Giudizio di conformità sugli adempimenti richiesti BOZZA

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Giudizio di conformità sugli adempimenti richiesti BOZZA"

Adelina Mosca
7 anni fa
Visualizzazioni

1 Documento di Due-Diligence Il Garante nel provvedimento del 27 novembre 2008 sull amministratore di sistema usa per la prima volta l espressione "due diligence" per indicare "gli accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare" in relazione alle mansioni svolte dagli sistema. Nell ambito dell internal audit e dell information security con "due diligence" si intende un attività di analisi e verifica volta al raggiungimento di un parere di (compliance) in relazione a particolari attività anche in relazione ai possibili rischi ed ai relativi impatti. Caratteristica della "due diligence" è inoltre, a fronte dei risultati ottenuti, la predisposizione di un piano di (eventuali) azioni correttive. In sintesi l output della due diligence del titolare sull amministratore di sistema deve consistere almeno nei seguenti elementi: 1. giudizio di sugli adempimenti richiesti; 2. valutazione dei possibili rischi e relativi impatti; 3. indicazioni dei possibili interventi se necessari o opportuni. Giudizio di sugli adempimenti richiesti Il giudizio di viene realizzato dal titolare o da una terza parte indipendente rispetto ai sistemi informativi, ad esempio l internal audit se presente, mediante la verifica del rispetto degli adempimenti richiesti. A riguardo può essere utile utilizzare una "check list di controllo" come quella di seguito riportata. Censimento dei trattamenti Tutti i trattamenti di dati personali effettuati, anche in parte, mediante strumenti elettronici sono censiti e sono indicati i relativi " sistema". Grado di Se i trattamenti sono affidati a terze parti queste hanno comunicato al Titolare l elenco dei relativi " sistema". Se il trattamento comprende, "anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori" è stata resa nota e conoscibile l'identità degli sistema nell'ambito delle proprie organizzazioni. Lettera di incarico Grado di Per ogni "amministratore di sistema" è disponibile la lettera di incarico comprendente (al minimo): attestazione che l incaricato ha le caratteristiche richieste dalla legge; elencazione analitica degli ambiti di operatività richiesti e consentiti in base al profilo di autorizzazione assegnato;

2 indicazione delle "verifiche" almeno annuali che il titolare svolgerà sulle attività svolte dall amministratore di sistema; indicazione che la nomina ed il relativo nominativo sarà comunicato al personale ed eventualmente a terzi nei modi richiesti dalla legge. Elenco Amministratori Grado di Gli estremi identificativi delle persone fisiche nominate " sistema", con l'elenco delle funzioni ad essi attribuite, sono stati riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Registrazione accessi Grado di È adottato un idoneo sistema per la registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli sistema. Tali registrazioni (access log) hanno caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni comprendono i riferimenti temporali e la descrizione dell'evento che le ha generate e sono conservate per un congruo periodo, non inferiore a sei mesi. Verifiche del Titolare Grado di L'operato degli sistema è verificato, con cadenza almeno annuale, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. Per i trattamenti affidati a terze parti, queste hanno attestato per iscritto di aver effettuato, con cadenza almeno annuale, le verifiche sui relativi sistema in modo da 1

3 controllare la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

4 Valutazione dei possibili rischi (e relativi impatti) Il giudizio di può portare all individuazione di possibili rischi in particolare nel caso siano evidenziati "obiettivi di controllo" non completamente compliant. Di seguito un esempio. Obiettivi di controllo Grado di Note sul grado di Rischi Impatti Censimento dei trattamenti Conforme Lettera di incarico Conforme Elenco degli amministratori Mancano le liste relative a due società terze nominate responsabili del trattamento. accesso non autorizzato trattamento non consentito o non alle finalità della raccolta Registrazione degli accessi Tecnicamente non si ha evidenza del fatto che i log non siano effettivamente modificabili. distruzione o perdita, anche accidentale, dei dati accesso non autorizzato trattamento non consentito o non alle finalità della raccolta Verifiche del titolare Non esistono piani di formazione volti ad un costante aggiornamento degli sistema in relazione agli adempimenti di legge. Mancata adozione di misure minime di sicurezza

5 Indicazioni dei possibili interventi (se necessari o opportuni) Di seguito un esempio di piano di azione in relazione ai rischi e agli impatti evidenziati. Obiettivi di controllo Note sul grado di Azione Data di completamento In carico a Elenco degli amministratori Mancano le liste relative a due società terze nominate responsabili del trattamento. Ottenere le liste mancanti. Disdire il contratto in mancanza delle liste entro 30 giorni. 1 marzo 2010 Ufficio Ragioneria Registrazione degli accessi Tecnicamente non si ha evidenza del fatto che i log non siano effettivamente modificabili Individuare una soluzione che garantisca l immodificabilità dei log. 30 febbraio 2010 Sistemi informativi Verifiche del titolare Non esistono piani di formazione volti ad un costante aggiornamento degli sistema in relazione agli adempimenti di legge Aggiornare il piano di formazione degli sistema. 15 aprile 2010 Ufficio Tecnico

Documenti analoghi

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO (ART. 34 COMMA 1-BIS E REGOLA 19 DELL ALLEGATO B DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI) 1 Scopo di questo Documento è delineare il