← Indice pacchetto onboarding

IT Policy Index — Gonzato Group / Ind.i.a SpA

Pacchetto onboarding IT Gonzato · Fase P2 · Head of IT · v1 03/07/2026 · bozza da compilare in azienda

Scopo del documento

Questo indice è il registro gerarchico di tutte le policy IT previste per il Gruppo. Definisce quali policy servono, la loro gerarchia, l'owner, la priorità e lo stato di avanzamento. È lo strumento di pianificazione del corpus documentale: mostra a colpo d'occhio cosa esiste, cosa manca e cosa viene prima.

Nasce dal fatto che oggi il Gruppo non ha policy formalizzate: i processi sono informali. L'indice trasforma questa lacuna in un piano ordinato, sequenziato per riduzione del rischio e abilitazione dello split societario.

Gerarchia documentale

IT Governance Charter (P0)
  └── InfoSec Policy Master (P2) — policy cappello ISO 27001-oriented
        ├── Policy di dominio (controllo accessi, backup, ...)
        ├── Policy operative (change, incident, asset, ...)
        └── Standard e procedure (allegati tecnici)

Legenda

Registro policy previste

#PolicyLivelloOwnerPrioritàStatoNote
01InfoSec Policy Master2Resp. IT GruppoAltaIn bozzaCappello ISO 27001, aggancio NIS 2
02Controllo Accessi e Identità3Resp. IT + Team ITAltaDa avviareLeast privilege, MFA, offboarding
03Gestione Password e Credenziali3Team ITAltaDa avviareVault credenziali, rotazione
04Backup e Ripristino3Team ITAltaDa avviareRPO/RTO, test ripristino, 3-2-1
05Business Continuity / Disaster Recovery3Resp. IT GruppoAltaDa avviareCritico per multi-sede
06Gestione Incidenti di Sicurezza3Resp. IT GruppoAltaDa avviareObbligo notifica NIS 2
07Gestione Vulnerabilità e Patch3Team ITMediaDa avviareCadenza patching, CVE
08Gestione degli Asset IT3Team ITMediaDa avviareInventario HW/SW, ciclo di vita
09Gestione dei Fornitori IT3Resp. IT GruppoAltaDa avviareSupply chain NIS 2, DPA
10Change Management IT3Resp. IT GruppoMediaDa avviareApprovazione modifiche
11Uso Accettabile Risorse IT3Resp. IT + HRMediaDa avviareUtenti finali, BYOD
12Classificazione e Protezione Dati3Resp. IT + DPOAltaDa avviareDati clienti luxury, riservatezza
13Sicurezza degli Endpoint3Team ITMediaDa avviareAntimalware, cifratura disco
14Sicurezza di Rete3Team ITMediaDa avviareSegmentazione, VPN, firewall
15Log e Monitoraggio3Team ITMediaDa avviareRetention log, alerting
16Continuità del Servizio Cloud/SaaS3Resp. IT GruppoMediaDa avviareExit strategy, lock-in
17Formazione e Awareness Sicurezza3Resp. IT + HRMediaDa avviarePhishing, obbligo NIS 2
18Gestione Accessi Fisici ai sistemi3Team ITBassaDa avviareSala server, sedi
19Policy Ciclo di Vita delle PolicyMetaResp. IT GruppoAltaIn bozzaRif. it-policy-lifecycle.md (P3)
20[da compilare: policy specifica split societario]3Resp. IT GruppoAltaDa avviareSeparazione perimetri IT post-split

Sequenza consigliata (ondate)

  1. Ondata 1 (fondamenta rischio): 01, 02, 03, 04, 06 — riducono subito il rischio-persona e coprono obblighi NIS 2 core.
  2. Ondata 2 (continuità e fornitori): 05, 09, 12 — abilitano lo split e proteggono i dati clienti.
  3. Ondata 3 (igiene operativa): 07, 08, 10, 13, 14, 15.
  4. Ondata 4 (completamento): 11, 16, 17, 18, 20.

Manutenzione dell'indice

Aggiornare stato e priorità a ogni comitato IT (rif. operating model P3). Owner dell'indice: Responsabile IT di Gruppo. Le nuove esigenze emerse in azienda vanno aggiunte come nuove righe, non gestite ad-hoc.

[da compilare: data ultimo aggiornamento indice]