Mel Technologies

INFORMATION SECURITY

Il processo di valutazione dei rischi in ambito di Information Security rappresenta un elemento portante del processo di governance e la definizione di policy adeguate.

Il nostro modello di definizione e redazione delle policies aziendali di governance degli aspetti di Information Security segue l’approccio previsto dal Framework nazionale di Cyber Security, che si ispira al più famoso Cyber security Framework NIST, come indicato nel capitolato.

Information Security

Il framework di riferimento è suddiviso in: 

  1. Framework Core;
  2. Profile;
  3. Implementation Tier.

La redazione di policies e le fasi della consulenza proposta seguono il ciclo indicato:

  • Raccolta informazioni di contesto: Verrà svolta una volta sola (una tantum) e dovrà consentire al team dedicato di avere un quadro complessivo del contesto e delle fasi realizzate in precedenza per ottenere le indicazioni strategiche per impostare la fase successiva di redazione delle Policy. In questa fase il Team fornirà indicazioni sulle principali metodologie e best practice utilizzate per le singole tematiche trattate. In questa fase verrà prodotto il piano di lavoro e verranno assegnate le priorità alle Policy da realizzare;
  • Raccolta informazioni specifiche (per argomento policy): Verrà svolta con un incontro per ogni Policy durante il quale l’owner della tematica trattata illustrerà la situazione attuale (as is) in termini organizzativi, tecnici e fisici. Durante questa fase il Team si confronterà sulle soluzioni / proposte da riportare nelle Policy;
  • Redazione policy: Verrà svolta in linea con la pianificazione effettuata in fase 1, e consisterà nella redazione delle Policy previste quali:
  1. Policy di Networking Security;
  2.  Policy di Backup & Recovery;
  3.  Policy di Asset Management;
  4.  Policy di Gestione degli Accessi Logici;
  5.  Norme Comportamentali durante l’accesso o l’uso delle risorse informatiche;
  6.  Policy di Log Management;
  7.  Policy di Vulnerability Management (include patching e hardening);
  8.  VERIFICA CONGIUNTA: Verrà suddivisa in due o più step, il primo al termine della redazione della prima Policy per effettuare una taratura sul “contenuto” e sul “glossario tecnico”, gli altri al termine della redazione di ogni Policy e al termine della fase di redazione in funzione delle Vostre preferenze.