DIREZIONE GENERALE DIREZIONE SANITARIA DIREZIONE AMMINISTRATIVA. Servizio Prevenzione e Protezione. Dipartimento di Staff Aziendale

Transcript

1 DIREZIONE GENERALE DIREZIONE AMMINISTRATIVA DIREZIONE SANITARIA Servizio Prevenzione e Protezione Dipartimento di Staff Aziendale S.C. Centro Controllo Direzionale S.C. Sistemi Informativi S.S.D. Controllo di Gestione S.C. Comunicazione Sanitaria e Marketing S.C. Ufficio Relazioni con il Pubblico S.C. Infrastrutture Informatiche e Telecomunicazioni 18

2 19

3 Servizio Prevezione e Protezione Ubicazione: via XXV aprile, 128 Pietra Ligure Palazzina 4 primo piano Descrizione dei compiti istituzionali: Collaborazione alla gestione le procedure afferenti alla sicurezza ed alla salute dei lavoratori nelle strutture aziendali, sotto la supervisione la S.C. Progettazione e Gestione Nuove Opere. Trattamenti dati effettuati: 1)Piano dei rischi aziendali ai sensi D.L.gs 81/2008 elaborato per strutture e categorie di lavoratori 2)collaborazione al debito informativo regionale sugli infortuni in ambiente di lavoro, 3) relazioni per infortuni sul lavoro e malattie professionali a richiesta di strutture interne, INAIL e/o magistratura. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Natura dei dati trattati Rischi potenziali SI NO Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. SPP PL 002 debito informativo regionale SPP PL 003 relazioni per infortuni sul lavoro e dipendenti malattie professionali Identificativ o cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet SPP PL 002A sede SPP PL 002B server software dedicato SPP PL 003A sede SPP PL 003B PC office Intranet Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Da SPP PL 002A a SPP PL 003A 3a archivio con chiusura a chiave Da SPP PL 002B a SPP PL 003B 3a password e codice utente Tipologia di misure che si propongono TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Incaricato salvataggio Server Archivio Struttura Interna Società esterna Persona Da SPPPL 002A a SPPPL 003A fotoriproduzione Da SPPPL 002B a SPPPL 003B Backup automatico su sup. magnetico Tempi di ripristino dati 1 giorno 20

4 Dipartimento di Staff S.C. Centro di Controllo Direzionale Ubicazione: Via Manzoni, 14 Savona e Via vaprile, 128 Pietra Ligure. Descrizione dei compiti istituzionali: Collaborare con la Direzione Generale alla programmazione l attività aziendale e monitorare costi e ricavi Trattamenti dati effettuati: 1) budgeting and reporting; 2)consultazione banca dati utenti e degenti, 3) gestione procedure di analisi SDO e DRG, 4)analisi costi gestionali; TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione 1. b) Carenza di consapevolezza, disattenzione o incuria Comportamenti c) Comportamenti sleali o fraudolenti degli operatori d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno 2. b) Spamming o tecniche di sabotaggio Eventi relativi c) Malfunzionamento, indisponibilità o degrado degli strumenti agli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto 3. Altri Eventi Descrizione sintetica b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza TABELLA 4 - Misure di sicurezza adottate o proposte Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. CCD SV 001 consultazione banca dati utenti e degenti utenti e degenti CCD SV 002 gestione procedure analisi SDO e DRG utenti e degenti cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet CCD SV 001 server software dedicato CCD SV 002A sede CCD SV 002B server software dedicato Intranet Rischi individuati Misure esistenti Tipologia di misure che si propongono CCD SV 001 e CCD SV 002B 2a 2c password individuale antivirus antispam CCD SV 002A 1d 3e locali ad accesso ristretto TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Server CCD SV 001 back up automatico CCD SV 002B back up su supporto magnetico Archivio Incaricato salvataggio Struttura Interna Società esterna Persona Tempi di ripristino dati Tempo reale 21

5 Ubicazione: Via vaprile, 128 Pietra Ligure. Dipartimento di Staff S.S.D. Controllo di Gestione Descrizione dei compiti istituzionali: provvede alla gestione le procedure di rilevazione costi gestionalimonitoraggio e reporting in stretto collegamento funzionale con la S.C. Centro Controllo Direzionale Trattamenti dati effettuati: 1) consultazione banca dati utenti e degenti, 2) consultazione SDO e DRG, 3) monitoraggio e reporting; 4)estrapolazione costi gestionali. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione 1. b) Carenza di consapevolezza, disattenzione o incuria Comportamenti c) Comportamenti sleali o fraudolenti degli operatori d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno 2. b) Spamming o tecniche di sabotaggio Eventi relativi c) Malfunzionamento, indisponibilità o degrado degli strumenti agli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto 3. Altri Eventi Descrizione sintetica b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza TABELLA 4 - Misure di sicurezza adottate o proposte Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. COG PL 001 consultazione banca dati utenti e degenti utenti e degenti COG PL 002 consultazione SDO e DRG utenti e degenti cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet COG PL 001 server software dedicato COG PL 002A sede COG PL 002B server software dedicato Intranet Rischi individuati Misure esistenti Tipologia di misure che si propongono COG PL 001 e COG PL 002B 2a 2c password individuale antivirus antispam COG PL 002A 1d 3e locali ad accesso ristretto TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Server COG PL 001 back up automatico COG PL 002B back up su supporto magnetico Archivio Incaricato salvataggio Struttura Interna Società esterna Persona Tempi di ripristino dati Tempo reale 22

6 Ubicazione: Via Collodi 13, Savona Dipartimento di Staff S.C. Comunicazione Sanitaria e Marketing Descrizione dei compiti istituzionali: attività di supporto alla Direzione Generale nel raggiungimento degli obiettivi assunti con particolare riferimento alla comunicazione interna/esterna, al marketing ed alla divulgazione le attività aziendali, e di campagne educazionali e promozione corretti stili di vita. Trattamenti dati effettuati: 1)gestione dei rapporti con i media ed istituzioni attraverso comunicazioni ufficiali; 2)gestione la comunicazione interna attraverso comunicazioni ufficiali; 3) gestione banca dati destinatari di comunicazioni aziendali; 4)gestione sito aziendale 5)gestione archivio fotografico 6) gestione procedure diffusione dati e lege 69/2009. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Rischi potenziali SI NO a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore material e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di Giud Sens. interessati. Int. COM SV 001 gest rapporti con media attraverso comunicazioni ufficiali terzi COM SV 002 gest comunicazione interna attraverso comunicazioni uff. dipendenti cartacea Banca dati Magnetica Ubicazione Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa Est. Procedure Interconnessione Utilizzate (Nome Software) Internet Intranet COM SV 002 A uff. comunicazione SV COM SV 002 B X server outlook COM SV 003 A uff. comunicazione SV COM SV 003 B X server outlook 23

7 TABELLA 4 - Misure di sicurezza adottate o proposte COM SV 001A, COM SV 002 A, COM SV 001 B COM SV 002 B Rischi individuati 1b ed 1d 3a 3c 3e 1d 2c 3d Misure esistenti sensibilizzazione personale chiusura a chiave singoli uffici antivirus, anti spam, password individuali aggiornate e salvataggi periodici, Tipologia di misure che si propongono aggiornamento software TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati COM SV 001B COM SV 002 B Procedure per il salvataggio dati back.up su supporto magnetico Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società esterna Persona Responsabile procedimento Tempi di ripristino dati tempo reale 24

8 Dipartimento di Staff S.C. Infrastrutture Informatiche e Telecomunicazioni Ubicazione: piano terra padiglione Vigiola Via Genova 30 Savona e piano terra via Trieste Alberga, padiglione di informatica Via v Aprile 128 Pietra Ligure Descrizione dei compiti istituzionali: gestione di hardware e software aziendali, gestione telecomunicazioni (rete dati, fonia fissa e mobile), promuovendo l innovazione tecnologica e il contenimento la spesa. Gestione numeri aziendali di telefonia fissa e mobile e mailing list e gestione la sicurezza dei sistemi informatici. Trattamenti dati effettuati: 1) gestione banca dati password d accesso agli indirizzi di posta elettronica 2) gestione mailing list aziendale TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari IIT SV 001 Descrizione sintetica Attività svolta gestione banca dati password d accesso agli indirizzi di posta elettronica Categorie di interessati dipendenti IIT SV 002 gestione mailing list aziendale dipendenti Natura dei dati trattati Altre strutture che concorrono al Sens. Giud. Int. Est. TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione 1. b) Carenza di consapevolezza, disattenzione o incuria Comportamenti c) Comportamenti sleali o fraudolenti degli operatori d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno 2. b) Spamming o tecniche di sabotaggio Eventi relativi c) Malfunzionamento, indisponibilità o degrado degli strumenti agli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati 3. Altri Eventi cartacea c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza Banca dati Magnetica Ubicazione Procedure Utilizzate (Nome Software) Internet Interconnessione IIT SV 001 server software dedicato IIT SV 002 aziendale Intranet 25

9 TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti IIT SV 001 IIT SV 002 1b 1d password personali salvaschermo con password controllo autorizzazioni copie di backup IIT SV 002 2a, 2b,2c,2d antivirusrantispam firewall Tipologia di misure che si propongono IIT SV 001 IIT SV 002 3b 3d videosorveglianza protezione accesso locali ups copie di backup disaster recovery TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Incaricato salvataggio Tempi di ripristino dati Struttura Società Server Archivio Persona Interna esterna IIT SV 001 backup automatico * 1 giorno IIT SV 002 *archivio magnetico 26

10 Dipartimento di Staff S.C. Sistemi Informativi Ubicazione: piano terra padiglione Vigiola via Genova 30 Savona, padiglione di informatica via v Aprile 128 Pietra Ligure. Descrizione dei compiti istituzionali: programmazione l attività informatica aziendale con particolare riferimento all innovazione ed all ottimizzazione dei sistemi esistenti; coordimanento con i sistemi informativi regionali, statali e con Aziende Sanitarie Ponente Ligure. Elaborazione le banche dati degenti ed utenti a fini amministravi. Trattamenti dati effettuati: 1)Gestone informatica debito informativo regionale, 2) gestione informatica banche dati aziendali a fini statistici, 3) caricamento ed elaborazione ricette specialistiche TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari SII SV 001 SII SV 002 SII SV 003 Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. gestone informatica debito informativo regionale degenti ed utenti gestione informatica banche dati aziendali a fini statistici caricamento ed elaborazione ricette specialistiche) degenti ed utenti medici di base e pediatri di libera scelta dipendenti utenti TABELLA 2 - Strumenti utilizzati Banca dati cartacea magnetica SII SV 001 aziendale e regionale software dedicati SII SV 002 server aziendale aziendale SII SV 003A (2) SII SV 003B server aziendale software dedicato aziendale Ubicazione: (1) pad. 9/11Pietra Ligure, (2) pad. Vigiola valloria Savona TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Ubicazione Procedure Utilizzate (Nome Software) Internet Interconnessione Intranet Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza 27

11 TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono SII SV 001 SII SV 002 SII SV 003B SII SV 001 SII SV 002 SII SV 003B SII SV 001 SII SV 002 SII SV 003 1b, 1d password personali salvaschermo con password controllo autorizzazioni d accesso 2a, 2b 2c Antivirus antidialer antispam firewall 3a 3b videosorveglianza protezione accesso locali chiusura armadi armadi ignifughi rilevatori fumi ups copie di backup Disaster recovery TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati SII SV 001 SII SV 002 SII SV 003B X* archivio magnetico TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari TABELLA 7 Trattamento dati affidato all esterno SII SV 001, SII SV 002, SII SV 003B Procedure per il salvataggio Luogo di custodia le copie dati Server Archivio backup automatico Protezione scelta Cifratura Separazione Soggetto esterno Struttura Interna Incaricato salvataggio Società esterna Titolare Responsabile Datasiel S.p.A. e Engineering Sanità Persona Impegno ontrattuale all adozione le misure di sicurezza SI Tempi di ripristino dati * 1 giorno Descrizione la tecnica adottata SII SV 001 Cifratura codice e separazione dati personali da dati clinici NO 28

12 Dipartimento di Staff S.C. Ufficio Relazioni con il Pubblico Ubicazione: Via Collodi 13 e via Genova 30 (Ospedale San Paolo) Savona, Via XXV Aprile 128 Pietra Ligure e via Martiri la Foce 40 (Ospedale Santa Maria la Misericordia) Albenga, Descrizione dei compiti istituzionali: Gestione le procedure di accesso agli atti e dei contatti con l utenza e con le Associazioni di tutela e volontariato. Trattamenti dati effettuati: 1)gestione procedure di accesso agli atti ai sensi la L. 241/90; 2)gestione procedure reclami e segnalazioni; 3)gestione rapporti con le Associazioni di tutela e volontariato 4) disanima casistica in seno alla Commissione Conciliativa Mista. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Rischi potenziali SI NO a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza Natura dei dati trattati Attività svolta Categorie di Giud Sens. interessati. Int. URP SV 001 gest. accesso agli atti L.241/90 utenti URP SV 002 gest segnalazione reclami utenti URP SV 004 disamina casistica Commissione Conciliativa Mista utenti cartacea Banca dati magnetica Ubicazione Altre strutture che concorrono al Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa Est. Procedure Interconnessione Utilizzate (Nome Software) Internet Intranet URP SV 001A URP SV 001B Uffici UReP word URP SV 002 A URP SV 002 B server word URP SV 004 URP SV 29

13 TABELLA 4 - Misure di sicurezza adottate o proposte URP SV 001A, URPSV 002 A, URP SV 004, URP SV 001B URP SV 002 B Rischi individuati 1b ed 1d 3a 3c 3e 1d 2c 3d Misure esistenti sensibilizzazione personale chiusura a chiave singoli uffici antivirus, anti spam, password individuali aggiornate e salvataggi periodici, Tipologia di misure che si propongono Logistica adeguata per sedi decentrata aggiornamento software TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati URP SV 001B URP SV 002B Procedure per il salvataggio dati back.up su supporto magnetico Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società esterna Persona Responsabile procedimento Tempi di ripristino dati tempo reale 30

14 31