La circolare AGID “Misure Minime per la Sicurezza ICT delle Pubbliche Amministrazioni” indica misure di natura tecnologica, organizzativa e procedurale e prevede tre livelli di attuazione: il livello minimo è quello al quale ogni PA, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme.
Il documento individua, tra i 20 controlli normalmente conosciuti come Critical Security Control (CSC), quelli ritenuti indispensabili a garantire il livello minimo sulla base dell’impatto sulla sicurezza dei sistemi (si veda allegato "Sintesi Circolare AGID sulle MMS").
La Sapienza, recepita la circolare AGID, ha individuato un processo interno di attuazione regolamentato da due disposizioni del Direttore Generale (prot. n° 53743 del 05/07/2017 e prot. n° 0095049 del 01/12/2017) recanti norme e modalità interne per raggiungere l’obiettivo indicato.