Questionario per la sicurezza dei fornitori
CLUSIT, associazione Italiana per la Sicurezza Informatica, considerando le notevoli problematiche ed inefficienze che interessano questo ambito, ha attivato un gruppo di lavoro per redigere un questionario di riferimento, a supporto universale delle organizzazioni di ogni tipo, per la selezione di fornitori ICT in generale e di prodotti e servizi in particolare, al fine di permettere di verificare agevolmente il loro grado di sicurezza delle informazioni/sicurezza ICT/cybersecurity e, attraverso le risposte, dare dimostrazione dei requisiti applicabili in conformità alle best practice di settore e in linea con la strategia dell’organizzazione.
Il questionario riportato qui sotto in formato excel si articola in 47 domande, a risposta chiusa e multipla, che mirano a verificare i principali requisiti previsti da ISO/IEC 27001 (Sistema di Gestione per la Sicurezza delle Informazioni) e FNCS (Framework Nazionale di Cyber Security) in termini di Servizi ICT e prodotti ICT (i.e. software e hardware).
L’organizzazione, una volta deciso quale domande e quali risposte proporre ai fornitori (idealmente tutte ma si può optare per utilizzarne solo un sottoinsieme) al completamento del questionario da parte del fornitore, sarà in grado di individuare i punti di debolezza/non conformità e, conseguentemente, richiedere le necessarie azioni sul fornitore in modo tale da garantire la propria cybersecurity.
Il foglio del questionario è stato organizzato nelle seguenti colonne:
- SEZIONE: è un’area che raggruppa domande sullo stesso ambito. Sono previste le aree di GESTIONE DELLA SICUREZZA, SICUREZZA IT e SICUREZZA FISICA
- CODICE: è un codice identificativo unico della domanda formato da 3 lettere per l’area, un punto di separazione e due cifre per un numero progressivo
- DOMANDA: è il testo della domanda
- SOTTOINSIEME DOMANDE APPLICABILE A…: colonne che indicano se la domanda è ritenuta parte di un sottoinsieme applicabile per esempio ai fornitori di prodotti ICT, di servizi ICT o altro
- RIF 27001: è il requisito o il controllo della norma ISO/IEC 27001:2022 richiamato dalla risposta. Se questa è selezionata è plausibile presumere che il requisito o controllo sia almeno in parte attuato/implementato
- RIF FNCS: è il requisito o il controllo del Framework Nazionale di Cyber Security richiamato dalla risposta. Se questa è selezionata è plausibile presumere che il requisito o controllo sia almeno in parte attuato/implementato
- RISPOSTE: sono le risposte possibili alla domanda
Il questionario può essere liberamente utilizzato nel rispetto dei limiti posti dalla licenza Creative Commons CC BY-SA 4.0 (v. https://creativecommons.org/licenses/by-sa/4.0/deed.it). Questa licenza permette a chiunque di usare questo prodotto per crearne una sua evoluzione a condizione che citi gli autori originali riportando la nostra URL http://www.clusit.it e utilizzi a sua volta lo stesso tipo di licenza
Scarica il questionario in formato Excel
CLUSIT ringrazia per la partecipazione ai lavori di stesura del presente questionario:
– Giovanni BELLUZZO
– Elenio DURSI
– Fabio GUASCONI (Coordinatore)
– Federica Maria Rita LIVELLI
– Davide MANCONI
– Roberto OBIALERO
– Andrea RUI
– Sofia SCOZZARI
– Claudio TELMON
– Alessandro VALLEGA
