Data integrity : Policy, SOPs, Check-lists

Documenti analoghi
Introduzione.

GESTIONE E CONTROLLO DEI DOCUMENTI E DELLE REGISTRAZIONI

PIANO PER LA SICUREZZA INFORMATICA ANNO 2015

Obblighi di controllo dei Fornitori esterni. Rischio tecnologico

Capacity Availability Continuity Infrastructure Management

MANUALE DI CONSERVAZIONE

MyMax PROCEDURA QUALITA Gestione Documenti PQ05a Ed. 0 Rev. 5 Pag. 1 di 8

Archiviazione Elettronica e Conservazione sostitutiva

PROCEDURA GESTIONE DOCUMENTI E REGISTRAZIONI

ATTIVITÀ DI INSTALLAZIONE E

Oggetto Progetto Responsabile di progetto GESTIONE DELLA MODIFICA

DI GESTIONE E CONSERVAZIONE DEI DOCUMENTI

SABA SpA PROTOCOLLO N. 7 RAPPORTI CON LA PUBBLICA AMMINISTRAZIONE FEBBRAIO

Manuale del Sistema di Gestione Integrato per la Qualità e l Ambiente INDICE

REGOLAMENTO PER L UTILIZZO DEI SISTEMI E STRUMENTI INFORMATICI ED ELETTRONICI DELL I.P.A.B. LA PIEVE SERVIZI ASSISTENZIALI

CITTA DI SAN DANIELE DEL FRIULI

DPR 318 e sua entrata in vigore

COMUNE DI FERNO PROVINCIA DI VARESE LAVORI DI AMPLIAMENTO DELL IMPIANTO DI VIDEOSORVEGLIANZA PER FINALITA DI SICUREZZA URBANA II LOTTO

PG-SGSL 12 Gestione delle registrazioni

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

GESTIONE DEL SISTEMA SICUREZZA OHSAS CON L UTILIZZO DI QUALIBUS CASO DI STUDIO Q061

GE1412. Specifiche Tecniche del Servizio di Manutenzione. Hardware e Software

ACO Archiviazione Elettronica e Conservazione sostitutiva

DOCUMENTO PROGRAMMATICO sulla SICUREZZA Rev. 0 Data MISURE IN ESSERE E DA ADOTTARE

KeyMap Analisi del Rischio

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Istituto Comprensivo Statale 10 Vicenza. Provincia di VI. Documento Programmatico sulla Sicurezza ALLEGATO B. Adozione delle Misure di Sicurezza

Mozy Backup Desktop DATI PROTETTI E SEMPRE A DISPOSIZIONE NEL CLOUD TNOTICE, LA RACCOMANDATA ELETTRONICA

ALLEGATO 13 PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

PROCEDURA QUALITA. Revisioni effettuate

Sistemi informativi in ambito sanitario e protezione dei dati personali

Regione Puglia. Area politiche per lo Sviluppo Economico, il Lavoro e l Innovazione. Servizio Competitività dei Sistemi Produttivi

Backup e Disaster Recovery In Cloud. Basso impatto, elevato valore. 100% Cloud 100% Canale 100% Italia

Business Continuity Plan, questo sconosciuto

PROCEDURA VERIFICHE ISPETTIVE INTERNE

ALLEGATO B CASA DI RIPOSO CESARE BERTOLI VIA CAMPAGNOLA NOGAROLE ROCCA VR REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

Documento adozione misure minime di sicurezza. ex art C.C ed ai sensi dell'art. 24Bis D.Lgs n. 23

Test S.p.A. Backup as a Service

Allegato A DESCRIZIONE DEL SERVIZIO Colf & Badanti Web

Manutenzione programmata a gestione locale o remota: sicurezza ed efficienza dei siti di produzione Mauro Cerea Siemens

MANUALE DI GESTIONE DEL PROTOCOLLO ELETTRONICO

Sistema Informativo Unitario Regionale per la Programmazione (S.I.U.R.P.) LA SICUREZZA INFORMATICA

VERSIONE MINIMA COMPATIBILE

Servizio Calcolo e Reti

Comune di Castiglione Cosentino PROVINCIA DI COSENZA

IISS E. Bona. Copia controllata


Guida pratica all attivazione della componente applet per la firma digitale interna al portale VestaNET

Requisiti del sistema Xesar

Università degli Studi di Udine. DLGS 196/03 Gestione delle credenziali di autenticazione informatica

GESTIONE RISORSE UMANE

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI Documento n. 8 Allegato al manuale di gestione

SGSI CERT CSP POSTE ITALIANE

Comune di Cantù. Allegato B LIVELLI DI SERVIZIO E PENALI

Contratti di licenza software e diritti degli utenti. Avv. Prof. Giovanni Guglielmetti Roma, 4 maggio 2016

# Backup dei dati

D.P.R. 28 luglio 1999, n. 318

Obblighi di controllo dei Fornitori esterni. Resilienza

Dematerializzazione I servizi del Gruppo Poste Italiane Febbraio 2016

Istituto Tecnico Aeronautico di Stato. Francesco De Pinedo 1. Roma - Via F. Morandini, 30 - Tel PG01 Audit Interni

La riforma della PA. ... Per una PA tutta digitale. Gianni Terribile Responsabile commerciale Area Centro Nord PA Digitale. Oristano, 27 Aprile 2016

GESTIONE DELLE VERIFICHE ISPETTIVE

PROCEDURA GP GP 00. DATA REDAZIONE FIRMA Nome e Cognome. DATA VERIFICA FIRMA Nome e Cognome. DATA APPROVAZIONE FIRMA Nome e Cognome

Sezione Preparazione alle emergenze e risposta

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI AMMINISTRATIVI ALL ALBO CAMERALE INFORMATICO

SERVIZIO DI MIGRAZIONE E INSTALLAZIONE NUOVA INFRASTRUTTURA SOFTWARE DATABASE ORACLE CIG Z8F0DE9926

MAW DOCUMENT MANAGEMENT. Sistema di Gestione Documentale per Aziende e Pubbliche Amministrazioni

Servizio di Firma Elettronica Avanzata BMW Bank GmbH Succursale Italiana Caratteristiche tecniche e conformità

Sintesi Provvedimento Garante Privacy del 27/11/2008

Regione Puglia. Dipartimento Sviluppo Economico, Innovazione, Istruzione, Formazione e Lavoro. Sezione Formazione Professionale

Obblighi di controllo dei Fornitori esterni. EUDA Applicazioni sviluppate dall utente finale

Le procedure organizzative dell intermediario per garantire la riservatezza. Torino 22/03/2013 dott. Giuseppe Scolaro

OGGETTO: Costi Attivazione Servizio PEC (Posta Elettonica Certificata)

SISTEMA DI GESTIONE INTEGRATO Ambiente e Sicurezza Non conformità, infortuni, azioni correttive e preventive INDICE

Organismo per la gestione degli Elenchi degli Agenti in attività finanziaria e dei Mediatori creditizi

Virtualizzazione Infrastrutture ICT. A chi è rivolto. Vantaggi per il Cliente. Perchè Luganet. Partner Commerciale

Lavoratori Agricoli e Forestali VERSIONE /02/2008

GESTIONE DELLE RISORSE Capitolo 6

Risultati, cioè attenzione ai risultati.

Procedura per l erogazione della formazione

IL BACKUP DEI DATI backup restore

PROCEDURA DI GESTIONE DELLE VERIFICHE ISPETTIVE INTERNE

Ispezioni alle CRO. Angela Del Vecchio Direttore Ufficio Attività Ispettive GCP e di Farmacovigilanza

s o f t w a r e house a Reggio Emilia dal 1988 WinAbacus Service Release servizi informatici per l azienda

Regione Puglia. Area politiche per lo Sviluppo Economico, il Lavoro e l Innovazione. Servizio Politiche per il Lavoro

HOSTING ASICT. Servizio piattaforme software e identità digitale Roberto Gaffuri - 27 marzo 2017

CARATTERISTICHE DEL SISTEMA DI GESTIONE DELLA SICUREZZA. OBBLIGATORIO PER ATTIVITA IN ARTICOLO 6 E 8 DEL D.Lgs. 334/99

Roberto Zampese Business Development Manager. ORACLE Italia

ASSESSORATO DELL IGIENE E SANITA E DELL ASSISTENZA SOCIALE REQUISITI SPECIFICI DI AUTORIZZAZIONE E ACCREDITAMENTO CENTRI VACCINALI

MANUALE SISTEMA DI GESTIONE INTEGRATO QUALITA E AMBIENTE

Esame delle offerte MODULO SEMPLIFICATO

MANUALE D USO AGGIORNAMENTI AUTOMATICI

IL CLOUD AL SERVIZIO DELLA CONTABILIZZAZIONE per un monitoraggio continuo e per la consapevolezza dei consumi

REGOLAMENTO DELL ORGANISMO DI VIGILANZA

Gara n Servizi informatici per la manutenzione ordinaria ed evolutiva delle applicazioni informatiche del GSE. SINTESI DELL APPALTO

Archiviazione sicura delle mail sul Cloud con MailArchive

Sample test Informatica Giuridica modulo: Protezione dati personali: Privacy e Sicurezza

Utilizzo collegamento remoto

Scopo. Fornire le direttive principali a cui attenersi per regolamentare gli interventi di manutenzione correttiva (a guasto).

Il Sistema Gestione Ambientale secondo UNI EN ISO 14001:2004

Transcript:

Data integrity : Policy, SOPs, Check-lists Rita Brusa 10th NOVEMBER, 2017

Piano di emergenza (Contingency Plan) Policy aziendale Piano di Recupero (Disaster Recovery) Gestione documenti cartacei ed elettronici Rilascio lotto Revisione Audit trail Abilitazione utenti Sicurezza fisica e logica Gestione password Gestione della Configurazione Gestione della Manutenzione Backup Archiviazione e Ripristino dei dati e del sistema Archiviazione Periodo di conservazione dei dati Modalità di smaltimento dati Gestione raw data Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 2

Verifiche periodiche ai sistemi informatici Change Control Trasmigrazione dei dati Formazione Manutenzione Gestione eventi sistema Qualifica fornitori Contratto con terze parti (SLA : Service Technical Agreement) Ticket Firme elettroniche Utilizzo dei sistemi Manuali, Istruzioni Operative Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 3

POLICY Responsabilità Normative di riferimento Campo di applicazione Modalità e frequenza di verifica Misure adottate per la sicurezza Modalità di conservazione dei dati Cyber Security Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 4

POLICY Direttiva Etica: Descrive in modo semplice e breve i principi morali adottati dalla società. Codice di Condotta: In questo documento vengono ribaditi i comportamenti attesi dal personale e le azioni che l azienda attuerà in caso di comportamenti fraudolenti. Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 5

PIANO DI EMERGENZA (CONTINGENCY PLAN) 1. Preparazione: Preparare un elenco delle misure da adottare per affrontare una problematica 2. Identificazione: Definire quali sono le aree più critiche, cioè dove o in che occasione dove è più probabile che si verifichi un problema 3. Causa: Capire quali possano essere le cause che possono originare il problema ed elencarle 4. Contenimento: Adottare una serie di azioni preventive per rimuovere o ridurre l eventuale danno 5. Pianificazione Predisporre un piano per adottare le misure previste o per essere pronti ed avere già le azioni da intraprendere in caso di si debba verificare l incidente Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 6

PIANO DI RECUPERO (DISASTER RECOVERY) Gli eventi e le conseguenze possono essere così classificati: Critici: Applicazioni che non possono essere sostituite con metodi manuali. Il costo di una interruzione è molto alto. Vitali: Funzioni che possono essere svolte manualmente per un breve periodo di tempo con notevole impiego di risorse. Tollerabili: Funzioni che possono essere svolte manualmente per un lungo periodo di tempo o possono essere riattivate entro un breve intervallo di tempo. Non-critici Funzioni che possono rimanere interrotte per un lungo periodo di tempo, con un modesto, o nullo, costo per l'azienda, e lo sforzo per ripristinare il sistema è irrilevante. Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 7

GESTIONE DOCUMENTI CARTACEI ED ELETTRONICI Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 8

GESTIONE DOCUMENTI CARTACEI ED ELETTRONICI Nella stesura della procedura devono essere considerati i seguenti capitoli: INTEGRITÀ DEI DATI CORREZIONI E MODIFICHE REVISIONE DEI DATI INVALIDAZIONE DEI DATI CONSERVAZIONE DEI DATI ARCHIVIAZIONE DEI DATI BACK-UP DEI DATI Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 9

RILASCIO LOTTO REVISIONE AUDIT TRAIL Revisione Audit trail Accessi (login) Modifica dei files: creazione, cancellazione, spostamento, rinomina, eventuali riprocessamenti o ripetizioni data in cui è stato registrato l evento nome dell autore Cambiamenti (ed es. di metodo analitico) Cause del cambiamento Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 10

SICUREZZA FISICA E LOGICA ABILITAZIONE UTENTI Modalità di accesso ai software Gli accessi non possono essere generici, ogni azione deve poter essere attribuita ad un individuo specifico e non ad un ruolo Chi crea il dato né chi lo revisiona può avere i diritti di Amministratore I tecnici incaricati della manutenzione degli strumenti non devono avere tutti i privilegi di Amministratore: è sufficiente che gli vengano assegnati solo i privilegi specifici per i loro compiti. Bisognerà quindi assegnare loro un profilo a se stante. Tutte le modifiche effettuate al sistema dall Amministratore devono essere visibili dal QA e approvate con la consueta gestione del sistema di qualità in essere Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 11

SICUREZZA FISICA E LOGICA ABILITAZIONE UTENTI Responsabilità QA: definire e rendere noti le gerarchie e i livelli di accesso degli utenti precisare le abilitazioni dei singoli utenti verificare e approvare l attribuzione delle abilitazioni predisporre e aggiornare il registro utenti Responsabilità Amministratore del sistema: determinare i gruppi, attribuire le funzioni ai gruppi abilitare gli utenti alle funzioni stabilite disattivare gli utenti modificare le abilitazioni degli utenti Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 12

SICUREZZA FISICA E LOGICA ABILITAZIONE UTENTI GESTIONE PASSWORD definire le regole di composizione delle password: il numero minimo di caratteri e tipologia, periodo di validità. Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 13

ARCHIVIAZIONE E RIPRISTINO DATI BACKUP Copia di riserva su supporti di memorizzazione diversi da quello in uso. Modalità (manuale o automatico) Frequenza Supporto Quali file analisi del rischio Tempi di conservazione Verifica e ripristino Responsabilità esecuzione, controllo e verifica Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 14

ARCHIVIAZIONE E RIPRISTINO DATI ARCHIVIAZIONE Salvataggio dei dati in modo permanente e non più editabile Modalità (manuale o automatico) Frequenza Supporto Quali file analisi del rischio Tempi di conservazione Responsabilità esecuzione, cancellazione o smaltimento Dove : documenti cartacei archivio o magazzino esterno files informatici: server aziendale o cloud Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 15

VERIFICHE PERIODICHE Verificare che i sistemi in esame siano in grado di funzionare correttamente e che siano stati mantenuti i parametri stabiliti in convalida: L accesso ai sistemi è regolato secondo ruoli e competenze adeguatamente formalizzati Le stazioni di lavoro collegate al sistema centrale operano correttamente e la corrispondente documentazione è disponibile e aggiornata Le operazioni di salvataggio del sistema sono correttamente documentate ed eseguite La configurazione dell audit trail è la stessa di quella convalidata Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 16

VERIFICHE PERIODICHE - CHECK LIST È possibile l accesso di utenti non abilitati Esiste aggiornata la lista utenti e quella dei corrispondenti permessi È stato fissato un periodo di validità per le credenziali di accesso degli utenti È consentita la modifica data e ora L audit trail è accessibile L audit trail riporta gli accessi, le operazioni eseguite, eventuali modifiche e rielaborazioni dei dati È consentita la cancellazione dati, in caso affermativo a quale utenti è permessa questa operazione e la cancellazione risulta nell audit trail È definito e funziona il tempo di scollegamento singole unità dopo periodo di inattività Esiste una procedura di backup? C è evidenza oggettiva delle operazioni di Backup, conservazione e Restore Il training degli utenti è stato eseguito e documentato Viene seguita la procedura change control e c è evidenza nell audit trail dei change eseguiti Sia sul file che sulla copia stampata è presente il nominativo, la data e ora e il significato delle firme elettroniche I sistemi sono stati convalidati Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 17

CHANGE CONTROL Ogni modifica ad un sistema computerizzato, incluse le modifiche alla configurazione del sistema, deve essere effettuata solo in modo controllato in accordo a procedure definite. Tutte le modifiche devono essere approvate dal QA Deve essere valutata la necessità di una riconvalida parziale o totale del sistema Migrazione dati Devono essere previste le azioni da compiere in caso di: aggiornamenti di software cambi di terminali Assicurare la possibilità di recuperare i dati precedentemente archiviati. Riconvalida del sistema che preveda controlli per verificare che i dati non siano stati modificati in valore e/o significato durante il processo di migrazione Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 18

FORMAZIONE Il programma di formazione deve prevedere che il personale sia reso consapevole dell importanza dei principi del data integrity. Il personale che utilizza i sistemi informatici deve essere formato per rivedere in modo efficiente i dati prodotti, compresi i metadati e gli audit trail Il personale della QU deve essere formato su come prevenire e rilevare problemi legati all integrità dei dati, come sovrascritture o cancellazioni, sia intenzionali che inconsapevoli. Il personale coinvolto nella revisione degli audit trail necessita un percorso formativo specifico. Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 19

MANUTENZIONE GESTIONE RETE AZIENDALE Verificare a scadenze predeterminate i principali componenti del sistema IT allo scopo di prevenire eventuali malfunzionamenti e mantenerne costanti a livelli ottimali le funzionalità. Definire i test da eseguire e la loro periodicità, le responsabilità per la loro esecuzione. Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 20

QUALIFICA FORNITORI CONTRATTO CON TERZE PARTI consulenti, fornitori di servizi, dipartimenti IT attività di: fornitura, installazione, configurazione, integrazioni, validazione, mantenimento (anche tramite accesso remoto) Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 21

CONTRATTO CON TERZE PARTI SLA : Service Technical Agreement Caratteristiche dell infrastruttura cloud GESTIONE ACCESSI La connettività al cloud deve essere gestita tramite accessi esclusivi che ne permettano il controllo e la gestione SERVER FARM Garantire la sorveglianza contro intrusione, incendio e anomalie ambientali. La Server Farm deve essere dotata di impianto di terra certificato, gruppi di continuità, e gruppo elettrogeno ad avvio automatico e sistema di diagnostica. I locali devono essere condizionati e allarmati Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 22

CONTRATTO CON TERZE PARTI SLA : Service Technical Agreement Caratteristiche dell infrastruttura cloud BUSINESS CONTINUITY Assicurare che eventuali guasti di un componente dell infrastruttura non abbia impatto oppure al massimo provochi un temporaneo disservizio normalmente gestibile senza alcuna perdita di dati. Garantire backup degli applicativi secondo una schedulazione concordata per quanto riguarda i dati e prevedere copia di sicurezza dei backup. DISASTER RECOVERY E RIPRISTINO Qualora si verifichino problemi di disponibilità del servizio, questi vanno analizzati e categorizzati a seconda della tipologia di impatto sul sistema in produzione: Deve essere concordato il tempo massimo che può intercorrere tra la ricezione della chiamata e la presa in carico del problema. Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 23

GESTIONE EVENTI DEL SISTEMA TICKET Anomalie (incluse quelle dei sistemi di backup e restore); Fermi sistema per motivi diversi dalla manutenzione ordinaria del sistema; Altri avvenimenti che impediscono l operatività normale del sistema. L'iter del processo deve prevedere i seguenti passi: 1. Segnalazione dell evento e apertura del ticket da parte dell'utente ; 2. attribuzione del ticket; 3. risoluzione del ticket; 4. chiusura del ticket e comunicazione all'utente Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 24

FIRME ELETTRONICHE Indicazione della validità della firma elettronica rispetto a quella manuale Responsabilità e competenze degli utenti Informazioni: Nominativo del firmatario, la data e l ora dell apposizione della firma, lo scopo della firma (approvazione, autorizzazione, rilascio). Collegamento al record firmato Impossibilità di cancellazioni, copiature e falsificazioni Presenza della firma sulla versione cartacea Verifiche Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 25

Rita Brusa r.brusa@imsmicron.it Data integrity: Policy, SOPs, Check-lists - Pavia 10 novembre 2017 26

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back