| A | B | C | D | E | |
|---|---|---|---|---|---|
1 | Framework Nazionale per la Cybersecurity e la Data Protection Edizione 2025 - v2.1.0 | ||||
2 | Per creare una copia di questo documento è necessario essere autenticati con un utenza Google valida. In alternativa è possibile scaricare una copia in vari formati dal menù "File" | ||||
3 | Function | Category | Subcategory | Descrizione | Informative References |
4 | GV | GOVERN (GV): La strategia di gestione del rischio di cybersecurity dell'organizzazione, i suoi obiettivi e le relative policy sono stabilite, comunicate e monitorate. | CRI Profile v2.0: GV FNCDP v2.0: ID.GV SP 800-221A: GV.PO | ||
43 | ID | IDENTIFY (ID): I rischi attuali di cybersecurity dell'organizzazione sono compresi. | CRI Profile v2.0: ID FNCDP v2.0: ID | ||
44 | ID | AM | Gestione degli asset (ID.AM): Gli asset (ad esempio, dati, hardware, software, sistemi, infrastrutture, servizi, persone) che consentono all'organizzazione di raggiungere gli obiettivi di business sono identificati e gestiti in coerenza con la loro importanza rispetto agli obiettivi organizzativi e alla strategia sul rischio dell'organizzazione. | CRI Profile v2.0: ID.AM FNCDP v2.0: ID.AM SP 800-221A: MA.RI-1 | |
45 | ID | AM | 01 | ID.AM-01: Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione. | CCMv4.0: CCC-04 CCMv4.0: DCS-06 CCMv4.0: DSP-19 CCMv4.0: UEM-04 CIS Controls v8.0: 1.1 CRI Profile v2.0: ID.AM-01 CRI Profile v2.0: ID.AM-01.01 FNCDP v2.0: ID.AM-1 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: CM-08 SP 800-53 Rev 5.1.1: PM-05 |
46 | ID | AM | 02 | ID.AM-02: Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti dall'organizzazione. | CCMv4.0: CCC-04 CCMv4.0: DCS-06 CCMv4.0: DSP-19 CCMv4.0: UEM-02 CCMv4.0: UEM-04 CIS Controls v8.0: 2.1 CRI Profile v2.0: ID.AM-02 CRI Profile v2.0: ID.AM-02.01 FNCDP v2.0: ID.AM-2 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: AC-20 SP 800-53 Rev 5.1.1: CM-08 SP 800-53 Rev 5.1.1: PM-05 SP 800-53 Rev 5.1.1: SA-05 SP 800-53 Rev 5.1.1: SA-09 |
47 | ID | AM | 03 | ID.AM-03: Sono mantenute le rappresentazioni delle comunicazioni di rete e dei flussi di dati di rete interni ed esterni, autorizzati dall'organizzazione. | CCMv4.0: DSP-05 CCMv4.0: DSP-10 CCMv4.0: IPY-01 CCMv4.0: IVS-03 CCMv4.0: IVS-09 CCMv4.0: LOG-05 CIS Controls v8.0: 3.8 CRI Profile v2.0: ID.AM-03 CRI Profile v2.0: ID.AM-03.01 FNCDP v2.0: ID.AM-3 FNCDP v2.0: DE.AE-1 SP 800-53 Rev 5.1.1: AC-04 SP 800-53 Rev 5.1.1: CA-03 SP 800-53 Rev 5.1.1: CA-09 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: PL-08 SP 800-53 Rev 5.1.1: PM-07 |
48 | ID | AM | 04 | ID.AM-04: Sono mantenuti gli inventari dei servizi erogati dai fornitori. | CCMv4.0: CCC-04 CCMv4.0: DCS-06 CCMv4.0: STA-07 CCMv4.0: UEM-02 CCMv4.0: UEM-04 CIS Controls v8.0: 15.1 CRI Profile v2.0: ID.AM-04 CRI Profile v2.0: ID.AM-04.01 FNCDP v2.0: ID.AM-4 SP 800-53 Rev 5.1.1: AC-20 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-02 |
49 | ID | AM | 05 | ID.AM-05: Gli asset sono prioritizzati in base alla categorizzazione, alla criticità, alle risorse e all'impatto sulla missione. | CCMv4.0: CEK-04 CCMv4.0: DCS-05 CCMv4.0: DSP-04 CIS Controls v8.0: 3.7 CRI Profile v2.0: ID.AM-05 CRI Profile v2.0: ID.AM-05.01 CRI Profile v2.0: ID.AM-05.02 FNCDP v2.0: ID.AM-5 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-09 SP 800-53 Rev 5.1.1: RA-02 |
50 | ID | AM | 07 | ID.AM-07: Sono mantenuti gli inventari dei dati e dei relativi metadati per selezionati tipi di dati. | CCMv4.0: DSP-01 CCMv4.0: DSP-03 CCMv4.0: DSP-04 CCMv4.0: DSP-06 CCMv4.0: DSP-10 CCMv4.0: DSP-19 CCMv4.0: UEM-02 CIS Controls v8.0: 3.2 CRI Profile v2.0: ID.AM-07 CRI Profile v2.0: ID.AM-07.01 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: CM-12 SP 800-53 Rev 5.1.1: CM-13 SP 800-53 Rev 5.1.1: SI-12 |
51 | ID | AM | 08 | ID.AM-08: I sistemi, l'hardware, il software, i servizi e i dati sono gestiti durante il loro intero ciclo di vita. | CCMv4.0: AIS-02 CCMv4.0: AIS-04 CCMv4.0: AIS-05 CCMv4.0: AIS-06 CCMv4.0: AIS-07 CCMv4.0: CCC-04 CCMv4.0: CEK-14 CCMv4.0: CEK-21 CCMv4.0: DCS-01 CCMv4.0: DCS-02 CCMv4.0: DSP-02 CCMv4.0: DSP-07 CCMv4.0: DSP-16 CCMv4.0: DSP-19 CCMv4.0: HRS-05 CCMv4.0: IVS-01 CCMv4.0: LOG-02 CCMv4.0: LOG-06 CCMv4.0: UEM-03 CCMv4.0: UEM-05 CCMv4.0: UEM-09 CCMv4.0: UEM-10 CCMv4.0: UEM-11 CCMv4.0: UEM-13 CIS Controls v8.0: 1.1 CIS Controls v8.0: 3.5 CRI Profile v2.0: ID.AM-08 CRI Profile v2.0: ID.AM-08.01 CRI Profile v2.0: ID.AM-08.02 CRI Profile v2.0: ID.AM-08.03 CRI Profile v2.0: ID.AM-08.04 CRI Profile v2.0: ID.AM-08.05 CRI Profile v2.0: ID.AM-08.06 FNCDP v2.0: PR.DS-3 FNCDP v2.0: PR.IP-2 FNCDP v2.0: PR.MA-1 FNCDP v2.0: PR.MA-2 FNCDP v2.0: PR.IP-6 FNCDP v2.0: PR.DS GDPR - Art. 5 GDPR - Art. 17 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PW.4.1 SP 800-218: PW.4.4 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: CM-09 SP 800-53 Rev 5.1.1: CM-13 SP 800-53 Rev 5.1.1: MA-02 SP 800-53 Rev 5.1.1: MA-06 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: PM-22 SP 800-53 Rev 5.1.1: PM-23 SP 800-53 Rev 5.1.1: SA-03 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-22 SP 800-53 Rev 5.1.1: SI-12 SP 800-53 Rev 5.1.1: SI-18 SP 800-53 Rev 5.1.1: SR-05 SP 800-53 Rev 5.1.1: SR-12 |
52 | ID | AM | 09 | DP-ID.AM-09: I trattamenti di dati personali sono identificati e catalogati | FNCDP v2.1: DP-ID.AM-8 GDPR - Art. 30 ISO/IEC 29100:2011 4.4 |
53 | ID | RA | Valutazione del rischio (Risk Assessment) (ID.RA): È compreso il rischio di cybersecurity al quale l'organizzazione, gli asset e le persone sono esposti. | CRI Profile v2.0: ID.RA FNCDP v2.0: ID.RA SP 800-221A: GV.BE-4 | |
54 | ID | RA | 01 | ID.RA-01: Le vulnerabilità negli asset sono identificate, confermate e registrate. | CCMv4.0: AIS-05 CCMv4.0: AIS-07 CCMv4.0: TVM-01 CCMv4.0: TVM-03 CCMv4.0: TVM-05 CCMv4.0: TVM-06 CCMv4.0: TVM-07 CCMv4.0: TVM-08 CCMv4.0: TVM-09 CCMv4.0: TVM-10 CIS Controls v8.0: 7.1 CRI Profile v2.0: ID.RA-01 CRI Profile v2.0: ID.RA-01.01 CRI Profile v2.0: ID.RA-01.02 CRI Profile v2.0: ID.RA-01.03 FNCDP v2.0: ID.RA-1 FNCDP v2.0: PR.IP-12 FNCDP v2.0: DE.CM-8 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-221A: MA.RI-3 SP 800-53 Rev 5.1.1: CA-02 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CA-08 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-05 SP 800-53 Rev 5.1.1: SA-11(02) SP 800-53 Rev 5.1.1: SA-15(07) SP 800-53 Rev 5.1.1: SA-15(08) SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SI-05 |
55 | ID | RA | 02 | ID.RA-02: Le informazioni di cyber threat intelligence sono ricevute da forum e fonti di condivisione delle informazioni. | CCMv4.0: GRC-08 CCMv4.0: TVM-04 CRI Profile v2.0: ID.RA-02 CRI Profile v2.0: ID.RA-02.01 CRI Profile v2.0: ID.RA-02.02 FNCDP v2.0: ID.RA-2 SP 800-221A: GV.BE-4 SP 800-53 Rev 5.1.1: SI-05 SP 800-53 Rev 5.1.1: PM-15 SP 800-53 Rev 5.1.1: PM-16 |
56 | ID | RA | 03 | ID.RA-03: Le minacce interne ed esterne all'organizzazione sono identificate e registrate. | CCMv4.0: A&A-05 CCMv4.0: TVM-05 CRI Profile v2.0: ID.RA-03 CRI Profile v2.0: ID.RA-03.01 CRI Profile v2.0: ID.RA-03.02 CRI Profile v2.0: ID.RA-03.03 CRI Profile v2.0: ID.RA-03.04 FNCDP v2.0: ID.RA-3 SP 800-221A: MA.RI-2 SP 800-53 Rev 5.1.1: PM-12 SP 800-53 Rev 5.1.1: PM-16 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: SI-05 |
57 | ID | RA | 04 | ID.RA-04: I potenziali impatti e le probabilità di sfruttamento delle vulnerabilità da parte delle minacce sono identificati e registrati. | CCMv4.0: A&A-05 CCMv4.0: BCR-02 CCMv4.0: CEK-06 CCMv4.0: CEK-07 CCMv4.0: CEK-20 CCMv4.0: TVM-09 CRI Profile v2.0: ID.RA-04 CRI Profile v2.0: ID.RA-04.01 FNCDP v2.0: ID.RA-4 SP 800-221A: MA.RI-4 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-11 SP 800-53 Rev 5.1.1: RA-02 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-08 SP 800-53 Rev 5.1.1: RA-09 |
58 | ID | RA | 05 | ID.RA-05: Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio. | CCMv4.0: A&A-05 CCMv4.0: BCR-02 CCMv4.0: CEK-07 CCMv4.0: CEK-20 CCMv4.0: TVM-01 CCMv4.0: TVM-08 CRI Profile v2.0: ID.RA-05 CRI Profile v2.0: ID.RA-05.01 CRI Profile v2.0: ID.RA-05.02 CRI Profile v2.0: ID.RA-05.03 CRI Profile v2.0: ID.RA-05.04 FNCDP v2.0: ID.RA-5 SP 800-218: PW.1.1 SP 800-221A: MA.RA-2 SP 800-53 Rev 5.1.1: PM-16 SP 800-53 Rev 5.1.1: RA-02 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-07 |
59 | ID | RA | 06 | ID.RA-06: Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate. | CCMv4.0: A&A-05 CCMv4.0: A&A-06 CCMv4.0: AIS-07 CCMv4.0: CEK-07 CCMv4.0: TVM-01 CCMv4.0: TVM-03 CCMv4.0: TVM-08 CCMv4.0: TVM-09 CCMv4.0: TVM-10 CRI Profile v2.0: ID.RA-06 CRI Profile v2.0: ID.RA-06.01 CRI Profile v2.0: ID.RA-06.02 CRI Profile v2.0: ID.RA-06.03 CRI Profile v2.0: ID.RA-06.04 CRI Profile v2.0: ID.RA-06.05 CRI Profile v2.0: ID.RA-06.06 FNCDP v2.0: ID.RA-6 FNCDP v2.0: RS.MI-3 SP 800-218: PO.5.2 SP 800-221A: MA.RP SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-18 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: RA-07 |
60 | ID | RA | 07 | ID.RA-07: Le modifiche e le eccezioni sono gestite, valutate per il loro impatto sul rischio, registrate e tracciate. | CCMv4.0: A&A-05 CCMv4.0: AIS-06 CCMv4.0: CCC-02 CCMv4.0: CCC-03 CCMv4.0: CCC-06 CCMv4.0: CCC-08 CCMv4.0: CCC-09 CCMv4.0: CEK-05 CCMv4.0: CEK-06 CCMv4.0: GRC-04 CCMv4.0: UEM-07 CRI Profile v2.0: ID.RA-07 CRI Profile v2.0: ID.RA-07.01 CRI Profile v2.0: ID.RA-07.02 CRI Profile v2.0: ID.RA-07.03 CRI Profile v2.0: ID.RA-07.04 CRI Profile v2.0: ID.RA-07.05 FNCDP v2.0: PR.IP-3 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-221A: MA.RI-3 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CM-03 SP 800-53 Rev 5.1.1: CM-04 |
61 | ID | RA | 08 | ID.RA-08: Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità. | CCMv4.0: AIS-07 CCMv4.0: TVM-03 CCMv4.0: TVM-09 CIS Controls v8.0: 7.2 CRI Profile v2.0: ID.RA-08 CRI Profile v2.0: ID.RA-08.01 CRI Profile v2.0: ID.RA-08.02 FNCDP v2.0: RS.AN-5 SP 800-221A: MA.RI-3 SP 800-53 Rev 5.1.1: RA-05 |
62 | ID | RA | 09 | ID.RA-09: L'autenticità e l'integrità di hardware e software sono valutate prima dell'acquisizione e dell'uso. | CCMv4.0: TVM-09 CRI Profile v2.0: EX.DD-04 CRI Profile v2.0: EX.DD-04.01 CRI Profile v2.0: EX.DD-04.02 FNCDP v2.0: PR.DS-8 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-221A: MA.RI-3 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-05 SP 800-53 Rev 5.1.1: SA-10 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SA-15 SP 800-53 Rev 5.1.1: SA-17 SP 800-53 Rev 5.1.1: SI-07 SP 800-53 Rev 5.1.1: SR-05 SP 800-53 Rev 5.1.1: SR-06 SP 800-53 Rev 5.1.1: SR-10 SP 800-53 Rev 5.1.1: SR-11 |
63 | ID | RA | 10 | ID.RA-10: I fornitori critici sono valutati prima dell'acquisizione. | FNCDP v2.1: DP-ID.RA-7 GDPR - Artt. 35 GDPR - Artt. 36 ISO/IEC 29100:2011 4.5 ISO/IEC 29134:2017 |
64 | ID | RA | 11 | DP-ID.RA-11: Viene effettuata una valutazione di impatto sulla protezione dei dati personali. | FNCDP v2.0: DP-ID.RA-7 GDPR - Artt. 35 GDPR - Artt. 36 ISO/IEC 29100:2011 4.5 ISO/IEC 29134:2017 |
65 | ID | IM | Miglioramento (ID.IM): I miglioramenti ai processi, alle procedure e alle attività di gestione del rischio di cybersecurity dell'organizzazione sono identificati in tutte le funzioni del framework. | CRI Profile v2.0: ID.IM FNCDP v2.0: RS.IM FNCDP v2.0: RC.IM FNCDP v2.0: PR.IP-7 FNCDP v2.0: DE.DP-5 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-221A: MA.IM-1 | |
66 | ID | IM | 01 | ID.IM-01: Sono identificati miglioramenti in esito alle valutazioni. | CCMv4.0: A&A-02 CCMv4.0: A&A-03 CCMv4.0: A&A-04 CCMv4.0: A&A-05 CCMv4.0: CEK-09 CCMv4.0: SEF-04 CCMv4.0: SEF-05 CCMv4.0: STA-06 CCMv4.0: STA-11 CCMv4.0: STA-13 CRI Profile v2.0: ID.IM-01 CRI Profile v2.0: ID.IM-01.01 CRI Profile v2.0: ID.IM-01.02 CRI Profile v2.0: ID.IM-01.03 CRI Profile v2.0: ID.IM-01.04 CRI Profile v2.0: ID.IM-01.05 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 SP 800-53 Rev 5.1.1: CA-02 SP 800-53 Rev 5.1.1: CA-05 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CA-08 SP 800-53 Rev 5.1.1: CP-02 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-05 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SA-17(06) SP 800-53 Rev 5.1.1: SI-02 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SR-05 |
67 | ID | IM | 02 | ID.IM-02: Sono identificati miglioramenti in esito ai test e alle esercitazioni di sicurezza, compresi quelli effettuati in coordinamento con i fornitori e le terze parti interessate. | CCMv4.0: BCR-06 CCMv4.0: BCR-07 CCMv4.0: BCR-10 CCMv4.0: SEF-01 CCMv4.0: SEF-03 CCMv4.0: SEF-04 CCMv4.0: SEF-05 CCMv4.0: STA-14 CCMv4.0: TVM-06 CCMv4.0: UEM-14 CIS Controls v8.0: 17.7 CRI Profile v2.0: ID.IM-02 CRI Profile v2.0: ID.IM-02.01 CRI Profile v2.0: ID.IM-02.02 CRI Profile v2.0: ID.IM-02.03 CRI Profile v2.0: ID.IM-02.04 CRI Profile v2.0: ID.IM-02.05 CRI Profile v2.0: ID.IM-02.06 CRI Profile v2.0: ID.IM-02.07 CRI Profile v2.0: ID.IM-02.08 CRI Profile v2.0: ID.IM-02.09 FNCDP v2.0: ID.SC-5 FNCDP v2.0: PR.IP-10 FNCDP v2.0: DE.DP-3 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-221A: GV.CT-3 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 SP 800-53 Rev 5.1.1: CA-02 SP 800-53 Rev 5.1.1: CA-05 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CA-08 SP 800-53 Rev 5.1.1: CP-02 SP 800-53 Rev 5.1.1: CP-04 SP 800-53 Rev 5.1.1: IR-03 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: PM-04 SP 800-53 Rev 5.1.1: PM-31 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-05 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SI-02 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SR-05 |
68 | ID | IM | 03 | ID.IM-03: Sono identificati miglioramenti dall'esecuzione di processi, procedure e attività operativi. | CCMv4.0: A&A-01 CCMv4.0: AIS-01 CCMv4.0: AIS-03 CCMv4.0: BCR-01 CCMv4.0: CCC-01 CCMv4.0: CEK-01 CCMv4.0: DCS-01 CCMv4.0: DCS-02 CCMv4.0: DCS-03 CCMv4.0: DCS-04 CCMv4.0: DSP-01 CCMv4.0: GRC-01 CCMv4.0: HRS-01 CCMv4.0: HRS-02 CCMv4.0: HRS-03 CCMv4.0: HRS-04 CCMv4.0: IAM-01 CCMv4.0: IAM-02 CCMv4.0: IPY-01 CCMv4.0: IVS-01 CCMv4.0: LOG-01 CCMv4.0: SEF-01 CCMv4.0: SEF-02 CCMv4.0: SEF-04 CCMv4.0: STA-01 CCMv4.0: TVM-01 CCMv4.0: TVM-02 CCMv4.0: UEM-01 CRI Profile v2.0: ID.IM-03 CRI Profile v2.0: ID.IM-03.01 CRI Profile v2.0: ID.IM-03.02 FNCDP v2.0: PR.IP-7 FNCDP v2.0: PR.IP-8 FNCDP v2.0: DE.DP-5 FNCDP v2.0: RS.IM-1 FNCDP v2.0: RS.IM-2 FNCDP v2.0: RC.IM-1 FNCDP v2.0: RC.IM-2 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-221A: GV.AD-1 SP 800-221A: MA.RM-6 SP 800-221A: MA.IM-1 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 SP 800-53 Rev 5.1.1: CA-02 SP 800-53 Rev 5.1.1: CA-05 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CA-08 SP 800-53 Rev 5.1.1: CP-02 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: PM-04 SP 800-53 Rev 5.1.1: PM-31 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-05 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SI-02 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SR-05 |
69 | ID | IM | 04 | ID.IM-04: I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati. | CCMv4.0: BCR-01 CCMv4.0: BCR-04 CCMv4.0: BCR-05 CCMv4.0: BCR-09 CCMv4.0: CEK-20 CCMv4.0: SEF-01 CCMv4.0: SEF-02 CCMv4.0: SEF-03 CCMv4.0: SEF-04 CCMv4.0: SEF-05 CRI Profile v2.0: ID.IM-04 CRI Profile v2.0: ID.IM-04.01 CRI Profile v2.0: ID.IM-04.02 CRI Profile v2.0: ID.IM-04.03 CRI Profile v2.0: ID.IM-04.04 CRI Profile v2.0: ID.IM-04.05 CRI Profile v2.0: ID.IM-04.06 CRI Profile v2.0: ID.IM-04.07 CRI Profile v2.0: ID.IM-04.08 FNCDP v2.0: PR.IP-9 FNCDP v2.0: RS.IM-1 FNCDP v2.0: RC.IM-1 FNCDP v2.0: PR.IP-10 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-221A: MA.RR-4 SP 800-221A: MA.IM-1 SP 800-53 Rev 5.1.1: CP-02 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: SR-02 |
70 | ID | DM | Data Management (DP-ID.DM): i dati personali sono trattati attraverso processi definiti, in coerenza con le normative di riferimento. | FNCDP v2.0: DP-ID.DM | |
71 | ID | DM | 01 | DP-ID.DM-01: Il ciclo di vita dei dati è definito e documentato. | FNCDP v2.0: DP-ID.DM-1 GDPR - Art. 5 GDPR - Art. 6 GDPR - Art. 9 GDPR - Art. 10 GDPR - Art. 11 GDPR - Art. 30 |
72 | ID | DM | 02 | DP-ID.DM-02: Sono definiti, implementati e documentati i processi riguardanti l'informazione dell'interessato in merito al trattamento dei dati. | FNCDP v2.0: DP-ID.DM-2 GDPR - Artt. 12 GDPR - Artt. 13 GDPR - Artt. 14 ISO/IEC 29100:2011 5.2 ISO/IEC 29100:2011 5.8 ISO/IEC 29151:2017 A.3 ISO/IEC 29151:2017 A.9 ISO/IEC 27018:2014 A.1 ISO/IEC 27018:2014 A.7 |
73 | ID | DM | 03 | DP-ID.DM-03: Sono definiti, implementati e documentati i processi di raccolta e revoca del consenso dell'interessato al trattamento di dati. | D.Lgs. 30/6/2003 n. 196 Art. 2-quinquies FNCDP v2.0: DP-ID.DM-3 GDPR - Art. 7 GDPR - Art. 8 ISO/IEC 29100:2011 5.2 ISO/IEC 29151:2017 A.3 ISO/IEC 27018:2014 A.1 |
74 | ID | DM | 04 | DP-ID.DM-04: Sono definiti, implementati e documentati i processi per l'esercizio dei diritti (accesso, rettifica, cancellazione, ecc.) dell'interessato. | D.Lgs. 30/6/2003 n. 196 Art. 2-terdecies FNCDP v2.0: DP-ID.DM-4 GDPR - Art 15 GDPR - Art 16 GDPR - Art 17 GDPR - Art 18 GDPR - Art 19 GDPR - Art 20 GDPR - Art 21 GDPR - Art 22 ISO/IEC 29100:2011 5.4 ISO/IEC 29100:2011 5.5 ISO/IEC 29100:2011 5.6 ISO/IEC 29100:2011 5.7 ISO/IEC 29100:2011 5.8 ISO/IEC 29100:2011 5.9 ISO/IEC 29151:2017 A.5 ISO/IEC 29151:2017 A.6 ISO/IEC 29151:2017 A.7 ISO/IEC 29151:2017 A.8 ISO/IEC 29151:2017 A.9 ISO/IEC 29151:2017 A.10 ISO/IEC 27018:2014 A.3 ISO/IEC 27018:2014 A.4 ISO/IEC 27018:2014 A.5 ISO/IEC 27018:2014 A.6 ISO/IEC 27018:2014 A.7 ISO/IEC 27018:2014 A.8 |
75 | ID | DM | 05 | DP-ID.DM-05: Sono definiti, implementati e documentati i processi di trasferimento dei dati in ambito internazionale. | FNCDP v2.0: DP-ID.DM-5 GDPR - Art. 44 GDPR - Art. 45 GDPR - Art. 46 GDPR - Art. 47 GDPR - Art. 48 GDPR - Art. 49 ISO/IEC 29100:2011 4.5 |
76 | PR | PROTECT (PR): Sono adottate misure di protezione per gestire i rischi di cybersecurity dell'organizzazione. | CRI Profile v2.0: PR FNCDP v2.0: PR | ||
77 | PR | AA | Gestione delle identità, autenticazione e controllo degli accessi (PR.AA): L'accesso agli asset fisici e logici è limitato agli utenti, ai servizi e all'hardware autorizzati, e gestito in misura appropriata alla valutazione del rischio di accesso non autorizzato. | CRI Profile v2.0: PR.AA FNCDP v2.0: PR.AC | |
78 | PR | AA | 01 | PR.AA-01: Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione. | CCMv4.0: CEK-01 CCMv4.0: CEK-10 CCMv4.0: CEK-11 CCMv4.0: CEK-12 CCMv4.0: CEK-13 CCMv4.0: CEK-14 CCMv4.0: CEK-15 CCMv4.0: CEK-16 CCMv4.0: CEK-17 CCMv4.0: CEK-18 CCMv4.0: CEK-19 CCMv4.0: CEK-20 CCMv4.0: CEK-21 CCMv4.0: DCS-08 CCMv4.0: IAM-01 CCMv4.0: IAM-03 CCMv4.0: IAM-06 CCMv4.0: IAM-07 CCMv4.0: IAM-09 CCMv4.0: IAM-13 CCMv4.0: IAM-14 CCMv4.0: IAM-15 CCMv4.0: IAM-16 CCMv4.0: UEM-14 CIS Controls v8.0: 5.1 CIS Controls v8.0: 6.7 CRI Profile v2.0: PR.AA-01 CRI Profile v2.0: PR.AA-01.01 CRI Profile v2.0: PR.AA-01.02 FNCDP v2.0: PR.AC-1 GDPR - Art. 25 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AC-02 SP 800-53 Rev 5.1.1: AC-14 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IA-02 SP 800-53 Rev 5.1.1: IA-03 SP 800-53 Rev 5.1.1: IA-04 SP 800-53 Rev 5.1.1: IA-05 SP 800-53 Rev 5.1.1: IA-06 SP 800-53 Rev 5.1.1: IA-07 SP 800-53 Rev 5.1.1: IA-08 SP 800-53 Rev 5.1.1: IA-09 SP 800-53 Rev 5.1.1: IA-10 SP 800-53 Rev 5.1.1: IA-11 |
79 | PR | AA | 02 | PR.AA-02: Le identità sono verificate e associate alle credenziali in base al contesto delle interazioni. | CCMv4.0: IAM-01 CCMv4.0: IAM-03 CCMv4.0: IAM-13 CCMv4.0: IAM-14 CCMv4.0: IAM-16 CCMv4.0: UEM-14 CRI Profile v2.0: PR.AA-02 CRI Profile v2.0: PR.AA-02.01 FNCDP v2.0: PR.AC-6 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-53 Rev 5.1.1: IA-12 |
80 | PR | AA | 03 | PR.AA-03: Utenti, servizi e hardware sono autenticati. | CCMv4.0: DCS-08 CCMv4.0: IAM-01 CCMv4.0: IAM-02 CCMv4.0: IAM-14 CCMv4.0: IAM-16 CCMv4.0: IVS-03 CCMv4.0: UEM-05 CCMv4.0: UEM-06 CCMv4.0: UEM-14 CRI Profile v2.0: PR.AA-03 CRI Profile v2.0: PR.AA-03.01 CRI Profile v2.0: PR.AA-03.02 CRI Profile v2.0: PR.AA-03.03 FNCDP v2.0: PR.AC-3 FNCDP v2.0: PR.AC-7 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-53 Rev 5.1.1: AC-07 SP 800-53 Rev 5.1.1: AC-12 SP 800-53 Rev 5.1.1: IA-02 SP 800-53 Rev 5.1.1: IA-03 SP 800-53 Rev 5.1.1: IA-05 SP 800-53 Rev 5.1.1: IA-07 SP 800-53 Rev 5.1.1: IA-08 SP 800-53 Rev 5.1.1: IA-09 SP 800-53 Rev 5.1.1: IA-10 SP 800-53 Rev 5.1.1: IA-11 |
81 | PR | AA | 04 | PR.AA-04: Le asserzioni di identità sono protette, trasmesse e verificate. | CCMv4.0: IAM-01 CCMv4.0: IAM-03 CCMv4.0: IAM-16 CRI Profile v2.0: PR.AA-04 CRI Profile v2.0: PR.AA-04.01 SP 800-53 Rev 5.1.1: IA-13 |
82 | PR | AA | 05 | PR.AA-05: I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti. | CCMv4.0: CCC-04 CCMv4.0: CEK-10 CCMv4.0: CEK-11 CCMv4.0: CEK-12 CCMv4.0: CEK-13 CCMv4.0: CEK-14 CCMv4.0: CEK-15 CCMv4.0: CEK-16 CCMv4.0: CEK-17 CCMv4.0: CEK-18 CCMv4.0: CEK-19 CCMv4.0: CEK-20 CCMv4.0: CEK-21 CCMv4.0: IAM-01 CCMv4.0: IAM-03 CCMv4.0: IAM-04 CCMv4.0: IAM-05 CCMv4.0: IAM-06 CCMv4.0: IAM-07 CCMv4.0: IAM-08 CCMv4.0: IAM-09 CCMv4.0: IAM-10 CCMv4.0: IAM-11 CCMv4.0: IAM-12 CCMv4.0: IAM-16 CCMv4.0: IVS-03 CCMv4.0: IVS-06 CCMv4.0: LOG-02 CCMv4.0: LOG-04 CCMv4.0: LOG-09 CCMv4.0: UEM-05 CCMv4.0: UEM-14 CIS Controls v8.0: 3.3 CIS Controls v8.0: 6.8 CRI Profile v2.0: PR.AA-05 CRI Profile v2.0: PR.AA-05.01 CRI Profile v2.0: PR.AA-05.02 CRI Profile v2.0: PR.AA-05.03 CRI Profile v2.0: PR.AA-05.04 FNCDP v2.0: PR.AC-1 FNCDP v2.0: PR.AC-3 FNCDP v2.0: PR.AC-4 GDPR - Art. 25 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-218: PS.1.1 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AC-02 SP 800-53 Rev 5.1.1: AC-03 SP 800-53 Rev 5.1.1: AC-05 SP 800-53 Rev 5.1.1: AC-06 SP 800-53 Rev 5.1.1: AC-10 SP 800-53 Rev 5.1.1: AC-16 SP 800-53 Rev 5.1.1: AC-17 SP 800-53 Rev 5.1.1: AC-18 SP 800-53 Rev 5.1.1: AC-19 SP 800-53 Rev 5.1.1: AC-24 SP 800-53 Rev 5.1.1: IA-13 |
83 | PR | AA | 06 | PR.AA-06: L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio. | CCMv4.0: DCS-03 CCMv4.0: DCS-07 CCMv4.0: DCS-09 CCMv4.0: DCS-10 CCMv4.0: DCS-12 CCMv4.0: DCS-14 CCMv4.0: HRS-04 CCMv4.0: LOG-12 CCMv4.0: UEM-05 CCMv4.0: UEM-06 CCMv4.0: UEM-14 CRI Profile v2.0: PR.AA-06 CRI Profile v2.0: PR.AA-06.01 CRI Profile v2.0: PR.AA-06.02 FNCDP v2.0: PR.AC-2 FNCDP v2.0: PR.PT-4 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-53 Rev 5.1.1: PE-02 SP 800-53 Rev 5.1.1: PE-03 SP 800-53 Rev 5.1.1: PE-04 SP 800-53 Rev 5.1.1: PE-05 SP 800-53 Rev 5.1.1: PE-06 SP 800-53 Rev 5.1.1: PE-08 SP 800-53 Rev 5.1.1: PE-18 SP 800-53 Rev 5.1.1: PE-19 SP 800-53 Rev 5.1.1: PE-20 |
84 | PR | AT | Consapevolezza e formazione (PR.AT): Il personale dell'organizzazione è sensibilizzato e formato sulla cybersecurity in modo da poter svolgere i propri compiti inerenti alla cybersecurity. | CRI Profile v2.0: PR.AT FNCDP v2.0: PR.AT SP 800-218: PO.2.2 | |
85 | PR | AT | 01 | PR.AT-01: Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity. | CCMv4.0: DCS-11 CCMv4.0: HRS-09 CCMv4.0: HRS-11 CCMv4.0: HRS-12 CCMv4.0: HRS-13 CCMv4.0: SEF-02 CCMv4.0: SEF-03 CCMv4.0: UEM-14 CIS Controls v8.0: 14.1 CRI Profile v2.0: PR.AT-01 CRI Profile v2.0: PR.AT-01.01 CRI Profile v2.0: PR.AT-01.02 CRI Profile v2.0: PR.AT-01.03 CRI Profile v2.0: PR.AT-01.04 FNCDP v2.0: PR.AT-1 FNCDP v2.0: PR.AT-3 FNCDP v2.0: RS.CO-1 SP 800-218: PO.2.2 SP 800-221A: GV.CT-3 SP 800-221A: GV.RR-2 SP 800-53 Rev 5.1.1: AT-02 SP 800-53 Rev 5.1.1: AT-03 |
86 | PR | AT | 02 | PR.AT-02: Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in modo da possedere le conoscenze e le competenze per svolgere i pertinenti compiti tenendo conto dei rischi di cybersecurity. | CCMv4.0: DCS-11 CCMv4.0: HRS-09 CCMv4.0: HRS-12 CCMv4.0: HRS-13 CCMv4.0: SEF-03 CCMv4.0: UEM-14 CIS Controls v8.0: 14.9 CRI Profile v2.0: PR.AT-02 CRI Profile v2.0: PR.AT-02.01 CRI Profile v2.0: PR.AT-02.02 CRI Profile v2.0: PR.AT-02.03 CRI Profile v2.0: PR.AT-02.04 CRI Profile v2.0: PR.AT-02.05 CRI Profile v2.0: PR.AT-02.06 CRI Profile v2.0: PR.AT-02.07 CRI Profile v2.0: PR.AT-02.08 FNCDP v2.0: PR.AT-2 FNCDP v2.0: PR.AT-3 FNCDP v2.0: PR.AT-4 FNCDP v2.0: PR.AT-5 SP 800-218: PO.2.2 SP 800-221A: GV.CT-3 SP 800-221A: GV.CT-4 SP 800-221A: GV.RR-2 SP 800-53 Rev 5.1.1: AT-03 |
87 | PR | DS | Sicurezza dei dati (PR.DS): I dati sono gestiti in modo coerente con la strategia sul rischio dell'organizzazione per proteggere la riservatezza, l'integrità e la disponibilità delle informazioni. | CRI Profile v2.0: PR.DS FNCDP v2.0: PR.DS | |
88 | PR | DS | 01 | PR.DS-01: La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette. | CCMv4.0: BCR-08 CCMv4.0: CEK-03 CCMv4.0: CEK-04 CCMv4.0: CEK-18 CCMv4.0: CEK-19 CCMv4.0: DCS-04 CCMv4.0: DSP-17 CCMv4.0: HRS-04 CCMv4.0: LOG-02 CCMv4.0: LOG-09 CCMv4.0: UEM-05 CCMv4.0: UEM-08 CIS Controls v8.0: 3.11 CRI Profile v2.0: PR.DS-01 CRI Profile v2.0: PR.DS-01.01 CRI Profile v2.0: PR.DS-01.02 CRI Profile v2.0: PR.DS-01.03 FNCDP v2.0: PR.DS-1 FNCDP v2.0: PR.DS-5 FNCDP v2.0: PR.DS-6 FNCDP v2.0: PR.PT-2 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PS.1.1 SP 800-218: PS.2.1 SP 800-218: PS.3.1 SP 800-53 Rev 5.1.1: CA-03 SP 800-53 Rev 5.1.1: CP-09 SP 800-53 Rev 5.1.1: MP-08 SP 800-53 Rev 5.1.1: SC-04 SP 800-53 Rev 5.1.1: SC-07 SP 800-53 Rev 5.1.1: SC-12 SP 800-53 Rev 5.1.1: SC-13 SP 800-53 Rev 5.1.1: SC-28 SP 800-53 Rev 5.1.1: SC-32 SP 800-53 Rev 5.1.1: SC-39 SP 800-53 Rev 5.1.1: SC-43 SP 800-53 Rev 5.1.1: SI-03 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SI-07 |
89 | PR | DS | 02 | PR.DS-02: La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette. | CCMv4.0: CEK-03 CCMv4.0: CEK-04 CCMv4.0: CEK-19 CCMv4.0: DCS-02 CCMv4.0: DSP-10 CCMv4.0: DSP-17 CCMv4.0: HRS-04 CCMv4.0: IPY-03 CCMv4.0: IVS-03 CCMv4.0: IVS-07 CCMv4.0: LOG-02 CCMv4.0: LOG-09 CCMv4.0: UEM-05 CCMv4.0: UEM-11 CIS Controls v8.0: 3.10 CRI Profile v2.0: PR.DS-02 CRI Profile v2.0: PR.DS-02.01 FNCDP v2.0: PR.DS-2 FNCDP v2.0: PR.DS-5 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-53 Rev 5.1.1: AU-16 SP 800-53 Rev 5.1.1: CA-03 SP 800-53 Rev 5.1.1: SC-04 SP 800-53 Rev 5.1.1: SC-07 SP 800-53 Rev 5.1.1: SC-08 SP 800-53 Rev 5.1.1: SC-11 SP 800-53 Rev 5.1.1: SC-12 SP 800-53 Rev 5.1.1: SC-13 SP 800-53 Rev 5.1.1: SC-16 SP 800-53 Rev 5.1.1: SC-40 SP 800-53 Rev 5.1.1: SC-43 SP 800-53 Rev 5.1.1: SI-03 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SI-07 |
90 | PR | DS | 10 | PR.DS-10: La riservatezza, l'integrità e la disponibilità dei dati in uso (data-in-use) sono protette. | CCMv4.0: DSP-17 CCMv4.0: HRS-04 CCMv4.0: UEM-11 CRI Profile v2.0: PR.DS-10 CRI Profile v2.0: PR.DS-10.01 FNCDP v2.0: PR.DS-5 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-53 Rev 5.1.1: AC-02 SP 800-53 Rev 5.1.1: AC-03 SP 800-53 Rev 5.1.1: AC-04 SP 800-53 Rev 5.1.1: AU-09 SP 800-53 Rev 5.1.1: AU-13 SP 800-53 Rev 5.1.1: CA-03 SP 800-53 Rev 5.1.1: CP-09 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SC-04 SP 800-53 Rev 5.1.1: SC-07 SP 800-53 Rev 5.1.1: SC-11 SP 800-53 Rev 5.1.1: SC-13 SP 800-53 Rev 5.1.1: SC-24 SP 800-53 Rev 5.1.1: SC-32 SP 800-53 Rev 5.1.1: SC-39 SP 800-53 Rev 5.1.1: SC-40 SP 800-53 Rev 5.1.1: SC-43 SP 800-53 Rev 5.1.1: SI-03 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SI-07 SP 800-53 Rev 5.1.1: SI-10 SP 800-53 Rev 5.1.1: SI-16 |
91 | PR | DS | 11 | PR.DS-11: I backup dei dati sono creati, protetti, mantenuti e verificati. | CCMv4.0: BCR-08 CCMv4.0: CEK-18 CCMv4.0: DSP-16 CCMv4.0: DSP-19 CCMv4.0: LOG-02 CCMv4.0: LOG-09 CIS Controls v8.0: 11.2 CIS Controls v8.0: 11.3 CIS Controls v8.0: 11.5 CRI Profile v2.0: PR.DS-11 CRI Profile v2.0: PR.DS-11.01 FNCDP v2.0: PR.IP-4 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PS.3.1 SP 800-53 Rev 5.1.1: CP-06 SP 800-53 Rev 5.1.1: CP-09 |
92 | PR | PS | Sicurezza delle piattaforme (PR.PS): L'hardware, il software (ad esempio firmware, sistemi operativi, applicazioni) e i servizi delle piattaforme fisiche e virtuali sono gestiti in modo coerente con la strategia sul rischio dell'organizzazione per proteggere la loro riservatezza, integrità e disponibilità. | CRI Profile v2.0: PR.PS | |
93 | PR | PS | 01 | PR.PS-01: Sono stabilite e applicate pratiche di gestione della configurazione. | CCMv4.0: AIS-02 CCMv4.0: AIS-04 CCMv4.0: AIS-05 CCMv4.0: AIS-06 CCMv4.0: CCC-01 CCMv4.0: CCC-02 CCMv4.0: CCC-06 CCMv4.0: CCC-07 CCMv4.0: IVS-04 CCMv4.0: IVS-06 CCMv4.0: UEM-05 CCMv4.0: UEM-06 CCMv4.0: UEM-07 CCMv4.0: UEM-09 CCMv4.0: UEM-10 CCMv4.0: UEM-11 CCMv4.0: UEM-12 CCMv4.0: UEM-13 CIS Controls v8.0: 4.1 CIS Controls v8.0: 4.2 CRI Profile v2.0: PR.PS-01 CRI Profile v2.0: PR.PS-01.01 CRI Profile v2.0: PR.PS-01.02 CRI Profile v2.0: PR.PS-01.03 CRI Profile v2.0: PR.PS-01.04 CRI Profile v2.0: PR.PS-01.05 CRI Profile v2.0: PR.PS-01.06 CRI Profile v2.0: PR.PS-01.07 CRI Profile v2.0: PR.PS-01.08 CRI Profile v2.0: PR.PS-01.09 FNCDP v2.0: PR.IP-1 FNCDP v2.0: PR.IP-3 FNCDP v2.0: PR.PT-2 FNCDP v2.0: PR.PT-3 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-218: PS.1.1 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CM-02 SP 800-53 Rev 5.1.1: CM-03 SP 800-53 Rev 5.1.1: CM-04 SP 800-53 Rev 5.1.1: CM-05 SP 800-53 Rev 5.1.1: CM-06 SP 800-53 Rev 5.1.1: CM-07 SP 800-53 Rev 5.1.1: CM-08 SP 800-53 Rev 5.1.1: CM-09 SP 800-53 Rev 5.1.1: CM-10 SP 800-53 Rev 5.1.1: CM-11 |
94 | PR | PS | 02 | PR.PS-02: Il software è mantenuto, sostituito e rimosso in base al rischio. | CCMv4.0: AIS-04 CCMv4.0: AIS-05 CCMv4.0: AIS-07 CCMv4.0: CCC-04 CCMv4.0: CCC-09 CCMv4.0: DSP-02 CCMv4.0: TVM-03 CCMv4.0: TVM-04 CCMv4.0: TVM-05 CCMv4.0: TVM-08 CCMv4.0: UEM-02 CCMv4.0: UEM-03 CCMv4.0: UEM-07 CIS Controls v8.0: 2.2 CIS Controls v8.0: 2.3 CRI Profile v2.0: PR.PS-02 CRI Profile v2.0: PR.PS-02.01 CRI Profile v2.0: PR.PS-02.02 CRI Profile v2.0: PR.PS-02.03 FNCDP v2.0: PR.IP-12 FNCDP v2.0: PR.MA-2 SP 800-218: PO.5.2 SP 800-53 Rev 5.1.1: CM-11 SP 800-53 Rev 5.1.1: MA-03(06) SP 800-53 Rev 5.1.1: SA-10(01) SP 800-53 Rev 5.1.1: SI-02 SP 800-53 Rev 5.1.1: SI-07 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
95 | PR | PS | 03 | PR.PS-03: L'hardware è mantenuto, sostituito e rimosso in base al rischio. | CCMv4.0: CCC-04 CCMv4.0: DCS-01 CCMv4.0: DSP-02 CCMv4.0: TVM-03 CCMv4.0: TVM-08 CIS Controls v8.0: 1.2 CRI Profile v2.0: PR.PS-03 CRI Profile v2.0: PR.PS-03.01 FNCDP v2.0: PR.MA-1 FNCDP v2.0: PR.DS-3 SP 800-218: PO.5.2 SP 800-53 Rev 5.1.1: CM-07(09) SP 800-53 Rev 5.1.1: SA-10(03) SP 800-53 Rev 5.1.1: SC-03(01) SP 800-53 Rev 5.1.1: SC-39(01) SP 800-53 Rev 5.1.1: SC-49 SP 800-53 Rev 5.1.1: SC-51 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
96 | PR | PS | 04 | PR.PS-04: I registri di log sono generati e resi disponibili per il monitoraggio continuo. | CCMv4.0: IAM-16 CCMv4.0: LOG-01 CCMv4.0: LOG-02 CCMv4.0: LOG-03 CCMv4.0: LOG-04 CCMv4.0: LOG-05 CCMv4.0: LOG-07 CCMv4.0: LOG-08 CCMv4.0: LOG-10 CCMv4.0: LOG-11 CCMv4.0: LOG-12 CCMv4.0: LOG-13 CIS Controls v8.0: 8.2 CRI Profile v2.0: PR.PS-04 CRI Profile v2.0: PR.PS-04.01 CRI Profile v2.0: PR.PS-04.02 CRI Profile v2.0: PR.PS-04.03 FNCDP v2.0: PR.PT-1 SP 800-218: PO.3.3 SP 800-53 Rev 5.1.1: AU-02 SP 800-53 Rev 5.1.1: AU-03 SP 800-53 Rev 5.1.1: AU-06 SP 800-53 Rev 5.1.1: AU-07 SP 800-53 Rev 5.1.1: AU-11 SP 800-53 Rev 5.1.1: AU-12 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
97 | PR | PS | 05 | PR.PS-05: Sono impedite l'installazione ed esecuzione di software non autorizzato. | CCMv4.0: CCC-04 CCMv4.0: UEM-02 CCMv4.0: UEM-09 CIS Controls v8.0: 2.5 CRI Profile v2.0: PR.PS-05 CRI Profile v2.0: PR.PS-05.01 CRI Profile v2.0: PR.PS-05.02 CRI Profile v2.0: PR.PS-05.03 SP 800-53 Rev 5.1.1: CM-07(02) SP 800-53 Rev 5.1.1: CM-07(04) SP 800-53 Rev 5.1.1: CM-07(05) SP 800-53 Rev 5.1.1: SC-34 |
98 | PR | PS | 06 | PR.PS-06: Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono monitorate durante l'intero ciclo di vita del software. | CCMv4.0: AIS-04 CCMv4.0: AIS-06 CCMv4.0: AIS-07 CCMv4.0: DSP-07 CCMv4.0: IVS-06 CIS Controls v8.0: 16.1 CRI Profile v2.0: PR.PS-06 CRI Profile v2.0: PR.PS-06.01 CRI Profile v2.0: PR.PS-06.02 CRI Profile v2.0: PR.PS-06.03 CRI Profile v2.0: PR.PS-06.04 CRI Profile v2.0: PR.PS-06.05 CRI Profile v2.0: PR.PS-06.06 CRI Profile v2.0: PR.PS-06.07 CRI Profile v2.0: PR.PS-06.08 CRI Profile v2.0: PR.PS-06.09 CRI Profile v2.0: PR.PS-06.10 FNCDP v2.0: PR.IP-2 SP 800-53 Rev 5.1.1: SA-03 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-10 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SA-15 SP 800-53 Rev 5.1.1: SA-17 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
99 | PR | IR | Resilienza dell'infrastruttura tecnologica (PR.IR): Le architetture di sicurezza sono gestite in accordo con la strategia sul rischio dell'organizzazione per proteggere la riservatezza, l'integrità e la disponibilità degli asset e la resilienza organizzativa. | CRI Profile v2.0: PR.IR | |
100 | PR | IR | 01 | PR.IR-01: Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati. | CCMv4.0: AIS-04 CCMv4.0: AIS-06 CCMv4.0: DCS-12 CCMv4.0: DSP-10 CCMv4.0: DSP-15 CCMv4.0: IVS-03 CCMv4.0: IVS-05 CCMv4.0: IVS-06 CCMv4.0: IVS-09 CCMv4.0: UEM-05 CCMv4.0: UEM-14 CIS Controls v8.0: 3.12 CIS Controls v8.0: 12.2 CRI Profile v2.0: PR.IR-01 CRI Profile v2.0: PR.IR-01.01 CRI Profile v2.0: PR.IR-01.02 CRI Profile v2.0: PR.IR-01.03 CRI Profile v2.0: PR.IR-01.04 CRI Profile v2.0: PR.IR-01.05 CRI Profile v2.0: PR.IR-01.06 CRI Profile v2.0: PR.IR-01.07 CRI Profile v2.0: PR.IR-01.08 FNCDP v2.0: PR.AC-3 FNCDP v2.0: PR.AC-5 FNCDP v2.0: PR.DS-7 FNCDP v2.0: PR.PT-4 SP 800-218: PO.5.1 SP 800-53 Rev 5.1.1: AC-03 SP 800-53 Rev 5.1.1: AC-04 SP 800-53 Rev 5.1.1: SC-04 SP 800-53 Rev 5.1.1: SC-05 SP 800-53 Rev 5.1.1: SC-07 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
101 | PR | IR | 02 | PR.IR-02: Gli asset tecnologici dell'organizzazione sono protetti dalle minacce ambientali. | CCMv4.0: DCS-03 CCMv4.0: DCS-13 CCMv4.0: DCS-14 CCMv4.0: DCS-15 CRI Profile v2.0: PR.IR-02 CRI Profile v2.0: PR.IR-02.01 FNCDP v2.0: PR.IP-5 SP 800-53 Rev 5.1.1: CP-02 SP 800-53 Rev 5.1.1: PE-09 SP 800-53 Rev 5.1.1: PE-10 SP 800-53 Rev 5.1.1: PE-11 SP 800-53 Rev 5.1.1: PE-12 SP 800-53 Rev 5.1.1: PE-13 SP 800-53 Rev 5.1.1: PE-14 SP 800-53 Rev 5.1.1: PE-15 SP 800-53 Rev 5.1.1: PE-18 SP 800-53 Rev 5.1.1: PE-23 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
102 | PR | IR | 03 | PR.IR-03: Sono implementati meccanismi per soddisfare i requisiti di resilienza in situazioni normali e avverse. | CCMv4.0: BCR-11 CRI Profile v2.0: PR.IR-03 CRI Profile v2.0: PR.IR-03.01 FNCDP v2.0: PR.PT-5 SP 800-53 Rev 5.1.1: CP SP 800-53 Rev 5.1.1: IR SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SC-06 SP 800-53 Rev 5.1.1: SC-24 SP 800-53 Rev 5.1.1: SC-36 SP 800-53 Rev 5.1.1: SC-39 SP 800-53 Rev 5.1.1: SI-13 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
103 | PR | IR | 04 | PR.IR-04: È mantenuta un'adeguata capacità di risorse per garantire la disponibilità. | CCMv4.0: IVS-02 CRI Profile v2.0: PR.IR-04 CRI Profile v2.0: PR.IR-04.01 CRI Profile v2.0: PR.IR-04.02 FNCDP v2.0: PR.DS-4 SP 800-53 Rev 5.1.1: CP-06 SP 800-53 Rev 5.1.1: CP-07 SP 800-53 Rev 5.1.1: CP-08 SP 800-53 Rev 5.1.1: PM-03 SP 800-53 Rev 5.1.1: PM-09 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
104 | DE | DETECT (DE): Possibili attacchi e compromissioni di cybersecurity sono rilevati e analizzati. | CRI Profile v2.0: DE FNCDP v2.0: DE | ||
105 | DE | CM | Monitoraggio continuo (DE.CM): Gli asset sono monitorati per individuare anomalie, indicatori di compromissione e altri eventi potenzialmente avversi. | CRI Profile v2.0: DE.CM FNCDP v2.0: DE.CM | |
106 | DE | CM | 01 | DE.CM-01: Le reti e i servizi di rete sono monitorati per individuare eventi potenzialmente avversi. | CCMv4.0: IVS-03 CCMv4.0: IVS-09 CCMv4.0: LOG-01 CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: LOG-08 CCMv4.0: TVM-02 CCMv4.0: TVM-10 CCMv4.0: UEM-10 CIS Controls v8.0: 13.1 CRI Profile v2.0: DE.CM-01 CRI Profile v2.0: DE.CM-01.01 CRI Profile v2.0: DE.CM-01.02 CRI Profile v2.0: DE.CM-01.03 CRI Profile v2.0: DE.CM-01.04 CRI Profile v2.0: DE.CM-01.05 CRI Profile v2.0: DE.CM-01.06 FNCDP v2.0: DE.CM-1 FNCDP v2.0: DE.CM-4 FNCDP v2.0: DE.CM-5 FNCDP v2.0: DE.CM-7 SP 800-53 Rev 5.1.1: AC-02 SP 800-53 Rev 5.1.1: AU-12 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CM-03 SP 800-53 Rev 5.1.1: SC-05 SP 800-53 Rev 5.1.1: SC-07 SP 800-53 Rev 5.1.1: SI-04 |
107 | DE | CM | 02 | DE.CM-02: L'ambiente fisico è monitorato per individuare eventi potenzialmente avversi. | CCMv4.0: DCS-09 CCMv4.0: DCS-10 CCMv4.0: DCS-14 CCMv4.0: LOG-01 CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: LOG-08 CCMv4.0: LOG-12 CCMv4.0: TVM-10 CRI Profile v2.0: DE.CM-02 CRI Profile v2.0: DE.CM-02.01 FNCDP v2.0: DE.CM-2 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: PE-03 SP 800-53 Rev 5.1.1: PE-06 SP 800-53 Rev 5.1.1: PE-20 |
108 | DE | CM | 03 | DE.CM-03: L'attività del personale e l'utilizzo della tecnologia, sono monitorati per individuare eventi potenzialmente avversi. | CCMv4.0: LOG-01 CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: LOG-08 CCMv4.0: TVM-10 CIS Controls v8.0: 10.7 CRI Profile v2.0: DE.CM-03 CRI Profile v2.0: DE.CM-03.01 CRI Profile v2.0: DE.CM-03.02 CRI Profile v2.0: DE.CM-03.03 FNCDP v2.0: DE.CM-3 FNCDP v2.0: DE.CM-7 SP 800-53 Rev 5.1.1: AC-02 SP 800-53 Rev 5.1.1: AU-12 SP 800-53 Rev 5.1.1: AU-13 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CM-10 SP 800-53 Rev 5.1.1: CM-11 |
109 | DE | CM | 06 | DE.CM-06: Le attività e i servizi dei fornitori di servizi esterni sono monitorati per individuare eventi potenzialmente avversi. | CCMv4.0: LOG-01 CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: LOG-08 CCMv4.0: TVM-10 CIS Controls v8.0: 15.2 CIS Controls v8.0: 15.6 CRI Profile v2.0: DE.CM-06 CRI Profile v2.0: DE.CM-06.01 CRI Profile v2.0: DE.CM-06.02 FNCDP v2.0: DE.CM-6 FNCDP v2.0: DE.CM-7 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: PS-07 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SI-04 |
110 | DE | CM | 09 | DE.CM-09: L'hardware e il software di elaborazione, gli ambienti di runtime e i loro dati sono monitorati per individuare eventi potenzialmente avversi. | CCMv4.0: CCC-07 CCMv4.0: IVS-06 CCMv4.0: LOG-01 CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: LOG-08 CCMv4.0: LOG-10 CCMv4.0: LOG-11 CCMv4.0: TVM-02 CCMv4.0: TVM-10 CCMv4.0: UEM-09 CCMv4.0: UEM-10 CCMv4.0: UEM-11 CIS Controls v8.0: 10.1 CRI Profile v2.0: DE.CM-09 CRI Profile v2.0: DE.CM-09.01 CRI Profile v2.0: DE.CM-09.02 CRI Profile v2.0: DE.CM-09.03 FNCDP v2.0: PR.DS-6 FNCDP v2.0: PR.DS-8 FNCDP v2.0: DE.CM-4 FNCDP v2.0: DE.CM-5 FNCDP v2.0: DE.CM-7 SP 800-53 Rev 5.1.1: AC-04 SP 800-53 Rev 5.1.1: AC-09 SP 800-53 Rev 5.1.1: AU-12 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CM-03 SP 800-53 Rev 5.1.1: CM-06 SP 800-53 Rev 5.1.1: CM-10 SP 800-53 Rev 5.1.1: CM-11 SP 800-53 Rev 5.1.1: SC-34 SP 800-53 Rev 5.1.1: SC-35 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SI-07 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
111 | DE | AE | Analisi degli eventi avversi (DE.AE): Anomalie, indicatori di compromissione e altri eventi potenzialmente avversi sono analizzati per caratterizzare gli eventi e rilevare gli incidenti di cybersecurity. | CRI Profile v2.0: DE.AE FNCDP v2.0: DE.AE FNCDP v2.0: DE.DP-2 | |
112 | DE | AE | 02 | DE.AE-02: Gli eventi potenzialmente avversi sono analizzati per meglio comprenderne le attività associate. | CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: SEF-05 CCMv4.0: SEF-06 CCMv4.0: UEM-09 CIS Controls v8.0: 8.11 CRI Profile v2.0: DE.AE-02 CRI Profile v2.0: DE.AE-02.01 CRI Profile v2.0: DE.AE-02.02 FNCDP v2.0: DE.AE-2 SP 800-53 Rev 5.1.1: AU-06 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: SI-04 |
113 | DE | AE | 03 | DE.AE-03: Le informazioni sono correlate da più fonti. | CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: SEF-05 CRI Profile v2.0: DE.AE-03 CRI Profile v2.0: DE.AE-03.01 CRI Profile v2.0: DE.AE-03.02 FNCDP v2.0: DE.AE-3 SP 800-53 Rev 5.1.1: AU-06 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: PM-16 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-05 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: SI-04 |
114 | DE | AE | 04 | DE.AE-04: L'impatto e la portata stimati degli eventi avversi sono compresi. | CCMv4.0: LOG-03 CCMv4.0: SEF-05 CCMv4.0: SEF-06 CRI Profile v2.0: DE.AE-04 CRI Profile v2.0: DE.AE-04.01 FNCDP v2.0: DE.AE-4 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-11 SP 800-53 Rev 5.1.1: PM-18 SP 800-53 Rev 5.1.1: PM-28 SP 800-53 Rev 5.1.1: PM-30 |
115 | DE | AE | 06 | DE.AE-06: Le informazioni sugli eventi avversi sono fornite al personale e agli strumenti autorizzati. | CCMv4.0: CCC-07 CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: LOG-13 CCMv4.0: SEF-05 CCMv4.0: SEF-06 CRI Profile v2.0: DE.AE-06 CRI Profile v2.0: DE.AE-06.01 FNCDP v2.0: DE.DP-4 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: PM-15 SP 800-53 Rev 5.1.1: PM-16 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-10 |
116 | DE | AE | 07 | DE.AE-07: La cyber threat intelligence e le altre informazioni contestuali sono integrate nell'analisi. | CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: SEF-06 CRI Profile v2.0: DE.AE-07 CRI Profile v2.0: DE.AE-07.01 CRI Profile v2.0: DE.AE-07.02 FNCDP v2.0: DE.AE-3 SP 800-53 Rev 5.1.1: PM-16 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-10 |
117 | DE | AE | 08 | DE.AE-08: Gli incidenti sono dichiarati quando gli eventi avversi soddisfano i criteri definiti per gli incidenti. | CCMv4.0: LOG-03 CCMv4.0: LOG-05 CCMv4.0: SEF-02 CCMv4.0: SEF-06 CCMv4.0: SEF-07 CRI Profile v2.0: DE.AE-08 CRI Profile v2.0: DE.AE-08.01 FNCDP v2.0: DE.AE-5 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-08 |
118 | RS | RESPOND (RS): Sono intraprese azioni in risposta a un incidente di cybersecurity rilevato. | CRI Profile v2.0: RS FNCDP v2.0: RS | ||
119 | RS | MA | Gestione degli incidenti (RS.MA): Le risposte agli incidenti di cybersecurity rilevati sono gestite. | CRI Profile v2.0: RS.MA FNCDP v2.0: RS.RP SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-07 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: IR-09 | |
120 | RS | MA | 01 | RS.MA-01: Il piano di risposta agli incidenti è eseguito in coordinamento con le terze parti interessate una volta dichiarato un incidente. | CCMv4.0: BCR-07 CCMv4.0: IVS-09 CCMv4.0: SEF-01 CCMv4.0: SEF-03 CCMv4.0: SEF-07 CIS Controls v8.0: 17.4 CRI Profile v2.0: RS.MA-01 CRI Profile v2.0: RS.MA-01.01 FNCDP v2.0: RS.RP-1 FNCDP v2.0: RS.CO-4 SP 800-53 Rev 5.1.1: IR-06 SP 800-53 Rev 5.1.1: IR-07 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-08 GDPR - Art. 33 |
121 | RS | MA | 02 | RS.MA-02: I report sugli incidenti sono sottoposti a triage e convalidati. | CCMv4.0: SEF-06 CRI Profile v2.0: RS.MA-02 CRI Profile v2.0: RS.MA-02.01 FNCDP v2.0: RS.AN-1 FNCDP v2.0: RS.AN-2 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-05 SP 800-53 Rev 5.1.1: IR-06 |
122 | RS | MA | 03 | RS.MA-03: Gli incidenti sono categorizzati e prioritizzati. | CCMv4.0: SEF-02 CCMv4.0: SEF-06 CRI Profile v2.0: RS.MA-03 CRI Profile v2.0: RS.MA-03.01 FNCDP v2.0: RS.AN-4 FNCDP v2.0: RS.AN-2 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-05 SP 800-53 Rev 5.1.1: IR-06 |
123 | RS | MA | 04 | RS.MA-04: Gli incidenti sono scalati (assegnati a meccanismi di risposta con risorse crescenti) o elevati (passati in gestione a un livello superiore) a seconda delle necessità. | CCMv4.0: SEF-02 CRI Profile v2.0: RS.MA-04 CRI Profile v2.0: RS.MA-04.01 FNCDP v2.0: RS.AN-2 FNCDP v2.0: RS.CO-4 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-05 SP 800-53 Rev 5.1.1: IR-06 SP 800-53 Rev 5.1.1: IR-07 |
124 | RS | MA | 05 | RS.MA-05: Sono applicati i criteri per l'avvio del ripristino dagli incidenti. | CCMv4.0: SEF-02 CIS Controls v8.0: 17.9 CRI Profile v2.0: RS.MA-05 CRI Profile v2.0: RS.MA-05.01 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-08 |
125 | RS | AN | Analisi degli incidenti (RS.AN): Sono condotte indagini per garantire una risposta efficace e supportare le attività forensi e di ripristino. | CRI Profile v2.0: RS.AN FNCDP v2.0: RS.AN | |
126 | RS | AN | 03 | RS.AN-03: È eseguita un'analisi per stabilire cosa è avvenuto durante un incidente e la causa principale dell'incidente. | CCMv4.0: SEF-06 CIS Controls v8.0: 17.8 CRI Profile v2.0: RS.AN-03 CRI Profile v2.0: RS.AN-03.01 FNCDP v2.0: RS.AN-3 SP 800-53 Rev 5.1.1: AU-07 SP 800-53 Rev 5.1.1: IR-04 |
127 | RS | AN | 06 | RS.AN-06: Le azioni eseguite durante un'investigazione sono registrate e l'integrità e la provenienza delle registrazioni sono preservate. | CRI Profile v2.0: RS.AN-06 CRI Profile v2.0: RS.AN-06.01 FNCDP v2.0: RS.AN-3 SP 800-53 Rev 5.1.1: AU-07 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-06 |
128 | RS | AN | 07 | RS.AN-07: I dati e i metadati degli incidenti sono raccolti e la loro integrità e provenienza sono preservate. | CRI Profile v2.0: RS.AN-07 CRI Profile v2.0: RS.AN-07.01 SP 800-53 Rev 5.1.1: AU-07 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-06 |
129 | RS | AN | 08 | RS.AN-08: La magnitudo di un incidente è stimata e convalidata. | CRI Profile v2.0: RS.AN-08 CRI Profile v2.0: RS.AN-08.01 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-07 |
130 | RS | CO | Segnalazione e comunicazione della risposta agli incidenti (RS.CO): Le attività di risposta sono coordinate con gli stakeholder interni ed esterni come richiesto da leggi, regolamenti o politiche. | CRI Profile v2.0: RS.CO FNCDP v2.0: RS.CO | |
131 | RS | CO | 02 | RS.CO-02: Gli stakeholder interni ed esterni sono informati degli incidenti. | CCMv4.0: DSP-18 CCMv4.0: SEF-02 CCMv4.0: SEF-07 CCMv4.0: SEF-08 CIS Controls v8.0: 17.2 CRI Profile v2.0: RS.CO-02 CRI Profile v2.0: RS.CO-02.01 CRI Profile v2.0: RS.CO-02.02 CRI Profile v2.0: RS.CO-02.03 FNCDP v2.0: RS.CO-2 FNCDP v2.0: RS.CO-3 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-06 SP 800-53 Rev 5.1.1: IR-07 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-08 |
132 | RS | CO | 03 | RS.CO-03: Le informazioni sono condivise con gli stakeholder interni ed esterni designati. | CCMv4.0: BCR-07 CCMv4.0: DSP-18 CCMv4.0: SEF-07 CCMv4.0: SEF-08 CIS Controls v8.0: 17.2 CRI Profile v2.0: RS.CO-03 CRI Profile v2.0: RS.CO-03.01 CRI Profile v2.0: RS.CO-03.02 FNCDP v2.0: RS.CO-3 FNCDP v2.0: RS.CO-5 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-06 SP 800-53 Rev 5.1.1: IR-07 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-08 |
133 | RS | CO | 06 | DP-RS.CO-06: Gli incidenti che si configurano come violazioni di dati personali sono documentati ed eventualmente vengono informate le autorità di riferimento e gli interessati. | FNCDP v2.0: DP-RS.CO-6 GDPR - Artt. 33, 34 ISO/IEC 29100:2011 5.10 ISO/IEC 291510:2017 A.11 ISO/IEC 27018:2014 A.9.1 ISO/IEC 27001:2013 A.16 Misure Minime AgID ABSC |
134 | RS | MI | Mitigazione degli incidenti (RS.MI): Sono eseguite attività per prevenire l'espansione di un evento e mitigarne gli effetti. | CRI Profile v2.0: RS.MI FNCDP v2.0: RS.MI | |
135 | RS | MI | 01 | RS.MI-01: Gli incidenti vengono contenuti. | CCMv4.0: CEK-19 CCMv4.0: CEK-20 CCMv4.0: IVS-09 CCMv4.0: SEF-02 CCMv4.0: UEM-09 CRI Profile v2.0: RS.MI-01 CRI Profile v2.0: RS.MI-01.01 FNCDP v2.0: RS.MI-1 SP 800-53 Rev 5.1.1: IR-04 |
136 | RS | MI | 02 | RS.MI-02: Gli incidenti vengono eradicati. | CCMv4.0: CEK-19 CCMv4.0: IVS-09 CCMv4.0: SEF-02 CCMv4.0: SEF-06 CRI Profile v2.0: RS.MI-02 CRI Profile v2.0: RS.MI-02.01 FNCDP v2.0: RS.MI-2 SP 800-53 Rev 5.1.1: IR-04 |
137 | RC | RECOVER (RC): Gli asset e le operazioni interessati da un incidente di cybersecurity sono ripristinati. | CRI Profile v2.0: RC FNCDP v2.0: RC | ||
138 | RC | RP | Esecuzione del piano di ripristino dagli incidenti (RC.RP): Le attività di ripristino sono eseguite per garantire la disponibilità operativa dei sistemi e dei servizi interessati da incidenti di cybersecurity. | CRI Profile v2.0: RC.RP FNCDP v2.0: RC.RP SP 800-53 Rev 5.1.1: CP-04 SP 800-53 Rev 5.1.1: CP-10 | |