Dipartimento di Salute Mentale e Dipendenze Strutture Complesse S.S.D. Psicologia Clinica S.C. Servizio Psichiatrico di Diagnosi e Cura S.S.D. Area Urgenza/Emergenza Psichiatrica S.C. Assistenza Psichiatrica Territoriale S.S.D. Gestione Strutture Intermedie Area Dipendenze e Servizio Recupero Tossicodipendenze Servizio Recupero Tossicodipendenze S.S.D. Medicina Penitenziaria 274
275
S.C. Assistenza Psichiatrica Territoriale Ubicazione: direzione Via Don Bosco 35 r, Savona. Sedi territoriali: Alberga,Via Vecchia Morella 83, Finalborgo P.zza Aicardi 5, Carcare, Via Nazionale Piemonte 22. Centro Crisi : Pietra Ligure Villa Frascaroli Via Delle Pinee 2, Savona Via Amendola 12 Comunità Terapeutiche: Villa Bugna Savona Via Tissoni 14 Centri Diurni: Albenga Via Fiume 20, Pietra Ligure Villa Livi Via Delle Pinee 2, Carcare Via Nazionale Piemonte 22, Savona Via Amendola 12. Alloggi Protetti: Albenga Via Fiume 20, Cengio Via Mazzini 16, Carcare Via Colombo 11, Savona Via Saredo 28 e Via Untoria 12 Descrizione dei compiti istituzionali: attività ambulatoriali presso le quattro sedi dei Centri di Salute Mentale; attività residenziale presso due Centri Crisi, una Comunità Terapeutica e cinque alloggi protetti; attività semiresidenziale presso i quattro Centri Diurni. Trattamenti dati effettuati: 1)gestione cartelle cliniche,2) rilascio certificazioni, 3)acquisizione ed implementa-zione dati, 4)elaborazione dati, 5)archiviazione. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa 1. a) Sottrazione di credenziali di autenticazione Comportame b) Carenza di consapevolezza, disattenzione o incuria nti c) Comportamenti sleali o fraudolenti degli d) Errore materiale operatori e) Altro: sottrazione a) Azione di virus informatici o di programmi suscettibili di recare danno 2. b) Spamming o tecniche di sabotaggio Eventi relativi c) Malfunzionamento, indisponibilità o degrado degli strumenti agli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati 3. Altri Eventi Descrizione sintetica Natura dei dati trattati Attività svolta Categorie di interessati APT SV 001 gestione cartelle cliniche degenti dsm-sia APT SV 002 rilascio certificazioni dsm-sia APT SV 003 acquisizione e implementazione dati dsm-sia Altre strutture che concorrono al Sens. Giud. Int. Est. degenti utenti APT SV 004 elaborazione dati dsm-sia APT SV 005 archiviazione dsm Banca dati cartacea magnetica Ubicazione Soc Elco Procedure Interconnessione Utilizzate (Nome Software) Internet Intranet APT SV 001 e APT SV 005 archivio sedi APT SV 002 archivio cartelle cliniche APT SV 003 sedi dsm SI-DSM2 APT SV 004 sedi dsm SI-DSM2 c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: 276
TABELLA 4 - Misure di sicurezza adottate o proposte APT SV 001 APT SV 002 APT SV 005 APT SV 003 APT SV 004 Rischi individuati 1e 2d Misure esistenti custodia a chiave in stanze, armadi cambio periodico di password individuale Tipologia di misure che si propongono adozione armadi ignifughi, cartella clinica informatizzata con firma elettronica aumento consulenza per software e hardware TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Incaricato salvataggio Struttura Società Server Archivio Interna esterna APT SV 003 salvataggio su nastro APT SV 004 Persona Tempi di ripristino dati 7 gg TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari (solo per Area Sanitaria) Protezione scelta Cifratura Separazione APT SV 003 APT SV 004 Descrizione la tecnica adottata effettuata al momento l eport dati e trasmissione dal DSM ai S.I. 277
S.C. Servizio Psichiatrico di Diagnosi e Cura Ubicazione: piano terra padiglione Astengo presso l ospedale San Paolo, via Genova 30, Savona padiglione Racamier presso l ospedale Santa Corona via XXV Aprile 180, Pietra Ligure Descrizione dei compiti istituzionali: diagnosi, terapia e riabilitazione le patologie psichiatriche in regime di ricovero, day hospital, e ambulatoriale. Trattamenti dati effettuati: 1) gestione cartelle cliniche, 2) gestione cartelle ambulatoriali, 3) gestione banche dati di degenti/utenti, 4) gestione di refertazione, relazioni cliniche e consulti 5) gestione personale di reparto 6) gestione dati di degenti/utenti a fini statistici, 7) gestione sperimentazioni. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati *Reparto = reparto di degenza ed ambulatori SS.PP.DD.CC. di Savona e Pietra Ligure e C.D.A.A. di Pietra Ligure TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione 1. b) Carenza di consapevolezza, disattenzione o incuria Comportamenti c) Comportamenti sleali o fraudolenti degli operatori d) Errore materiale a) Azione di virus informatici o di programmi suscettibili di 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Natura dei dati trattati Attività svolta Categorie di interessati PDC SV 001 gestione cartelle cliniche degenti PDC SV 002 gestione cartelle ambulatoriali utenti PDC SV 003 gestione banche dati degenti/utenti, degenti / utenti Altre strutture che concorrono al Sens. Giud. Int. Est. PDC SV 004 gestione refertazioni, relazioni degenti / utenti cliniche e consulti PDC SV 005 gestione personale di reparto dipendenti PDC SV 007 gestione sperimentazioni volontari PDC SV 001 PDC SV 002 PDC SV 003 A cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) Internet Interconnessione PDC SV 003 B server sio dnweb PDC SV 004 A PDC SV 004 B software dedicato PDC SV 005 PDC SV 007 A PDC SV 007 B reparto * procedura dedicata Intranet recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza 278
TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono PDC SV 001 2d 3a armadi ignifughi, cartella clinica PDC SV 002 e custodia in stanze, armadi chiusi a chiave 2d 3a informatizzata con firma elettronica PDC SV 003 A PDC SV 003 B 2d cambio periodico di password implementazione consulenza per software e individuale hardware PDC SV 004 A 2d custodia in stanze, armadi chiusi a chiave armadi ignifughi PDC SV 004 B 2d cambio periodico di password implementazione consulenza per software e individuale hardware PDC SV 005 2d conservazione in luoghi dedicati PDC SV 007 A custodia in stanze, armadi chiusi a chiave PDC SV 007 B 2d cambio periodico di password individuale TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati PDC SV 003 Procedure per il salvataggio dati backup automatico TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari Protezione scelta Cifratura Separazione Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società esterna Persona addetto 7 gg PDC SV 004 backup su cd 7 gg Descrizione la tecnica adottata PDC SV 007 assegnazione di codice alfanumerico ad ogni volontario Tempi di ripristino dati 279
S.C. Servizio Recupero Tossicodipendenze Ubicazione: sede principale Via S.Lucia 11/1 Savona, sedi territoriali: Via Vecchia Morella 61 Albenga, Via la Pineta 6, Finale Ligure, Via Martiri Libertà presso Osp. Cairo, Via Vittime Brescia 3 Savona (distribuzione metadone) Descrizione dei compiti istituzionali: Erogazione di livelli uniformi di assistenza attraverso prevenzione, diagnosi, cura e riabilitazione le dipendenze patologiche in regime ambulatoriale, attività di consulenza specialistica, attività di statistica ed epidemiologia, attività amministrativa Trattamenti dati effettuati: 1) gestione schede individuali degli utenti (dati anagrafici, anamnestici, valutazione e aggiornamenti clinici) 2relazioni e certificazioni, sanitarie 3) gestione comunicazioni con S.C. aziendali e/o istituzioni 3) gestione dati a fini amministrativi 4) gestione dati a fini epidemiologici e statistici TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Rischi potenziali SI NO Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. SRT SV 001 gest. schede individuali utenti SRT SV 002 gest.certificazioni/ relazioni sanitarie utenti SRT SV 003 gest comunicazioni con s.c. aziendali e/o istituzioni utenti SRT SV 004 gestione dati a fini amministrativi utenti cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet SRT SV 001A SRT SV 002A sedi di servizio SRT SV 001B server aziendale software mfp SRT SV 002B windows SRT SV 003 A sedi di servizio SRT SV 003B windows SRT SV 004 server aziendale software dedicato Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: Intran et 280
TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono SRT SV 001A SRT SV 002A SRT SV 003 A SRT SV 002B SRT SV 003B SRT SV 004 1b, 1d 3a locali e contenitori dedicati chiusi a chiave 2.c password personale antivirus informatizzazione completa cartella clinica TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Da SRT SV 001A a SRT SV 003A SRT SV 001B e SRT SV 004 SRT SV 002B Procedure per il salvataggio dati fotoriproduzione backup su server backup su supporto magnetico Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società esterna Persona operatori Tempi di ripristino dati tempo reale 281
S.S.D. Area Urgenza/Emergenza Psichiatrica Ubicazione: piano terra padiglione Astengo presso l ospedale San Paolo, via Genova 30, Savona Descrizione dei compiti istituzionali: coordinamento e monitoraggio la risposta all urgenza ed all emergenza psichiatrica in collaborazione con le strutture l area psichiatrica. Trattamenti dati effettuati: 1)gestione cartelle cliniche, 2) gestione banche dati di degenti/utenti, 3) gestione protocolli clinici ; 4) gestione le non conformità 5 )refertazioni, relazioni cliniche e consulti 6) gestione personale di struttura 7) gestione dati di degenti/utenti a fini statistici. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari Descrizione sintetica Natura dei dati trattati Attività svolta Categorie di interessati UE P SV 001 gestione cartelle cliniche degenti UE P SV 002 gestione banche dati degenti/utenti, degenti / utenti UE P SV 003 gest. protcolli clinicii degenti / utenti UE P SV 004 gest non conformità UE P SV 005 refertazioni, relazioni cliniche e consulti degenti / utenti UE P SV 006 gestione personale di struttura dipendenti Altre strutture che concorrono al Sens. Giud. Int. Est. TABELLA 2 - Strumenti utilizzati UE P SV 001A UE P SV 003 UE P SV 004 UE P SV 005 A UE P SV 006 UE P SV 001B cartacea Banca dati *Reparto = reparto di degenza di Savona magnetica X Ubicazione Procedure Utilizzate (Nome Software) UE P SV 002 server sio dnweb UE P SV 005 B reparto * software dedicato Interconnessione Internet Intranet TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione 1. b) Carenza di consapevolezza, disattenzione o incuria Comportamenti c) Comportamenti sleali o fraudolenti degli operatori d) Errore materiale a) Azione di virus informatici o di programmi suscettibili di 2. Eventi relativi agli strumenti 3. Altri Eventi recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza 282
TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono UE P SV 001A UE P SV 003 UE P SV 004 UE P SV 005 A UE P SV 006 UE P SV 001B UE P SV 002 UE P SV 005 B 2d 3a 2d 2d custodia in stanze, armadi chiusi a chiave conservazione in luoghi dedicati cambio periodico di password individuale armadi ignifughi, cartella clinica informatizzata con firma elettronica implementazione consulenza per software e hardware TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati UE P SV 002 UE P SV 001B UE P SV 002 UE P SV 005 B Procedure per il salvataggio dati backup automatico Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società esterna Persona addetto 7 gg backup su cd 7 gg Tempi di ripristino dati 283
S.S.D. Gestione Strutture Intermedie Ubicazione Centro Crisi: Pietra Ligure Villa Frascaroli Via Delle Pinee 2, Savona Via Amendola 12 Comunità Terapeutica: Villa Bugna Savona Via Tissoni 14 Descrizione dei compiti istituzionali: gestione acuzie e subacuzie in pazienti psichiatrici presso i Centri Crisi e la Comunità Terapeutica. Trattamenti dati effettuati: 1)gestione cartelle cliniche,2) rilascio certificazioni, 3)acquisizione ed implementazione dati, 4)elaborazione dati, 5)archiviazione. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari Descrizione sintetica Natura dei dati trattati Attività svolta Categorie di interessati GSI SV 001 gestione cartelle cliniche degenti dsm-sia GSI SV 002 rilascio certificazioni dsm-sia GSI SV 003 acquisizione e implementazione dati dsm-sia Altre strutture che concorrono al Sens. Giud. Int. Est. degenti utenti GSI SV 004 elaborazione dati dsm-sia GSI SV 005 archiviazione dsm Soc Elco TABELLA 2 - Strumenti utilizzati GSI SV 001 e GSI SV 005 GSI SV 002 GSI SV 003 GSI SV 004 Banca dati cartacea magnetica Ubicazione archivio sedi Procedure Interconnessione Utilizzate (Nome Software) Internet Intranet sedi dsm SI-DSM2 TABELLA 3 - Analisi dei rischi potenziali Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa 1. a) Sottrazione di credenziali di autenticazione Comportame b) Carenza di consapevolezza, disattenzione o incuria nti c) Comportamenti sleali o fraudolenti degli d) Errore materiale operatori e) Altro: sottrazione a) Azione di virus informatici o di programmi suscettibili di recare danno 2. b) Spamming o tecniche di sabotaggio Eventi relativi c) Malfunzionamento, indisponibilità o degrado degli strumenti agli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati 3. Altri Eventi c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: 284
TABELLA 4 - Misure di sicurezza adottate o proposte GSI SV 001 GSI SV 002 GSI SV 005 GSI SV 003 GSI SV 004 Rischi individuati 1e 2d Misure esistenti custodia a chiave in stanze, armadi cambio periodico di password individuale Tipologia di misure che si propongono adozione armadi ignifughi, cartella clinica informatizzata con firma elettronica aumento consulenza per software e hardware TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Procedure per il salvataggio dati Luogo di custodia le copie Incaricato salvataggio Struttura Società Server Archivio Interna esterna GSI SV 003 salvataggio su nastro GSI SV 004 Persona Tempi di ripristino dati 7 gg TABELLA 6 - Cifratura o separazione dei dati identificativi da quelli sensibili o giudiziari (solo per Area Sanitaria) Protezione scelta Cifratura Separazione GSI SV 003 GSI SV 004 Descrizione la tecnica adottata effettuata al momento l eport dati e trasmissione dal DSM ai S.I. 285
Ubicazione: piazza Monticello 4 Savona. S.S.D. Medicina Penitenziaria Descrizione dei compiti istituzionali: Erogazione di livelli uniformi di assistenza attraverso diagnosi e cura le affezioni patologiche a favore di pazienti in regime di detenzione. Trattamenti dati effettuati: 1) gestione integrata di schede individuali degli utenti (dati anagrafici, anamnestici, valutazione e aggiornamenti clinici) 2) relazioni e certificazioni 3) gestione comunicazioni con S.C. aziendali e/o istituzioni 3) gestione dati a fini amministrativi 4) gestione dati a fini epidemiologici e statistici TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari TABELLA 2 - Strumenti utilizzati TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Descrizione sintetica Rischi potenziali SI NO Natura dei dati trattati Altre strutture che concorrono al Attività svolta Categorie di interessati Sens. Giud. Int. Est. MEP SV 001 gest. schede individuali utenti MEP SV 002 gest.certificazioni/ relazioni sanitarie utenti MEP SV 003 gest comunicazioni con s.c. aziendali e/o istituzioni utenti MEP SV 004 gestione dati a fini amministrativi utenti cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) Interconnessione Internet Intranet MEP SV 001A MEP SV 002A sede di servizio MEP SV 001B server software mfp MEP SV 002B windows MEP SV 003 A sede di servizio MEP SV 003B windows MEP SV 004 server software dedicato Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale e) Altro: a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete f) Altro: a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza f) Altro: 286
TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti Tipologia di misure che si propongono MEP SV 001A MEP SV 002A MEP SV 003 A MEP SV 002B MEP SV 003B MEP SV 004 1b, 1d 3a locali e contenitori dedicati chiusi a chiave 2.c password personale antivirus informatizzazione completa cartella clinica TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati Da MEP SV 001A a MEP SV 003A MEP SV 001B e MEP SV 004 MEP SV 002B Procedure per il salvataggio dati fotoriproduzione backup su server backup su supporto magnetico Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società esterna Persona operatori Tempi di ripristino dati tempo reale 287
S.S.D. Psicologia Clinica Ubicazione: piano secondo via Don Bosco 35r. Savona Descrizione dei compiti istituzionali: valutazioni psico diagnosiche ed interventi terapeutici su pazienti trattati nei vari ambiti Dipartimento di Salute Mentale. Trattamenti dati effettuati: 1)discussione situazioni cliniche ed elaborazione piani e procedure di lavoro, 2) refertazioni, relazioni cliniche e consulti, 3) coordinamento attività personale psicologico. TABELLA 1 - Elenco dei trattamenti aventi ad oggetto dati sensibili o giudiziari ù TABELLA 2 - Strumenti utilizzati Descrizione sintetica Natura dei dati trattati Altre strutture che concorrono al Categorie di Attività svolta Sens. Giud. Int. Est. interessati PSC SV 001 situazioni cliniche degenti / utenti refertazioni, relazioni cliniche e PSC SV 002 degenti / utenti consulti PSC SV 001 A cartacea Banca dati magnetica Ubicazione Procedure Utilizzate (Nome Software) PSC SV 001 B Sede software dedicato PSC SV 002 A dipartimentale PSC SV 002 B software dedicato Interconnessione Internet Intranet TABELLA 3 - Analisi dei rischi potenziali 1. Comportamenti degli operatori 2. Eventi relativi agli strumenti 3. Altri Eventi Rischi potenziali SI NO Impatto sulla sicurezza dei dati e gravità stimata: alta media bassa a) Sottrazione di credenziali di autenticazione b) Carenza di consapevolezza, disattenzione o incuria c) Comportamenti sleali o fraudolenti d) Errore materiale a) Azione di virus informatici o di programmi suscettibili di recare danno b) Spamming o tecniche di sabotaggio c) Malfunzionamento, indisponibilità o degrado degli strumenti d) Accessi esterni non autorizzati e) Intercettazione di informazioni in rete a) Accessi non autorizzati a locali e/o reparti ad accesso ristretto b) Asportazione e furto di strumenti contenenti dati c) Eventi distruttivi, naturali o artificiali (sismi, scariche atmosferiche, incendi, allagamenti, condiz. ambientali ecc.), dolosi, accidentali o dovuti ad incuria d) Guasto ai sistemi complementari (imp. elettrico, climatizz) e) Errori umani nella gestione fisica la sicurezza TABELLA 4 - Misure di sicurezza adottate o proposte Rischi individuati Misure esistenti PSCSV001A PSC SV 002 A 2d 3a custodia in stanze, armadi chiusi a chiave PSC SV 001 B PSC SV 002 B 2d cambio periodico di password individuale Tipologia di misure che si propongono armadi ignifughi, cartella clinica informatizzata con firma elettronica implementazione consulenza per software e hardware TABELLA 5 - Criteri e procedure per il salvataggio e tempi di ripristino dei dati PSC SV 001B PSC SV 002B Procedure per il salvataggio dati Luogo di custodia le copie Server Archivio Struttura Interna Incaricato salvataggio Società esterna Persona backup su cd addetto 7 gg Tempi di ripristino dati 288
289