IT Policy Index — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P2 · Head of IT · v1 03/07/2026 · bozza da compilare in azienda
Scopo del documento
Questo indice è il registro gerarchico di tutte le policy IT previste per il Gruppo. Definisce quali policy servono, la loro gerarchia, l'owner, la priorità e lo stato di avanzamento. È lo strumento di pianificazione del corpus documentale: mostra a colpo d'occhio cosa esiste, cosa manca e cosa viene prima.
Nasce dal fatto che oggi il Gruppo non ha policy formalizzate: i processi sono informali. L'indice trasforma questa lacuna in un piano ordinato, sequenziato per riduzione del rischio e abilitazione dello split societario.
Gerarchia documentale
IT Governance Charter (P0)
└── InfoSec Policy Master (P2) — policy cappello ISO 27001-oriented
├── Policy di dominio (controllo accessi, backup, ...)
├── Policy operative (change, incident, asset, ...)
└── Standard e procedure (allegati tecnici)
- Livello 1 — Charter: mandato e autorità (già in P0).
- Livello 2 — InfoSec Master: principi e ruoli di sicurezza.
- Livello 3 — Policy specifiche: regole per dominio.
- Livello 4 — Standard/procedure: dettaglio operativo (fuori da questo indice, referenziato).
Legenda
- Priorità: Alta = rischio o obbligo NIS 2 imminente · Media = abilita split/crescita · Bassa = igiene/completezza.
- Stato: Da avviare · In bozza · In revisione · Approvata · In manutenzione.
- Owner: proprietario del contenuto (di norma Responsabile IT Gruppo o referente team IT). Le policy con impatto operativo sono co-redatte con il team IT esistente per catturare l'as-is reale.
Registro policy previste
| # | Policy | Livello | Owner | Priorità | Stato | Note |
|---|---|---|---|---|---|---|
| 01 | InfoSec Policy Master | 2 | Resp. IT Gruppo | Alta | In bozza | Cappello ISO 27001, aggancio NIS 2 |
| 02 | Controllo Accessi e Identità | 3 | Resp. IT + Team IT | Alta | Da avviare | Least privilege, MFA, offboarding |
| 03 | Gestione Password e Credenziali | 3 | Team IT | Alta | Da avviare | Vault credenziali, rotazione |
| 04 | Backup e Ripristino | 3 | Team IT | Alta | Da avviare | RPO/RTO, test ripristino, 3-2-1 |
| 05 | Business Continuity / Disaster Recovery | 3 | Resp. IT Gruppo | Alta | Da avviare | Critico per multi-sede |
| 06 | Gestione Incidenti di Sicurezza | 3 | Resp. IT Gruppo | Alta | Da avviare | Obbligo notifica NIS 2 |
| 07 | Gestione Vulnerabilità e Patch | 3 | Team IT | Media | Da avviare | Cadenza patching, CVE |
| 08 | Gestione degli Asset IT | 3 | Team IT | Media | Da avviare | Inventario HW/SW, ciclo di vita |
| 09 | Gestione dei Fornitori IT | 3 | Resp. IT Gruppo | Alta | Da avviare | Supply chain NIS 2, DPA |
| 10 | Change Management IT | 3 | Resp. IT Gruppo | Media | Da avviare | Approvazione modifiche |
| 11 | Uso Accettabile Risorse IT | 3 | Resp. IT + HR | Media | Da avviare | Utenti finali, BYOD |
| 12 | Classificazione e Protezione Dati | 3 | Resp. IT + DPO | Alta | Da avviare | Dati clienti luxury, riservatezza |
| 13 | Sicurezza degli Endpoint | 3 | Team IT | Media | Da avviare | Antimalware, cifratura disco |
| 14 | Sicurezza di Rete | 3 | Team IT | Media | Da avviare | Segmentazione, VPN, firewall |
| 15 | Log e Monitoraggio | 3 | Team IT | Media | Da avviare | Retention log, alerting |
| 16 | Continuità del Servizio Cloud/SaaS | 3 | Resp. IT Gruppo | Media | Da avviare | Exit strategy, lock-in |
| 17 | Formazione e Awareness Sicurezza | 3 | Resp. IT + HR | Media | Da avviare | Phishing, obbligo NIS 2 |
| 18 | Gestione Accessi Fisici ai sistemi | 3 | Team IT | Bassa | Da avviare | Sala server, sedi |
| 19 | Policy Ciclo di Vita delle Policy | Meta | Resp. IT Gruppo | Alta | In bozza | Rif. it-policy-lifecycle.md (P3) |
| 20 | [da compilare: policy specifica split societario] | 3 | Resp. IT Gruppo | Alta | Da avviare | Separazione perimetri IT post-split |
Sequenza consigliata (ondate)
- Ondata 1 (fondamenta rischio): 01, 02, 03, 04, 06 — riducono subito il rischio-persona e coprono obblighi NIS 2 core.
- Ondata 2 (continuità e fornitori): 05, 09, 12 — abilitano lo split e proteggono i dati clienti.
- Ondata 3 (igiene operativa): 07, 08, 10, 13, 14, 15.
- Ondata 4 (completamento): 11, 16, 17, 18, 20.
Manutenzione dell'indice
Aggiornare stato e priorità a ogni comitato IT (rif. operating model P3). Owner dell'indice: Responsabile IT di Gruppo. Le nuove esigenze emerse in azienda vanno aggiunte come nuove righe, non gestite ad-hoc.
[da compilare: data ultimo aggiornamento indice]