Regolamento Aziendale



Documenti analoghi
Manuale di Gestione Documentale (art. 5 DPCM 3/12/2013) Procedura Organizzativa Amministratori di Sistema

PRIVACY e SICUREZZA INFORMATICA

REGIONE ABRUZZO Azienda Sanitaria Locale n. 2 LANCIANO VASTO CHIETI. Elenco Amministratori di Sistema nominati alla data del 29/12/2017

Procedura Privacy N P 02 DATI PERSONALI

Procedura Privacy N P 02 FIGURE ED INCARICHI SISTEMA DI GESTIONE DATI PERSONALI

Procedura Privacy N P 02 DATI PERSONALI

Liceo Statale G. BERTO Classico - Linguistico - Scientifico - Scienze Umane

POR CALABRIA FESR/FSE COMITATO DI SORVEGLIANZA Cosenza, 10 Luglio Informativa sullo scambio elettronico dei dati

GEODETECTIVE rel

CONTRATTO PER LA DESIGNAZIONE DEL RESPONSABILE

Questionario di autovalutazione (modello A) 1. Informazioni generali. Denominazione dell Amministrazione ISTITUTO TECNICO BASILIO FOCACCIA - SALERNO

Ministero della Pubblica Istruzione

LEVERANO FARMACIA COMUNALE SRL PIANO TRIENNALE DI PREVENZIONE DELLA CORRUZIONE

REGIONE LOMBARDIA Sistemi Monitoraggio Emissioni (SME) Relazione Tecnica agli Organi Competenti per applicazione allo SME del Protocollo AEDOS

Manuale. Sistema Informativo Unitario Lavoro

Questionario di autovalutazione (modello A) 1. Informazioni generali. Denominazione dell Amministrazione Comune di San Nicola Manfredi (AV)

POLITICA DI GESTIONE DEI CONFLITTI D INTERESSE

DIREZIONE. Pubblicità/Pubblicazione: ATTO NON RISERVATO, PUBBLICAZIONE SUL SITO DELL'AGENZIA

Il protocollo informatico: T.U. 445 e circolare AIPA/CR/28

Documento programmatico sulla sicurezza dei dati

Sicurezza dei dati: requisiti e gestione

EDIZIONE n. (Anno )

Manuale. Sistema Informativo Unitario Lavoro

COMUNE DI REGGIO NELL EMILIA RISORSE DEL TERRITORIO RETI E INFRASTRUTTURE PROVVEDIMENTO DIRIGENZIALE

Questionario di autovalutazione (modello A) 1. Informazioni generali. Denominazione dell Amministrazione ASM Azienda Sanitaria Locale di Matera

Informativa trattamento dati personali - FORNITORI. Rev.0_

Questionario di autovalutazione (modello A) 1. Informazioni generali

IL PERCORSO DI VALUTAZIONE DEL RISCHIO STRESS LAVORO- CORRELATO

Sicurezza del lavoro: il libretto formativo del lavoratore

GEOTOPONOMASTICA rel

IDEAL REMOTE IDEAL Remote ti consente di controllare da remoto i tuoi sistemi Windows (da Windows NT a Windows 2012 Server), macos e Linux.

Questionario di autovalutazione (modello A) 1. Informazioni generali

SCHEDA DI AUTOVALUTAZIONE AZIENDALE/ AUDIT (periodo di riferimento: anno solare antecedente la compilazione) pec:

PROFILI PROFESSIONALI

PROGETTO I - CAST Integrazione delle ICT nella catena del valore delle imprese del sistema Tessile Abbigliamento AVVISO

Elenco dei siti e servizi attivi ed anno del loro ultimo aggiornamento Sito/servizio

DETERMINAZIONE DIRIGENZIALE U.O.T. Venezia

Direzione Didattica e Servizi agli Studenti Area Servizi agli Studenti

Ce.De.C.U. A.I.D. Ce.De.C.U.

CONOSCERE IL RISCHIO

UNITA OPERATIVA SERVIZI AMMINISTRATIVI DI SETTORE E DEL SERVIZIO SOCIALE DEI COMUNI

INFORMATIVA PRIVACY CLIENTI

IDEAL ADMINISTRATION 19

Comune di Montecchio Precalcino (VI) Settore 1 Affari Generali - Servizi alla Persona e alla Comunità Servizio Informatizzazione

Consulenza per la certificazione

Servizio Sviluppo Organizzativo. Determinazione Organizzativa n. 65. Il Direttore

PROVINCIA DI PRATO DETERMINAZIONE DEL RESPONSABILE DELL AREA: Area Istruzione, Formazione e Lavoro. Servizio Formazione

CODICE DI COMPORTAMENTO DEI FORNITORI

PROGRAMMAZIONE PROVINCIALE DELLE ATTIVITA DI FORMAZIONE DEGLI APPRENDISTI ASSUNTI PRESSO IMPRESE DELLA PROVINCIA DI PAVIA (PERIODO FORMATIVO

ABSTRACT. Fornitura di un sistema per la Business Continuity delle società del Gruppo

Software H1 HRMS MANUALE CASI D USO BASE. Gestione e Valorizzazione delle Persone in azienda. FORMAZIONE Gestione Competenze

Esercitazione 1: lettura del Case-study ed individuazione delle criticità dell organizzazione (2 h preparazione, 30 correzione)

Allegato 2. Modello per la DOMANDA DI ACCREDITAMENTO PER LA REALIZZAZIONE DI SERVIZI PER IL LAVORO

TECHNICAL STANDARDS POLITICA GENERALE PER LA SICUREZZA INFORMATICA TABELLA DELLE REVISIONI. VERSIONE: 2.0 DATA: Febbraio 2016 EMISSIONE:

RELAZIONE SULLA SITUAZIONE COMPLESSIVA DEI RECLAMI PER L ANNO 2015

REGIONE EMILIA-ROMAGNA Atti amministrativi

Sistema di Gestione Ambientale

ACI Manuale di Conservazione Automobile Club di Prato

PROVINCIA DI PRATO DETERMINAZIONE DEL RESPONSABILE DELL AREA: Area Istruzione, Formazione e Lavoro. Servizio Formazione

DETERMINAZIONE DIRIGENZIALE U.O.T. Venezia

egov.ti. Panoramica di egov.ti., moduli, funzionalità della soluzione, modalità di fruizione e architettura

COMUNE DI AFRAGOLA CITTA' METROPOLITANA DI NAPOLI AREA: SETTORE AFFARI ISTITUZIONALI. Ufficio Stampa e Comunicazione

POLITICA GENERALE DI SICUREZZA POLICY AZIENDALE

Seminario. Livorno, 12 Febbraio c/o Centro di Formazione Autorità Portuale di Livorno Piazzale del Portuale,4

A. Valorizzazione del ruolo istituzionale del Consiglio / Qualificazione dell'attività legislativa

Cognome Nome.. data di nascita../../.. Luogo di nascita (prov ) residente in via n. Comune di prov..

DETERMINAZIONE DIRIGENZIALE U.O.T. Venezia

SCHEDA F UTILIZZO DEI FANGHI DERIVANTI DAL PROCESSO DI DEPURAZIONE IN AGRICOLTURA (*) 24

PROVINCIA DI PRATO DETERMINAZIONE DEL RESPONSABILE DELL AREA: Area Istruzione, Formazione e Lavoro. Servizio Formazione

Prot. n 3250 A01/B Casamassima, 19/10/2009 AVVISO PUBBLICO. per la selezione di un Responsabile S.P.P. IL DIRIGENTE SCOLASTICO

PROGRAMMA DEL CORSO DI FORMAZIONE PER DIRIGENTI IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO PER L IMPLEMENTAZIONE DEL S.G.S.L.

Il Dirigente SETTORE POLITICHE AMBIENTALI. Determinazione dirigenziale. Raccolta n. 382 del 11/02/2014. Oggetto:

D. P. I. (DISPOSITIVI PROTEZIONE INDIVIDUALE)

COMUNE DI ARGELATO PROVINCIA DI BOLOGNA CONTRATTO PER LO SVOLGIMENTO DEI COMPITI DI MEDICO COMPETENTE

FORMAT DOMANDA DI ACCREDITAMENTO PER LA FORMAZIONE E L AUTORIZZAZIONE ALL UTILIZZO DEL DEFIBRILLATORE SEMIAUTOMATICO ESTERNO (DAE)

Informativa essenziale partecipanti eventi

Condizioni di Garanzia per apparecchi LED

37 formativi oggetto di sovvenzioni a valere sul POR FSE e successive modifiche ed integrazioni;

DETERMINAZIONE DIRIGENZIALE U.O.T. Venezia

data di nascita../../.. Luogo di nascita (prov ) residente in via n. Comune di prov..

Bari, 23/2/2016 Prot. 664 Al Personale dell Istituto Sede

Att.: A tutti gli Organismi di Certificazione accreditati / accreditandi come verificatori ambientali EMAS

Indirizzo NPA, Luogo.. Telefono:.. Sito web:

Questionario di autovalutazione (modello A)

Nuovo Sistema Cartografico SGR per le reti Gas

MODULO PER PRIVATI (immobili di edilizia abitativa)*

MODULO DI ISCRIZIONE AI PERCORSI FORMATIVI Con valenza di autocertificazione (ai sensi dell art. 46 D.P.R. 28/12/2000 n. 445)

Informativa completa Utenti

Manuale e documenti Manuali ed elenchi Documenti per la sicurezza Procedure Gestionali Operative Modulistica Gestionali Operative

RELAZIONE D AUDIT RELAZIONE D ASSESSMENT

NUOVE MODALITA DI GESTIONE DEI PROCESSI DI ADESIONE AI MERCATI E PIATTAFORME DEL GME: IL SISTEMA DI ANAGRAFICA CENTRALIZZATA

Informativa essenziale Fornitori

ENTE SICILIANO per la PROMOZIONE INDUSTRIALE in LIQUIDAZIONE

DOMANDA PER L ACCREDITAMENTO REGIONALE DEI NIDI DI INFANZIA A TITOLARITA PRIVATA

D ECRETO DEL DIRETTORE GENERALE

VISTA la L. 845/78 Legge quadro in materia di formazione professionale ;

SITO WEB ISTITUZIONALE

IL DIRETTORE. VISTA la L. 845/78 Legge quadro in materia di formazione professionale ;

Informativa estesa sull uso dei cookie

Transcript:

Reglament Aziendale MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA 1. CONSIDERAZIONI PRELIMINARI...2 2. VALUTAZIONE DELLE CARATTERISTICHE SOGGETTIVE...3 3. DESIGNAZIONI INDIVIDUALI...3 4. SERVIZI IN OUTSOURCING...4 5. VERIFICA DELLE ATTIVITA'...4 6. REGISTRAZIONE DEGLI ACCESSI...4 1

1. CONSIDERAZIONI PRELIMINARI Quest dcument è stat predispst sulla base del: Prvvediment del Garante del 27 nvembre 2008 relativ a "misure e accrgimenti prescritti ai titlari dei trattamenti effettuati cn strumenti elettrnici relativamente alle attribuzini delle funzini di amministratre di sistema", pubblicat sulla G.U. n. 300 del 24 dicembre 2008 Prvvediment del Garante del 12 febbrai 2009 di Prrga delle misure e accrgimenti prescritti ai titlari dei trattamenti effettuati cn strumenti elettrnici relativamente alle attribuzini delle funzini di amministratre di sistema pubblicat sulla G.U. n. 45 del 24 febbrai 2009 Adempimenti richiesti dalla nrmativa: a) Valutazine delle caratteristiche sggettive degli Amministratri di sistema per l'attribuzine delle funzini, previa valutazine dell'esperienza, della capacità e dell'affidabilità del sggett designat, cn criteri di valutazine equipllenti a quelli richiesti per la designazine dei respnsabili ai sensi dell'art. 29. b) Designazini individuali degli Amministratri di sistema e degli ambiti di peratività cnsentiti in base al prfil di autrizzazine assegnat. c) Elenc degli amministratri di sistema e delle funzini ad essi attribuite d) Individuazine, per i servizi affidati in utsurcing, degli estremi identificativi delle persne fisiche prepste quali amministratri di sistema. e) Verifica delle attività degli amministratri di sistema, al fine di cntrllare la rispndenza alle misure rganizzative, tecniche e di sicurezza rispett ai trattamenti dei dati persnali f) Registrazine degli accessi lgici ai sistemi di elabrazine e agli archivi elettrnici da parte degli Amministratri Cn la definizine di "amministratre di sistema" si individuan generalmente, in ambit infrmatic, figure prfessinali finalizzate alla gestine e alla manutenzine di un impiant di elabrazine di sue cmpnenti ed altre figure equiparabili dal punt di vista dei rischi relativi alla prtezine dei dati, quali gli amministratri di basi di dati, gli amministratri di reti e di apparati di sicurezza e gli amministratri di sistemi sftware cmplessi: system administratr (amministratre di sistema), netwrk administratr (amministratre di rete), database administratr (amministratre di data base). Gli amministratri di sistema csì ampiamente individuati, anche se la lr principale attività riguarda altri settri, sn cncretamente "respnsabili" di specifiche fasi lavrative che pssn cmprtare elevate criticità rispett alla prtezine dei dati. Attività tecniche quali il salvataggi dei dati (backup/recvery), l'rganizzazine dei flussi di rete, la gestine dei supprti di memrizzazine e la manutenzine hardware cmprtan infatti, in mlti casi, un'effettiva capacità di azine su infrmazini che va cnsiderata a tutti gli effetti alla stregua di un trattament di dati persnali; ciò, anche quand l'amministratre nn cnsulti "in chiar" le infrmazini medesime. Le funzini tipiche dell'amministrazine di un sistema sn richiamate nell Allegat B del Dlgs 196/2003, nella parte in cui prevede l'bblig per i titlari di assicurare la custdia delle cmpnenti riservate delle credenziali di autenticazine. Gran parte dei cmpiti previsti nel medesim Allegat B spettan tipicamente all'amministratre di sistema: dalla realizzazine di cpie di sicurezza (perazini di backup e recvery dei dati) alla custdia delle credenziali alla gestine dei sistemi di 2

autenticazine e di autrizzazine. Azienda Ospedaliera 2. VALUTAZIONE DELLE CARATTERISTICHE SOGGETTIVE L'attribuzine delle funzini di amministratre di sistema avveniene previa valutazine dell'esperienza, della capacità e dell'affidabilità del sggett designat, il quale deve frnire idnea garanzia del pien rispett delle vigenti dispsizini in materia di trattament ivi cmpres il prfil relativ alla sicurezza. Per tale mtiv gli amministratri sn stati individuati tra il persnale della SC Sistemi Infrmativi cn più anni di esperienza nell specific settre di attività. 3. DESIGNAZIONI INDIVIDUALI La designazine quale amministratre di sistema deve essere in gni cas individuale e recare l'elencazine analitica degli ambiti di peratività cnsentiti in base al prfil di autrizzazine assegnat. A tale scp il Titlare ha inviat ad gni Amministratre, att di nmina cn una lettera di incaric in cui sn indicate le rispettive mansini e gli ambiti di intervent. Funzini attribuite: a. Amministratri di sistema: Access a tutti i server in lettura/scrittura Backup/restre degli archivi Predispsizine delle prcedure di disaster recvery Creazine di nuvi utenti di rete e/ lr mdifica Attribuzine nuvi nme cmputer del dmini Attribuzine dei permessi di access agli utenti di rete Creazine mdifica di aree cndivise in rete Mnitraggi degli eventi e dei servizi fferti dai servers Manutenzine ed aggirnament dei sistemi perativi ed antivirus dei servers Installazine di sftware applicativ b. Amministratri di rete: Attribuzine nuvi indirizzi IP Backup/restre delle cnfigurazini firmware degli apparati (switch) di rete attiva Aggirnamenti firmware degli apparati (switch) di rete attiva Mnitraggi degli eventi di intrusine nella rete Mdifica delle regle di sicurezza del firewall per rispndere a nuve esigenze ppure per miglirare la funzinalità del firewall a blccare eventi di intrusine nella rete c. Aggirnament cstante della mappa di rete e del censiment PDL Amministratri di database: Backup/restre dei database Mdifica della struttura fisica delle tabelle del database Attribuzine dei permessi di access utenti alle tabelle del database Manutenzine applicativi, test funzinalità, reprtistica Gestine sicurezza Nella gestine infrmatica, l A.O. Ordine Maurizian si avvale di persnale estern, che interviene cme Amministratre, sui sistemi di prprietà dell Ente. Il Titlare, nella qualità di datre di lavr, è tenut a rendere nta l'identità degli amministratri di sistema nell'ambit delle prprie rganizzazini, in relazine ai diversi servizi infrmatici cui questi sn prepsti. A tal fine tutta la dcumentazine è resa dispnibile sul sit Intranet dell A.O. 3

Maurizian alla sezine Privacy e verrà rilasciata a clr che ne richiederann l'access. 4. SERVIZI IN OUTSOURCING Nel cas di servizi di amministrazine di sistema affidati in utsurcing all estern, il Titlare deve cnservare direttamente e specificamente, per gni eventuale evenienza, gli estremi identificativi delle persne fisiche prepste quali amministratri di sistema. A tal fine il Titlare ha predispst pprtune richieste prtcllate alle Scietà che gestiscn data base esterni cn dati relativi all AO Maurizian al fine di cnscere e registrare il nminativ degli Amministratri, richiedend per gni tiplgia di dati trattata, il nminativ degli Amministratri, le funzini attribuite ed il prfil di autrizzazine assegnat. E' stat richiest che le Scietà rispettin la nrmativa in termini di registrazine degli accessi e cnservazine dei lg per almen sei mesi. 5. VERIFICA DELLE ATTIVITA' L'perat degli amministratri di sistema deve essere ggett, cn cadenza almen annuale, di un'attività di verifica da parte dei titlari del trattament, in md da cntrllare la sua rispndenza alle misure rganizzative, tecniche e di sicurezza rispett ai trattamenti dei dati persnali previste dalle nrme vigenti. Operativamente, cn cadenza annuale viene cntrllata la rispndenza delle attività degli amministratri alle: misure rganizzative: cntrlland che le funzini attribuite a ciascun amministratre sian effettivamente cngrue a ciò che l individu è capace di fare; azini pssibili da intraprendere per miglirare eventuali deficienze fare ricrs a crsi di frmazine specifici e/ sstituzine cambi di ruli tra persnale dipendente misure tecniche: cntrlland che le funzini attribuite a ciascun amministratre sian state svlte dal punt di vista tecnic secnd nrmativa vigente; azini pssibili da intraprendere per miglirare eventuali deficienze tecniche aggirnare i sistemi hardware e/ sftware utilizzati misure di sicurezza: cntrlland che: nn sian stati segnalati abusi/intrusini perdita di dati ricnducibili ad amministratri di sistema; azini da intraprendere nel cas in cui ci fsser state segnalazini cntrllare gli access lg relativi al perid segnalat; nn sia necessari attuare mdifiche per miglirare la rispndenza di quant implementat alle nrmative vigenti e per diminuire i pssibili eventi di intrusine nella rete; azini da intraprendere verificare che le raccmandazini segnalate nei VulnerabilityReprts mensili sian state attuate se n mtivate in verbali scritti. 6. REGISTRAZIONE DEGLI ACCESSI Sn stati adttati sistemi idnei: alla registrazine degli accessi lgici (autenticazine infrmatica) ai sistemi di elabrazine e agli archivi elettrnici da parte degli amministratri di sistema. Le registrazini (access lg) devn avere caratteristiche di cmpletezza, inalterabilità e pssibilità di verifica della lr integrità adeguate al raggiungiment dell scp di verifica per cui sn richieste all analisi centralizzata dei lg di access prdtti da tutti i servers ed apparati attivi alla cnservazine dei lg di access per almen 6 mesi 4

Operativamente è pprtun implementare la sluzine giusta indipendentemente dalle tiplgie dei sistemi e dei data base presenti nell Azienda, evitand impatti sulle perfrmance dei sistemi, ma bilanciand le esigenze di cmpliance cn il manteniment della prduttività aziendale; inizialmente si è ptat per: Adttare un sistema di auditing dei seguenti eventi effettuati dagli amministratri su ciascun server presente all AO Maurizian : lgn/lgff access agli share definiti a scp amministrativ: C$; ADMIN$; ecc lg del firewall Prevedere la stricizzazine mensile degli access lg su strage da cnservare per almen 6 mesi per tutti i server/dispsitivi che cntengn dati sensibili. Cn Deliberazine n.84 del 04/02/1010 la S.C. Sistemi Infrmativi ha adttat una sluzine hardware e sftware per la gestine centralizzata dei lg di sistema, in cnfrmità al Prvvediment Generale del Garante relativamente alle attività degli Amministratri di Sistema. 5

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back