Linee guida sicurezza nel procurement ICT¶
consultation
La consultazione pubblica relativa al presente documento è attiva dal 14 maggio al 13 giugno 2019. Questo documento raccoglie il testo delle Linee guida sicurezza nel procurement ICT, disponibile per la consultazione pubblica.
- 1. Premessa
- 2. Indicazioni per le amministrazioni
- 2.1. Azioni da svolgere prima della fase di procurement
- 2.1.1. AG1 - Promuovere competenza e consapevolezza
- 2.1.2. AG2 - Raccogliere buone prassi ed esperienze
- 2.1.3. AG3 - Stabilire ruoli e responsabilità
- 2.1.4. AG4 - Effettuare una ricognizione dei beni informatici e dei servizi
- 2.1.5. AG5 - Classificazione di beni e servizi sotto il profilo della sicurezza
- 2.1.6. AG6 - Definire una metodologia di audit e valutazione del fornitore in materia di sicurezza
- 2.1.7. AG7 - Definire una metodologia di audit interno in materia di sicurezza
- 2.1.8. Check list delle azioni generali
- 2.2. Azioni da svolgere durante la fase di procurement
- 2.2.1. AP1 - Analizzare la fornitura e classificarla in base a criteri di sicurezza
- 2.2.2. AP2 - Scegliere lo strumento di acquisizione più adeguato, tenendo conto della sicurezza
- 2.2.3. AP3 - Scegliere i requisiti di sicurezza da inserire nel capitolato
- 2.2.4. AP4 - Garantire competenze di sicurezza nella commissione di valutazione
- 2.2.5. Check list delle azioni in fase di procurement
- 2.3. Azioni da svolgere dopo la stipula del contratto (in esecuzione e/o a posteriori).
- 2.3.1. A1 - Gestire le utenze dei fornitori
- 2.3.2. A2 - Gestire l’utilizzo di dispositivi di proprietà del fornitore
- 2.3.3. A3 - Gestire l’accesso alla rete dell’amministrazione
- 2.3.4. A4 - Gestire l’accesso ai server/database
- 2.3.5. A5 - Stipulare accordi di autorizzazione - riservatezza - confidenzialità
- 2.3.6. A6 - Verificare il rispetto delle prescrizioni di sicurezza nello sviluppo applicativo
- 2.3.7. A7 - Monitorare le utenze e gli accessi dei fornitori
- 2.3.8. A8 - Verificare la documentazione finale di progetto
- 2.3.9. A9 - Effettuare la rimozione dei permessi (deprovisioning) al termine di ogni progetto
- 2.3.10. A10 - Aggiornare l’inventario dei beni
- 2.3.11. A11 - Distruzione del contenuto logico (wiping) dei dispositivi che vengono sostituiti
- 2.3.12. A12 - Manutenzione - aggiornamento dei prodotti
- 2.3.13. A13 - Vulnerability Assessment
- 2.3.14. Matrice applicabilità Azione - Requisito
- 2.3.15. Matrice applicabilità Azione - Tipologia Fornitura
- 2.4. Impatto delle azioni per le amministrazioni
- 2.1. Azioni da svolgere prima della fase di procurement
- 3. Indicazioni per AGID
- 4. Indicazioni per le centrali di committenza
- 5. Appendice A – Requisiti di sicurezza eleggibili