ELENCO MISURE DI SICUREZZA Versione 1.00 del 10/11/2018 ISTITUTO COMPRENSIVO GOBETTI DI RIVOLI MISURE DI SICUREZZA TRATTAMENTI SENZA STRUMENTI ELETTRONICI 1 Conservazione digitale dei documenti 2 Controllo accessi a fotocopiatrici, stampanti e fax 3 Custodia in armadi provvisti di chiusura a chiave 4 Custodia in cassaforte 5 Custodia in cassetti provvisti di chiusura a chiave 6 Distruggi-documenti 7 Formazione del personale 8 Fotocopiatrice provvista di chiave 9 Istruzioni incaricati - Inviare Linee guida 10 Lettore chip-card per uso di fotocopiatrici e stampanti 11 Procedura gestione chiavi 12 Provvedimenti disciplinari 13 Registro accessi ai documenti MISURE DI SICUREZZA PROTEZIONE TRASMISSIONE DATI 1 Backup posta elettronica 2 Crittografia 3 Firewall 4 Firma digitale 5 Formazione del personale 6 Istruzione incaricati 7 Log file 8 Manutenzione periodica della rete 9 Presenza della nota confidenziale nei messaggi di posta elettronica 10 Provvedimenti disciplinari 11 Rapporti provider 12 Redazione disciplinare tecnico 13 Revisione disciplinare tecnico 14 Utilizzo della PEC
MISURE DI SICUREZZA TRATTAMENTO CON STRUMENTI ELETTRONICI 1 Access log - Adottare LOG amministratore di sistema e ampliare esistenti 2 Anonimizzazione dei dati 3 Assistenza hot-line 4 Backup archivi 5 Cifratura dei dati 6 Formazione del personale 7 Gruppo di continuità 8 Istruzioni incaricati- Inviare Linee guida 9 Manutenzione periodica hardware 10 Manutenzione periodica software 11 Partizionamento dei dati 12 Piano di Disaster Recovery del fornitore dei servizi cloud 13 Prove periodiche ripristino backup 14 Provvedimenti disciplinari 15 Pseudonimizzazione dei dati 16 Scheda segnalazione eventi dannosi 17 Screensaver con password 18 Sistema di autenticazione utenti (user e password complesse) 19 Sistema di gestione dei privilegi utenti 20 Software anti-intrusione 21 Software anti-malware MISURE DI SICUREZZA PROTEZIONE LOCALI 1 Badge controllo accessi 2 Cartelli segnaletici 3 Certificazione impianti 4 Costruzione antisismica 5 Dispositivi di emergenza 6 Formazione del personale 7?? Impianti anti-intrusione 8 Istruzioni incaricati- Inviare Linee guida 9 Provvedimenti disciplinari 10 Registro controllo accessi 11???? Sistemi antincendio 12 Sistemi biometrici contr. accessi 13 Smart Card contr. accessi 14 Videoregistrazione 15 Videosorveglianza 16 Vigilanza
MISURE DI SICUREZZA ULTERIORI 1 Manuale di rete a cura dell'aministratore di Sistema AdS 2 Manuale delle procedure di backup e ripristino a cura AdS 3 Notifica mancata esecuzione backup 4 Prova di ripristino con frequenza 1 MESE 5 Inventario Hardware 6 Inventario Software 7 Procedura rottamazione dispositivi elettronici dismessi 8 Procedura rottamazione hard disk e memorie magnetiche 9 CED Registro di accesso 10 CED dotato climatizzatore 11 CED dotato rilevatore fumo 12 CED dotato di rilevatore di temperatura 13 CED dotato di estintore 14 UPS - Gruppi di continuità su tutti i dispositivi che contengono dati 15 Suddivisione fisica delle reti 16 Suddivisione logica delle reti 17 Policy di gestione manuale degli screen lock 18 Firewall aggiornamenti firmware 19 Firewall configurazione reti V/LAN 20 Firewall configurazione VPN 21 Firewall log 22 Firewall invio automatico log all'ads 23 NAS aggiornamento firmware 24 NAS log 25 NAS invio automatico log all'ads 26 Telefonia gestione dei messaggi vocali 27 Telefonia VOIP su classe IP diversa dalle reti dati 28 Protezione avanzata degli smartphone aziendali 29 Posta elettronica No archivi su client locali 30 Registro eventi dei malfunzionamenti 31 Registro Accountability 32 Software di controllo superficie di attacco dati 33 Client - Antivirus a pagamento 34 Server - Antivirus a pagamento 35 Anvirus Client/Server 36 Registro aggiornamenti firmaware periferiche dati 37 Registro operazioni di Backup 38 39 40
ADEMPIERE ADEMPIUTO ADEMPIMENTI Versione 1.00 del 10/11/2018 ISTITUTO COMPRENSIVO GOBETTI DI RIVOLI ADEMPIMENTI ADEMPIMENTO COMMENTI 1 Anagrafe personale solo i fornitori con attinenza alla protezione dei dati come Amministratore di Sistema/Ditta manutenzione informatica 2 Anagrafe Fornitori ecc. 3 Anagrafe Contitolari se identificati 4 Incarico AdS 5 Incarico installatore misure di sicurezza 6 Incarico preposti segreteria amministrativa 7 Incarico preposto alla custodia delle credenziali 8 Incarico preposto al controllo accesso ai locali Utilizzare la lettera presente nell'area 9 Incarico responsabile esterno riservata del sito 10 Incarico responsabile interno (Sub Titolare) 11 Incarico RPD/DPO 12 Elenco dei trattamenti 13 Gestione dei trattamenti 14 Elenco Hardware 15 Elenco Software 16 Elenco luoghi del trattamento A cura del DPO dopo avere adempiuto ai punti 17 Analisi dei rischi 12 e 13 18 Formazione registrazione eventi A cura del DPO 19 Audit periodico A cura del DPO Modello istruzioni ai Responsabili del Utilizzare la lettera presente nell'area 20 trattamento riservata del sito 21 () Delibera Consiglio di Istituto adozione indirizzi e linee guida di adattamento al Regolamento UE 2016/679 Nomina incaricati/designati se non si opta per delibera Consiglio di Istituto 22 23 Lettera medico competente 24 Lettera Azienda assistenza Informatica 25 Lettera Azienda assistenza software Linee guida istruzioni ai designati al 26 trattamento 27 Procedura Data Breach 28 DPIA - Valutazione d'impatto Utilizzare il modello presente nell'area riservata del sito Solo se non si opta per delibera CI
29 Accordo contitolari 30 Verifica sub-responsabili 31 Piano di formazione 32 Acquisto NAS per BK ridondante dei dati Richiedere preventivo acquisto 33 Verifiche periodiche sicurezza rete Amministratore di sistema AdS 34 Sottoscrizione dichiarazione installatore Trasmissione linee guida per Colaboratori 35 Scolastici Trasmisione linee guida per personale 36 amministrativo 37 Trasmissione linee guida per docenti 38 Caricamento sul sito della Privacy Policy 39 Caricamento sul sito della Cookie Policy 40 Caricamento sul sito dell'informativa sintetica Caricamento sul sito dell'informativa 41 dettagliata Caricamento sul sito dell'informativa specifica 42 per le famiglie Caricamento sul sito dell'informativa specifica 43 per i fornitori Caricamento sul sito informativa specifica per il 44 personale Caricamento sul sito informativa specifica per 45 studenti se maggiorenni (IIS) 46 Caricamento sul sito del Manuale Privacy 47 Caricamento sul sito Piano di formazione 48 Caricamento sul sito piano di miglioramento Storicizzazione del Registro delle Attività del 49 Trattamento A cura del DPO 50 Caricamento sul sito della scheda del Backup 51 Registro accessi ai documenti 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69
RESPONSABILI DEL TRATTAMENTO Versione 1.00 del 10/11/2018 ISTITUTO COMPRENSIVO GOBETTI DI RIVOLI RESPONSABILI DEL TRATTAMENTO DENOMINAZIONE INCARICO 1 ARGO GESTIONALE IN CLOUD 2 TOSOLAB SITO WEB 3 DOMINIO GOV.IT???? CON POSTA - TOSOLAB O FASTCOMET 4 BACKUP REMOTO IDENTITA' MULTIMEDIALE 5 6 7 8 9 10 11 12 13 14 15