• È stato definito l’ambito dell’SGSI, considerando i requisiti legali, regolamentari e contrattuali?
• Sono state identificate le parti interessate e le loro esigenze relative alla sicurezza delle informazioni?
• È stata effettuata una valutazione dei rischi per identificare le minacce e le vulnerabilità che potrebbero compromettere la sicurezza delle informazioni?

• La direzione ha stabilito e comunicato una politica di sicurezza delle informazioni?
• Sono stati assegnati ruoli e responsabilità per la gestione dell’SGSI?
• La direzione si impegna a fornire le risorse necessarie per l’SGSI?

• Sono stati definiti obiettivi di sicurezza delle informazioni misurabili?
• Sono stati sviluppati piani di trattamento dei rischi per affrontare i rischi identificati?
• È stato definito un processo di gestione delle modifiche per garantire che le modifiche al sistema non compromettano la sicurezza?

• Sono state definite le competenze necessarie per il personale coinvolto nell’SGSI?
• Sono state implementate attività di formazione e sensibilizzazione sulla sicurezza delle informazioni?
• È stata creata e mantenuta la documentazione dell’SGSI?

• Sono stati implementati i controlli di sicurezza definiti nel piano di trattamento dei rischi?
• Sono state definite procedure per la gestione degli incidenti di sicurezza?
• Sono state condotte attività di monitoraggio e controllo per verificare l’efficacia dei controlli?

• Sono stati definiti indicatori di prestazione per monitorare l’efficacia dell’SGSI?
• Sono stati condotti audit interni per valutare la conformità alla ISO 27001?
• Sono state effettuate revisioni periodiche della direzione per valutare l’adeguatezza e l’efficacia dell’SGSI?

• Sono state definite procedure per la gestione delle non conformità e delle azioni correttive?
• Sono state implementate azioni di miglioramento continuo basate sui risultati delle valutazioni e delle revisioni?

• È compreso il contesto interno ed esterno rilevante per l’AI, inclusi i fattori di rischio?
• Sono identificate le parti interessate e le loro esigenze e aspettative relative all’AI e alla gestione del rischio?
• Il campo di applicazione del sistema di gestione per l’AI (AIMS) considera i sistemi di AI e i relativi rischi?
• È stabilito e mantenuto un AIMS che include processi per la gestione del rischio relativo all’AI?

• L’alta direzione dimostra leadership e impegno verso l’AIMS e la gestione del rischio AI?
• È presente una politica per l’AI che include principi di gestione del rischio?
• Ruoli, responsabilità e autorità per l’AIMS e la gestione del rischio AI sono assegnati e comunicati?

• Sono identificati, analizzati e valutati i rischi e le opportunità relativi all’AI?
• Sono stabiliti obiettivi per l’AI che considerano la gestione del rischio?
• Sono pianificate azioni per affrontare i rischi e le opportunità relativi all’AI, inclusi i controlli e le misure di mitigazione?
• La pianificazione delle modifiche all’AIMS considera l’impatto sui rischi relativi all’AI?

• Sono disponibili le risorse necessarie per l’AIMS e per la gestione del rischio AI (competenze, strumenti)?
• Il personale ha la competenza necessaria per identificare, valutare e gestire i rischi relativi all’AI?
• Il personale è consapevole della politica per l’AI, degli obiettivi e delle procedure di gestione del rischio AI?
• Le comunicazioni relative all’AIMS e ai rischi AI sono pianificate e gestite?
• Le informazioni documentate necessarie per l’AIMS e la gestione del rischio AI sono controllate?

• I processi operativi relativi all’AI includono attività di identificazione, analisi, valutazione e trattamento del rischio?
• Sono definiti criteri per l’accettabilità dei rischi relativi all’AI?
• Sono implementati controlli e misure per mitigare i rischi relativi all’AI identificati?
• I processi di progettazione e sviluppo dei sistemi di AI includono la considerazione dei rischi fin dalle prime fasi?
• I processi di distribuzione e implementazione dei sistemi di AI considerano i potenziali nuovi rischi?
• Il monitoraggio e il controllo dei sistemi di AI includono la sorveglianza dei rischi e l’efficacia dei controlli?

• Sono monitorate e misurate le prestazioni dell’AIMS e l’efficacia delle azioni di gestione del rischio AI?
• Sono condotti audit interni che coprono sia l’AIMS che i processi di gestione del rischio AI?
• L’alta direzione riesamina l’AIMS, inclusi i risultati della gestione del rischio AI, a intervalli pianificati?

• Sono gestite le non conformità relative all’AIMS e alla gestione del rischio AI, intraprendendo azioni correttive?
• Sono ricercate opportunità per il miglioramento continuo dell’AIMS e dei processi di gestione del rischio AI?

• Garantire che solo gli utenti, i dispositivi e i processi autorizzati possano accedere al sistema
• Ciò implica l’implementazione di meccanismi di identificazione e autenticazione robusti

• Limitare le azioni degli utenti, dei dispositivi e dei processi autorizzati ai soli compiti necessari
• Applicare il principio del minimo privilegio

• Garantire che il sistema e i suoi dati non vengano modificati in modo non autorizzato
• Implementare meccanismi per rilevare e prevenire manomissioni

• Proteggere le informazioni sensibili da divulgazioni non autorizzate
• Utilizzare la crittografia e altri meccanismi di protezione dei dati

• Segmentare la rete per limitare la diffusione di attacchi e informazioni non autorizzate
• Utilizzare zone e condotti per controllare il flusso di dati

• Rilevare e rispondere rapidamente agli incidenti di sicurezza
• Implementare sistemi di monitoraggio e allarme

• Garantire che le risorse del sistema siano disponibili quando necessario
• Implementare meccanismi di ridondanza e ripristino

• È stato definito chiaramente l’ambito del PIMS?
• Sono state identificate tutte le parti interessate e le loro esigenze relative alla privacy?
• È stata condotta una valutazione dei rischi per la privacy e sono state identificate le opportunità di miglioramento?
• Sono stati compresi e documentati tutti i requisiti legali e regolamentari applicabili?
• È stato definito chiaramente l’ambito dei servizi cloud che trattano PII?

• Sono stati stabiliti obiettivi e politiche chiari per la gestione della privacy?
• Sono stati assegnati ruoli e responsabilità specifici per la gestione della privacy?
• Sono stati definiti criteri chiari per la valutazione dei rischi relativi alle PII?
• Sono state pianificate attività regolari di monitoraggio e revisione del PIMS?
• Sono stati definiti contratti con i sub-processori che includono clausole sulla protezione dei dati?
• Viene effettuata una due diligence sui sub-processori per garantire la loro conformità alle leggi sulla protezione dei dati?

• Sono stati identificati tutti i processi di trattamento delle PII?
• È stata valutata la probabilità e l’impatto dei rischi per la privacy associati a ciascun processo?
• Sono stati definiti e implementati controlli adeguati per mitigare i rischi identificati?
• Sono stati documentati in modo accurato i risultati delle valutazioni dei rischi?

• Sono stati implementati tutti i controlli aggiuntivi richiesti dalla ISO 27701, in aggiunta a quelli della ISO 27001?
• Sono stati considerati controlli specifici per i ruoli di titolare del trattamento e responsabile del trattamento?
• Sono state implementate misure tecniche e organizzative efficaci per proteggere le PII?
• È garantita la conformità ai principi di protezione dei dati, come la minimizzazione dei dati e la limitazione della conservazione?
• Gli interessati sono informati su come le loro PII vengono trattate nel cloud?
• Sono state fornite informazioni chiare sulle politiche di conservazione e cancellazione dei dati?

• Sono state definite procedure chiare per gestire le richieste degli interessati?
• È garantito che gli interessati siano pienamente informati sui loro diritti?
• Sono stati implementati meccanismi efficaci per ottenere e gestire il consenso?

• Sono state definite procedure dettagliate per la gestione degli incidenti di sicurezza e delle violazioni dei dati?
• Sono stati stabiliti tempi di risposta chiari e responsabilità per la notifica delle violazioni?
• Sono stati implementati sistemi di monitoraggio efficaci per rilevare e registrare gli incidenti?

• Sono stati pianificati e condotti audit interni regolari per valutare l’efficacia del PIMS?
• Sono state effettuate revisioni periodiche della gestione per garantire il miglioramento continuo?
• È mantenuta la documentazione del PIMS aggiornata e accurata?

• È stato definito l’ambito del BCMS, considerando i requisiti legali, regolamentari e contrattuali?
• Sono state identificate le parti interessate e le loro esigenze relative alla continuità operativa?
• È stata effettuata un’analisi dell’impatto sull’attività (BIA) per identificare i processi critici e i loro tempi di ripristino?
• È stata condotta una valutazione dei rischi per identificare le minacce e le vulnerabilità che potrebbero interrompere le attività?

• La direzione ha stabilito e comunicato una politica di continuità operativa?
• Sono stati assegnati ruoli e responsabilità per la gestione del BCMS?
• La direzione si impegna a fornire le risorse necessarie per il BCMS?

• Sono stati definiti obiettivi di continuità operativa misurabili?
• Sono state sviluppate strategie di continuità operativa per affrontare le interruzioni?
• Sono stati elaborati piani di continuità operativa dettagliati per i processi critici?
• Sono state definite procedure per la gestione delle crisi e delle comunicazioni di emergenza?

• Sono state definite le competenze necessarie per il personale coinvolto nel BCMS?
• Sono state implementate attività di formazione e sensibilizzazione sulla continuità operativa?
• È stata creata e mantenuta la documentazione del BCMS?
• Sono stati stabiliti meccanismi per la comunicazione interna ed esterna durante un’interruzione?

• Sono stati implementati i piani di continuità operativa e le procedure di gestione delle crisi?
• Sono state condotte esercitazioni e test regolari per verificare l’efficacia dei piani?
• Sono state definite procedure per la gestione degli incidenti e il ripristino delle attività?

• Sono stati definiti indicatori di prestazione per monitorare l’efficacia del BCMS?
• Sono stati condotti audit interni per valutare la conformità alla ISO 22301?
• Sono state effettuate revisioni periodiche della direzione per valutare l’adeguatezza e l’efficacia del BCMS?

• Sono state definite procedure per la gestione delle non conformità e delle azioni correttive?
• Sono state implementate azioni di miglioramento continuo basate sui risultati delle valutazioni e delle revisioni?

Domande volte a comprendere se l’organizzazione ha compreso il proprio contesto interno ed esterno, identificando le parti interessate e i loro requisiti, e determinando l’ambito del sistema di gestione della qualità

Domande volte a comprendere il contesto dell’organizzazione in relazione all’ambiente, inclusi gli aspetti ambientali significativi

Si concentra sul ruolo della leadership nel dimostrare l’impegno verso la qualità, stabilendo una politica e degli obiettivi di qualità, e assegnando ruoli e responsabilità

Riguarda la pianificazione delle azioni per affrontare rischi e opportunità, stabilire obiettivi di qualità e pianificare i cambiamenti

Riguarda la pianificazione delle azioni per affrontare rischi e opportunità relativi all’ambiente, inclusi gli obiettivi ambientali

Si occupa delle risorse necessarie per il sistema di gestione della qualità, inclusi personale, infrastrutture, ambiente di lavoro, risorse di monitoraggio e misurazione, conoscenza organizzativa, competenza, consapevolezza, comunicazione e informazioni documentate

Riguarda la pianificazione e il controllo delle attività operative, inclusi la progettazione e lo sviluppo, il controllo dei processi, prodotti e servizi forniti dall’esterno, la produzione e l’erogazione dei servizi, il rilascio dei prodotti e servizi, e il controllo delle uscite non conformi

Riguarda la pianificazione e il controllo delle attività operative, inclusi la pianificazione e il controllo delle attività che hanno un impatto ambientale, inclusa la gestione delle emergenze ambientali

Si concentra sul monitoraggio, la misurazione, l’analisi e la valutazione delle prestazioni del sistema di gestione della qualità, inclusa la soddisfazione del cliente, l’analisi dei dati, gli audit interni e il riesame della direzione

Questo capitolo riguarda il miglioramento continuo del sistema di gestione della qualità, inclusa la gestione delle non conformità e delle azioni correttive

• Richiede all’organizzazione di fornire evidenze del proprio contesto interno ed esterno, inclusi i fattori che possono influenzare il rischio di corruzione.
• Richiede anche di fornire evidenze delle parti interessate e le loro esigenze e aspettative.

• Sottolinea l’importanza del ruolo della leadership nella lotta alla corruzione.
• Richiede che l’alta direzione dimostri il proprio impegno, stabilisca una politica anticorruzione e assegni responsabilità e autorità.

• Richiede all’organizzazione di valutare i propri rischi di corruzione e di pianificare azioni per affrontarli.
• Include la definizione di obiettivi anticorruzione e la pianificazione per raggiungerli.

• Riguarda le risorse necessarie per il sistema di gestione anticorruzione, inclusa la consapevolezza, la comunicazione e la documentazione.

• Descrive le misure che l’organizzazione deve implementare per prevenire e rilevare la corruzione.
• Include controlli finanziari e non finanziari, procedure di due diligence e segnalazione di illeciti.

• Richiede all’organizzazione di monitorare, misurare, analizzare e valutare l’efficacia del proprio sistema di gestione anticorruzione.
• Include audit interni e riesami della direzione.

• Richiede all’organizzazione di intraprendere azioni correttive e preventive per migliorare continuamente il proprio sistema di gestione anticorruzione.