| A | B | C | D | E | |
|---|---|---|---|---|---|
1 | Framework Nazionale per la Cybersecurity e la Data Protection Edizione 2025 - v2.1.0 | ||||
2 | Per creare una copia di questo documento è necessario essere autenticati con un utenza Google valida. In alternativa è possibile scaricare una copia in vari formati dal menù "File" | ||||
3 | Function | Category | Subcategory | Descrizione | Informative References |
4 | GV | GOVERN (GV): La strategia di gestione del rischio di cybersecurity dell'organizzazione, i suoi obiettivi e le relative policy sono stabilite, comunicate e monitorate. | CRI Profile v2.0: GV FNCDP v2.0: ID.GV SP 800-221A: GV.PO | ||
5 | GV | OC | Contesto organizzativo (GV.OC): Il contesto - missione, aspettative degli stakeholder, dipendenze e requisiti legali, normativi e contrattuali - che influisce sulle decisioni di gestione del rischio di cybersecurity dell'organizzazione è compreso. | CRI Profile v2.0: GV.OC FNCDP v2.0: ID.BE SP 800-221A: GV.CT SP 800-221A: GV.CT-5 | |
6 | GV | OC | 01 | GV.OC-01: La missione dell'organizzazione è compresa e informa la gestione del rischio di cybersecurity. | CCMv4.0: BCR-01 CCMv4.0: BCR-07 CRI Profile v2.0: GV.OC-01 CRI Profile v2.0: GV.OC-01.01 FNCDP v2.0: ID.BE-2 FNCDP v2.0: ID.BE-3 SP 800-221A: GV.CT-5 SP 800-221A: GV.CT-3 SP 800-53 Rev 5.1.1: PM-11 |
7 | GV | OC | 02 | GV.OC-02: Gli stakeholder interni ed esterni sono noti e le loro esigenze e aspettative riguardo la gestione del rischio di cybersecurity sono comprese e considerate. | CCMv4.0: STA-08 CCMv4.0: STA-13 CRI Profile v2.0: GV.OC-02 CRI Profile v2.0: GV.OC-02.01 CRI Profile v2.0: GV.OC-02.02 CRI Profile v2.0: GV.OC-02.03 FNCDP v2.0: ID.SC-2 FNCDP v2.0: ID.GV-2 SP 800-218: PO.2.1 SP 800-221A: GV.OV-2 SP 800-221A: GV.CT-2 SP 800-221A: GV.CT-3 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-18 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-05 SP 800-53 Rev 5.1.1: SR-06 SP 800-53 Rev 5.1.1: SR-08 |
8 | GV | OC | 03 | GV.OC-03: I requisiti legali, normativi e contrattuali riguardanti la cybersecurity, compresi gli obblighi in materia di privacy e libertà civili, sono compresi e gestiti. | CCMv4.0: CEK-12 CCMv4.0: CEK-13 CCMv4.0: CEK-14 CCMv4.0: CEK-15 CCMv4.0: CEK-16 CCMv4.0: CEK-17 CCMv4.0: CEK-18 CCMv4.0: CEK-19 CCMv4.0: CEK-20 CCMv4.0: CEK-21 CCMv4.0: DSP-01 CCMv4.0: DSP-10 CCMv4.0: DSP-11 CCMv4.0: DSP-12 CCMv4.0: DSP-16 CCMv4.0: DSP-18 CCMv4.0: GRC-07 CCMv4.0: HRS-13 CCMv4.0: STA-05 CCMv4.0: STA-13 CRI Profile v2.0: GV.OC-03 CRI Profile v2.0: GV.OC-03.01 CRI Profile v2.0: GV.OC-03.02 FNCDP v2.0: ID.GV-3 D.Lgs. 30/6/2003 n. 196 Art. 2-ter D.Lgs. 30/6/2003 n. 196 Art. 2-quater D.Lgs. 30/6/2003 n. 196 Art. 2-quinquies D.Lgs. 30/6/2003 n. 196 Art. 2-sexies D.Lgs. 30/6/2003 n. 196 Art. 2-septies D.Lgs. 30/6/2003 n. 196 Art. 2-octies D.Lgs. 30/6/2003 n. 196 Art. 2-novies D.Lgs. 30/6/2003 n. 196 Art. 2-decies GDPR - Art. 5 GDPR - Art. 6 GDPR - Art. 7 GDPR - Art. 8 GDPR - Art. 9 GDPR - Art. 10 GDPR - Art. 11 ISO/IEC 29100:2011 4.5.1 ISO/IEC 29100:2011 5.3 SP 800-218: PO.1.1 SP 800-218: PO.1.2 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 SP 800-53 Rev 5.1.1: PM-28 SP 800-53 Rev 5.1.1: PT |
9 | GV | OC | 04 | GV.OC-04: Gli obiettivi, le capacità e i servizi critici dai quali gli stakeholder dipendono o che si aspettano dall'organizzazione sono compresi e comunicati. | CCMv4.0: BCR-01 CCMv4.0: BCR-02 CCMv4.0: BCR-03 CCMv4.0: BCR-11 CCMv4.0: IVS-02 CCMv4.0: STA-05 CRI Profile v2.0: GV.OC-04 CRI Profile v2.0: GV.OC-04.01 CRI Profile v2.0: GV.OC-04.02 CRI Profile v2.0: GV.OC-04.03 CRI Profile v2.0: GV.OC-04.04 FNCDP v2.0: ID.BE-4 FNCDP v2.0: ID.BE-5 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: PM-08 SP 800-53 Rev 5.1.1: PM-11 SP 800-53 Rev 5.1.1: CP-02(08) SP 800-53 Rev 5.1.1: PM-30(01) SP 800-53 Rev 5.1.1: RA-09 |
10 | GV | OC | 05 | GV.OC-05: I risultati, le capacità e i servizi dai quali l'organizzazione dipende sono compresi e comunicati. | CCMv4.0: BCR-11 CCMv4.0: STA-01 CCMv4.0: STA-04 CRI Profile v2.0: GV.OC-05 CRI Profile v2.0: GV.OC-05.01 CRI Profile v2.0: GV.OC-05.02 CRI Profile v2.0: GV.OC-05.03 CRI Profile v2.0: GV.OC-05.04 FNCDP v2.0: ID.BE-1 FNCDP v2.0: ID.BE-4 SP 800-221A: GV.CT-5 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: PM-11 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-05 |
11 | GV | RM | Strategia di gestione del rischio (GV.RM): Le priorità, i vincoli, le dichiarazioni sulla tolleranza e la propensione al rischio, e le assunzioni dell'organizzazione sono stabilite, comunicate e utilizzate per supportare le decisioni sul rischio operativo. | CRI Profile v2.0: GV.RM FNCDP v2.0: ID.RM SP 800-221A: GV.BE-3 | |
12 | GV | RM | 01 | GV.RM-01: Gli obiettivi di gestione del rischio sono stabiliti e accettati dagli stakeholder dell'organizzazione. | CCMv4.0: GRC-02 CCMv4.0: CEK-07 CRI Profile v2.0: GV.RM-01 CRI Profile v2.0: GV.RM-01.01 CRI Profile v2.0: GV.RM-01.02 CRI Profile v2.0: GV.RM-01.03 CRI Profile v2.0: GV.RM-01.04 CRI Profile v2.0: GV.RM-01.05 FNCDP v2.0: ID.RM-1 SP 800-221A: GV.RR-2 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SR-02 |
13 | GV | RM | 02 | GV.RM-02: Le dichiarazioni sulla tolleranza e la propensione al rischio sono stabilite, comunicate e mantenute. | CCMv4.0: GRC-02 CCMv4.0: BCR-03 CCMv4.0: IVS-08 CRI Profile v2.0: GV.RM-02 CRI Profile v2.0: GV.RM-02.01 CRI Profile v2.0: GV.RM-02.02 CRI Profile v2.0: GV.RM-02.03 FNCDP v2.0: ID.RM-2 FNCDP v2.0: ID.RM-3 SP 800-221A: GV.BE-1 SP 800-221A: GV.BE-3 SP 800-53 Rev 5.1.1: PM-09 |
14 | GV | RM | 03 | GV.RM-03: Le attività e gli esiti della gestione del rischio di cybersecurity sono parte integrante dei processi di gestione del rischio dell'organizzazione. | CCMv4.0: GRC-02 CCMv4.0: A&A-03 CRI Profile v2.0: GV.RM-03 CRI Profile v2.0: GV.RM-03.01 CRI Profile v2.0: GV.RM-03.02 CRI Profile v2.0: GV.RM-03.03 CRI Profile v2.0: GV.RM-03.04 FNCDP v2.0: ID.GV-4 SP 800-221A: GV.PO-2 SP 800-221A: GV.PO-3 SP 800-53 Rev 5.1.1: PM-03 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SR-02 |
15 | GV | RM | 04 | GV.RM-04: È stabilita e comunicata la direzione strategica che descrive le opzioni appropriate di risposta al rischio. | CCMv4.0: GRC-02 CCMv4.0: BCR-03 CCMv4.0: STA-01 CRI Profile v2.0: GV.RM-04 CRI Profile v2.0: GV.RM-04.01 FNCDP v2.0: ID.RM-2 SP 800-221A: GV.BE-1 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-28 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: SR-02 |
16 | GV | RM | 05 | GV.RM-05: Sono stabiliti canali di comunicazione in tutta l'organizzazione per il rischio di cybersecurity, incluso il rischio derivante dai fornitori e da altre terze parti. | CCMv4.0: GRC-02 CCMv4.0: STA-01 CCMv4.0: STA-08 CRI Profile v2.0: GV.RM-05 CRI Profile v2.0: GV.RM-05.01 CRI Profile v2.0: GV.RM-05.02 FNCDP v2.0: ID.SC-1 SP 800-221A: GV.PO-1 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-30 |
17 | GV | RM | 06 | GV.RM-06: È stabilito e comunicato un metodo standardizzato per calcolare, documentare, categorizzare e prioritizzare i rischi di cybersecurity. | CCMv4.0: GRC-02 CCMv4.0: TVM-08 CCMv4.0: IVS-08 CRI Profile v2.0: GV.RM-06 CRI Profile v2.0: GV.RM-06.01 FNCDP v2.0: ID.RM-1 SP 800-221A: GV.RR-2 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-18 SP 800-53 Rev 5.1.1: PM-28 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: RA-03 |
18 | GV | RM | 07 | GV.RM-07: Le opportunità strategiche (i.e. i rischi positivi) sono caratterizzate e incluse nelle discussioni sul rischio di cybersecurity dell'organizzazione. | CCMv4.0: GRC-02 CRI Profile v2.0: GV.RM-07 CRI Profile v2.0: GV.RM-07.01 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-18 SP 800-53 Rev 5.1.1: PM-28 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: RA-03 |
19 | GV | RR | Ruoli, responsabilità e correlati poteri (GV.RR): Sono stabiliti e comunicati i ruoli, le responsabilità e i correlati poteri in materia di cybersecurity per promuovere l'accountability, la valutazione delle prestazioni e il miglioramento continuo. | CRI Profile v2.0: GV.RR FNCDP v2.0: ID.GV-2 SP 800-218: PO.2.1 SP 800-221A: GV.OV-2 | |
20 | GV | RR | 01 | GV.RR-01: Gli organi di amministrazione e direttivi sono responsabili e rispondono (accountable) per il rischio di cybersecurity e promuovono una cultura consapevole del rischio, etica e in continuo miglioramento. | CCMv4.0: HRS-09 CCMv4.0: HRS-13 CIS Controls v8.0: 14.1 CRI Profile v2.0: GV.RR-01 CRI Profile v2.0: GV.RR-01.01 CRI Profile v2.0: GV.RR-01.02 CRI Profile v2.0: GV.RR-01.03 CRI Profile v2.0: GV.RR-01.04 CRI Profile v2.0: GV.RR-01.05 SP 800-218: PO.2.3 SP 800-53 Rev 5.1.1: PM-02 SP 800-53 Rev 5.1.1: PM-19 SP 800-53 Rev 5.1.1: PM-23 SP 800-53 Rev 5.1.1: PM-24 SP 800-53 Rev 5.1.1: PM-29 |
21 | GV | RR | 02 | GV.RR-02: I ruoli, le responsabilità e i correlati poteri relativi alla gestione del rischio di cybersecurity sono stabiliti, comunicati, compresi e applicati. | CCMv4.0: CEK-02 CCMv4.0: GRC-06 CCMv4.0: HRS-02 CCMv4.0: HRS-03 CCMv4.0: HRS-06 CCMv4.0: HRS-08 CCMv4.0: HRS-09 CCMv4.0: HRS-13 CCMv4.0: SEF-08 CCMv4.0: STA-02 CCMv4.0: STA-04 CCMv4.0: UEM-14 CIS Controls v8.0: 14.9 CRI Profile v2.0: GV.RR-02 CRI Profile v2.0: GV.RR-02.01 CRI Profile v2.0: GV.RR-02.02 CRI Profile v2.0: GV.RR-02.03 CRI Profile v2.0: GV.RR-02.04 CRI Profile v2.0: GV.RR-02.05 CRI Profile v2.0: GV.RR-02.06 CRI Profile v2.0: GV.RR-02.07 FNCDP v2.0: ID.AM-6 FNCDP v2.0: ID.GV-2 FNCDP v2.0: DE.DP-1 SP 800-218: PO.2.1 SP 800-221A: GV.RR-1 SP 800-221A: GV.RR-2 SP 800-221A: GV.OV-2 SP 800-53 Rev 5.1.1: PM-02 SP 800-53 Rev 5.1.1: PM-13 SP 800-53 Rev 5.1.1: PM-19 SP 800-53 Rev 5.1.1: PM-23 SP 800-53 Rev 5.1.1: PM-24 SP 800-53 Rev 5.1.1: PM-29 |
22 | GV | RR | 03 | GV.RR-03: Sono allocate risorse adeguate, in misura commisurata alla strategia di gestione del rischio di cybersecurity, ai ruoli, alle responsabilità e alle politiche. | CRI Profile v2.0: GV.RR-03 CRI Profile v2.0: GV.RR-03.01 CRI Profile v2.0: GV.RR-03.02 CRI Profile v2.0: GV.RR-03.03 FNCDP v2.0: ID.RM-1 SP 800-221A: GV.RR-2 SP 800-53 Rev 5.1.1: PM-03 |
23 | GV | RR | 04 | GV.RR-04: La cybersecurity è inclusa nelle pratiche delle risorse umane. | CCMv4.0: HRS-01 CCMv4.0: HRS-05 CCMv4.0: HRS-06 CCMv4.0: HRS-07 CCMv4.0: HRS-08 CCMv4.0: HRS-10 CCMv4.0: IAM-07 CIS Controls v8.0: 6.1 CIS Controls v8.0: 6.2 CRI Profile v2.0: GV.RR-04 CRI Profile v2.0: GV.RR-04.01 CRI Profile v2.0: GV.RR-04.02 CRI Profile v2.0: GV.RR-04.03 FNCDP v2.0: PR.IP-11 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-53 Rev 5.1.1: PM-13 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PS-07 SP 800-53 Rev 5.1.1: PS-09 |
24 | GV | RR | 05 | DP-GV.RR-05: I ruoli, le responsabilità e i correlati poteri inerenti al trattamento e la protezione dei dati personali sono stabiliti, comunicati, compresi e applicati. | D.Lgs. 30/6/2003 n. 196 Artt. 2-quaterdecies D.Lgs. 30/6/2003 n. 196 Artt. 2-quinquiesdecies D.Lgs. 30/6/2003 n. 196 Artt. 2-sexiesdecies FNCDP v2.0: DP-ID.AM-7 GDPR - Artt. 24 GDPR - Artt. 26 GDPR - Artt. 27 GDPR - Artt. 28 GDPR - Artt. 29 GDPR - Artt. 37 GDPR - Artt. 38 GDPR - Artt. 39 ISO/IEC 29100:2011 4.2 ISO/IEC 29100:2011 4.3 ISO/IEC 29100:2011 5.10 |
25 | GV | PO | Politica (GV.PO): La politica di cybersecurity dell'organizzazione è stabilita, comunicata e applicata. | CRI Profile v2.0: GV.PO FNCDP v2.0: ID.GV-1 SP 800-221A: GV.PO-1 | |
26 | GV | PO | 01 | GV.PO-01: La politica per la gestione del rischio di cybersecurity è stabilita in base al contesto organizzativo, alla strategia di cybersecurity e alle priorità, ed è comunicata e applicata. | CCMv4.0: A&A-01 CCMv4.0: AIS-01 CCMv4.0: BCR-01 CCMv4.0: CCC-01 CCMv4.0: CEK-01 CCMv4.0: DCS-01 CCMv4.0: DCS-02 CCMv4.0: DCS-03 CCMv4.0: DCS-04 CCMv4.0: DSP-01 CCMv4.0: GRC-01 CCMv4.0: HRS-01 CCMv4.0: HRS-02 CCMv4.0: HRS-03 CCMv4.0: HRS-04 CCMv4.0: HRS-09 CCMv4.0: IAM-01 CCMv4.0: IAM-02 CCMv4.0: IPY-01 CCMv4.0: IVS-01 CCMv4.0: LOG-01 CCMv4.0: SEF-01 CCMv4.0: SEF-02 CCMv4.0: STA-01 CCMv4.0: TVM-01 CCMv4.0: TVM-02 CCMv4.0: UEM-01 CCMv4.0: UEM-05 CRI Profile v2.0: GV.PO-01 CRI Profile v2.0: GV.PO-01.01 CRI Profile v2.0: GV.PO-01.02 CRI Profile v2.0: GV.PO-01.03 CRI Profile v2.0: GV.PO-01.04 CRI Profile v2.0: GV.PO-01.05 CRI Profile v2.0: GV.PO-01.06 CRI Profile v2.0: GV.PO-01.07 CRI Profile v2.0: GV.PO-01.08 FNCDP v2.0: ID.GV-1 SP 800-221A: GV.PO-1 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 |
27 | GV | PO | 02 | GV.PO-02: La politica per la gestione del rischio di cybersecurity è revisionata, aggiornata, comunicata e applicata per riflettere i cambiamenti nei requisiti, nelle minacce, nella tecnologia e nella missione dell'organizzazione. | CCMv4.0: A&A-01 CCMv4.0: AIS-01 CCMv4.0: BCR-01 CCMv4.0: CCC-01 CCMv4.0: CEK-01 CCMv4.0: DCS-01 CCMv4.0: DCS-02 CCMv4.0: DCS-03 CCMv4.0: DCS-04 CCMv4.0: DSP-01 CCMv4.0: GRC-01 CCMv4.0: GRC-03 CCMv4.0: HRS-01 CCMv4.0: HRS-02 CCMv4.0: HRS-03 CCMv4.0: HRS-04 CCMv4.0: IAM-01 CCMv4.0: IAM-02 CCMv4.0: IPY-01 CCMv4.0: IVS-01 CCMv4.0: LOG-01 CCMv4.0: SEF-01 CCMv4.0: SEF-02 CCMv4.0: STA-01 CCMv4.0: TVM-01 CCMv4.0: TVM-02 CCMv4.0: UEM-01 CCMv4.0: UEM-05 CRI Profile v2.0: GV.PO-02 CRI Profile v2.0: GV.PO-02.01 FNCDP v2.0: ID.GV-1 SP 800-221A: GV.PO-1 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 |
28 | GV | OV | Supervisione (GV.OV): I risultati delle attività di gestione del rischio di cybersecurity che interessano l'intera organizzazione e le relative prestazioni sono utilizzati per informare, migliorare e adeguare la strategia di gestione del rischio. | CRI Profile v2.0: GV.OV | |
29 | GV | OV | 01 | GV.OV-01: I risultati della strategia di gestione del rischio di cybersecurity sono revisionati per informare e adeguare la strategia e la direzione. | CRI Profile v2.0: GV.OV-01 CRI Profile v2.0: GV.OV-01.01 CRI Profile v2.0: GV.OV-01.02 CRI Profile v2.0: GV.OV-01.03 SP 800-221A: GV.AD-3 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-18 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: PM-31 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SR-06 |
30 | GV | OV | 02 | GV.OV-02: La strategia di gestione del rischio di cybersecurity è revisionata e adeguata per garantire la copertura dei requisiti e dei rischi dell'organizzazione. | CRI Profile v2.0: GV.OV-02 CRI Profile v2.0: GV.OV-02.01 CRI Profile v2.0: GV.OV-02.02 SP 800-221A: GV.AD-2 SP 800-221A: GV.AD-3 SP 800-221A: MA.RM-8 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-19 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: PM-31 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SR-06 |
31 | GV | OV | 03 | GV.OV-03: Le prestazioni relative alla gestione del rischio di cybersecurity dell'organizzazione sono valutate e revisionate per gli adeguamenti necessari. | CCMv4.0: AIS-03 CRI Profile v2.0: GV.OV-03 CRI Profile v2.0: GV.OV-03.01 CRI Profile v2.0: GV.OV-03.02 SP 800-221A: GV.OV-2 SP 800-221A: MA.RM-2 SP 800-53 Rev 5.1.1: PM-04 SP 800-53 Rev 5.1.1: PM-06 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SR-06 |
32 | GV | SC | Gestione del rischio di cybersecurity della catena di approvvigionamento (GV.SC): I processi di gestione del rischio di cybersecurity della catena di approvvigionamento sono identificati, stabiliti, gestiti, monitorati e migliorati dagli stakeholder dell'organizzazione. | CRI Profile v2.0: GV.SC FNCDP v2.0: ID.SC SP 800-221A: GV.OV-4 | |
33 | GV | SC | 01 | GV.SC-01: Sono stabiliti e accettati dagli stakeholder dell'organizzazione il programma, la strategia, gli obiettivi, le politiche e i processi di gestione del rischio di cybersecurity della catena di approvvigionamento. | CCMv4.0: STA-01 CCMv4.0: STA-06 CCMv4.0: STA-08 CIS Controls v8.0: 15.2 CRI Profile v2.0: GV.SC-01 CRI Profile v2.0: GV.SC-01.01 CRI Profile v2.0: GV.SC-01.02 FNCDP v2.0: ID.SC-1 SP 800-221A: GV.PO-1 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: SR-02 SP 800-53 Rev 5.1.1: SR-03 |
34 | GV | SC | 02 | GV.SC-02: I ruoli e le responsabilità in materia di cybersecurity per fornitori, clienti e partner sono stabiliti, comunicati e coordinati internamente ed esternamente. | CCMv4.0: HRS-09 CCMv4.0: HRS-10 CCMv4.0: HRS-13 CCMv4.0: IAM-11 CCMv4.0: STA-01 CCMv4.0: STA-02 CCMv4.0: STA-03 CCMv4.0: STA-04 CCMv4.0: STA-05 CCMv4.0: STA-06 CCMv4.0: STA-12 CCMv4.0: UEM-14 CIS Controls v8.0: 15.4 CRI Profile v2.0: GV.SC-02 CRI Profile v2.0: GV.SC-02.01 FNCDP v2.0: ID.AM-6 SP 800-218: PO.2.1 SP 800-221A: GV.RR-1 SP 800-221A: GV.RR-2 SP 800-53 Rev 5.1.1: SR-02 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-05 |
35 | GV | SC | 03 | GV.SC-03: La gestione del rischio di cybersecurity della catena di approvvigionamento è integrata nella gestione del rischio dell'organizzazione e di cybersecurity, nella valutazione del rischio e nei processi di miglioramento. | CCMv4.0: STA-01 CCMv4.0: STA-06 CCMv4.0: STA-08 CCMv4.0: STA-11 CCMv4.0: STA-12 CCMv4.0: UEM-14 CRI Profile v2.0: GV.SC-03 CRI Profile v2.0: GV.SC-03.01 FNCDP v2.0: ID.SC-2 SP 800-218: PW.4.1 SP 800-221A: GV.CT-2 SP 800-221A: GV.CT-3 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-18 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: PM-31 SP 800-53 Rev 5.1.1: SR-02 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-07 |
36 | GV | SC | 04 | GV.SC-04: I fornitori sono noti e prioritizzati in base alla criticità. | CCMv4.0: STA-07 CIS Controls v8.0: 15.1 CIS Controls v8.0: 15.3 CRI Profile v2.0: GV.SC-04 CRI Profile v2.0: GV.SC-04.01 FNCDP v2.0: ID.SC-2 SP 800-221A: GV.CT-2 SP 800-221A: GV.CT-3 SP 800-53 Rev 5.1.1: RA-09 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-06 |
37 | GV | SC | 05 | GV.SC-05: I requisiti per affrontare i rischi di cybersecurity nella catena di approvvigionamento sono stabiliti, prioritizzati e integrati nei contratti e in altri tipi di accordi con i fornitori e altre terze parti rilevanti. | CCMv4.0: CCC-05 CCMv4.0: CEK-08 CCMv4.0: DSP-13 CCMv4.0: DSP-14 CCMv4.0: IPY-04 CCMv4.0: STA-02 CCMv4.0: STA-03 CCMv4.0: STA-04 CCMv4.0: STA-08 CCMv4.0: STA-09 CCMv4.0: STA-12 CCMv4.0: STA-13 CCMv4.0: UEM-14 CIS Controls v8.0: 15.4 CRI Profile v2.0: EX.CN CRI Profile v2.0: EX.CN-01 CRI Profile v2.0: EX.CN-02 CRI Profile v2.0: EX.CN-01.01 CRI Profile v2.0: EX.CN-01.02 CRI Profile v2.0: EX.CN-01.03 CRI Profile v2.0: EX.CN-02.01 CRI Profile v2.0: EX.CN-02.02 CRI Profile v2.0: EX.CN-02.03 CRI Profile v2.0: EX.CN-02.04 FNCDP v2.0: ID.SC-3 SP 800-218: PO.1.3 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-05 SP 800-53 Rev 5.1.1: SR-06 SP 800-53 Rev 5.1.1: SR-10 |
38 | GV | SC | 06 | GV.SC-06: Pianificazione e due diligence sono svolte per ridurre i rischi prima di intraprendere rapporti formali con i fornitori o altre terze parti. | CCMv4.0: STA-01 CCMv4.0: STA-08 CCMv4.0: STA-11 CIS Controls v8.0: 15.5 CRI Profile v2.0: EX.DD CRI Profile v2.0: EX.DD-01 CRI Profile v2.0: EX.DD-02 CRI Profile v2.0: EX.DD-01.01 CRI Profile v2.0: EX.DD-01.02 CRI Profile v2.0: EX.DD-01.03 CRI Profile v2.0: EX.DD-02.01 CRI Profile v2.0: EX.DD-02.02 CRI Profile v2.0: EX.DD-02.03 CRI Profile v2.0: EX.DD-02.04 FNCDP v2.0: ID.SC-1 SP 800-221A: GV.PO-1 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-05 SP 800-53 Rev 5.1.1: SR-06 |
39 | GV | SC | 07 | GV.SC-07: I rischi posti da un fornitore, dai suoi prodotti e servizi e da altre terze parti sono compresi, registrati, prioritizzati, valutati, trattati e monitorati nel corso della relazione. | CCMv4.0: STA-01 CCMv4.0: STA-08 CCMv4.0: STA-10 CCMv4.0: STA-11 CCMv4.0: STA-12 CCMv4.0: STA-13 CCMv4.0: STA-14 CCMv4.0: UEM-14 CIS Controls v8.0: 15.6 CRI Profile v2.0: EX.MM CRI Profile v2.0: EX.MM-01 CRI Profile v2.0: EX.MM-02 CRI Profile v2.0: EX.MM-01.01 CRI Profile v2.0: EX.MM-01.02 CRI Profile v2.0: EX.MM-01.03 CRI Profile v2.0: EX.MM-01.04 CRI Profile v2.0: EX.MM-01.05 CRI Profile v2.0: EX.MM-01.06 CRI Profile v2.0: EX.MM-02.01 CRI Profile v2.0: EX.MM-02.02 CRI Profile v2.0: EX.MM-02.03 FNCDP v2.0: ID.SC-2 FNCDP v2.0: ID.SC-4 SP 800-218: PW.4.1 SP 800-218: PW.4.4 SP 800-221A: GV.CT-2 SP 800-221A: GV.CT-3 SP 800-221A: MA.RM-2 SP 800-221A: MA.RM-3 SP 800-53 Rev 5.1.1: RA-09 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-06 |
40 | GV | SC | 08 | GV.SC-08: I fornitori e le altre terze parti rilevanti sono inclusi nelle attività di pianificazione, risposta e ripristino relative agli incidenti. | CCMv4.0: BCR-06 CCMv4.0: BCR-07 CCMv4.0: DSP-18 CCMv4.0: SEF-03 CCMv4.0: SEF-04 CCMv4.0: SEF-07 CCMv4.0: UEM-14 CIS Controls v8.0: 15.4 CRI Profile v2.0: GV.SC-08 CRI Profile v2.0: GV.SC-08.01 FNCDP v2.0: ID.SC-5 SP 800-221A: GV.CT-3 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-02 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-08 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IR-01 |
41 | GV | SC | 09 | GV.SC-09: Le pratiche di sicurezza della catena di approvvigionamento sono integrate nei programmi di gestione del rischio di cybersecurity e dell'organizzazione e le loro prestazioni sono monitorate durante l'intero ciclo di vita dei prodotti e dei servizi tecnologici. | CCMv4.0: STA-11 CCMv4.0: STA-12 CIS Controls v8.0: 15.6 CRI Profile v2.0: GV.SC-09 CRI Profile v2.0: GV.SC-09.01 FNCDP v2.0: ID.SC-1 SP 800-221A: GV.PO-1 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-19 SP 800-53 Rev 5.1.1: PM-28 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: PM-31 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-02 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-05 SP 800-53 Rev 5.1.1: SR-06 |
42 | GV | SC | 10 | GV.SC-10: I piani di gestione del rischio di cybersecurity della catena di approvvigionamento includono le disposizioni per le attività da svolgere dopo la conclusione di un accordo di partnership o di servizio. | CCMv4.0: DSP-02 CCMv4.0: DSP-16 CCMv4.0: HRS-05 CCMv4.0: IAM-07 CCMv4.0: IPY-04 CCMv4.0: SEF-04 CIS Controls v8.0: 15.7 CRI Profile v2.0: EX.TR CRI Profile v2.0: EX.TR-01 CRI Profile v2.0: EX.TR-02 CRI Profile v2.0: EX.TR-01.01 CRI Profile v2.0: EX.TR-01.02 CRI Profile v2.0: EX.TR-01.03 CRI Profile v2.0: EX.TR-02.01 FNCDP v2.0: ID.SC-1 SP 800-221A: GV.PO-1 SP 800-53 Rev 5.1.1: PM-31 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-05 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-02 SP 800-53 Rev 5.1.1: SR-03 SP 800-53 Rev 5.1.1: SR-05 SP 800-53 Rev 5.1.1: SR-06 |
43 | ID | IDENTIFY (ID): I rischi attuali di cybersecurity dell'organizzazione sono compresi. | CRI Profile v2.0: ID FNCDP v2.0: ID | ||
44 | ID | AM | Gestione degli asset (ID.AM): Gli asset (ad esempio, dati, hardware, software, sistemi, infrastrutture, servizi, persone) che consentono all'organizzazione di raggiungere gli obiettivi di business sono identificati e gestiti in coerenza con la loro importanza rispetto agli obiettivi organizzativi e alla strategia sul rischio dell'organizzazione. | CRI Profile v2.0: ID.AM FNCDP v2.0: ID.AM SP 800-221A: MA.RI-1 | |
45 | ID | AM | 01 | ID.AM-01: Sono mantenuti gli inventari dell'hardware gestito dall'organizzazione. | CCMv4.0: CCC-04 CCMv4.0: DCS-06 CCMv4.0: DSP-19 CCMv4.0: UEM-04 CIS Controls v8.0: 1.1 CRI Profile v2.0: ID.AM-01 CRI Profile v2.0: ID.AM-01.01 FNCDP v2.0: ID.AM-1 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: CM-08 SP 800-53 Rev 5.1.1: PM-05 |
46 | ID | AM | 02 | ID.AM-02: Sono mantenuti gli inventari del software, dei servizi e dei sistemi gestiti dall'organizzazione. | CCMv4.0: CCC-04 CCMv4.0: DCS-06 CCMv4.0: DSP-19 CCMv4.0: UEM-02 CCMv4.0: UEM-04 CIS Controls v8.0: 2.1 CRI Profile v2.0: ID.AM-02 CRI Profile v2.0: ID.AM-02.01 FNCDP v2.0: ID.AM-2 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: AC-20 SP 800-53 Rev 5.1.1: CM-08 SP 800-53 Rev 5.1.1: PM-05 SP 800-53 Rev 5.1.1: SA-05 SP 800-53 Rev 5.1.1: SA-09 |
47 | ID | AM | 03 | ID.AM-03: Sono mantenute le rappresentazioni delle comunicazioni di rete e dei flussi di dati di rete interni ed esterni, autorizzati dall'organizzazione. | CCMv4.0: DSP-05 CCMv4.0: DSP-10 CCMv4.0: IPY-01 CCMv4.0: IVS-03 CCMv4.0: IVS-09 CCMv4.0: LOG-05 CIS Controls v8.0: 3.8 CRI Profile v2.0: ID.AM-03 CRI Profile v2.0: ID.AM-03.01 FNCDP v2.0: ID.AM-3 FNCDP v2.0: DE.AE-1 SP 800-53 Rev 5.1.1: AC-04 SP 800-53 Rev 5.1.1: CA-03 SP 800-53 Rev 5.1.1: CA-09 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: PL-08 SP 800-53 Rev 5.1.1: PM-07 |
48 | ID | AM | 04 | ID.AM-04: Sono mantenuti gli inventari dei servizi erogati dai fornitori. | CCMv4.0: CCC-04 CCMv4.0: DCS-06 CCMv4.0: STA-07 CCMv4.0: UEM-02 CCMv4.0: UEM-04 CIS Controls v8.0: 15.1 CRI Profile v2.0: ID.AM-04 CRI Profile v2.0: ID.AM-04.01 FNCDP v2.0: ID.AM-4 SP 800-53 Rev 5.1.1: AC-20 SP 800-53 Rev 5.1.1: SA-09 SP 800-53 Rev 5.1.1: SR-02 |
49 | ID | AM | 05 | ID.AM-05: Gli asset sono prioritizzati in base alla categorizzazione, alla criticità, alle risorse e all'impatto sulla missione. | CCMv4.0: CEK-04 CCMv4.0: DCS-05 CCMv4.0: DSP-04 CIS Controls v8.0: 3.7 CRI Profile v2.0: ID.AM-05 CRI Profile v2.0: ID.AM-05.01 CRI Profile v2.0: ID.AM-05.02 FNCDP v2.0: ID.AM-5 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-09 SP 800-53 Rev 5.1.1: RA-02 |
50 | ID | AM | 07 | ID.AM-07: Sono mantenuti gli inventari dei dati e dei relativi metadati per selezionati tipi di dati. | CCMv4.0: DSP-01 CCMv4.0: DSP-03 CCMv4.0: DSP-04 CCMv4.0: DSP-06 CCMv4.0: DSP-10 CCMv4.0: DSP-19 CCMv4.0: UEM-02 CIS Controls v8.0: 3.2 CRI Profile v2.0: ID.AM-07 CRI Profile v2.0: ID.AM-07.01 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: CM-12 SP 800-53 Rev 5.1.1: CM-13 SP 800-53 Rev 5.1.1: SI-12 |
51 | ID | AM | 08 | ID.AM-08: I sistemi, l'hardware, il software, i servizi e i dati sono gestiti durante il loro intero ciclo di vita. | CCMv4.0: AIS-02 CCMv4.0: AIS-04 CCMv4.0: AIS-05 CCMv4.0: AIS-06 CCMv4.0: AIS-07 CCMv4.0: CCC-04 CCMv4.0: CEK-14 CCMv4.0: CEK-21 CCMv4.0: DCS-01 CCMv4.0: DCS-02 CCMv4.0: DSP-02 CCMv4.0: DSP-07 CCMv4.0: DSP-16 CCMv4.0: DSP-19 CCMv4.0: HRS-05 CCMv4.0: IVS-01 CCMv4.0: LOG-02 CCMv4.0: LOG-06 CCMv4.0: UEM-03 CCMv4.0: UEM-05 CCMv4.0: UEM-09 CCMv4.0: UEM-10 CCMv4.0: UEM-11 CCMv4.0: UEM-13 CIS Controls v8.0: 1.1 CIS Controls v8.0: 3.5 CRI Profile v2.0: ID.AM-08 CRI Profile v2.0: ID.AM-08.01 CRI Profile v2.0: ID.AM-08.02 CRI Profile v2.0: ID.AM-08.03 CRI Profile v2.0: ID.AM-08.04 CRI Profile v2.0: ID.AM-08.05 CRI Profile v2.0: ID.AM-08.06 FNCDP v2.0: PR.DS-3 FNCDP v2.0: PR.IP-2 FNCDP v2.0: PR.MA-1 FNCDP v2.0: PR.MA-2 FNCDP v2.0: PR.IP-6 FNCDP v2.0: PR.DS GDPR - Art. 5 GDPR - Art. 17 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PW.4.1 SP 800-218: PW.4.4 SP 800-221A: MA.RI-1 SP 800-53 Rev 5.1.1: CM-09 SP 800-53 Rev 5.1.1: CM-13 SP 800-53 Rev 5.1.1: MA-02 SP 800-53 Rev 5.1.1: MA-06 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: PM-22 SP 800-53 Rev 5.1.1: PM-23 SP 800-53 Rev 5.1.1: SA-03 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-22 SP 800-53 Rev 5.1.1: SI-12 SP 800-53 Rev 5.1.1: SI-18 SP 800-53 Rev 5.1.1: SR-05 SP 800-53 Rev 5.1.1: SR-12 |
52 | ID | AM | 09 | DP-ID.AM-09: I trattamenti di dati personali sono identificati e catalogati | FNCDP v2.1: DP-ID.AM-8 GDPR - Art. 30 ISO/IEC 29100:2011 4.4 |
53 | ID | RA | Valutazione del rischio (Risk Assessment) (ID.RA): È compreso il rischio di cybersecurity al quale l'organizzazione, gli asset e le persone sono esposti. | CRI Profile v2.0: ID.RA FNCDP v2.0: ID.RA SP 800-221A: GV.BE-4 | |
54 | ID | RA | 01 | ID.RA-01: Le vulnerabilità negli asset sono identificate, confermate e registrate. | CCMv4.0: AIS-05 CCMv4.0: AIS-07 CCMv4.0: TVM-01 CCMv4.0: TVM-03 CCMv4.0: TVM-05 CCMv4.0: TVM-06 CCMv4.0: TVM-07 CCMv4.0: TVM-08 CCMv4.0: TVM-09 CCMv4.0: TVM-10 CIS Controls v8.0: 7.1 CRI Profile v2.0: ID.RA-01 CRI Profile v2.0: ID.RA-01.01 CRI Profile v2.0: ID.RA-01.02 CRI Profile v2.0: ID.RA-01.03 FNCDP v2.0: ID.RA-1 FNCDP v2.0: PR.IP-12 FNCDP v2.0: DE.CM-8 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-221A: MA.RI-3 SP 800-53 Rev 5.1.1: CA-02 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CA-08 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-05 SP 800-53 Rev 5.1.1: SA-11(02) SP 800-53 Rev 5.1.1: SA-15(07) SP 800-53 Rev 5.1.1: SA-15(08) SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SI-05 |
55 | ID | RA | 02 | ID.RA-02: Le informazioni di cyber threat intelligence sono ricevute da forum e fonti di condivisione delle informazioni. | CCMv4.0: GRC-08 CCMv4.0: TVM-04 CRI Profile v2.0: ID.RA-02 CRI Profile v2.0: ID.RA-02.01 CRI Profile v2.0: ID.RA-02.02 FNCDP v2.0: ID.RA-2 SP 800-221A: GV.BE-4 SP 800-53 Rev 5.1.1: SI-05 SP 800-53 Rev 5.1.1: PM-15 SP 800-53 Rev 5.1.1: PM-16 |
56 | ID | RA | 03 | ID.RA-03: Le minacce interne ed esterne all'organizzazione sono identificate e registrate. | CCMv4.0: A&A-05 CCMv4.0: TVM-05 CRI Profile v2.0: ID.RA-03 CRI Profile v2.0: ID.RA-03.01 CRI Profile v2.0: ID.RA-03.02 CRI Profile v2.0: ID.RA-03.03 CRI Profile v2.0: ID.RA-03.04 FNCDP v2.0: ID.RA-3 SP 800-221A: MA.RI-2 SP 800-53 Rev 5.1.1: PM-12 SP 800-53 Rev 5.1.1: PM-16 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: SI-05 |
57 | ID | RA | 04 | ID.RA-04: I potenziali impatti e le probabilità di sfruttamento delle vulnerabilità da parte delle minacce sono identificati e registrati. | CCMv4.0: A&A-05 CCMv4.0: BCR-02 CCMv4.0: CEK-06 CCMv4.0: CEK-07 CCMv4.0: CEK-20 CCMv4.0: TVM-09 CRI Profile v2.0: ID.RA-04 CRI Profile v2.0: ID.RA-04.01 FNCDP v2.0: ID.RA-4 SP 800-221A: MA.RI-4 SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-11 SP 800-53 Rev 5.1.1: RA-02 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-08 SP 800-53 Rev 5.1.1: RA-09 |
58 | ID | RA | 05 | ID.RA-05: Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio inerente e per informare la prioritizzazione della risposta al rischio. | CCMv4.0: A&A-05 CCMv4.0: BCR-02 CCMv4.0: CEK-07 CCMv4.0: CEK-20 CCMv4.0: TVM-01 CCMv4.0: TVM-08 CRI Profile v2.0: ID.RA-05 CRI Profile v2.0: ID.RA-05.01 CRI Profile v2.0: ID.RA-05.02 CRI Profile v2.0: ID.RA-05.03 CRI Profile v2.0: ID.RA-05.04 FNCDP v2.0: ID.RA-5 SP 800-218: PW.1.1 SP 800-221A: MA.RA-2 SP 800-53 Rev 5.1.1: PM-16 SP 800-53 Rev 5.1.1: RA-02 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-07 |
59 | ID | RA | 06 | ID.RA-06: Le risposte al rischio sono scelte, prioritizzate, pianificate, monitorate e comunicate. | CCMv4.0: A&A-05 CCMv4.0: A&A-06 CCMv4.0: AIS-07 CCMv4.0: CEK-07 CCMv4.0: TVM-01 CCMv4.0: TVM-03 CCMv4.0: TVM-08 CCMv4.0: TVM-09 CCMv4.0: TVM-10 CRI Profile v2.0: ID.RA-06 CRI Profile v2.0: ID.RA-06.01 CRI Profile v2.0: ID.RA-06.02 CRI Profile v2.0: ID.RA-06.03 CRI Profile v2.0: ID.RA-06.04 CRI Profile v2.0: ID.RA-06.05 CRI Profile v2.0: ID.RA-06.06 FNCDP v2.0: ID.RA-6 FNCDP v2.0: RS.MI-3 SP 800-218: PO.5.2 SP 800-221A: MA.RP SP 800-53 Rev 5.1.1: PM-09 SP 800-53 Rev 5.1.1: PM-18 SP 800-53 Rev 5.1.1: PM-30 SP 800-53 Rev 5.1.1: RA-07 |
60 | ID | RA | 07 | ID.RA-07: Le modifiche e le eccezioni sono gestite, valutate per il loro impatto sul rischio, registrate e tracciate. | CCMv4.0: A&A-05 CCMv4.0: AIS-06 CCMv4.0: CCC-02 CCMv4.0: CCC-03 CCMv4.0: CCC-06 CCMv4.0: CCC-08 CCMv4.0: CCC-09 CCMv4.0: CEK-05 CCMv4.0: CEK-06 CCMv4.0: GRC-04 CCMv4.0: UEM-07 CRI Profile v2.0: ID.RA-07 CRI Profile v2.0: ID.RA-07.01 CRI Profile v2.0: ID.RA-07.02 CRI Profile v2.0: ID.RA-07.03 CRI Profile v2.0: ID.RA-07.04 CRI Profile v2.0: ID.RA-07.05 FNCDP v2.0: PR.IP-3 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-221A: MA.RI-3 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CM-03 SP 800-53 Rev 5.1.1: CM-04 |
61 | ID | RA | 08 | ID.RA-08: Sono stabiliti processi per la ricezione, l'analisi e la risposta alle divulgazioni di vulnerabilità. | CCMv4.0: AIS-07 CCMv4.0: TVM-03 CCMv4.0: TVM-09 CIS Controls v8.0: 7.2 CRI Profile v2.0: ID.RA-08 CRI Profile v2.0: ID.RA-08.01 CRI Profile v2.0: ID.RA-08.02 FNCDP v2.0: RS.AN-5 SP 800-221A: MA.RI-3 SP 800-53 Rev 5.1.1: RA-05 |
62 | ID | RA | 09 | ID.RA-09: L'autenticità e l'integrità di hardware e software sono valutate prima dell'acquisizione e dell'uso. | CCMv4.0: TVM-09 CRI Profile v2.0: EX.DD-04 CRI Profile v2.0: EX.DD-04.01 CRI Profile v2.0: EX.DD-04.02 FNCDP v2.0: PR.DS-8 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-221A: MA.RI-3 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-05 SP 800-53 Rev 5.1.1: SA-10 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SA-15 SP 800-53 Rev 5.1.1: SA-17 SP 800-53 Rev 5.1.1: SI-07 SP 800-53 Rev 5.1.1: SR-05 SP 800-53 Rev 5.1.1: SR-06 SP 800-53 Rev 5.1.1: SR-10 SP 800-53 Rev 5.1.1: SR-11 |
63 | ID | RA | 10 | ID.RA-10: I fornitori critici sono valutati prima dell'acquisizione. | FNCDP v2.1: DP-ID.RA-7 GDPR - Artt. 35 GDPR - Artt. 36 ISO/IEC 29100:2011 4.5 ISO/IEC 29134:2017 |
64 | ID | RA | 11 | DP-ID.RA-11: Viene effettuata una valutazione di impatto sulla protezione dei dati personali. | FNCDP v2.0: DP-ID.RA-7 GDPR - Artt. 35 GDPR - Artt. 36 ISO/IEC 29100:2011 4.5 ISO/IEC 29134:2017 |
65 | ID | IM | Miglioramento (ID.IM): I miglioramenti ai processi, alle procedure e alle attività di gestione del rischio di cybersecurity dell'organizzazione sono identificati in tutte le funzioni del framework. | CRI Profile v2.0: ID.IM FNCDP v2.0: RS.IM FNCDP v2.0: RC.IM FNCDP v2.0: PR.IP-7 FNCDP v2.0: DE.DP-5 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-221A: MA.IM-1 | |
66 | ID | IM | 01 | ID.IM-01: Sono identificati miglioramenti in esito alle valutazioni. | CCMv4.0: A&A-02 CCMv4.0: A&A-03 CCMv4.0: A&A-04 CCMv4.0: A&A-05 CCMv4.0: CEK-09 CCMv4.0: SEF-04 CCMv4.0: SEF-05 CCMv4.0: STA-06 CCMv4.0: STA-11 CCMv4.0: STA-13 CRI Profile v2.0: ID.IM-01 CRI Profile v2.0: ID.IM-01.01 CRI Profile v2.0: ID.IM-01.02 CRI Profile v2.0: ID.IM-01.03 CRI Profile v2.0: ID.IM-01.04 CRI Profile v2.0: ID.IM-01.05 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 SP 800-53 Rev 5.1.1: CA-02 SP 800-53 Rev 5.1.1: CA-05 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CA-08 SP 800-53 Rev 5.1.1: CP-02 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-05 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SA-17(06) SP 800-53 Rev 5.1.1: SI-02 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SR-05 |
67 | ID | IM | 02 | ID.IM-02: Sono identificati miglioramenti in esito ai test e alle esercitazioni di sicurezza, compresi quelli effettuati in coordinamento con i fornitori e le terze parti interessate. | CCMv4.0: BCR-06 CCMv4.0: BCR-07 CCMv4.0: BCR-10 CCMv4.0: SEF-01 CCMv4.0: SEF-03 CCMv4.0: SEF-04 CCMv4.0: SEF-05 CCMv4.0: STA-14 CCMv4.0: TVM-06 CCMv4.0: UEM-14 CIS Controls v8.0: 17.7 CRI Profile v2.0: ID.IM-02 CRI Profile v2.0: ID.IM-02.01 CRI Profile v2.0: ID.IM-02.02 CRI Profile v2.0: ID.IM-02.03 CRI Profile v2.0: ID.IM-02.04 CRI Profile v2.0: ID.IM-02.05 CRI Profile v2.0: ID.IM-02.06 CRI Profile v2.0: ID.IM-02.07 CRI Profile v2.0: ID.IM-02.08 CRI Profile v2.0: ID.IM-02.09 FNCDP v2.0: ID.SC-5 FNCDP v2.0: PR.IP-10 FNCDP v2.0: DE.DP-3 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-221A: GV.CT-3 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 SP 800-53 Rev 5.1.1: CA-02 SP 800-53 Rev 5.1.1: CA-05 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CA-08 SP 800-53 Rev 5.1.1: CP-02 SP 800-53 Rev 5.1.1: CP-04 SP 800-53 Rev 5.1.1: IR-03 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: PM-04 SP 800-53 Rev 5.1.1: PM-31 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-05 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SI-02 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SR-05 |
68 | ID | IM | 03 | ID.IM-03: Sono identificati miglioramenti dall'esecuzione di processi, procedure e attività operativi. | CCMv4.0: A&A-01 CCMv4.0: AIS-01 CCMv4.0: AIS-03 CCMv4.0: BCR-01 CCMv4.0: CCC-01 CCMv4.0: CEK-01 CCMv4.0: DCS-01 CCMv4.0: DCS-02 CCMv4.0: DCS-03 CCMv4.0: DCS-04 CCMv4.0: DSP-01 CCMv4.0: GRC-01 CCMv4.0: HRS-01 CCMv4.0: HRS-02 CCMv4.0: HRS-03 CCMv4.0: HRS-04 CCMv4.0: IAM-01 CCMv4.0: IAM-02 CCMv4.0: IPY-01 CCMv4.0: IVS-01 CCMv4.0: LOG-01 CCMv4.0: SEF-01 CCMv4.0: SEF-02 CCMv4.0: SEF-04 CCMv4.0: STA-01 CCMv4.0: TVM-01 CCMv4.0: TVM-02 CCMv4.0: UEM-01 CRI Profile v2.0: ID.IM-03 CRI Profile v2.0: ID.IM-03.01 CRI Profile v2.0: ID.IM-03.02 FNCDP v2.0: PR.IP-7 FNCDP v2.0: PR.IP-8 FNCDP v2.0: DE.DP-5 FNCDP v2.0: RS.IM-1 FNCDP v2.0: RS.IM-2 FNCDP v2.0: RC.IM-1 FNCDP v2.0: RC.IM-2 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-221A: GV.AD-1 SP 800-221A: MA.RM-6 SP 800-221A: MA.IM-1 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AT-01 SP 800-53 Rev 5.1.1: AU-01 SP 800-53 Rev 5.1.1: CA-01 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CP-01 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IR-01 SP 800-53 Rev 5.1.1: MA-01 SP 800-53 Rev 5.1.1: MP-01 SP 800-53 Rev 5.1.1: PE-01 SP 800-53 Rev 5.1.1: PL-01 SP 800-53 Rev 5.1.1: PM-01 SP 800-53 Rev 5.1.1: PS-01 SP 800-53 Rev 5.1.1: PT-01 SP 800-53 Rev 5.1.1: RA-01 SP 800-53 Rev 5.1.1: SA-01 SP 800-53 Rev 5.1.1: SC-01 SP 800-53 Rev 5.1.1: SI-01 SP 800-53 Rev 5.1.1: SR-01 SP 800-53 Rev 5.1.1: CA-02 SP 800-53 Rev 5.1.1: CA-05 SP 800-53 Rev 5.1.1: CA-07 SP 800-53 Rev 5.1.1: CA-08 SP 800-53 Rev 5.1.1: CP-02 SP 800-53 Rev 5.1.1: IR-04 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: PM-04 SP 800-53 Rev 5.1.1: PM-31 SP 800-53 Rev 5.1.1: RA-03 SP 800-53 Rev 5.1.1: RA-05 SP 800-53 Rev 5.1.1: RA-07 SP 800-53 Rev 5.1.1: SA-04 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SI-02 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SR-05 |
69 | ID | IM | 04 | ID.IM-04: I piani di risposta agli incidenti e gli altri piani di cybersecurity che impattano le operazioni sono stabiliti, comunicati, mantenuti e migliorati. | CCMv4.0: BCR-01 CCMv4.0: BCR-04 CCMv4.0: BCR-05 CCMv4.0: BCR-09 CCMv4.0: CEK-20 CCMv4.0: SEF-01 CCMv4.0: SEF-02 CCMv4.0: SEF-03 CCMv4.0: SEF-04 CCMv4.0: SEF-05 CRI Profile v2.0: ID.IM-04 CRI Profile v2.0: ID.IM-04.01 CRI Profile v2.0: ID.IM-04.02 CRI Profile v2.0: ID.IM-04.03 CRI Profile v2.0: ID.IM-04.04 CRI Profile v2.0: ID.IM-04.05 CRI Profile v2.0: ID.IM-04.06 CRI Profile v2.0: ID.IM-04.07 CRI Profile v2.0: ID.IM-04.08 FNCDP v2.0: PR.IP-9 FNCDP v2.0: RS.IM-1 FNCDP v2.0: RC.IM-1 FNCDP v2.0: PR.IP-10 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-221A: MA.RR-4 SP 800-221A: MA.IM-1 SP 800-53 Rev 5.1.1: CP-02 SP 800-53 Rev 5.1.1: IR-08 SP 800-53 Rev 5.1.1: PL-02 SP 800-53 Rev 5.1.1: SR-02 |
70 | ID | DM | Data Management (DP-ID.DM): i dati personali sono trattati attraverso processi definiti, in coerenza con le normative di riferimento. | FNCDP v2.0: DP-ID.DM | |
71 | ID | DM | 01 | DP-ID.DM-01: Il ciclo di vita dei dati è definito e documentato. | FNCDP v2.0: DP-ID.DM-1 GDPR - Art. 5 GDPR - Art. 6 GDPR - Art. 9 GDPR - Art. 10 GDPR - Art. 11 GDPR - Art. 30 |
72 | ID | DM | 02 | DP-ID.DM-02: Sono definiti, implementati e documentati i processi riguardanti l'informazione dell'interessato in merito al trattamento dei dati. | FNCDP v2.0: DP-ID.DM-2 GDPR - Artt. 12 GDPR - Artt. 13 GDPR - Artt. 14 ISO/IEC 29100:2011 5.2 ISO/IEC 29100:2011 5.8 ISO/IEC 29151:2017 A.3 ISO/IEC 29151:2017 A.9 ISO/IEC 27018:2014 A.1 ISO/IEC 27018:2014 A.7 |
73 | ID | DM | 03 | DP-ID.DM-03: Sono definiti, implementati e documentati i processi di raccolta e revoca del consenso dell'interessato al trattamento di dati. | D.Lgs. 30/6/2003 n. 196 Art. 2-quinquies FNCDP v2.0: DP-ID.DM-3 GDPR - Art. 7 GDPR - Art. 8 ISO/IEC 29100:2011 5.2 ISO/IEC 29151:2017 A.3 ISO/IEC 27018:2014 A.1 |
74 | ID | DM | 04 | DP-ID.DM-04: Sono definiti, implementati e documentati i processi per l'esercizio dei diritti (accesso, rettifica, cancellazione, ecc.) dell'interessato. | D.Lgs. 30/6/2003 n. 196 Art. 2-terdecies FNCDP v2.0: DP-ID.DM-4 GDPR - Art 15 GDPR - Art 16 GDPR - Art 17 GDPR - Art 18 GDPR - Art 19 GDPR - Art 20 GDPR - Art 21 GDPR - Art 22 ISO/IEC 29100:2011 5.4 ISO/IEC 29100:2011 5.5 ISO/IEC 29100:2011 5.6 ISO/IEC 29100:2011 5.7 ISO/IEC 29100:2011 5.8 ISO/IEC 29100:2011 5.9 ISO/IEC 29151:2017 A.5 ISO/IEC 29151:2017 A.6 ISO/IEC 29151:2017 A.7 ISO/IEC 29151:2017 A.8 ISO/IEC 29151:2017 A.9 ISO/IEC 29151:2017 A.10 ISO/IEC 27018:2014 A.3 ISO/IEC 27018:2014 A.4 ISO/IEC 27018:2014 A.5 ISO/IEC 27018:2014 A.6 ISO/IEC 27018:2014 A.7 ISO/IEC 27018:2014 A.8 |
75 | ID | DM | 05 | DP-ID.DM-05: Sono definiti, implementati e documentati i processi di trasferimento dei dati in ambito internazionale. | FNCDP v2.0: DP-ID.DM-5 GDPR - Art. 44 GDPR - Art. 45 GDPR - Art. 46 GDPR - Art. 47 GDPR - Art. 48 GDPR - Art. 49 ISO/IEC 29100:2011 4.5 |
76 | PR | PROTECT (PR): Sono adottate misure di protezione per gestire i rischi di cybersecurity dell'organizzazione. | CRI Profile v2.0: PR FNCDP v2.0: PR | ||
77 | PR | AA | Gestione delle identità, autenticazione e controllo degli accessi (PR.AA): L'accesso agli asset fisici e logici è limitato agli utenti, ai servizi e all'hardware autorizzati, e gestito in misura appropriata alla valutazione del rischio di accesso non autorizzato. | CRI Profile v2.0: PR.AA FNCDP v2.0: PR.AC | |
78 | PR | AA | 01 | PR.AA-01: Le identità e le credenziali degli utenti, dei servizi e dell'hardware autorizzati sono gestite dall'organizzazione. | CCMv4.0: CEK-01 CCMv4.0: CEK-10 CCMv4.0: CEK-11 CCMv4.0: CEK-12 CCMv4.0: CEK-13 CCMv4.0: CEK-14 CCMv4.0: CEK-15 CCMv4.0: CEK-16 CCMv4.0: CEK-17 CCMv4.0: CEK-18 CCMv4.0: CEK-19 CCMv4.0: CEK-20 CCMv4.0: CEK-21 CCMv4.0: DCS-08 CCMv4.0: IAM-01 CCMv4.0: IAM-03 CCMv4.0: IAM-06 CCMv4.0: IAM-07 CCMv4.0: IAM-09 CCMv4.0: IAM-13 CCMv4.0: IAM-14 CCMv4.0: IAM-15 CCMv4.0: IAM-16 CCMv4.0: UEM-14 CIS Controls v8.0: 5.1 CIS Controls v8.0: 6.7 CRI Profile v2.0: PR.AA-01 CRI Profile v2.0: PR.AA-01.01 CRI Profile v2.0: PR.AA-01.02 FNCDP v2.0: PR.AC-1 GDPR - Art. 25 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AC-02 SP 800-53 Rev 5.1.1: AC-14 SP 800-53 Rev 5.1.1: IA-01 SP 800-53 Rev 5.1.1: IA-02 SP 800-53 Rev 5.1.1: IA-03 SP 800-53 Rev 5.1.1: IA-04 SP 800-53 Rev 5.1.1: IA-05 SP 800-53 Rev 5.1.1: IA-06 SP 800-53 Rev 5.1.1: IA-07 SP 800-53 Rev 5.1.1: IA-08 SP 800-53 Rev 5.1.1: IA-09 SP 800-53 Rev 5.1.1: IA-10 SP 800-53 Rev 5.1.1: IA-11 |
79 | PR | AA | 02 | PR.AA-02: Le identità sono verificate e associate alle credenziali in base al contesto delle interazioni. | CCMv4.0: IAM-01 CCMv4.0: IAM-03 CCMv4.0: IAM-13 CCMv4.0: IAM-14 CCMv4.0: IAM-16 CCMv4.0: UEM-14 CRI Profile v2.0: PR.AA-02 CRI Profile v2.0: PR.AA-02.01 FNCDP v2.0: PR.AC-6 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-53 Rev 5.1.1: IA-12 |
80 | PR | AA | 03 | PR.AA-03: Utenti, servizi e hardware sono autenticati. | CCMv4.0: DCS-08 CCMv4.0: IAM-01 CCMv4.0: IAM-02 CCMv4.0: IAM-14 CCMv4.0: IAM-16 CCMv4.0: IVS-03 CCMv4.0: UEM-05 CCMv4.0: UEM-06 CCMv4.0: UEM-14 CRI Profile v2.0: PR.AA-03 CRI Profile v2.0: PR.AA-03.01 CRI Profile v2.0: PR.AA-03.02 CRI Profile v2.0: PR.AA-03.03 FNCDP v2.0: PR.AC-3 FNCDP v2.0: PR.AC-7 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-53 Rev 5.1.1: AC-07 SP 800-53 Rev 5.1.1: AC-12 SP 800-53 Rev 5.1.1: IA-02 SP 800-53 Rev 5.1.1: IA-03 SP 800-53 Rev 5.1.1: IA-05 SP 800-53 Rev 5.1.1: IA-07 SP 800-53 Rev 5.1.1: IA-08 SP 800-53 Rev 5.1.1: IA-09 SP 800-53 Rev 5.1.1: IA-10 SP 800-53 Rev 5.1.1: IA-11 |
81 | PR | AA | 04 | PR.AA-04: Le asserzioni di identità sono protette, trasmesse e verificate. | CCMv4.0: IAM-01 CCMv4.0: IAM-03 CCMv4.0: IAM-16 CRI Profile v2.0: PR.AA-04 CRI Profile v2.0: PR.AA-04.01 SP 800-53 Rev 5.1.1: IA-13 |
82 | PR | AA | 05 | PR.AA-05: I permessi, i diritti e le autorizzazioni di accesso sono definiti in una politica, gestiti, applicati e rivisti e incorporano i principi del minimo privilegio e della separazione dei compiti. | CCMv4.0: CCC-04 CCMv4.0: CEK-10 CCMv4.0: CEK-11 CCMv4.0: CEK-12 CCMv4.0: CEK-13 CCMv4.0: CEK-14 CCMv4.0: CEK-15 CCMv4.0: CEK-16 CCMv4.0: CEK-17 CCMv4.0: CEK-18 CCMv4.0: CEK-19 CCMv4.0: CEK-20 CCMv4.0: CEK-21 CCMv4.0: IAM-01 CCMv4.0: IAM-03 CCMv4.0: IAM-04 CCMv4.0: IAM-05 CCMv4.0: IAM-06 CCMv4.0: IAM-07 CCMv4.0: IAM-08 CCMv4.0: IAM-09 CCMv4.0: IAM-10 CCMv4.0: IAM-11 CCMv4.0: IAM-12 CCMv4.0: IAM-16 CCMv4.0: IVS-03 CCMv4.0: IVS-06 CCMv4.0: LOG-02 CCMv4.0: LOG-04 CCMv4.0: LOG-09 CCMv4.0: UEM-05 CCMv4.0: UEM-14 CIS Controls v8.0: 3.3 CIS Controls v8.0: 6.8 CRI Profile v2.0: PR.AA-05 CRI Profile v2.0: PR.AA-05.01 CRI Profile v2.0: PR.AA-05.02 CRI Profile v2.0: PR.AA-05.03 CRI Profile v2.0: PR.AA-05.04 FNCDP v2.0: PR.AC-1 FNCDP v2.0: PR.AC-3 FNCDP v2.0: PR.AC-4 GDPR - Art. 25 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-218: PS.1.1 SP 800-53 Rev 5.1.1: AC-01 SP 800-53 Rev 5.1.1: AC-02 SP 800-53 Rev 5.1.1: AC-03 SP 800-53 Rev 5.1.1: AC-05 SP 800-53 Rev 5.1.1: AC-06 SP 800-53 Rev 5.1.1: AC-10 SP 800-53 Rev 5.1.1: AC-16 SP 800-53 Rev 5.1.1: AC-17 SP 800-53 Rev 5.1.1: AC-18 SP 800-53 Rev 5.1.1: AC-19 SP 800-53 Rev 5.1.1: AC-24 SP 800-53 Rev 5.1.1: IA-13 |
83 | PR | AA | 06 | PR.AA-06: L'accesso fisico agli asset è gestito, monitorato e applicato in misura appropriata al rischio. | CCMv4.0: DCS-03 CCMv4.0: DCS-07 CCMv4.0: DCS-09 CCMv4.0: DCS-10 CCMv4.0: DCS-12 CCMv4.0: DCS-14 CCMv4.0: HRS-04 CCMv4.0: LOG-12 CCMv4.0: UEM-05 CCMv4.0: UEM-06 CCMv4.0: UEM-14 CRI Profile v2.0: PR.AA-06 CRI Profile v2.0: PR.AA-06.01 CRI Profile v2.0: PR.AA-06.02 FNCDP v2.0: PR.AC-2 FNCDP v2.0: PR.PT-4 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-53 Rev 5.1.1: PE-02 SP 800-53 Rev 5.1.1: PE-03 SP 800-53 Rev 5.1.1: PE-04 SP 800-53 Rev 5.1.1: PE-05 SP 800-53 Rev 5.1.1: PE-06 SP 800-53 Rev 5.1.1: PE-08 SP 800-53 Rev 5.1.1: PE-18 SP 800-53 Rev 5.1.1: PE-19 SP 800-53 Rev 5.1.1: PE-20 |
84 | PR | AT | Consapevolezza e formazione (PR.AT): Il personale dell'organizzazione è sensibilizzato e formato sulla cybersecurity in modo da poter svolgere i propri compiti inerenti alla cybersecurity. | CRI Profile v2.0: PR.AT FNCDP v2.0: PR.AT SP 800-218: PO.2.2 | |
85 | PR | AT | 01 | PR.AT-01: Il personale è sensibilizzato e formato in modo da possedere le conoscenze e le competenze per svolgere compiti di carattere generale tenendo conto dei rischi di cybersecurity. | CCMv4.0: DCS-11 CCMv4.0: HRS-09 CCMv4.0: HRS-11 CCMv4.0: HRS-12 CCMv4.0: HRS-13 CCMv4.0: SEF-02 CCMv4.0: SEF-03 CCMv4.0: UEM-14 CIS Controls v8.0: 14.1 CRI Profile v2.0: PR.AT-01 CRI Profile v2.0: PR.AT-01.01 CRI Profile v2.0: PR.AT-01.02 CRI Profile v2.0: PR.AT-01.03 CRI Profile v2.0: PR.AT-01.04 FNCDP v2.0: PR.AT-1 FNCDP v2.0: PR.AT-3 FNCDP v2.0: RS.CO-1 SP 800-218: PO.2.2 SP 800-221A: GV.CT-3 SP 800-221A: GV.RR-2 SP 800-53 Rev 5.1.1: AT-02 SP 800-53 Rev 5.1.1: AT-03 |
86 | PR | AT | 02 | PR.AT-02: Gli individui che ricoprono ruoli specializzati sono sensibilizzati e formati in modo da possedere le conoscenze e le competenze per svolgere i pertinenti compiti tenendo conto dei rischi di cybersecurity. | CCMv4.0: DCS-11 CCMv4.0: HRS-09 CCMv4.0: HRS-12 CCMv4.0: HRS-13 CCMv4.0: SEF-03 CCMv4.0: UEM-14 CIS Controls v8.0: 14.9 CRI Profile v2.0: PR.AT-02 CRI Profile v2.0: PR.AT-02.01 CRI Profile v2.0: PR.AT-02.02 CRI Profile v2.0: PR.AT-02.03 CRI Profile v2.0: PR.AT-02.04 CRI Profile v2.0: PR.AT-02.05 CRI Profile v2.0: PR.AT-02.06 CRI Profile v2.0: PR.AT-02.07 CRI Profile v2.0: PR.AT-02.08 FNCDP v2.0: PR.AT-2 FNCDP v2.0: PR.AT-3 FNCDP v2.0: PR.AT-4 FNCDP v2.0: PR.AT-5 SP 800-218: PO.2.2 SP 800-221A: GV.CT-3 SP 800-221A: GV.CT-4 SP 800-221A: GV.RR-2 SP 800-53 Rev 5.1.1: AT-03 |
87 | PR | DS | Sicurezza dei dati (PR.DS): I dati sono gestiti in modo coerente con la strategia sul rischio dell'organizzazione per proteggere la riservatezza, l'integrità e la disponibilità delle informazioni. | CRI Profile v2.0: PR.DS FNCDP v2.0: PR.DS | |
88 | PR | DS | 01 | PR.DS-01: La riservatezza, l'integrità e la disponibilità dei dati a riposo (data-at-rest) sono protette. | CCMv4.0: BCR-08 CCMv4.0: CEK-03 CCMv4.0: CEK-04 CCMv4.0: CEK-18 CCMv4.0: CEK-19 CCMv4.0: DCS-04 CCMv4.0: DSP-17 CCMv4.0: HRS-04 CCMv4.0: LOG-02 CCMv4.0: LOG-09 CCMv4.0: UEM-05 CCMv4.0: UEM-08 CIS Controls v8.0: 3.11 CRI Profile v2.0: PR.DS-01 CRI Profile v2.0: PR.DS-01.01 CRI Profile v2.0: PR.DS-01.02 CRI Profile v2.0: PR.DS-01.03 FNCDP v2.0: PR.DS-1 FNCDP v2.0: PR.DS-5 FNCDP v2.0: PR.DS-6 FNCDP v2.0: PR.PT-2 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PS.1.1 SP 800-218: PS.2.1 SP 800-218: PS.3.1 SP 800-53 Rev 5.1.1: CA-03 SP 800-53 Rev 5.1.1: CP-09 SP 800-53 Rev 5.1.1: MP-08 SP 800-53 Rev 5.1.1: SC-04 SP 800-53 Rev 5.1.1: SC-07 SP 800-53 Rev 5.1.1: SC-12 SP 800-53 Rev 5.1.1: SC-13 SP 800-53 Rev 5.1.1: SC-28 SP 800-53 Rev 5.1.1: SC-32 SP 800-53 Rev 5.1.1: SC-39 SP 800-53 Rev 5.1.1: SC-43 SP 800-53 Rev 5.1.1: SI-03 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SI-07 |
89 | PR | DS | 02 | PR.DS-02: La riservatezza, l'integrità e la disponibilità dei dati in transito (data-in-transit) sono protette. | CCMv4.0: CEK-03 CCMv4.0: CEK-04 CCMv4.0: CEK-19 CCMv4.0: DCS-02 CCMv4.0: DSP-10 CCMv4.0: DSP-17 CCMv4.0: HRS-04 CCMv4.0: IPY-03 CCMv4.0: IVS-03 CCMv4.0: IVS-07 CCMv4.0: LOG-02 CCMv4.0: LOG-09 CCMv4.0: UEM-05 CCMv4.0: UEM-11 CIS Controls v8.0: 3.10 CRI Profile v2.0: PR.DS-02 CRI Profile v2.0: PR.DS-02.01 FNCDP v2.0: PR.DS-2 FNCDP v2.0: PR.DS-5 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-53 Rev 5.1.1: AU-16 SP 800-53 Rev 5.1.1: CA-03 SP 800-53 Rev 5.1.1: SC-04 SP 800-53 Rev 5.1.1: SC-07 SP 800-53 Rev 5.1.1: SC-08 SP 800-53 Rev 5.1.1: SC-11 SP 800-53 Rev 5.1.1: SC-12 SP 800-53 Rev 5.1.1: SC-13 SP 800-53 Rev 5.1.1: SC-16 SP 800-53 Rev 5.1.1: SC-40 SP 800-53 Rev 5.1.1: SC-43 SP 800-53 Rev 5.1.1: SI-03 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SI-07 |
90 | PR | DS | 10 | PR.DS-10: La riservatezza, l'integrità e la disponibilità dei dati in uso (data-in-use) sono protette. | CCMv4.0: DSP-17 CCMv4.0: HRS-04 CCMv4.0: UEM-11 CRI Profile v2.0: PR.DS-10 CRI Profile v2.0: PR.DS-10.01 FNCDP v2.0: PR.DS-5 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-53 Rev 5.1.1: AC-02 SP 800-53 Rev 5.1.1: AC-03 SP 800-53 Rev 5.1.1: AC-04 SP 800-53 Rev 5.1.1: AU-09 SP 800-53 Rev 5.1.1: AU-13 SP 800-53 Rev 5.1.1: CA-03 SP 800-53 Rev 5.1.1: CP-09 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SC-04 SP 800-53 Rev 5.1.1: SC-07 SP 800-53 Rev 5.1.1: SC-11 SP 800-53 Rev 5.1.1: SC-13 SP 800-53 Rev 5.1.1: SC-24 SP 800-53 Rev 5.1.1: SC-32 SP 800-53 Rev 5.1.1: SC-39 SP 800-53 Rev 5.1.1: SC-40 SP 800-53 Rev 5.1.1: SC-43 SP 800-53 Rev 5.1.1: SI-03 SP 800-53 Rev 5.1.1: SI-04 SP 800-53 Rev 5.1.1: SI-07 SP 800-53 Rev 5.1.1: SI-10 SP 800-53 Rev 5.1.1: SI-16 |
91 | PR | DS | 11 | PR.DS-11: I backup dei dati sono creati, protetti, mantenuti e verificati. | CCMv4.0: BCR-08 CCMv4.0: CEK-18 CCMv4.0: DSP-16 CCMv4.0: DSP-19 CCMv4.0: LOG-02 CCMv4.0: LOG-09 CIS Controls v8.0: 11.2 CIS Controls v8.0: 11.3 CIS Controls v8.0: 11.5 CRI Profile v2.0: PR.DS-11 CRI Profile v2.0: PR.DS-11.01 FNCDP v2.0: PR.IP-4 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PS.3.1 SP 800-53 Rev 5.1.1: CP-06 SP 800-53 Rev 5.1.1: CP-09 |
92 | PR | PS | Sicurezza delle piattaforme (PR.PS): L'hardware, il software (ad esempio firmware, sistemi operativi, applicazioni) e i servizi delle piattaforme fisiche e virtuali sono gestiti in modo coerente con la strategia sul rischio dell'organizzazione per proteggere la loro riservatezza, integrità e disponibilità. | CRI Profile v2.0: PR.PS | |
93 | PR | PS | 01 | PR.PS-01: Sono stabilite e applicate pratiche di gestione della configurazione. | CCMv4.0: AIS-02 CCMv4.0: AIS-04 CCMv4.0: AIS-05 CCMv4.0: AIS-06 CCMv4.0: CCC-01 CCMv4.0: CCC-02 CCMv4.0: CCC-06 CCMv4.0: CCC-07 CCMv4.0: IVS-04 CCMv4.0: IVS-06 CCMv4.0: UEM-05 CCMv4.0: UEM-06 CCMv4.0: UEM-07 CCMv4.0: UEM-09 CCMv4.0: UEM-10 CCMv4.0: UEM-11 CCMv4.0: UEM-12 CCMv4.0: UEM-13 CIS Controls v8.0: 4.1 CIS Controls v8.0: 4.2 CRI Profile v2.0: PR.PS-01 CRI Profile v2.0: PR.PS-01.01 CRI Profile v2.0: PR.PS-01.02 CRI Profile v2.0: PR.PS-01.03 CRI Profile v2.0: PR.PS-01.04 CRI Profile v2.0: PR.PS-01.05 CRI Profile v2.0: PR.PS-01.06 CRI Profile v2.0: PR.PS-01.07 CRI Profile v2.0: PR.PS-01.08 CRI Profile v2.0: PR.PS-01.09 FNCDP v2.0: PR.IP-1 FNCDP v2.0: PR.IP-3 FNCDP v2.0: PR.PT-2 FNCDP v2.0: PR.PT-3 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 SP 800-218: PO.5.2 SP 800-218: PS.1.1 SP 800-53 Rev 5.1.1: CM-01 SP 800-53 Rev 5.1.1: CM-02 SP 800-53 Rev 5.1.1: CM-03 SP 800-53 Rev 5.1.1: CM-04 SP 800-53 Rev 5.1.1: CM-05 SP 800-53 Rev 5.1.1: CM-06 SP 800-53 Rev 5.1.1: CM-07 SP 800-53 Rev 5.1.1: CM-08 SP 800-53 Rev 5.1.1: CM-09 SP 800-53 Rev 5.1.1: CM-10 SP 800-53 Rev 5.1.1: CM-11 |
94 | PR | PS | 02 | PR.PS-02: Il software è mantenuto, sostituito e rimosso in base al rischio. | CCMv4.0: AIS-04 CCMv4.0: AIS-05 CCMv4.0: AIS-07 CCMv4.0: CCC-04 CCMv4.0: CCC-09 CCMv4.0: DSP-02 CCMv4.0: TVM-03 CCMv4.0: TVM-04 CCMv4.0: TVM-05 CCMv4.0: TVM-08 CCMv4.0: UEM-02 CCMv4.0: UEM-03 CCMv4.0: UEM-07 CIS Controls v8.0: 2.2 CIS Controls v8.0: 2.3 CRI Profile v2.0: PR.PS-02 CRI Profile v2.0: PR.PS-02.01 CRI Profile v2.0: PR.PS-02.02 CRI Profile v2.0: PR.PS-02.03 FNCDP v2.0: PR.IP-12 FNCDP v2.0: PR.MA-2 SP 800-218: PO.5.2 SP 800-53 Rev 5.1.1: CM-11 SP 800-53 Rev 5.1.1: MA-03(06) SP 800-53 Rev 5.1.1: SA-10(01) SP 800-53 Rev 5.1.1: SI-02 SP 800-53 Rev 5.1.1: SI-07 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
95 | PR | PS | 03 | PR.PS-03: L'hardware è mantenuto, sostituito e rimosso in base al rischio. | CCMv4.0: CCC-04 CCMv4.0: DCS-01 CCMv4.0: DSP-02 CCMv4.0: TVM-03 CCMv4.0: TVM-08 CIS Controls v8.0: 1.2 CRI Profile v2.0: PR.PS-03 CRI Profile v2.0: PR.PS-03.01 FNCDP v2.0: PR.MA-1 FNCDP v2.0: PR.DS-3 SP 800-218: PO.5.2 SP 800-53 Rev 5.1.1: CM-07(09) SP 800-53 Rev 5.1.1: SA-10(03) SP 800-53 Rev 5.1.1: SC-03(01) SP 800-53 Rev 5.1.1: SC-39(01) SP 800-53 Rev 5.1.1: SC-49 SP 800-53 Rev 5.1.1: SC-51 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
96 | PR | PS | 04 | PR.PS-04: I registri di log sono generati e resi disponibili per il monitoraggio continuo. | CCMv4.0: IAM-16 CCMv4.0: LOG-01 CCMv4.0: LOG-02 CCMv4.0: LOG-03 CCMv4.0: LOG-04 CCMv4.0: LOG-05 CCMv4.0: LOG-07 CCMv4.0: LOG-08 CCMv4.0: LOG-10 CCMv4.0: LOG-11 CCMv4.0: LOG-12 CCMv4.0: LOG-13 CIS Controls v8.0: 8.2 CRI Profile v2.0: PR.PS-04 CRI Profile v2.0: PR.PS-04.01 CRI Profile v2.0: PR.PS-04.02 CRI Profile v2.0: PR.PS-04.03 FNCDP v2.0: PR.PT-1 SP 800-218: PO.3.3 SP 800-53 Rev 5.1.1: AU-02 SP 800-53 Rev 5.1.1: AU-03 SP 800-53 Rev 5.1.1: AU-06 SP 800-53 Rev 5.1.1: AU-07 SP 800-53 Rev 5.1.1: AU-11 SP 800-53 Rev 5.1.1: AU-12 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
97 | PR | PS | 05 | PR.PS-05: Sono impedite l'installazione ed esecuzione di software non autorizzato. | CCMv4.0: CCC-04 CCMv4.0: UEM-02 CCMv4.0: UEM-09 CIS Controls v8.0: 2.5 CRI Profile v2.0: PR.PS-05 CRI Profile v2.0: PR.PS-05.01 CRI Profile v2.0: PR.PS-05.02 CRI Profile v2.0: PR.PS-05.03 SP 800-53 Rev 5.1.1: CM-07(02) SP 800-53 Rev 5.1.1: CM-07(04) SP 800-53 Rev 5.1.1: CM-07(05) SP 800-53 Rev 5.1.1: SC-34 |
98 | PR | PS | 06 | PR.PS-06: Le pratiche di sviluppo sicuro del software sono integrate e le loro prestazioni sono monitorate durante l'intero ciclo di vita del software. | CCMv4.0: AIS-04 CCMv4.0: AIS-06 CCMv4.0: AIS-07 CCMv4.0: DSP-07 CCMv4.0: IVS-06 CIS Controls v8.0: 16.1 CRI Profile v2.0: PR.PS-06 CRI Profile v2.0: PR.PS-06.01 CRI Profile v2.0: PR.PS-06.02 CRI Profile v2.0: PR.PS-06.03 CRI Profile v2.0: PR.PS-06.04 CRI Profile v2.0: PR.PS-06.05 CRI Profile v2.0: PR.PS-06.06 CRI Profile v2.0: PR.PS-06.07 CRI Profile v2.0: PR.PS-06.08 CRI Profile v2.0: PR.PS-06.09 CRI Profile v2.0: PR.PS-06.10 FNCDP v2.0: PR.IP-2 SP 800-53 Rev 5.1.1: SA-03 SP 800-53 Rev 5.1.1: SA-08 SP 800-53 Rev 5.1.1: SA-10 SP 800-53 Rev 5.1.1: SA-11 SP 800-53 Rev 5.1.1: SA-15 SP 800-53 Rev 5.1.1: SA-17 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |
99 | PR | IR | Resilienza dell'infrastruttura tecnologica (PR.IR): Le architetture di sicurezza sono gestite in accordo con la strategia sul rischio dell'organizzazione per proteggere la riservatezza, l'integrità e la disponibilità degli asset e la resilienza organizzativa. | CRI Profile v2.0: PR.IR | |
100 | PR | IR | 01 | PR.IR-01: Le reti e gli ambienti sono protetti dall'accesso logico e dall'uso non autorizzati. | CCMv4.0: AIS-04 CCMv4.0: AIS-06 CCMv4.0: DCS-12 CCMv4.0: DSP-10 CCMv4.0: DSP-15 CCMv4.0: IVS-03 CCMv4.0: IVS-05 CCMv4.0: IVS-06 CCMv4.0: IVS-09 CCMv4.0: UEM-05 CCMv4.0: UEM-14 CIS Controls v8.0: 3.12 CIS Controls v8.0: 12.2 CRI Profile v2.0: PR.IR-01 CRI Profile v2.0: PR.IR-01.01 CRI Profile v2.0: PR.IR-01.02 CRI Profile v2.0: PR.IR-01.03 CRI Profile v2.0: PR.IR-01.04 CRI Profile v2.0: PR.IR-01.05 CRI Profile v2.0: PR.IR-01.06 CRI Profile v2.0: PR.IR-01.07 CRI Profile v2.0: PR.IR-01.08 FNCDP v2.0: PR.AC-3 FNCDP v2.0: PR.AC-5 FNCDP v2.0: PR.DS-7 FNCDP v2.0: PR.PT-4 SP 800-218: PO.5.1 SP 800-53 Rev 5.1.1: AC-03 SP 800-53 Rev 5.1.1: AC-04 SP 800-53 Rev 5.1.1: SC-04 SP 800-53 Rev 5.1.1: SC-05 SP 800-53 Rev 5.1.1: SC-07 GDPR - Art. 32 ISO/IEC 29100:2011 5.11 |