| AZIONI | Cod. | Tipo di Controllo | Descrizione | Trattamento | Riferimento | ENISA Misure | Efficacia | ||
|---|---|---|---|---|---|---|---|---|---|
|
|
|
A.1 | Politica di sicurezza e procedure per la protezione dei dati personali | L'ORGANIZZAZIONE DOVREBBE DOCUMENTARE LA PROPRIA POLITICA IN MERITO AL TRATTAMENTO DEI DATI PERSONALI COME PARTE DELLA SUA POLITICA DI SICUREZZA DELLE INFORMAZIONI. | A.5 Politica di sicurezza | B | |
||
|
|
|
A.2 | Politica di sicurezza e procedure per la protezione dei dati personali | LA POLITICA DI SICUREZZA DOVREBBE ESSERE REVISIONATA E RIVISTA, SE NECESSARIO, SU BASE ANNUALE. | A.5 Politica di sicurezza | B | |
||
|
|
|
A.3 | Policy di sicurezza e procedure per la protezione dei dati personali | L'ORGANIZZAZIONE DOVREBBE DOCUMENTARE UNA POLICY DI SICUREZZA DEDICATA SEPARATA PER QUANTO RIGUARDA IL TRATTAMENTO DEI DATI PERSONALI. LA POLICY DEVE ESSERE APPROVATA DAL MANAGEMENT COMPETENTE E COMUNICATA A TUTTI I DIPENDENTI, PERSONE AUTORIZZATE AL TRATTAMENTO E ALLE PARTI ESTERNE INTERESSATE | A.5 Policy di sicurezza | M | |
||
|
|
|
A.4 | Policy di sicurezza e procedure per la protezione dei dati personali | LA POLICY DI SICUREZZA DOVREBBE ALMENO RIFERIRSI A: I RUOLI E LE RESPONSABILITà DEL PERSONALE, LE MISURE TECNICHE E ORGANIZZATIVE DI BASE ADOTTATE PER LA SICUREZZA DEI DATI PERSONALI, I RESPONSABILI DEL TRATTAMENTO DEI DATI O ALTRE TERZE PARTI COINVOLTE NEL TRATTAMENTO DEI DATI PERSONALI. | A.5 Policy di sicurezza | M | |
||
|
|
|
A.5 | Policy di sicurezza e procedure per la protezione dei dati personali | DOVREBBE ESSERE CREATO E MANTENUTO UN INVENTARIO DI POLICY/PROCEDURE SPECIFICHE RELATIVE ALLA SICUREZZA DEI DATI PERSONALI, BASATO SULLA POLICY GENERALE DI SICUREZZA. | A.5 Policy di sicurezza | M | |
||
|
|
|
A.6 | Procedure e policy di sicurezza per la protezione dei dati personali | LE POLICY DI SICUREZZA DOVREBBERO ESSERE RIVISTE E CORRETTE, SE NECESSARIO, SU BASE SEMESTRALE. | A.5 Security policy | A | |
||
|
|
|
B.1 | Ruoli e responsabilità | I RUOLI E LE RESPONSABILITà RELATIVI AL TRATTAMENTO DEI DATI PERSONALI DEVONO ESSERE CHIARAMENTE DEFINITI E ASSEGNATI IN CONFORMITà CON LE POLITICHE DI SICUREZZA. | A.6.1.1 Ruoli e responsabilità della sicurezza delle informazioni | B | |
||
|
|
|
B.2 | Ruoli e responsabilità | IN CASO DI RIORGANIZZAZIONI INTERNE O DI DISMISSIONE DI PERSONALE O ASSEGNAZIONE AD ALTRO RUOLO, L’ORGANIZZAZIONE DEVE PREVEDERE UNA PROCEDURA CHIARAMENTE DEFINITA PER LA REVOCA DEI DIRITTI, DELLE RESPONSABILITà E DEI PROFILI DI AUTORIZZAZIONE E LA CONSEGUENTE RICONSEGNA DI MATERIALI E MEZZI DEL TRATTAMENTO. | A.6.1.1 Ruoli e responsabilità della sicurezza delle informazioni | B | |
||
|
|
|
B.3 | Ruoli e responsabilità | DOVREBBE ESSERE EFFETTUATA UNA CHIARA NOMINA DELLE PERSONE INCARICATE DI COMPITI SPECIFICI DI SICUREZZA, COMPRESA LA NOMINA DI UN RESPONSABILE DELLA SICUREZZA. | A.6.1.1 Ruoli e responsabilità della sicurezza delle informazioni | M | |
||
|
|
|
B.4 | Ruoli e responsabilità | IL RESPONSABILE DELLA SICUREZZA DOVREBBE ESSERE NOMINATO FORMALMENTE (DOCUMENTATO). ANCHE I COMPITI E LE RESPONSABILITà DEL RESPONSABILE DELLA SICUREZZA DOVREBBERO ESSERE CHIARAMENTE DEFINITI E DOCUMENTATI. | A.6.1.1 Information security roles and responsibilities | A | |
||
|
|
|
B.5 | Ruoli e responsabilità | COMPITI E RESPONSABILITà IN CONFLITTO, AD ESEMPIO I RUOLI DI RESPONSABILE DELLA SICUREZZA, REVISORE DELLA SICUREZZA E DPO, DOVREBBERO ESSERE CONSIDERATI SEPARATAMENTE PER RIDURRE LE IPOTESI DI MODIFICHE NON AUTORIZZATE O NON INTENZIONALI O UN USO IMPROPRIO DI DATI PERSONALI. | A.6.1.1 Information security roles and responsibilities | A | |
||
|
|
|
C.1 | Politica di controllo degli accessi | I DIRITTI SPECIFICI DI CONTROLLO DEGLI ACCESSI DOVREBBERO ESSERE ASSEGNATI A CIASCUN RUOLO (COINVOLTO NEL TRATTAMENTO DI DATI PERSONALI) IN BASE AL PRINCIPIO DELLA STRETTA PERTINENZA E NECESSITà PER IL RUOLO DI ACCEDERE E CONOSCERE I DATI . | A.9.1.1 Politica di controllo degli accessi | B | |
||
|
|
|
C.2 | Politica di controllo degli accessi | DOVREBBE ESSERE DETTAGLIATA E DOCUMENTATA UNA POLITICA DI CONTROLLO DEGLI ACCESSI. L'ORGANIZZAZIONE DOVREBBE DETERMINARE IN QUESTO DOCUMENTO LE REGOLE DI CONTROLLO APPROPRIATE DEGLI ACCESSI, I DIRITTI DI ACCESSO E LE RESTRIZIONI PER SPECIFICI RUOLI DEGLI UTENTI NELL’AMBITO DEI PROCESSI E DELLE PROCEDURE RELATIVE AI DATI PERSONALI. | A.9.1.1 Politica di controllo degli accessi | M | |
||
|
|
|
C.3 | Politica di controllo degli accessi | DOVREBBE ESSERE CHIARAMENTE DEFINITA E DOCUMENTATA LA SEGREGAZIONE DEI RUOLI DI CONTROLLO DEGLI ACCESSI (AD ES. RICHIESTA DI ACCESSO, AUTORIZZAZIONE DI ACCESSO, AMMINISTRAZIONE DEGLI ACCESSI). | A.9.1.1 Politica di controllo degli accessi | M | |
||
|
|
|
C.4 | Politica di controllo degli accessi | I RUOLI CON MOLTI DIRITTI DI ACCESSO DOVREBBERO ESSERE CHIARAMENTE DEFINITI E ASSEGNATI A UN NUMERO LIMITATO DI PERSONE DELLO STAFF | A.9.1.1 Access control policy | A | |
||
|
|
|
D.1 | Gestione risorse/asset | L'ORGANIZZAZIONE DOVREBBE DISPORRE DI UN REGISTRO/CENSIMENTO DELLE RISORSE E DEGLI APPARATI IT UTILIZZATI PER IL TRATTAMENTO DEI DATI PERSONALI (HARDWARE, SOFTWARE E RETE). IL REGISTRO DOVREBBE INCLUDERE ALMENO LE SEGUENTI INFORMAZIONI: RISORSA IT, TIPO (AD ES. SERVER, WORKSTATION), POSIZIONE (FISICA O ELETTRONICA). DOVREBBE ESSERE ASSEGNATO AD UNA PERSONA SPECIFICA IL COMPITO DI MANTENERE E AGGIORNARE IL REGISTRO (AD ESEMPIO, IL RESPONSABILE IT). | A.8 Asset management | B | |
||
|
|
|
D.2 | Gestione risorse/asset | IL CENSIMENTO DELLE RISORSE E DEGLI APPARATI IT E IL RELATIVO REGISTRO DOVREBBERO ESSERE RIVISTI E AGGIORNATI REGOLARMENTE. | A.8 Asset management | B | |
||
|
|
|
D.3 | Gestione risorse/asset | I RUOLI CHE HANNO ACCESSO A DETERMINATE RISORSE DOVREBBERO ESSERE DEFINITI E DOCUMENTATI. | A.8 Gestione delle risorse | M | |
||
|
|
|
D.4 | Gestione risorse/asset | LE RISORSE IT DOVREBBERO ESSERE RIVISTE E AGGIORNATE SU BASE ANNUALE. | A.8 Asset management | A | |
||
|
|
|
E.1 | Gestione delle modifiche apportate alle risorse, agli apparati ed ai sistemi IT | L'ORGANIZZAZIONE DEVE ASSICURARSI CHE TUTTE LE MODIFICHE ALLE RISORSE, AGLI APPARATI ED AL SISTEMA IT SIANO REGISTRATE E MONITORATE DA UNA PERSONA SPECIFICA (AD ESEMPIO, IL RESPONSABILE IT O SICUREZZA). IL MONITORAGGIO REGOLARE DELLE EVENTUALI MODIFICHE APPORTATE AL SISTEMA IT DOVREBBE AVVENIRE A CADENZA REGOLARE E PERIODICA. | A. 12.1 Procedure operative e responsabilità | B | |
PRINT
PDF
WORD
CSV
EXCEL
Caricamento in corso...
Salvataggio del record
Caricamento in corso...