SOMMARIO. L organizzazione sul documento programmatico sulla sicurezza dei dati

Transcript

1 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 2009

2 2

3 SOMMARIO 1. L azienda pag L organizzazione sul documento programmatico sulla sicurezza dei dati pag Metodologia per la redazione documento pag Misure di tutela per la sicurezza le banche dati cartacee pag Misure di tutela per la sicurezza le banche dati informatiche pag Tutela fisica dei sistemi informatici pag Iniziative e azioni aziendali pag Staff Aziendale pag S.C. Centro di Controllo Direzionale pag S.C. Comunicazione e Marketing pag S.C. Infrastrutture Informatiche e Telecomunicazioni pag S.C. Organizzazione Presidi Ospedalieri pag S.C. Sistemi Informativi pag Dipartimenti Amministrativi pag Dipartimento Economico Finanziario pag S.C. Bilancio e Contabilità pag S.C. Economato e Logistica pag S.C. Prestazioni Sanitarie pag S.C. Provveditorato pag Dipartimento Giuridico e Risorse Umane pag S.C. Affari Generali pag S.C. Affari Legali pag S.C. Organizzazione Gestione Formazione Personale pag Dipartimento Tecnologico pag S.C. Gestione Impianti Elettrici ed Apparecchiature pag S.C. Gestione Impianti Termotecnici pag S.C. Manutenzione Edile e Gestione Immobili pag S.C. Progettazione e Gestione Nuove Opere pag Dipartimenti Sanitari Dipartimenti di Staff la Direzione Sanitaria pag S.C. Direzione Medica Presidio Albenga - Pietra Ligure pag S.C. Direzione Medica Presidio Savona - Cairo pag S.C. Farmacia Presidio Ospedaliero Alberga - Pietra Ligure pag S.C. Farmacia Presidio Ospedaliero Savona Cairo pag S.C. Farmacia Territoriale pag S.C. Pianificazione Coordinamento Professioni Sanitarie e Assistenti Sociali pag Dipartimento Chirurgie pag S.C. Chirurgia Generale Albenga pag. 67 3

4 4.2.2 S.C. Chirurgia Generale Cairo Montenotte pag S.C. Chirurgia Generale Pietra Ligure pag S.C. Chirurgia Generale Savona pag S.C. Chirurgia Generale Oncologica Epatobiliare Pietra Ligure pag S.C. Chirurgia Plastica Pietra Ligure pag S.C. Chirurgia Vascolare Pietra Ligure pag S.C. Day Surgery Multidisciplinare Savona pag S.C. Urologia Pietra Ligure pag S.C. Urologia Savona pag Dipartimento Cure Primarie ed Attività Distrettuali pag S.C. Assistenza Anziani pag S.C. Assistenza Disabili pag S.C. Distretto Albenganese pag S.C. Distretto Finalese pag S.C. Distretto Savonese pag S.C. Distretto Valbormida pag S.C. Medicina di Base e Specialistica pag Dipartimento di Emergenza Levante pag S.C. 118 pag S.C. Anestesia e Rianimazione Savona pag S.C. Cardiologia Savona pag S.C. Pronto Soccorso Savona pag Dipartimento di Emergenza Ponente pag S.C. Anestesia e Rianimazione Albenga pag S.C. Anestesia Pietra Ligure pag S.C. Cardiologia Pietra Ligure pag S.C. Pronto Soccorso Pietra Ligure pag S.C. Rianimazione Pietra Ligure pag Dipartimento Immagini pag S.C. Fisica Sanitaria Savona pag S.C. Medicina Nucleare Pietra Ligure pag S.C. Neuroradiologia Pietra Ligure pag S.C. Radiologia Albenga pag S.C. Radiologia Cairo Montenotte pag S.C. Radiologia Pietra Ligure pag S.C. Radiologia Savona pag S.C. Radioterapia Savona pag Dipartimento Materno Infantile pag S.C. Assistenza Consultoriale pag S.C. Ginecologia e Ostetricia Pietra Ligure pag S.C. Ginecologia e Ostetricia Savona pag S.C. Pediatria Pietra Ligure pag S.C. Pediatria Savona pag

5 4.8 Dipartimento di Medicina pag S.C. Gastroenterologia ed Endoscopia Digestiva Pietra Ligure pag S.C. Medicina Albenga pag S.C. Medicina Cairo Montenotte pag S.C. Medina e Gastroenterologia Savona pag S.C. Medicina Interna Pietra Ligure pag S.C. Medicina Interna e Cure Intermedie Savona pag S.C. Medicina Prima Savona pag S.C. Neurologia Pietra Ligure pag S.C. Neurologia Savona pag S.C. Oncologia Pietra Ligure pag S.C. Oncologia Savona pag Dipartimento di Ortopedia pag S.C. Chirurgia Mano Savona pag S.C. Chirurgia Protesica Pietra Ligure pag S.C. Chirurgia Vertebrale Pietra Ligure pag S.C. Malattie Infettive Osteoarticolari Pietra Ligure pag S.C. Traumatologia Ortopedia Albenga pag S.C. Traumatologia Ortopedia Pietra Ligure pag S.C. Traumatologia Ortopedia Savona pag Dipartimento Patologia Clinica pag S.C. Anatomia Patologica Pietra Ligure pag S.C. Anatomia Patologica Savona pag S.C. Centro Trasfusionale Pietra Ligure pag S.C. Centro Trasfusionale Savona pag S.C. Laboratorio Analisi Pietra Ligure - Albenga pag S.C. Laboratorio Analisi Savona - Cairo Montenotte pag Dipartimento di Prevenzione pag S.C. Igiene degli Alimenti e la Nutrizione pag S.C. Igiene Alimenti di Origine Animale pag S.C. Igiene e Sanità Pubblica pag S.C. Prevenzione e Sicurezza negli Ambienti di Lavoro pag S.C. Sanità Animale e Igiene degli Allevamenti pag Dipartimento di Riabilitazione pag S.C. Centro Terapia Dolore e Cure Palliative Pietra Ligure pag S.C. Riabilitazione e Rieducazione Funzionale Pietra Ligure pag S.C. Riabilitazione e Rieducazione Funzionale Savona pag S.C. Unità Spinale Unipolare Pietra Ligure pag Dipartimento di Salute Mentale e Dipendenze pag S.C. Assistenza Psichiatrica Ospedaliera pag S.C. Assistenza Psichiatrica Territoriale pag S.C. Servizio Recupero Tossicodipendenze pag

6 4.14 Dipartimento Specialità Mediche pag S.C. Dermatologia Albenga pag S.C. Dermatologia Savona pag S.C. Malattie Infettive Pietra Ligure pag S.C. Malattie Infettive Savona pag S.C. Nefrologia Dialisi e Trapianto Savona pag S.C. Pneumologia Pietra Ligure pag S.C. Reumatologia Savona pag Dipartimento Testa Collo pag S.C. Neurochirurgia Pietra Ligure pag S.C. Oculistica Albenga pag S.C. Oculistica Savona pag S.C. Otorinolaringoiatria Albenga pag S.C. Otorinolaringoiatria Savona pag

7 1. L Azienda L Azienda Sanitaria Locale 2 Savonese si estende sull intero territorio Provinciale abbracciando 69 Comuni con una popolazione di circa abitanti. Il fabbisogno sanitario viene soddisfatto con le prestazioni offerte dalle quattro strutture ospedaliere ( Ospedale San Paolo di Savona, San Giuseppe di Cairo Montenotte, Santa Corona di Pietra Ligure e Santa Maria di Misericordia di Albenga ) dai servizi territoriali e dalla rete di emergenza provinciale. Il recente accorpamento con l azienda ospedaliera Ospedale Santa Corona di Pietra Ligure ha comportato una revisione organizzativa con la conseguente articolazione dei servizi in 17 dipartimenti tra amministrativi e sanitari ed in 113 Strutture Complesse ( di cui 3 in corso di attivazione ) 7

8 DIREZIONE GENERALE Collegio Sindacale Collegio di Direzione DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA DIPARTIMENTO DI STAFF AZIENDALE DIPARTIMENTI AMMINISTRATIVI DIPARTIMENTI SANITARI 1.1 Organizzazione Documento Programmatico sulla Sicurezza dei Dati Il presente documento è redatto sulla base le Disposizioni inerenti l adozione le misure minime di sicurezza nel dei dati personali previste dagli articoli e dall allegato B D.Lg. 196/2003. Le disposizioni in parola stabiliscono la predisposizione e l aggiornamento, con cadenza almeno annuale (entro il 31 marzo di ogni anno), di un Documento Programmatico sulla Sicurezza dei dati, per definire, sulla base l analisi dei rischi, la distribuzione dei compiti e le responsabilità nell ambito le strutture preposte al dei dati stessi, i seguenti elementi: l elenco dei trattamenti di dati personali sensibili e giudiziari l analisi dei rischi che incombono sui dati; le misure adottate per garantire l integrità e la disponibilità dei dati, nonché la protezione le aree e dei locali, rilevanti ai fini la loro custodia e accessibilità; la descrizione dei criteri e le modalità per il ripristino la disponibilità dei dati in seguito a distruzione o danneggiamento; la previsione di interventi formativi degli incaricati ; la descrizione dei criteri da adottare per garantire l adozione le misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all esterno la struttura ; i trattamenti soggetti a cifratura o a separazione per isolare dati l interessato,sensibili o giudiziari, rispetto a quelli personali. Il presente documento dà conto di tutte le misure adottate in relazione alla tipologia le varie banche dati. 1.2 Metodologia per la redazione Utilizzando la modulistica di cui alla Guida operativa per redigere il D.P.S. emanata l undici giugno 2004 dal Garante per la Protezione dei Dati Personali si è provveduto a censire i vari trattamenti dati in essere presso l Azienda, le relative banche dati, le misure di sicurezza adottate o proposte, i criteri e le procedure per il salvataggio dei dati stessi nonché i tempi di ripristino. La modulistica consente di ottenere, per ciascuna banca dati rilevata, informazioni circa: 8

9 Il responsabile dati il per il quale viene impiegata la banca dati; la tipologia dei dati trattati; i soggetti giuridici ai quali i dati si riferiscono; le operazioni di eseguite sulla banca dati; la natura dei dati; le modalità di dei dati con varie tipologie di strumenti e mezzi; l eventuale intervento di titolari o contitolari o di terzi responsabili nel dati e nella gestione la relativa anca dati. la rilevazione dei dati è stata effettuata muovendo dall organizzazione aziendale prevista con iberazioni e ed in particolare dalle singole Strutture Complesse costituenti i vari Dipartimenti in cui è funzionalmente articolata l intera azienda 1.3 Misure di tutela per la sicurezza le banche dati cartacee Le misure di sicurezza adottate dall Azienda per la gestione le banche dati cartacee sono di seguito elencate: custodia in uffici ed aree operative ; custodia in locali riservati e chiusi a chiave ; custodia in contenitori dedicati chiusi a chiave ; custodia in archivi di deposito chiusi a chiave ad accesso limitato ai soli responsabili ed incaricati custodia di documentazione storica o da conservarsi per esigenze di legge in locali di sicurezza ad accesso limitato ai soli responsabili ed incaricati 1.4 Misure di tutela per la sicurezza le banche dati informatiche Attesa la complessità le procedure informatiche e il loro crescente utilizzo, ai fini la tutela e la sicurezza, risultano di rilevante interesse le misure minime adottate dall Azienda nel le banche dati informatiche quali di seguito elencate: configurazioni atte a garantire la continuità di servizio (cluster, doppio alimentatore, doppia scheda di rete, ecc.); configurazioni le memorie di massa con mirroring e raid; dispositivo di backup per ogni server o centralizzato di dimensione e velocità adeguate; procedure di backup eseguite su supporti in linea ad alta velocità e i dati trasferiti su supporti removibili; i supporti fisici contenenti i backup sono conservati in luogo sicuro e diverso da quello dove risiede il server corrispondente (per minimizzare la probabilità di distruzione contestuale di server e dati salvati) in armadi ignifughi chiusi a chiave; è adottato un set minimo di supporti per i salvataggi a rotazione (es. un supporto per ogni giorno la settimana) e viene effettuato un backup non sovrascrivibile almeno una volta al mese; il di dati personali con strumenti elettronici è consentito ai soli incaricati dotati di credenziali di autenticazione; user/password dei super-utenti conservati in luogo sicuro ad accesso controllato (chiuso a chiave ) le credenziali di autenticazione sono costituite da un codice per l identificazione l'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure da un dispositivo di autenticazione in possesso e ad uso esclusivo l'incaricato, eventualmente associato a un codice identificativo o a una parola chiave; ad ogni incaricato possono essere assegnate una o più credenziali per l'autenticazione; gli incaricati ricevono istruzioni riguardanti le cautele necessarie ad assicurare la segretezza la componente riservata la credenziale e la diligente custodia dei dispositivi utilizzati dall'incaricato; la parola chiave è composta da almeno otto caratteri o, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; è modificata dall'incaricato al primo utilizzo e, successivamente, almeno ogni sei mesi; in caso di dati sensibili e giudiziari la parola chiave è modificata almeno ogni tre mesi. il codice per l identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi; le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica; le credenziali sono disattivate anche in caso di perdita le mansione che giustificano l'accesso ai dati personali; sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di ; 9

10 quando l accesso ai dati e agli strumenti elettronici è consentito esclusivamente tramite password di autenticazione, sono impartite disposizioni scritte volte a specificare le modalità per assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento l incaricato; le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non sono applicate ai trattamenti dei dati personali destinati alla diffusione. sistema di autorizzazioni idoneo a supportare gli incaricati che hanno profili di autorizzazione di ambito diverso; i profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di le gestioni locali dei dati informatici tendono ad essere sostituite da quelle centralizzate su server per quelle esistenti al tutela dei dati è demandata all utente finale che ha il compito di effettuare salvataggi su supporti magnetici (con frequenza almeno settimanale) e di conservare gli stessi in luogo idoneo (sotto chiave, in contenitori ignifughi,..). server e workstation sono dotati di software antivirus ed antispam aggiornato a cadenza giornaliera il profilo abilitativo di ogni utente è configurato in modo da non consentire l installazione di programmi non autorizzati. 1.5 Tutela fisica dei sistemi informatici Le adeguate misure di tutela fisica dei server e degli apparati di rete prevedono un corretto inventario le attrezzature ed una adeguata collocazione come di seguito elencato i server sono collocati in locali chiusi ad accesso controllato, con alimentazione elettrica tutelata, condizionamento ed impianto antincendio; gli apparati di rete sono collocati in armadi chiusi a chiave in modo da garantire valori corretti di alimentazione elettrica, temperatura, polverosità ed umidità. Per salvaguardare l impianto di sicurezza sistema sono state adottate le seguenti misure: configurazione ottimale firewall e ras che sono configurati e gestiti da personale certificato; configurazione ottimale dei server dedicati all autenticazione l utente (server di dominio, ) e dei sistemi dedicati al backup dei dati, minimizzando il numero di funzionalità in uso su di essi; sessioni di amministrazione di sistema e di concessione/revoca/modifica di abilitazioni applicative non effettuate in locale sul server rese completamente immuni da azioni di intercettazione sulla rete e da fraudolenta impersonificazione; password di amministrazione con lunghezza minima di 8 caratteri, maiuscoli,minuscoli e segni di punteggiatura con scadenza massima imposta pari ad un mese senza possibilità di ripetizione. Per salvaguardare le funzionalità applicative sistema sono state adottate le seguenti misure: per la sicurezza la autenticazioni né la password né le informazioni che possano essere utilizzate per una fraudolenta impersonificazione viaggiano in chiaro sulla rete ; non viaggia in chiaro sulla rete neppure la configurazione dei server che forniscono funzionalità applicative. Le misure sopra descritte tendono a minimizzare le indisponibilità servizio,intercettazione e modifica di dati in rete e la fraudolenta impersonificazione. 1.6 Iniziative e azioni aziendali L Azienda nel perseguire l'obiettivo di tutela diritto alla Privacy ha colto l unificazione con l Azienda Ospedaliera Ospedale Santa Corona di Pietra Ligure per una revisione funditus l inera materia. In particolare è stata istituita una Struttura Dipartimentale dedicata alla Privacy e si è provveduto a rivedere il relativo regolamento aziendale. I diversi livelli di responsabilità degli operatori coinvolti nell'applicazione le disposizioni sulla Privacy sono in corso di ridefinizione ed è in fase di distribuzione la nuova modulistica unificata sull informativa e sul consenso al dei dati tradotta in più lingue comunitarie ed etracomunitarie,come pure quella per l esercizio dei diritti da parte dei titolari diritto alla privacy. Prosegue inoltre il percorso informativo /formativo degli operatori volto alla creazione di una cultura la riservatezza e rispetto l'utente avviato già da diversi anni. Sono infatti previste per il 2009 quattro edizioni Corso Privacy in Sanità mirate ai dirigenti sanitari ed amministrativi ed al personale comparto maggiormente a contatto con le banche dati. Per la diffusione dei documenti e le iniziative sopra descritte è costante l utilizzo sito aziendale che viene periodicamente aggiornato ed implementato anche con la pubblicazione di slides e dispense formative. 10

11 DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA Dipartimento di Staff Aziendale S.C. Centro Controllo Direzionale S.C. Organizzazione dei Presidi Ospedalieri S.C. Comunicazione Sanitaria e Marketing S.C. Sistemi Informativi S.C. Infrastrutture Informatiche e Telecomunicazioni 11

12 12

13 S.C. Centro di Controllo Direzionale Ubicazione: Via Manzoni,14 Savona e Via vaprile, 128 Pietra Ligure. Descrizione dei compiti istituzionali : Collaborare con la Direzione Generale alla programmazione l attività aziendale e monitorare costi e ricavi Trattamenti dati effettuati:1) budgeting and reporting ; 2)consultazione banca dati utenti e degenti,3) gestione procedure di analisi SDO e DRG, 4)Analisi costi gestionali; TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione 1. b) Carenza di consapevolezza, disattenzione o incuria Comportamenti c) Comportamenti sleali o fraudolenti degli operatori d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno 2. b) Spamming o tecniche di sabotaggio Eventi relativi c) Malfunzionamento, indisponibilità o degrado degli strumenti agli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati 3. Altri Eventi Descrizione sintetica c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: TABELLA 4 - Misure di sicurezza adottate o proposte Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. CCD SV 001 consultazione banca dati utenti e degenti utenti e degenti CCD SV 002 gestione procedure analisi SDO e DRG utenti e degenti cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet CCD SV 001 server software dedicato CCD SV 002A sede CCD SV 002B server software dedicato Intranet Rischi individuati Misure esistenti Tipologia di misure che si propongono CCD SV 001 e CCD SV 002B 2a 2c password individuale antivirus antispam CCD SV 002A 1d 3e locali ad accesso ristretto TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Server CCD SV 001 back up automatico CCD SV 002B back up su supporto magnetico Archivio Incaricato salvataggio Struttura Interna Società esterna Persona Tempi di ripristino dati Tempo reale 13

14 14

15 S.C. Comunicazione Sanitaria e Marketing Ubicazione: Via Collodi 13, Savona e Via XXV Aprile 128, Pietra Ligure Descrizione dei compiti istituzionali: attività di supporto alla Direzione Generale nel raggiungimento degli obiettivi assunti con particolare riferimento alla comunicazione,al marketing ed alla promozione le attività aziendali. Gestione le procedure di accesso agli atti e dei contatti con l utenza e con le Associazioni di tutela e volontariato. Trattamenti dati effettuati: 1)gestione procedure di accesso agli atti ai sensi la L. 241/90; 2)gestione procedure reclami e segnalazioni; 3)gestione rapporti con le Associazioni di tutela e volontariato e disanima casistica in seno alla Commissione Conciliativa Mista; 4)gestione dei rapporti con i media attraverso comunicazioni ufficiali; 5)gestione la comunicazione interna attraverso comunicazioni ufficiali; 6)gestione banca dati destinatari di comunicazioni aziendali; 7)gestione sito aziendale 8)gestione archivio fotografico. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa 1. a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria Comportamenti degli operatori c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di Giud Sens. interessati. Int. Est. COM SV 001 gest.accesso agli atti L.241/90 utenti COM SV 002 gest segnalazione reclami utenti COM SV 003 disamina casistica Commissione Conciliativa Mista utenti COM SV 004 gest rapporti con media attraverso comunicazioni ufficiali terzi COM SV 005 gest comunicazione interna attraverso comunicazioni uff. dipendenti cartacea Banca dati magnetica Ubicazione Procedure Interconnessione Utilizzate (Nome Software) Internet Intranet COM SV 001 URP SV COM SV 002 A URP SV e PIETRA LIGURE COM SV 002 B server word COM SV 003 URP SV COM SV 004 A uff. comunicazione SV COM SV 004 B server OUTLOOK COM SV 005 A uff. comunicazione SV COM SV 005 B server OUTLOOK 15

16 TABELLA 4 - Misure di sicurezza adottate o proposte COM SV 001, COM SV 002 A, COM SV 003, COM SV 004 A COM SV,005 A COM SV 002 B COM SV 004 B COM SV 005 B Rischi individuati 1b ed 1d 3a 3c 3e 1d 2c 3d Misure esistenti sensibilizzazione personale chiusura a chiave singoli uffici antivirus, anti spam, password individuali aggiornate e salvataggi periodici, Tipologia di misure che si propongono aggiornamento software TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati COM SV 002B COM SV 004 B COM SV 005 B Procedure per il salvataggio dati back.up su supporto magnetico Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società esterna Persona Responsabile procedimento Tempi di ripristino dati tempo reale 16

17 S.C. Infrastrutture Informatiche e Telecomunicazioni Ubicazione: piano terra padiglione Vigiola Via Genova 30 Savona e piano terra via Trieste Alberga, padiglione di informatica Via v Aprile Pietra Ligure Descrizione dei compiti istituzionali: gestione di hardware e software aziendali, gestione telecomunicazioni (rete dati, fonia fissa e mobile), promuovendo l innovazione tecnologica e il contenimento la spesa. Gestione numeri aziendali di telefonia fissa e mobile e mailing list e gestione la sicurezza dei sistemi informatici. Trattamenti dati effettuati: 1) gestione banca dati password d accesso agli indirizzi di posta elettronica 2) gestione mailing list aziendale TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari IIT SV 001 Descrizione sintetica Attività svolta gestione banca dati password d accesso agli indirizzi di posta elettronica Categorie di interessati dipendenti IIT SV 002 gestione mailing list aziendale dipendenti Natura dei dati trattati Altre strutture che concorrono al Sens. Giud. Int. Est. TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi cartacea Banca dati Magnetica Ubicazione Procedure Utilizzate (Nome Software) Internet Interconnessione IIT SV 001 server software dedicato IIT SV 002 aziendale Intranet Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: 17

18 TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti IIT SV 001 IIT SV 002 1b 1d password personali salvaschermo con password controllo autorizzazioni copie di backup IIT SV 002 2a, 2b,2c,2d antivirusrantispam firewall TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Tipologia di misure che si propongono IIT SV 001 IIT SV 002 3b 3d videosorveglianza protezione accesso locali ups copie di backup disaster recovery Procedure per il salvataggio dati Luogo di custodia le copie Incaricato salvataggio Tempi di ripristino dati Struttura Società Server Archivio Persona Interna esterna IIT SV 001 backup automatico * 1 giorno IIT SV 002 *archivio magnetico 18

19 S.C. Organizzazione dei Presidi Ospedalieri Ubicazione: secondo piano Pad. Vigiola Ospedale San Paolo via Genova, 30, Savona; piano terra c/o Ospedale San Giusepep corso Martiri la Libertà 30, Cairo Montenotte; piano terra palazzina uffici amministrativi c/o Ospedale Santa Corona via v Aprile 128 Pietra Ligure; quarto piano Ospedale Santa Maria di Misericordia Viale Martiri la Foce 40 Alberga Descrizione dei compiti istituzionali: Attività di supporto per il raggiungimento degli obiettivi indicati dalla Direzione Generale, nella gestione amministrativa dei Presidi Ospedalieri di Savona Cairo Montenotte e Pietra Ligure - Albenga. Supervisione normativa in materia di privacy e gestione dei punti d ascolto per la prevenzione fenomeno di mobbing. Trattamenti dati effettuati: 1) redazione atti amministrativi, 2)procedure di verifica carichi di lavoro personale dipendente non sanitario, 3) recupero spese di spedalità relative a cittadini etracomunitari 4) supervisione adempimenti privacy 5) risposte a quesiti privacy 6) procedure mobbing. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. OPO SV 001 redazione atti amministrativi dipendenti, utenti OPO SV 002 verifica carichi di lavoro personale dipendente non sanitario dipendenti OPO SV 003 recupero spese spedalità cittadini utenti, degenti etracomunitari etracomunitarii OPO SV 005 risposte a quesiti privacy utenti, degenti, dipendenti OPO SV 006 procedure mobbing dipendenti TABELLA 2 - Strumenti utilizzati cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) Internet Interconnessione OPO SV 001A OPO SV 001B software dedicato OPO SV 002 A OPO SV 002 B software dedicato OPO SV 003 A Uffici OPO OPO SV 003 B software dedicato OPO SV 005A OPO SV 005B software dedicato OPO SV 006A OPO SV 006B software dedicato Intranet TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione 1. b) Carenza di consapevolezza, disattenzione o incuria Comportamenti c) Comportamenti sleali o fraudolenti degli operatori d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio 2. c) Malfunzionamento, indisponibilità o degrado degli strumenti Eventi relativi d) Accessi esterni non autorizzati agli strumenti e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati 3. Altri Eventi c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizzazione) e) Errori umani nella gestione fisica la sicurezza 19

20 TABELLA 4 - Misure di sicurezza adottate o proposte da OPO SV 001A a OPO SV 006A da OPO SV 001B a OPO SV 006B Rischi individuati 1d 3a 2c 2a 3d Misure esistenti controllo incrociato dati cartacei e informatici e locali e contenitori chiusi a chiave antivirus ed antispam aziendali, password individuali Tipologia di misure che si propongono TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati da OPO SV 001B a OPO SV 006B Procedure per il salvataggio dati back up su supporto magnetico Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società Esterna Persona Tempi di ripristino dati 1 giorno 20

21 S.C. Sistemi Informativi D.P.S Ubicazione: piano terra padiglione Vigiola Via Genova 30 Savona,. padiglione di informatica Via v Aprile Pietra Ligure. Descrizione dei compiti istituzionali: programmazione l attività informatica aziendale con particolare riferimento all innovazione ed all ottimizzazione dei sistemi esistenti; coordimanento con i sistemi informativi regionali, statali e con Aziende Sanitarie Ponente Ligure. Elaborazione le banche dati degenti ed utenti a fini amministravi. Trattamenti dati effettuati :1)Gestone informatica debito informativo regionale, 2) gestione informatica banche dati aziendali a fini statistici,3) caricamento ed elaborazione ricette specialistiche TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari SII SV 001 SII SV 002 SII SV 003 Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. gestone informatica debito informativo regionale degenti ed utenti gestione informatica banche dati aziendali a fini statistici caricamento ed elaborazione ricette specialistiche) degenti ed utenti medici di base e pediatri di libera scelta dipendenti utenti TABELLA 2 - Strumenti utilizzati Banca dati cartacea magnetica SII SV 001 aziendale e regionale software dedicati SII SV 002 server aziendale aziendale SII SV 003A (2) SII SV 003B server aziendale software dedicato aziendale Ubicazione: (1) pad. 9/11Pietra Ligure, (2) pad. Vigiola valloria Savona TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Ubicazione Procedure Utilizzate (Nome Software) Internet Interconnessione Intranet Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza 21

22 TABELLA 4 - Misure di sicurezza adottate o proposte D.P.S Rischi individuati Misure esistenti Tipologia di misure che si propongono SII SV 001 SII SV 002 SII SV 003B SII SV 001 SII SV 002 SII SV 003B SII SV 001 SII SV 002 SII SV 003 1b, 1d password personali salvaschermo con password controllo autorizzazioni d accesso 2a, 2b 2c Antivirus antidialer antispam firewall 3a 3b videosorveglianza protezione accesso locali chiusura armadi armadi ignifughi rilevatori fumi ups copie di backup Disaster recovery TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati SII SV 001 SII SV 002 SII SV 003B X* archivio magnetico TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari TABELLA 7 Trattamento dati affidato all esterno Procedure per il salvataggio backup automatico Luogo di custodia le copie dati Server Archivio Protezione scelta Cifratura Separazione Struttura Interna Incaricato salvataggio Società esterna Soggetto esterno Titolare Responsabile SII SV 001, SII SV 002, SII SV 003B Datasiel S.p.A. e Engineering Sanità SII SV 003A Studio D Anna Persona Tempi di ripristino dati * 1 giorno Descrizione la tecnica adottata SII SV 001 Cifratura codice e separazione dati personali da dati clinici Impegno ontrattuale all adozione le misure di sicurezza SI NO 22

23 DIREZIONE AMMINISTRATIVA Dipartimenti Amministrativi Dipartimento Economico Finanziario Dipartimento Giuridico e Risorse Umane Dipartimento Tecnologico 23

24 24

25 Dipartimento Economico Finanziario Strutture Complesse Area Bilancio Programmazione Finanziaria Area Approvvigionamenti e Logistica S.C. Prestazioni Sanitarie S.C. Provveditorato S.C. Bilancio e Contabilità S.C. Economato e Logistica S.C. Prestazioni Sanitarie 25

26 26

27 Ubicazione :via Garassino 2/5 Savona S.C. Bilancio e Contabilita Descrizione dei compiti istituzionali : operazioni contabili e predisposizione atti di bilancio Trattamenti dati effettuati :1)gestione fatture attive e passive 2) gestione banca dati contraenti raccolta ed 3)procedure gestione liquidatoria 4)elaborazione dati per la predisposizione dei prospetti contabili (stato patrimoniale, conto economico,nota integrativa, bilanci di previsione e dichiarazioni fiscali l A.S.L.) TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. BICSV 001 gestione fatture attive e passive BICSV 002 gestione banca dati contraenti persone fisiche e BICSV 003 procedure gestione liquidatoria giuridiche TABELLA 2 - Strumenti utilizzati Cartacea TABELLA 3 - Analisi dei rischi potenziali Banca dati magnetica Ubicazione Da BICSV 001A abicsv 003A X via Garassino 2/5 dabicsv 001B A BICSV 003B X Server centrale OLIAMM Procedure Interconnessione Utilizzate (Nome Software) Internet Intranet 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, c) incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizzazione) e) Errori umani nella gestione fisica la sicurezza f) Altro: TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono Da BICSV 001a BICSV 003 1d 2a - 3d password d accesso ai programmi limitata a personale incaricato sistemi informatici di sicurezza TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Da BICSV 001a BICSV 003 Procedure per il salvataggio dati back up automatico e su supporto nformatico Luogo di custodia le copie Server Archivio Struttura interna Incaricato salvataggio Società esterna Persona X X incaricato 1 giorno Tempi di ripristino dati 27

28 S.C. Economato e Logistica Ubicazione Piano sub 3 monoblocco ospedale San Paolo Via Genova 30 Savona Descrizione dei compiti istituzionali Aprovvigionamento, conservazione e dristribuzione di beni e servizi economale e gestione dei servizi interni Trattamenti dati effettuati 1)gestione attività di approvvigionamento 2)gestione attività di magazzino 3) gestione cassa economale 4) gestione videosorveglianza 5) consultazione banca dati degenti TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. ECLSV 004 gest.videosorveglianza ECLSV 005 consultazione banca dati degenti Banca dati Cartacea magnetica ECLSV004 ECLSV 005 Ubicazione server dedicato Procedure Utilizzate (Nome Software) procedure dedicate Internet Interconnessione Intranet TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Rischi potenziali SI NO a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, c) incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti ECLSV004 1d paswword personali locali ad accesso ristretto ECLSV 005 3d controllo costante e locali ad accesso ristretto Tipologia di misure che si propongono TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Luogo di custodia le copie Procedure per il salvataggio dati ECLSV004 codificate da apposito regolamento ECLSV 005 back.up Server Archivio Struttura Interna Sistemi Informativi Incaricato salvataggio Società Esterna Persona tecnico. Tempi di ripristino dati tempo reale 28

29 S.C. Prestazioni Sanitarie Ubicazione: palazzina C.U.P.A.ospedale Santa Corona via XXVAprile Pietra Ligure Descrizione dei compiti istituzionali: gestione attività libero professionale, liquidazioni attive e passive, Gestione rapporti economici per pazienti comunitari ed etracomunitari, consegna referti (per indagini diagnostiche di anatomia patologica, laboratorio clinico, centro trasfusionale, medicina nucleare), gestione liste di attesa ricoveri (ortopedia unità spinale e rrf. Dai compiti istituzionali sono stati eliminati quelli afferenti ai settori CUPA ed Accettazione Amministrativa la cui gestione sarà affidata ad altra Struttura Trattamenti dati effettuati: 1) gestione attività libero professionale intra moenia (richieste di autorizzazione, iberazioni, regolamenti e protocolli operativi, convenzioni, reportistica per uffici interni ed organismi esterni) 2)gestione rapporti attivi e passivi per prestazioni sanitarie rese da e per l azienda 3) gestione banca dati di pazienti ed utenti comunitari ed etra cominitari 4) gestione rapporti economici attivi e passivi e relativa fatturazione;5)raccolta e consegna referti diagnostici 6)gestione liste di attesa per ricoveri in alcune strutture. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. PRSPL 001 gest attività libero professionale intra moenia utenti- pazienti PRSPL 002 gest rapporti attivi e passivi per prestazioni sanitarie rese da e per l azienda utenti- pazienti PRSPL 003 gest banca dati pazienti ed utenti comunitari ed etra cominitari utenti- pazienti PRSPL 004 gest. rapporti economici attivi e passivi e relativa fatturazione. utenti- pazienti PRSPL 005 raccolta e consegna referti diagnostici utenti PRSPL 006 gest liste attesa per alcune strutture utenti Banca dati cartacea magnetica TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet PRSPL 001A servizio PRSPL 001B sever software dedicato PRSPL 002A servizio PRSPL 002A sever software dedicato PRSPL 003 PRSPL 004A servizio PRSPL 004B sever software dedicato PRSPL 005A servizio PRSPL 005B sever software dedicato PRSPL 006A servizio PRSPL 006B sever software dedicato Intranet Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: 29

30 TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti da PRSPL 001A a PRSPL 006A 1 d locali e contenitori chiusi a chiav e da PRSPL 001B a PRSPL 006B 1d antivirus antispam password personale Tipologia di misure che si propongono TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati da PRSPL 001A a PRSPL 006A da PRSPL 001B a PRSPL 006B da PRSPL 001B a PRSPL 006B Procedure per il salvataggio dati Luogo di custodia le copie Server Archivio Incaricato salvataggio Struttura Interna Società esterna Persona Tempi di ripristino dati fotoriproduzione una settimana backup automatico tempo reale backup su supporto magnetico una settimana 30

31 S.C. Provveditorato Ubicazione :padiglione Vigiola - via Genova, 30 Savona e padiglione 9 - via v aprile, 38 Pietra Ligure Descrizione dei compiti istituzionali:approvvigionamento dei beni e dei servizi necessari all azienda attraverso procedure di gara di valore superiore ed inferiore alla soglia comunitaria o con trattative dirette.la gestione di tali attività comporta anche :la tenuta le scadenze dei contratti d appalto, la disamina dei fabbisogni, la stima dei valori l appalto, la valutazione ledomande di partecipazione alle gare presentate dai concorrenti e l individuazione le imprese da invitare (solo per procedure negoziate ) la stesura di lettere invito e la parte amministrativa dei capitolati,l attività di segreteria nell ambito le commissioni tecniche (ove previsto),l acquisizione pareri tecnici, le comunicazione previste dal codice degli appalti, la formalizzazione dei contratti in via informatica., le verifiche di congruità provvedimenti di aggiudicazione Trattamenti dati effettuati:1) gestione le procedure di gara superiori alla soglia comunitaria ai sensi le vigenti norme in materia 2)gestione le procedure di gara inferiori alla soglia comunitaria con procedure negoziate di diritto privato3) gestione le procedure relative alle trattative dirette TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari PROVSV 001 Descrizione sintetica Attività svolta gestione le procedure di gara superiori alla soglia comunitaria PROVSV 002 gestione le procedure di gara inferiori alla soglia comunitaria con procedure negoziate di diritto privato PROVSV 003 gestione le procedure relative a trattative diirette Categorie di interessati imprese e legali rappresentanti Natura dei dati trattati Altre strutture che concorrono al Sens. Giud. Int. Est. TABELLA 2 - Strumenti utilizzati da PROVSV 001A a PROVSV 003A da PROVSV 001B a PROVSV 003B Banca dati cartacea magnetica Ubicazione sedi sever e pc Procedure Utilizzate (Nome Software) word ecel outlook prodedura gare procedura olivetti Interconnessione Internet Intranet TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, c) incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti da PROVSV 001A a PROVSV 003A 1d conservazione in luoghi econtenitori protetti da PROVSV 001B a PROVSV 003B 2c pasword persolale, antirus antispam Tipologia di misure che si propongono 31

32 TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati da PROVSV 001A a PROVSV 003A da PROVSV 001B a PROVSV 003B Procedure per il salvataggio dati fotoriproduzione back automatico e su supporto magnetico Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società Esterna Persona Tempi di ripristino dati 32

33 Dipartimento Giuridico e Risorse Umane Strutture Complesse Area Giuridica Area Risorse Umane S.C. Affari Generali S.C. Organizzazione Gestione e Formazione Personale S.C. Affari Legali 33

34 34

35 S.C. Affari Generali Ubicazione: via Alessandro Manzoni n. 14 p. 1 Savona (sede principale), via v aprile n. 38 Pietra Ligure (uffici istruzioni procedimenti, protocollo e archivio), palazzina Vigiola p. interr. via Genova n. 30 Savona (archivio storico e ufficio conservazione e sicurezza documenti), via Collodi n. 13 Savona p. s/interr. (deposito documenti), loc. polo 90 Cisano sul Neva (deposito documenti), loc. Case Lidora Cosseria (deposito documenti). Descrizione dei compiti istituzionali: competenze in materia d affari d interesse generale, gestione ed alienazione patrimonio immobiliare, collaborazione per accordi contrattuali con strutture e art. 8 quinquies dl.lgs. 502/1992 e smi, rapporti convenzionali con strutture pubbliche e/o private, organizzazione, protocollatura e archiviazione degli atti. Ogni funzione non rientrante nelle competenze d altre strutture complesse. Trattamenti dati effettuati: 1)gestione procedure contrattuali, 2)convenzioni varie con enti pubblici, privati e persone fisiche (es. accordi per erogazione prestazioni sanitarie, accordi per esercizio attività professionale e art. 58 CCNL aree MV/SPTA 8 giugno 2000,3) alienazioni d immobili, ecc., 4)registrazioni documentali al protocollo aziendale,gestione flussi documentali, 5)gestione archivi, 6)gestione corrispondenza e 7)gestione ibere/determine aziendali/dirigenziali. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari AGGSV001 AGGSV 002 AGGSV 003 TABELLA 2 - Strumenti utilizzati Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. gestione procedure contrattuali Legali rappresentanti imprese aggiudicatarie istruzione e stipula convenzioni varie legali rappresentanti enti convenzionati cessione patrimonio immobiliare disponibile e stipula relativi contratti enti pubblici e privati, persone fisiche e giuridiche AGGSV 004 registrazione documenti al protocollo generale e gestione flussi documentali enti pubblici e privati, AGGSV 005 gestione archivi persone fisiche e giuridiche, AGGSV 006 smistamento corrispondenza ed operazioni di entità prive di personalità spedizione giuridica AGGSV 007 gestione ibere aziendali e determine dirigenziali Banca dati cartacea magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet AGGSV 001 X X microsoft word, microsoft X AGGSV 002 X X uffici AAGG (1) ecel, microsoft outlook e X AGGSV 003 X X webmail X AGGSV 004 X X sw protocollo/archivio di X AGGSV 005 X X uffici AAGG + SERVER (2) Informatica Gestionale SrL di Savona - outlook - webmail X Intranet AGGSV 006 X uffici AAGG (1) AGGSV 007 X X uffici AAGG + SERVER (2) sw gestione ibere e determine di Deltafi Srl Savona outlook - webmail 1) Savona: via Manzoni n. 14 Pietra Ligure: via XXV aprile 2) Savona via Genova n. 30 palazzina Vigiola p. s/interr. sala server + depositi specificati in sezione ubicazione X TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: 35