ISTITUTO SUPERIORE STATALE ANGELA VERONESE Viale Della Vittoria, Montebelluna (TV)

Transcript

1 redatto ai sensi e per gli effetti dell articolo 34, comma 1, lettera g) del decreto legislativo 196/2003, e alla Legge n 155 del 31/07/2005 (Legge Pisanu) e del disciplinare tecnico allegato al medesimo decreto sub b) aggiornata alla data ISTITUTO SUPERIORE STATALE ANGELA VERONESE Viale Della Vittoria, Montebelluna (TV) Il presente documento viene aggiornato all inizio di ogni anno scolastico per la parte riferita agli incarichi e ai nominativi del personale coinvolto.

2 redatto ai sensi e per gli effetti dell articolo 34, comma 1, lettera g) del decreto legislativo 196/2003, e del disciplinare tecnico allegato al medesimo decreto sub b) 1. FINALITA DEL DOCUMENTO ED INDICAZIONI RELATIVE ALLA REALTA CHE EFFETTUA IL TRATTAMENTO Scopo di questo documento è di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, da adottare per il trattamento dei dati effettuato da Tabella 1.1 Anagrafica Sede : ISTITUTO MAGISTRALE STATALE ANGELA VERONESE V.LE DELLA VITTORIA, MONTEBELLUNA (TV) Telefono : Fax : dsga@liceoveronese.it dirigente@liceoveronese.it paolo.vignante@tin.it segreteria@liceoveronese.it Sito web : Situazione occupazionale alla data del documento : Dipendenti 21, docenti 101, alunni 824 Persona di Gallinaro Graziella riferimento : Unità locale : Via Damiano Chiesa, Montebelluna (TV) Telefono : Fax : Attività svolta : Istruzione e formazione Certificazioni : L ente è accreditato con la ditta SGS Singert di Milano- L ente è accreditato con la Regione Veneto in qualità di Orientamento in entrata/uscita e come Ente di Formazione Superiore nel seguito del documento indicato come Titolare Responsabile DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 2 di 38

3 Conformemente a quanto prescrive il punto 19. del Disciplinare tecnico, allegato sub b) al Decreto Legislativo 196/2003 e nel rispetto dello schema di compilazione suggerito dal Garante, nel presente documento si forniscono idonee informazioni riguardanti: a. l elenco dei trattamenti di dati personali (punto 19.1 del disciplinare), mediante: la individuazione dei tipi di dati personali trattati; la descrizione delle aree, dei locali e degli strumenti con i quali si effettuano i trattamenti; l elaborazione della mappa dei trattamenti effettuati, che si ottiene incrociando le coordinate dei due punti precedenti b. la distribuzione dei compiti e delle responsabilità, nell ambito delle strutture preposte al trattamento dei dati (punto 19.2 del disciplinare); c. l analisi dei rischi che incombono sui dati (punto 19.3 del disciplinare); d. le misure, già adottate e da adottare, per garantire l integrità e la disponibilità dei dati (punto 19.4 del disciplinare); e. i criteri e le modalità di ripristino dei dati, in seguito a distruzione o danneggiamento (punto 19.5 del disciplinare); f. la previsione di interventi formativi degli incaricati del trattamento (punto 19.6 del disciplinare); g. i criteri da adottare, per garantire l adozione delle misure minime di sicurezza, in caso di trattamenti di dati personali affidati all esterno (punto 19.7 del disciplinare); h. le procedure da seguire per il controllo sullo stato della sicurezza; i. dichiarazione d impegno e firma. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 3 di 38

4 2. ELENCO DEI TRATTAMENTI DI DATI PERSONALI (regola 19.1) In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. L'Istituto Superiore Statale Angela Veronese tratta i seguenti dati: dati comuni del personale dipendente, quali quelli necessari al rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali e/o dati di natura bancaria; dati comuni dei fornitori, per l'espletamento dei servizi o commesse affidate dall'istituto, compresi i dati necessari ai fini fiscali o afferenti alla reperibilità e alla corrispondenza con gli stessi e/o dati di natura bancaria; dati comuni di terzi e relativi alla reperibilità e/o corrispondenza con gli stessi derivanti da curriculum vitae e/o per l'espletamento di attività didattiche (es: visite guidate, gite, attività formative, ecc.); dati identificativi degli studenti inerenti la reperibilità e la corrispondenza con gli stessi; dati sensibili del personale dipendente, conseguenti al rapporto di lavoro ovvero inerenti i rapporti con gli enti previdenziali ed assistenziali ed idonei a rivelare lo stato di salute; dati sensibili degli studenti idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose o l'adesione ad organizzazioni a carattere religioso, politico o filosofico nonché quelli idonei a rivelare lo stato di salute. In particolare l ente dichiara che non vengono svolti i seguenti trattamenti : DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 4 di 38

5 Trattamento di dati genetici Trattamento di dati biometrici Trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica Trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria Trattamento di dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale Trattamenti con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con l'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi Trattamento di dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi Trattamento di dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie Trattamento di dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 5 di 38

6 Informazioni essenziali Tabella 2.1 Elenco dei trattamenti: informazioni di base Identificativo del trattamento Descrizione sintetica Presenza di dati Sensibili e/o Giudiziari S G Struttura di riferimento Altre strutture (anche esterne) che concorrono al trattamento DSGA 01 Personale dipendente: dati anagrafici, dati relativi al rapporto di lavoro (data assunzione, matricola, mansione, profilo professionale, ecc.), dati inerenti il profilo amministrativo (anzianità contributiva, livello retributivo, ferie, ore di lavoro, assenze, ecc.), dati sensibili quali aspettativa per maternità, iscrizione al sindacato, infortuni, idoneità, ecc. Gestione del Personale, Contabilità e Protocollo Medico Competente (D.Lgs. 626/94) Ministero Pubblica Istruzione Uff. Scolastico Regionale Scolastico Territoriale Istituti Assicurativi, Enti previdenziali e fiscali ASL n. 8 Asolo ASL n. 9 Treviso AICA Milano DSGA Gestione del protocollo: dati necessari alla tenuta del registro protocollo, protocollo riservato e circolari interne. Fornitori: dati informativo contabili relativi a ragione sociale, forma giuridica, settore attività, servizi prestati, sede attività, partita IVA, cod. fiscale, ecc. Personale esterno autorizzato ad accedere ai locali di pertinenza dell ente: dati anagrafici, società di appartenenza, ecc. Data di aggiornamento: Gestione del Personale, Contabilità e Protocollo Gestione del Personale, Contabilità e Protocollo DSGA Gestione del Personale, Contabilità e Protocollo DSGA Didattico Presidenza Vicepresidenza Presidenza DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 6 di 38

7 Tabella 2.1 (segue da pag. precedente) Identificativo del trattamento 05 Descrizione sintetica Dati relativi ad altri soggetti terzi (es.: candidati o altri soggetti coinvolti nell espletamento di attività didattiche): dati anagrafici, tipo di rapporto con il terzo, ecc. Presenza di dati Sensibili e/o Giudiziari S G Struttura di riferimento Gestione del Personale, Contabilità e Protocollo Altre strutture (anche esterne) che concorrono al trattamento DSGA Didattico AICA Milano DSGA Presidenza Vicepresidenza 06 Alunni: dati anagrafici, dati inerenti al rendimento ( pagelle, diplomi, tabelloni scrutini), corrispondenza con le famiglie, infortuni e/o malattia, disabilità, ecc. Didattico Ministero Pubblica istruzione Scolastico Regionale Regione Veneto Scolastico Territoriale Istituti Assicurativi ASL n. 8 Asolo ASL n. 9 Treviso Data di aggiornamento: AICA Milano DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 7 di 38

8 Tabella 2.2. Elenco dei trattamenti: descrizione degli strumenti utilizzati. Identificativo del trattamento Tipologia di archivio Luogo in cui si trovano gli archivi Ubicazione dati cartacei Tipologia di dispositivi elettronici di accesso Tipologia di interconnessione strumenti elettronici ARCHIVIO CARTACEO SCHEDE DEL PERSONALE ARCHIVIO CARTACEO LIBRO MATRICOLA E PRESENZE ARCHIVIO CARTACEO BUSTE PAGA ARCHIVIO CARTACEO CERTIFICATI MALATTIA E ALTRI DATI SENSIBILI ARCHIVIO INFORMATICO DIPENDENTI ARCHIVIO INFORMATICO INDIRIZZI DI POSTA ELETTRONICA ARCHIVIO CARTACEO DOCUMENTI PROTOCOLLATI ARCHIVIO INFORMATICO PROTOCOLLO Data di aggiornamento: Gestione del Personale, Contabilità e Protocollo DSGA Archivio Storico al piano interrato Gestione del Personale, Contabilità e Protocollo DSGA Armadi Cassettiere Cassaforte Scaffalature Armadi Cassettiere Personal Computer Personal Computer Rete con 1 server e 9 unità. Collegamenti esterni internet a mezzo ADSL. Connessione internet con IP statico. Esiste un sistema firewall con gestione accesso internet solo per il server. Rete con 1 server e 9 unità. Collegamenti esterni internet a mezzo ADSL. Connessione internet con IP statico. Esiste un sistema firewall con gestione accesso internet solo per il server. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 8 di 38

9 Tabella 2.2 (segue da pag. precedente) Identificativo del trattamento Tipologia di archivio Luogo in cui si trovano gli archivi Ubicazione dati cartacei Tipologia di dispositivi elettronici di accesso Tipologia di interconnessione strumenti elettronici ARCHIVIO CARTACEO FORNITORI ARCHIVIO INFORMATICO FORNITORI ARCHIVIO CARTACEO FORNITORI ARCHIVIO INFORMATICO FORNITORI ARCHIVIO CARTACEO CURRICULUM ARCHIVIO INFORMATICO CURRICULUM ARCHIVIO CARTACEO E INFORMATICO ALTRI SOGGETTI TERZI Data di aggiornamento: Gestione del Personale, Contabilità e Protocollo DSGA Gestione del Personale, Contabilità e Protocollo DSGA Gestione del Personale, Contabilità e Protocollo DSGA Didattico Armadi Cassettiere Armadi Cassettiere Armadi Cassettiere Personal Computer Personal Computer Personal Computer Rete con 1 server e 9 unità. Collegamenti esterni internet a mezzo ADSL. Connessione internet con IP statico. Esiste un sistema firewall con gestione accesso internet solo per il server. Rete con 1 server e 9 unità. Collegamenti esterni internet a mezzo ADSL. Connessione internet con IP statico. Esiste un sistema firewall con gestione accesso internet solo per il server. Rete con 1 server e 9 unità. Collegamenti esterni internet a mezzo ADSL. Connessione internet con IP statico. Esiste un sistema firewall con gestione accesso internet solo per il server. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 9 di 38

10 Tabella 2.2 (segue da pag. precedente) Identificativo del trattamento Tipologia di archivio Luogo in cui si trovano gli archivi Ubicazione dati cartacei Tipologia di dispositivi elettronici di accesso Tipologia di interconnessione strumenti elettronici 06 ARCHIVIO CARTACEO ALUNNI ARCHIVIO INFORMATICO ALUNNI Data di aggiornamento: Didattico DSGA Armadi Cassettiere Personal Computer Rete con 1 server e 9 unità. Collegamenti esterni internet a mezzo ADSL. Connessione internet con IP statico. Esiste un sistema firewall con gestione accesso internet solo per il server. Tabella 2.3. Descrizione delle aree Identificativo del trattamento Struttura di riferimento Altre strutture interne che concorrono al trattamento Descrizione 01 Gestione del Personale, Contabilità e Protocollo DSGA L ufficio Gestione del Personale, Contabilità e Protocollo è dotato di n. 2 porte di uscita. Di tali porte n. 1 comunicano con il corridoio e n.1 con l ambiente esterno. Le porte sono dotate di serrature chiudibili a chiave. Inoltre, ogni ambiente è dotato di finestrature apribili con griglie di sicurezza. L accesso ai locali suddetti non è selezionato (possono entrare anche alunni). Vi sono sistemi di allarme antintrusione ma non di rilevazione e di allarme antincendio. In ogni ufficio vi sono degli archivi cartacei situati in armadi e/o in cassettiere chiudibili a chiave. I dati sensibili sono contenuti nella cassaforte che si trova presso il CED (Centro Elaborazione Dati). DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 10 di 38

11 Tabella 2.3 (segue da pag. precedente) Identificativo del trattamento Struttura di riferimento Altre strutture interne che concorrono al trattamento Descrizione Gestione del Personale, Contabilità e Protocollo Gestione del Personale, Contabilità e Protocollo DSGA Didattico Presidenza Vicepresidenza Oltre agli uffici descritti all identificativo 01, vi sono anche: l ufficio Didattico, presidenza e Uff. Vicepresidenza. L uff. Didattico è dotato di n. 1 porte di uscita di cui n. 1 comunica con il corridoio. L uff. presidenza è dotato di n. 1 porte di uscita di cui n. 1 comunicano con il corridoio. L uff. Vicepresidenza è dotato di n. 2 porte di uscita di cui n. 1 comunica con l ufficio DSGA e n. 1 direttamente con il corridoio. Nei locali suddetti sono presenti finestrature apribili con con griglie di sicurezza. L accesso ai locali non è selezionato. Vi sono sistemi di allarme antintrusione ma non di rilevazione e di allarme antincendio. La documentazione cartacea è custodita in armadi e/o cassettiere chiudibili a chiave. Vedere descrizione all identificativo 01 DSGA 04 Gestione del Personale, Contabilità e Protocollo Vedere descrizione all identificativo 01 DSGA 05 Gestione del Personale, Contabilità e Protocollo DSGA Didattico Vedere descrizione agli identificativi 01 e 02 DSGA 06 Didattico Presidenza Vicepresidenza Vedere descrizione agli identificativi 01 e 02 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 11 di 38

12 3. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA (regola 19.2) In questa sezione viene costruita una mappa che associa ad ogni struttura (o reparto, dipartimento, ufficio) i trattamenti da questa effettuati, descrivendo sinteticamente l organizzazione della struttura medesima e le relative responsabilità. In previsione dell adozione delle misure minime di sicurezza, si individua: L istituto Superiore Statale Angela Veronese come Titolare del Trattamento dei dati comuni e personali (anche sensibili) citati al cap. 2; il Dott. Domenico Savio Teker, in qualità di Dirigente Scolastico, come Responsabile del Trattamento; il Sig. Vignante Paolo come Responsabile della custodia delle credenziali di autenticazione, delle copie di backup e responsabile interno della manutenzione dei sistemi; i Sig.ri, Andolfato Laura, Stocco Cristina, Gazzola Loredana, Pietrobon Anna Maria, Morello Maria Pia, Bortolami Chiara, De Paoli Lorenza, Gallinaro Graziella, Bolzonello Claudio, Vignante Paolo, come incaricati del trattamento dei dati; Le ditte: EPT FOURTECH Via Risorgimento Montebelluna (TV) (assistenza tecnica hardware); SMTech srl unipersonale, via Btg Granatieri di Sardegna 28 Bassano del Grappa (VI) (assistenza tecnica hardware); Infoschool Bassano Del Grappa (VI) (assistenza tecnica software); come Responsabile Esterno della manutenzione dei sistemi; Le ditte: ULSS n. 8 Asolo Via Forestuzzo, Asolo AICA Milano P.zzale Moranti, Milano Assicurazioni Domina via Petrella, Milano; via Bettone, Teolo (PD) come Responsabile Esterno del Trattamento; DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 12 di 38

13 La dott.ssa Mattarollo Iulia in qualità di Medico Competente ai sensi del D.Lgs. 626/94, come responsabile del trattamento dei dati, anche sensibili, che tratta nell adempimento del suo incarico professionale. Sono state definite le aree, i compiti e le risorse umane coinvolte nel trattamento dei dati personali. In particolare sono stati redatti: Organigramma; Funzionigramma; Lettera ai dipendenti e collaboratori al momento dell'inizio del rapporto (art. 89); Modelli di designazione e nomina previsti dalla normativa vigente. Tabella 3.1. Strutture preposte ai trattamenti. Struttura UFFICIO GESTIONE DEL PERSONALE, CONTABILITÀ E PROTOCOLLO Responsabile Pietrobon Anna Maria Data di aggiornamento: Trattamenti operati dalla struttura Personale dipendente: dati anagrafici, dati relativi al rapporto di lavoro (data assunzione, matricola, mansione, profilo professionale, ecc.), dati inerenti il profilo amministrativo (anzianità contributiva, livello retributivo, ferie, ore di lavoro, assenze, ecc.), dati sensibili quali aspettativa per maternità, iscrizione al sindacato, infortuni, idoneità, ecc. Modalità di gestione dei dati: mista cartacei + informatici Sintesi dei compiti della struttura raccolta, conservazione, consultazione, elaborazione, modificazione, estrazione, registrazione, raffronto, utilizzo, comunicazione, cancellazione, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.) DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 13 di 38

14 Tabella 3.1 (segue da pag. precedente) Responsabile Struttura UFFICIO GESTIONE DEL PERSONALE, CONTABILITÀ E PROTOCOLLO UFFICIO GESTIONE DEL PERSONALE, CONTABILITÀ E PROTOCOLLO UFFICIO DSGA UFFICIO GESTIONE DEL PERSONALE, CONTABILITÀ E PROTOCOLLO UFFICIO DSGA UFFICIO GESTIONE DEL PERSONALE, CONTABILITÀ E PROTOCOLLO Pietrobon Anna Maria Pietrobon Anna Maria Gallinaro Graziella Pietrobon Anna Maria Gallinaro Graziella Pietrobon Anna Maria Gallinaro Graziella Data di aggiornamento: Trattamenti operati dalla struttura Gestione del protocollo: dati necessari alla tenuta del registro protocollo, protocollo riservato e circolari interne. Modalità di gestione dei dati: mista cartacei + informatici Fornitori: dati informativo contabili relativi a ragione sociale, forma giuridica, settore attività, servizi prestati, sede attività, partita IVA, cod. fiscale, ecc. Personale esterno autorizzato ad accedere ai locali di pertinenza dell ente: dati anagrafici, società di appartenenza, ecc. Dati relativi ad altri soggetti terzi (es.: candidati o altri soggetti coinvolti nell espletamento di attività didattiche): dati anagrafici, tipo di rapporto con il terzo, ecc. Sintesi dei compiti della struttura raccolta, registrazione, conservazione, consultazione, elaborazione, modificazione, estrazione, raffronto, utilizzo, comunicazione, cancellazione, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.) raccolta, registrazione, conservazione, consultazione, elaborazione, modificazione, estrazione, raffronto, utilizzo, comunicazione, cancellazione, gestione tecnica operativa della base dati (salvataggi, ripristini, ecc.) raccolta, registrazione, conservazione, consultazione, elaborazione, modificazione, estrazione, raffronto, utilizzo, comunicazione, cancellazione raccolta, registrazione, conservazione, consultazione, elaborazione, modificazione, estrazione, raffronto, utilizzo, comunicazione, cancellazione DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 14 di 38

15 Tabella 3.1 (segue da pag. precedente) Responsabile Struttura UFFICIO DIDATTICO Stocco Cristina Data di aggiornamento: Trattamenti operati dalla struttura Alunni: dati anagrafici, dati inerenti al rendimento ( pagelle, diplomi, tabelloni scrutini), corrispondenza con le famiglie, infortuni e/o malattia, rapporti con aziende fornitrici di servizi didattici (viaggi di istruzione, visite guidate, scambi culturali, ) Sintesi dei compiti della struttura raccolta, registrazione, conservazione, consultazione, elaborazione, modificazione, estrazione, raffronto, utilizzo, comunicazione, cancellazione, diffusione DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 15 di 38

16 4. ANALISI DEI RISCHI CHE INCOMBONO SUI DATI (regola 19.3) In questa sezione vengono descritti i principali eventi potenzialmente dannosi per la sicurezza dei dati e ne vengono valutate le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati. In particolare viene presa in considerazione la lista esemplificativa dei seguenti eventi: 1. comportamenti degli operatori: sottrazione di credenziali di autenticazione; carenza di consapevolezza, disattenzione o incuria; comportamenti sleali o fraudolenti; errore materiale; 2. eventi relativi agli strumenti: azione di virus informatici o di programmi suscettibili di recare danno; spamming o tecniche di sabotaggio; malfunzionamento, indisponibilità o degrado degli strumenti; accessi esterni non autorizzati; intercettazione di informazioni in rete; 3. eventi relativi al contesto fisico-ambientale: ingressi non autorizzati a locali/aree ad accesso ristretto; sottrazione di strumenti contenenti dati; eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ), nonché dolosi, accidentali o dovuti ad incuria guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.); errori umani nella gestione della sicurezza fisica. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 16 di 38

17 Tabella 4.1. Analisi dei rischi. Comportamenti degli operatori Evento Sottrazione di credenziali di autenticazione Carenza di consapevolezza disattenzione o incuria Data di aggiornamento: Impatto sulla sicurezza dei dati Descrizione Per le postazioni di lavoro esiste la disponibilità di password informatica quale: password di accesso alle risorse in rete, password di applicazione (solo per l'applicazione di gestione degli archivi). L ente ha individuato un responsabile della custodia delle credenziali di autenticazione. Le credenziali sono custodite in cassaforte con accesso selezionato. La parola chiave non contiene riferimenti agevolmente riconducibili all incaricato ed è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e/o di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Non tutte le credenziali sono custodite dal responsabile Gli incaricati al trattamento dei dati sono formati e informati. Esiste la disponibilità di regole di utilizzo degli archivi. Sono dati degli incarichi con disposizioni scritte di carattere generale e di dettaglio in merito ai trattamenti da effettuare. Anche in caso di nuova assunzione vengono sempre date prima disposizioni agli interessati. Tuttavia le modalità di esecuzione delle attività di gestione informatica sono comunicate verbalmente da parte di altri colleghi o del responsabile di unità organizzativa: può essere utilizzata anche la guida in linea. Oltre alla formalizzazione degli incarichi, la disciplina per la conservazione dei supporti magnetici, dei dati informatici e cartacei è verbale e non scritta. Gravità stimata Rif. Misure d azione (v.tab.5.1) bassa/media 01 bassa/media 02 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 17 di 38

18 Tabella 4.1 (segue da pag. precedente) Comportamenti degli operatori Evento Errori Umani nella gestione della sicurezza Fisica Comportamenti sleali o fraudolenti Impatto sulla sicurezza dei dati Descrizione Si è disposto che tutti gli utilizzatori di strumenti elettronici e cartacei non lascino incustoditi i documenti Non sono state date disposizioni particolari. Gravità stimata Rif. Misure d azione (v.tab.5.1) bassa/media 03 bassa 04 Azione di virus informatico o codici maligni Ogni singolo PC è dotato di software antivirus aggiornato. Per la sicurezza dei PC può essere predisposta un ulteriore Spamming o altre tecniche password su salvaschermo in di sabotaggio caso di inutilizzo (ogni 5 min di inattività). Per ogni PC è previsto l aggiornamento periodico del sistema. E stato disposto di provvedere ad un backup settimanale. L ente ha individuato un resp. Interno per Malfunzionamento, la manutenzione dei sistemi e indisponibilità o degrado ditte specializzate, come resp. degli strumenti Esterno, per l assistenza software e hardware. Le credenziali di autenticazione software personalizzate sono garantite solo per i sistemi operativi adeguati (no MS DOS) Inserito in data agosto 2009 un Server Proxy+Firewall con sezionatura sulla rete (Amministrazione, didattica) Accessi esterni non dedicato al backup automatico autorizzati e controllo accessi alla rete internet. Sistema operativo: Scientific Linux Data di aggiornamento: Eventi relativi agli strumenti bassa/media 05 media/alta 06 bassa 07 bassa 08 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 18 di 38

19 Tabella 4.1 (segue da pag. precedente) Eventi relativi agli strumenti Evento Intercettazioni di informazioni in rete Impatto sulla sicurezza dei dati Descrizione Il collegamento in rete riguarda l ufficio amministrativo e quello didattico. Tutte le unità informatiche sono separate per omogeneità (didattico e amministrativo/contabile) ma con la possibilità di interagire nel caso di personale pratico in accessi e/o configurazioni. Le comunicazioni di dati sensibili hanno luogo su canali crittografati. Gravità stimata Rif. Misure d azione (v.tab.5.1) bassa 09 Eventi relativi al contesto Accessi non autorizzati a locali/reparti ad accesso ristretto Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti a incuria Guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) Data di aggiornamento: Durante l orario di lavoro, l accesso ai locali non è selezionato. Tuttavia è affissa la segnaletica sulla privacy e le porte degli uffici sono dotate di chiusura a chiave. Può essere migliorata la disciplina di accesso ai locali dopo l orario di chiusura degli uffici (persone che possono accedervi). Non è stato previsto alcun sistema di allarme come ulteriore sicurezza ai locali fisici. Non è attuata la videosorveglianza esterna né interna ma è attuata la sorveglianza fisica notturna con personale vigilante. Vedi voce Accessi non autorizzati ai locali Solo alcuni locali e laboratori sono dotati di un sistema di rilevazione e di allarme antincendio. I locali sono compartimentati con porte e strutture resistenti al fuoco. I dati che necessitano di maggiore protezione sono comunque custoditi in cassaforte ignifuga. Come sistema di protezione sulla linea elettrica solo il server è dotato di alimentazione dedicata collegata ad un gruppo di continuità. Si stà predisponendo il gruppo di continuità per tutti i Pc della segreteria. bassa/media 10 bassa/media 11 media/alta 12 bassa 13 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 19 di 38

20 5. MISURE IN ESSERE E DA ADOTTARE (regola 19.4) In questa sezione vengono riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura viene inteso lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per migliorare la sicurezza. Senza procedure di controllo periodico, infatti, nessuna misura può essere considerata completa. In seguito viene inserita una breve descrizione delle precauzioni già adottate e di quelle di cui è stata pianificata l adozione. L ente ISTITUTO SUPERIORE STATALE ANGELA VERONESE ha adottato le seguenti misure per ridurre i rischi: DATI CARTACEI esiste un responsabile designato; sono stati individuati per iscritto gli incaricati del trattamento; gli atti e i documenti sono conservati in archivi ad accesso selezionato; in caso di dati sensibili, i documenti affidati agli incaricati sono trattati e subito rimessi nel contenitore con serratura; Ogni professore ha un suo cassetto con chiave in cui ripone il registro del professore. Il registro di classe è portato dai professori al mattino e restituito dal professore, o dai collaboratori scolastici, in ufficio didattico. Esso è depositato sotto chiave. Sono stati definiti i compiti attribuibili ai collaboratori scolastici. In particolare è stato previsto che: -distribuiscano circolari interne (nelle quali non siano riportati dati personali); -spediscano circolari alle famiglie degli alunni; -maneggino i registri di classe e non quelli dei professori; DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 20 di 38

21 -accedano alle aule per il riordino eventuale dei locali; -accedano agli uffici solo durante l orario di apertura; -provvedano alle pulizie degli uffici durante il periodo estivo e durante le ferie; -accedano e utilizzino secondo le esigenze solo i numeri telefonici forniti dalla dirigenza; -aprano e chiudano gli uffici della struttura negli orari stabiliti e ne custodiscano le chiavi in centralino; -possano riprodurre documenti cartacei (fotocopie) solo contenenti dati di natura generale; -sorveglino le aree e l accesso ai locali durante l orario di lavoro. -possiedano le chiavi delle aule e uffici ma non quelle degli archivi. Gli archivi sono collocati in modo tale che l accesso agli stessi dopo l orario di chiusura degli uffici è controllato (procedura di accesso agli uffici dopo la chiusura); le comunicazioni a mezzo posta o a mezzo fax sono tempestivamente smistate e consegnate ai destinatari. Per quanto concerne le stampe dei documenti, esse sono prontamente prelevate dalla macchina e consegnate all interessato; gli archivi sono dislocati fisicamente in appositi armadi provvisti di chiave e accessibili al personale che è espressamente incaricato; gli archivi cartacei che contengono dati sensibili riguardanti lo stato di salute dei dipendenti (visite mediche e certificati di malattia) e registro presenze sono conservati in un apposito armadio chiuso a chiave; per quanto riguarda gli accessi fisici ai locali, essi sono selezionati e garantiti a mezzo di chiavi in dotazione al personale di supporto (collaboratori scolastici); si è disposto che non siano lasciati incustoditi sulle scrivanie o su altri ripiani, atti, documenti o fascicoli delle pratiche. I fascicoli vengono conservati negli appositi schedari e prelevati per il tempo necessario al trattamento per poi esservi riposti. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 21 di 38

22 DATI INFORMATICI autenticazione informatica. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. Il sistema informatico aziendale interessato alla gestione dei dati è esclusivo alla gestione contabile/amministrativa e didattica. Questo sistema locale si presenta come avanzato sia come struttura hardware (dotazione completa anche per il back-up dei dati), sia come struttura software (sistemi operativi ed applicativi predisposti alle misure minime di sicurezza); il sistema informatico locale prevede anche l accesso a internet con collegamento ADSL; è stato disposto che tutti gli utilizzatori (corrispondenti agli incaricati dei trattamenti) di strumenti elettronici non lascino incustodito, o accessibile, lo strumento elettronico stesso. Si provvederà, per evitare errori e dimenticanze, ad inserire lo screensaver automatico di non utilizzo con ulteriore password segreta per la prosecuzione del lavoro. Si è disposto che gli operatori verifichino la provenienza delle e non operino operazioni di file sharing; essendo l unità contabile/amministrativa ad uso promiscuo non sono date disposizioni in caso di prolungata assenza di uno degli incaricati; Il server allocato in un armadio rack, aerato e chiuso con serratura a chiave sito nel laboratorio di lingue al 2 piano della sede centrale; salvataggio effettuato ogni giorno dal Server Linux sito nell ufficio tecnico al 2 piano della sede centrale; Supporto utilizzato Hard Disl Serial ATA da 1 Terabyte (numero 2 dischi); Deposito salvataggi: armadio a chiave sito nel laboratorio informativa al 2 piano della sede centrale; Ulteriore garanzia server con RAID5; Esiste un responsabile interno per la manutenzione dei sistemi, le copie di backup, la custodia delle credenziali di autenticazione; DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 22 di 38

23 Come sistema di protezione sulla linea elettrica il Server è dotato di alimentazione dedicata e collegata ad un gruppo di continuità; Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale; Per quanto riguarda il trattamento per via informatica dei dati del personale dipendente, poiché vi sono degli obblighi di Legge inerenti la comunicazione di tali dati (sia comuni che sensibili) agli enti preposti e al Ministero, vengono descritte sinteticamente le procedure adottate: 1. COMUNICAZIONI AL MINISTERO DELLA PUBBLICA ISTRUZIONE E ALL UFFICIO SCOLASTICO REGIONALE L incaricato al trattamento accede a un area riservata del sito web del Ministero e a quello dell Scolastico Regionale con credenziali diverse, costituite da login e password. Ad accesso avvenuto, comunica i dati secondo le disposizioni di legge. La procedura di assegnazione delle password prevede i seguenti step: a) Il preside, in qualità di responsabile del trattamento, individua degli incaricati allo specifico trattamento, secondo il loro grado di formazione e la loro mansione; b) I nominativi degli incaricati sono trasmessi all ente (Ministero, ecc.); c) L ente invia alla Scuola le credenziali di login all area riservata del sito web; d) L ente invia al domicilio dell incaricato la relativa password; e) Il singolo incaricato utilizza le credenziali di login e password per accedere all area riservata del sito web; f) Al primo accesso, viene chiesto al singolo incaricato di cambiare password. 2. COMUNICAZIONI AL USR per il Veneto e UST di Treviso La comunicazione dei dati ha luogo tramite posta elettronica e/o posta ordinaria e fax. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 23 di 38

24 Per quanto riguarda il trattamento per via informatica dei dati degli alunni, poiché vi sono degli obblighi di Legge inerenti la comunicazione di tali dati (sia comuni che sensibili) agli Enti preposti e al Ministero, vengono descritte sinteticamente le procedure adottate: 1. COMUNICAZIONI AL MINISTERO DELLA PUBBLICA ISTRUZIONE, ALLA REGIONE VENETO E ALL UFFICIO SCOLASTICO REGIONALE PER IL VENETO L incaricato al trattamento accede a un area riservata del sito web del Ministero e a quello dell Scolastico Regionale con credenziali diverse, costituite da login e password. Ad accesso avvenuto, comunica i dati secondo le disposizioni di legge. La procedura di assegnazione delle password prevede i seguenti step: g) Il dirigente scolastico, in qualità di responsabile del trattamento, individua degli incaricati allo specifico trattamento, secondo il loro grado di formazione e la loro mansione; h) I nominativi degli incaricati sono trasmessi all ente (Ministero, ecc.); i) L ente invia alla Scuola le credenziali di login all area riservata del sito web; j) L ente invia al domicilio dell incaricato la relativa password; k) Il singolo incaricato utilizza le credenziali di login e password per accedere all area riservata del sito web; l) Al primo accesso, viene chiesto al singolo incaricato di cambiare password. 2. COMUNICAZIONI ALL UFFICIO SCOLASTICO TERRITORIALE (ex Provveditorato agli studi) La comunicazione dei dati ha luogo tramite posta elettronica e/o posta ordinaria e fax. L ente ha stipulato un assicurazione per gli infortuni e per la responsabilità civile verso terzi inerente i dipendenti e gli alunni. Poiché la comunicazione dei dati (identificativi, cause dell evento, ecc.) alla società assicuratrice ha luogo via internet, è prevista una procedura di autenticazione che si descrive sinteticamente di seguito: a) Invio di credenziali di autenticazione da parte della società assicuratrice (credenziali aggiornate una volta l anno); b) Le credenziali sono utilizzate da n. 3 persone individuate e incaricate dal Preside; c) Accesso al sito web per la comunicazione dei dati all occorrenza. ULSS n. 8 Asolo e altre ULSS collocate nel territorio italiano : esiste una necessità di comunicazione di dati (comuni e sensibili) per le visite fiscali del personale in malattia, per l ottenimento della certificazione e dell accompagnatore nel caso in cui DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 24 di 38

25 vi siano degli alunni diversamente abili che hanno bisogno di assistenza a scuola. La comunicazione ha luogo tramite posta elettronica e posta ordinaria. Anche in questo caso sono individuati degli incaricati. E stipulato un contratto annuale con l AICA di Milano per l organizzazione e l effettuazione di corsi per il conseguimento della Patente Europea del Computer ECDL. Ai fini di questa convenzione sono comunicati dati personali degli alunni, di personale interno e di terzi che vogliono accedere a questi corsi. Non si comunicano dati sensibili. L AICA gestisce questi dati per la predisposizione degli attestati finali del corso. Anche in questo caso sono individuati degli incaricati. La comunicazione dei dati ha luogo tramite collegamento remoto. Le credenziali per il collegamento remoto sono fornite dall AICA, una tantum. I dati vengono trasmessi dal server del laboratorio di informatica della sede centrale dell Istituto Veronese. Il PC da cui vengono trasmessi è sottoposto a manutenzione ed è dotato di antivirus aggiornato. L accesso al PC ha luogo da parte di due persone incaricate dal Preside. Per l accesso al PC, gli incaricati sono dotati di credenziali di autenticazione conservate dal Custode. I dati comunicati non risiedono fisicamente nel PC essendo trasmessi per via remota al server dell AICA cui sono destinati. L Istituto Magistrale Statale Angela Veronese fa comunque riferimento a ditte quali: EPT FOURTECH Via Risorgimento Montebelluna (TV) (assistenza tecnica hardware); SMTech srl unipersonale, via Btg Granatieri di Sardegna 28 Bassano del Grappa (assistenza tecnica hardware); INFOSCHOOL Bassano Del Grappa (VI) (assistenza tecnica software); come Responsabile Esterno della manutenzione dei sistemi; DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 25 di 38

26 Tabella 5.1. Le misure di sicurezza adottate o da adottare. Misura Rischio contrastato Sottrazione/perdita delle credenziali di autenticazione Carenza di consapevolezza, disattenzione o incuria Errori umani nella gestione della sicurezza fisica Comportamenti sleali o fraudolenti Azione di virus informatico o codici maligni Identificativo del Trattamento 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 Misure di sicurezza adottate o da adottare Eventuale banca dati Misura già in essere interessata Dipendenti, indirizzi di posta elettronica, protocollo, fornitori, curriculum, alunni Vedi Tab. 4.1 e Cap. 5 Tutti gli archivi Vedi Tab. 4.1 e Cap. 5 Tutti gli archivi Vedi Tab. 4.1 e Cap. 5 Tutti gli archivi Vedi Tab. 4.1 e Cap. 5 Dipendenti, indirizzi di posta elettronica, protocollo, fornitori, curriculum, alunni Vedi Tab. 4.1 e Cap. 5 Misura da adottare Tutte le credenziali devono essere custodite in cassaforte dal responsabile, non solo alcune. Evitare l uso promiscuo di credenziali. Periodica formazione sulla gestione e trattamento dei dati. Formalizzare per iscritto, negli incarichi e designazioni, qual è la disciplina per la conservazione dei supporti magnetici, dei dati informatici e cartacei a cui attenersi. Periodica formazione sulla gestione e trattamento dei dati. Formalizzare per iscritto, negli incarichi e designazioni, qual è la disciplina per la conservazione dei supporti magnetici, dei dati informatici e cartacei a cui attenersi. Periodica formazione sulla gestione e trattamento dei dati. Verificare l aggiornamento periodico del software antivirus. Periodicità e responsabilità dei controlli Almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Annuale Annuale Annuale Gli aggiornamenti dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 26 di 38

27 Tabella 5.1 (segue da pag. precedente) Misura Rischio contrastato Spamming o altre tecniche di sabotaggio Malfunzionamento, indisponibilità o degrado degli strumenti Accessi esterni non autorizzati Intercettazione di informazioni in rete Identificativo del Trattamento 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 Misure di sicurezza adottate o da adottare Eventuale banca dati Misura già in essere interessata Dipendenti, indirizzi di posta elettronica, protocollo, fornitori, curriculum, alunni Dipendenti, indirizzi di posta elettronica, protocollo, fornitori, curriculum, alunni Dipendenti, indirizzi di posta elettronica, protocollo, fornitori, curriculum, alunni Dipendenti, indirizzi di posta elettronica, protocollo, fornitori, curriculum, alunni Vedi Tab. 4.1 e Cap. 5 Vedi Tab. 4.1 e Cap. 5 Vedi Tab. 4.1 e Cap. 5 Misura da adottare Per la sicurezza dei PC predisporre un ulteriore password su salvaschermo in caso di inutilizzo (ad es.: ogni 5 min di inattività). Utilizzare sistemi operativi adeguati che garantiscano l uso di credenziali di autenticazione software personalizzate. Verificare periodicamente la leggibilità del supporto di backup. È opportuno installare il firewall anche sui PC connessi a internet dove risiedono fisicamente dati personali. Infatti non tutti i dati risiedono sul server (sul server risiedono solo i dati di gestione del personale e degli alunni). Periodicità e responsabilità dei controlli Almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. Report giornaliero inviato dal server su indirizzo mail del responsabile backup con indicato lo stato dei dischi, il numero di file processati e salvati, il numero di file totali presenti e il controllo di parità sulla copia del file di database Server Proxy + Firewall dedicato al controllo accessi alla rete internet. Sistema operativo: Scientific Linux Vedi Tab. 4.1 e Cap. 5 Vedi misura n. 01 Vedi misura n. 01 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 27 di 38

28 Tabella 5.1 (segue da pag. precedente) Misura Rischio contrastato Accessi non autorizzati a locali/reparti ad accesso ristretto Asportazione e furto di strumenti contenenti dati Eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti a incuria Guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) Identificativo del Trattamento 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 01, 02, 03, 04, 05, 06 Misure di sicurezza adottate o da adottare Eventuale banca dati Misura già in essere Misura da adottare interessata Sarà predisposta una procedura per le ditte terze che hanno accesso ai locali della scuola per le manutenzioni o pulizie. Tale procedura prevede l invio di una comunicazione alla ditta in cui si specifica che la presenza del proprio personale è finalizzata alla Tutti gli archivi Vedi Tab. 4.1 e Cap. 5 sola manutenzione o svolgimento della propria mansione (gli estranei non devono accedere a documentazioni, archivi, curiosare nei locali, ecc. per nessun motivo). Controllare che gli armadi e altre attrezzature ove risiedono archivi cartacei vengano chiusi a chiave. Effettuare la manutenzione del sistema di allarme antintrusione. Periodicità e responsabilità dei controlli Controllo quotidiano per la chiusura a chiave degli armadi. Una tantum per la procedura di accesso ai locali durante il lavoro e dopo l orario di chiusura. Tutti gli archivi Vedi Tab. 4.1 e Cap. 5 Vedi misura n. 10 Vedi misura n. 10 Tutti gli archivi Vedi Tab. 4.1 e Cap. 5 Tutti gli archivi Vedi Tab. 4.1 e Cap. 5 Eseguire la manutenzione periodica sui sistemi antincendio. Esporre in tutti i locali il divieto di fumare. Informare gli incaricati sui rischi riguardanti gli eventi distruttivi dovuti a incuria. Eseguire la manutenzione periodica di tutti gli impianti e attrezzature complementari. Secondo di legge. Secondo di legge. disposizioni disposizioni DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 28 di 38

29 6. CRITERI E MODALITA DI SALVATAGGIO E RIPRISTINO DELLA DISPONIBILITA DEI DATI (regola 19.5) Di seguito vengono descritti i criteri e le procedure adottati per il salvataggio dei dati e per il loro ripristino in caso di danneggiamento o di inaffidabilità della base dati. L importanza di queste attività deriva dall eccezionalità delle situazioni in cui il ripristino ha luogo: è essenziale che, quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino. In azienda viene effettuato un backup giornaliero dei dati inseriti nei computer. Sono state definite le tecniche e le procedure per l esecuzione dei salvataggi che avvengono su Hard Disk SATA (2 supporti) conservati in armadio a chiave in laboratorio informatica al 2 piano della sede centrale. L azienda ha dato incarico specifico ad un responsabile per quanto concerne le procedure di salvataggio dei dati. Si attua di fatto una sostituzione ed eliminazione dei dispositivi di conservazione obsoleti. Ogni giorno si effettua la verifica della leggibilità del supporto di backup. Si vuole attuare una verifica di restore ogni 12 mesi. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 29 di 38

30 Tabella 6.1. (da compilare a cura del responsabile incaricato al salvataggio e ripristino dei dati) Data base Dati sensibili o giudiziari contenuti Salvataggio e ripristino Criteri individuati per il salvataggio (procedure operative) Dipendenti SI NO Backup giornaliero Fornitori Alunni Protocollo SI SI SI SI SI SI SI SI SI SI SI SI SI SI SI SI SI SI SI NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO NO Data di aggiornamento: Compilatore: Struttura operativa incaricata del salvataggio Resp. Dei backup sig. Vignante Paolo Backup giornaliero Resp. Dei backup sig. Vignante Paolo Backup giornaliero Resp. Dei backup sig. Vignante Paolo Backup giornaliero Resp. Dei backup sig. Vignante Paolo Pianificazione delle prove di ripristino Ogni 12 mesi Ogni 12 mesi Ogni 12 mesi Ogni 12 mesi DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 30 di 38

31 7. PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI (regola 19.6) In questa sezione vengono riportate le informazioni necessarie per disporre di un quadro sintetico dell impegno formativo che si prevede di sostenere in attuazione della normativa. In riferimento alla normativa vigente L Istituto Magistrale Angela Veronese intende programmare un adeguata formazione per la gestione e trattamento dei dati degli incaricati presenti in tutti gli uffici. Questo vale anche per quanto concerne le nomine degli incaricati al salvataggio e ripristino dei dati. Inoltre la formazione degli incaricati viene effettuata all ingresso in servizio, all installazione di nuovi strumenti per il trattamento dei dati e comunque con frequenza annuale. Essa tende a sensibilizzare gli incaricati sulle tematiche della sicurezza, facendo comprendere i rischi e le responsabilità che riguardano il trattamento dei dati personali. Inoltre, essa tende alla compiuta spiegazione del concetto di quale sia la natura ed il contenuto dei dati sensibili e/o giudiziari, con l invito a segnalare eventuali disfunzioni dei sistemi operativi e, nel dubbio, di richiedere al titolare se un dato possa avere o meno natura sensibile o giudiziaria. DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 31 di 38

32 Tabella 7.1. Corso di formazione Corso sul D.L. 196/2003 Corso sul D.L. 196/2003 Corso sul D.L. 196/2003 Corso sul D.L. 196/2003 Descrizione sintetica In base al D.P.S. D.L. 196/2003 indicazioni sulle modalità del trattamento dei dati In base al D.P.S. D.L. 196/2003 indicazioni sulle modalità del trattamento dei dati In base al D.P.S. D.L. 196/2003 indicazioni sulle modalità del trattamento dei dati In base al D.P.S. D.L. 196/2003 indicazioni sulle modalità del trattamento dei dati Interventi formativi previsti Classi di incarico interessate - Responsabile credenziali e sistemi - Incaricati trattamento - Responsabile credenziali e sistemi - Incaricati trattamento - Responsabile credenziali e sistemi - Incaricati trattamento - Responsabile credenziali e sistemi - Incaricati trattamento Numero di incaricati interessati Numero di incaricati già formati/da formare nell anno Calendario 6 9 Maggio giugno Aprile Febbraio 2010 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA pag. 32 di 38