477,30,B.3,"Ruoli e responsabilità","DOVREBBE ESSERE EFFETTUATA UNA CHIARA NOMINA DELLE PERSONE INCARICATE DI COMPITI SPECIFICI DI SICUREZZA, COMPRESA LA NOMINA DI UN RESPONSABILE DELLA SICUREZZA.",477,"A.6.1.1 Ruoli e responsabilità della sicurezza delle informazioni",M,,
521,30,B.4,"Ruoli e responsabilità","IL RESPONSABILE DELLA SICUREZZA DOVREBBE ESSERE NOMINATO FORMALMENTE (DOCUMENTATO). ANCHE I COMPITI E LE RESPONSABILITà DEL RESPONSABILE DELLA SICUREZZA DOVREBBERO ESSERE CHIARAMENTE DEFINITI E DOCUMENTATI.",521,"A.6.1.1 Information security roles and responsibilities",A,,
522,30,B.5,"Ruoli e responsabilità","COMPITI E RESPONSABILITà IN CONFLITTO, AD ESEMPIO I RUOLI DI RESPONSABILE DELLA SICUREZZA, REVISORE DELLA SICUREZZA E DPO, DOVREBBERO ESSERE CONSIDERATI SEPARATAMENTE PER RIDURRE LE IPOTESI DI MODIFICHE NON AUTORIZZATE O NON INTENZIONALI O UN USO IMPROPRIO DI DATI PERSONALI.",522,"A.6.1.1 Information security roles and responsibilities",A,,
432,25,C.1,"Politica di controllo degli accessi","I DIRITTI SPECIFICI DI CONTROLLO DEGLI ACCESSI DOVREBBERO ESSERE ASSEGNATI A CIASCUN RUOLO (COINVOLTO NEL TRATTAMENTO DI DATI PERSONALI) IN BASE AL PRINCIPIO DELLA STRETTA PERTINENZA E NECESSITà PER IL RUOLO DI ACCEDERE E CONOSCERE I DATI .",432,"A.9.1.1 Politica di controllo degli accessi",B,,
478,25,C.2,"Politica di controllo degli accessi","DOVREBBE ESSERE DETTAGLIATA E DOCUMENTATA UNA POLITICA DI CONTROLLO DEGLI ACCESSI. L'ORGANIZZAZIONE DOVREBBE DETERMINARE IN QUESTO DOCUMENTO LE REGOLE DI CONTROLLO APPROPRIATE DEGLI ACCESSI, I DIRITTI DI ACCESSO E LE RESTRIZIONI PER SPECIFICI RUOLI DEGLI UTENTI NELL’AMBITO DEI PROCESSI E DELLE PROCEDURE RELATIVE AI DATI PERSONALI.",478,"A.9.1.1 Politica di controllo degli accessi",M,,
479,25,C.3,"Politica di controllo degli accessi","DOVREBBE ESSERE CHIARAMENTE DEFINITA E DOCUMENTATA LA SEGREGAZIONE DEI RUOLI DI CONTROLLO DEGLI ACCESSI (AD ES. RICHIESTA DI ACCESSO, AUTORIZZAZIONE DI ACCESSO, AMMINISTRAZIONE DEGLI ACCESSI).",479,"A.9.1.1 Politica di controllo degli accessi",M,,
523,25,C.4,"Politica di controllo degli accessi","I RUOLI CON MOLTI DIRITTI DI ACCESSO DOVREBBERO ESSERE CHIARAMENTE DEFINITI E ASSEGNATI A UN NUMERO LIMITATO DI PERSONE DELLO STAFF",523,"A.9.1.1 Access control policy",A,,
433,19,D.1,"Gestione risorse/asset","L'ORGANIZZAZIONE DOVREBBE DISPORRE DI UN REGISTRO/CENSIMENTO DELLE RISORSE E DEGLI APPARATI IT UTILIZZATI PER IL TRATTAMENTO DEI DATI PERSONALI (HARDWARE, SOFTWARE E RETE). IL REGISTRO DOVREBBE INCLUDERE ALMENO LE SEGUENTI INFORMAZIONI: RISORSA IT, TIPO (AD ES. SERVER, WORKSTATION), POSIZIONE (FISICA O ELETTRONICA). DOVREBBE ESSERE ASSEGNATO AD UNA PERSONA SPECIFICA IL COMPITO DI MANTENERE E AGGIORNARE IL REGISTRO (AD ESEMPIO, IL RESPONSABILE IT).",433,"A.8 Asset management",B,,
434,19,D.2,"Gestione risorse/asset","IL CENSIMENTO DELLE RISORSE E DEGLI APPARATI IT E IL RELATIVO REGISTRO DOVREBBERO ESSERE RIVISTI E AGGIORNATI REGOLARMENTE.",434,"A.8 Asset management",B,,
480,19,D.3,"Gestione risorse/asset","I RUOLI CHE HANNO ACCESSO A DETERMINATE RISORSE DOVREBBERO ESSERE DEFINITI E DOCUMENTATI.",480,"A.8 Gestione delle risorse",M,,
524,19,D.4,"Gestione risorse/asset","LE RISORSE IT DOVREBBERO ESSERE RIVISTE E AGGIORNATE SU BASE ANNUALE.",524,"A.8 Asset management",A,,
435,16,E.1,"Gestione delle modifiche apportate alle risorse, agli apparati ed ai sistemi IT","L'ORGANIZZAZIONE DEVE ASSICURARSI CHE TUTTE LE MODIFICHE ALLE RISORSE, AGLI APPARATI ED AL SISTEMA IT SIANO REGISTRATE E MONITORATE DA UNA PERSONA SPECIFICA (AD ESEMPIO, IL RESPONSABILE IT O SICUREZZA). IL MONITORAGGIO REGOLARE DELLE EVENTUALI MODIFICHE APPORTATE AL SISTEMA IT DOVREBBE AVVENIRE A CADENZA REGOLARE E PERIODICA.",435,"A. 12.1 Procedure operative e responsabilità",B,,