| AZIONI | Cod. | Tipo di Controllo | Descrizione | Trattamento | Riferimento | ENISA Misure | Efficacia | ||
|---|---|---|---|---|---|---|---|---|---|
|
|
|
S.3 | Cancellazione/Eliminazione dei dati | PIù PASSAGGI DI SOVRASCRITTURA BASATA SU SOFTWARE DEVONO ESSERE ESEGUITI SU TUTTI I SUPPORTI PRIMA DI ESSERE SMALTITI. | A. 8.3.2 Smaltimento di supporti e A. 11.2.7 Smaltimento o riutilizzo sicuro dell'attrezzatura | M | |
||
|
|
|
S.4 | Cancellazione/Eliminazione dei dati | SE I SERVIZI DI TERZI SONO UTILIZZATI PER DISPORRE IN MODO SICURO DI SUPPORTI O DOCUMENTI CARTACEI, è NECESSARIO STIPULARE UN CONTRATTO DI SERVIZIO E PRODURRE UN RECORD DI DISTRUZIONE DEI RECORD, A SECONDA DEI CASI. | A. 8.3.2 Smaltimento di supporti e A. 11.2.7 Smaltimento o riutilizzo sicuro dell 'attrezzatura | M | |
||
|
|
|
T.2 | Sicurezza fisica | IDENTIFICAZIONE CHIARA, TRAMITE MEZZI APPROPRIATI, AD ES. I BADGE IDENTIFICATIVI, PER TUTTO IL PERSONALE E I VISITATORI CHE ACCEDONO AI LOCALI DELL'ORGANIZZAZIONE, DOVREBBERO ESSERE STABILITI, A SECONDA DEI CASI. | A.11 – Sicurezza fisica e ambientale | M | |
||
|
|
|
T.3 | Sicurezza fisica | LE ZONE SICURE DOVREBBERO ESSERE DEFINITE E PROTETTE DA APPROPRIATI CONTROLLI DI ACCESSO. UN REGISTRO FISICO O UNA TRACCIA ELETTRONICA DI CONTROLLO DI TUTTI GLI ACCESSI DOVREBBERO ESSERE MANTENUTI E MONITORATI IN MODO SICURO | A.11 – Sicurezza fisica e ambientale | M | |
||
|
|
|
T.4 | Sicurezza fisica | I SISTEMI DI RILEVAMENTO ANTI-INTRUSIONE DOVREBBERO ESSERE INSTALLATI IN TUTTE LE ZONE DI SICUREZZA. | A.11 – Sicurezza fisica e ambientale | M | |
||
|
|
|
T.5 | Sicurezza fisica | SE DEL CASO, DOVREBBERO ESSERE COSTRUITE BARRIERE FISICHE PER IMPEDIRE L'ACCESSO FISICO NON AUTORIZZATO. | A.11 – Sicurezza fisica e ambientale | M | |
||
|
|
|
T.7 | Sicurezza fisica | UN SISTEMA ANTINCENDIO AUTOMATICO, UN SISTEMA DI CLIMATIZZAZIONE DEDICATO A CONTROLLO CHIUSO E UN GRUPPO DI CONTINUITà (UPS) DOVREBBERO ESSERE ATTIVATI NELLA SALA SERVER. | A.11 Sicurezza fisica e ambientale | M | |
||
|
|
|
T.8 | Sicurezza fisica | IL PERSONALE DI SERVIZIO DI SUPPORTO ESTERNO DEVE AVERE ACCESSO LIMITATO ALLE AREE PROTETTE. | A.11 – Sicurezza fisica e ambientale | M | |
||
|
|
|
A.3 | Policy di sicurezza e procedure per la protezione dei dati personali | L'ORGANIZZAZIONE DOVREBBE DOCUMENTARE UNA POLICY DI SICUREZZA DEDICATA SEPARATA PER QUANTO RIGUARDA IL TRATTAMENTO DEI DATI PERSONALI. LA POLICY DEVE ESSERE APPROVATA DAL MANAGEMENT COMPETENTE E COMUNICATA A TUTTI I DIPENDENTI, PERSONE AUTORIZZATE AL TRATTAMENTO E ALLE PARTI ESTERNE INTERESSATE | A.5 Policy di sicurezza | M | |
||
|
|
|
A.4 | Policy di sicurezza e procedure per la protezione dei dati personali | LA POLICY DI SICUREZZA DOVREBBE ALMENO RIFERIRSI A: I RUOLI E LE RESPONSABILITà DEL PERSONALE, LE MISURE TECNICHE E ORGANIZZATIVE DI BASE ADOTTATE PER LA SICUREZZA DEI DATI PERSONALI, I RESPONSABILI DEL TRATTAMENTO DEI DATI O ALTRE TERZE PARTI COINVOLTE NEL TRATTAMENTO DEI DATI PERSONALI. | A.5 Policy di sicurezza | M | |
||
|
|
|
A.5 | Policy di sicurezza e procedure per la protezione dei dati personali | DOVREBBE ESSERE CREATO E MANTENUTO UN INVENTARIO DI POLICY/PROCEDURE SPECIFICHE RELATIVE ALLA SICUREZZA DEI DATI PERSONALI, BASATO SULLA POLICY GENERALE DI SICUREZZA. | A.5 Policy di sicurezza | M | |
||
|
|
|
B.3 | Ruoli e responsabilità | DOVREBBE ESSERE EFFETTUATA UNA CHIARA NOMINA DELLE PERSONE INCARICATE DI COMPITI SPECIFICI DI SICUREZZA, COMPRESA LA NOMINA DI UN RESPONSABILE DELLA SICUREZZA. | A.6.1.1 Ruoli e responsabilità della sicurezza delle informazioni | M | |
||
|
|
|
C.2 | Politica di controllo degli accessi | DOVREBBE ESSERE DETTAGLIATA E DOCUMENTATA UNA POLITICA DI CONTROLLO DEGLI ACCESSI. L'ORGANIZZAZIONE DOVREBBE DETERMINARE IN QUESTO DOCUMENTO LE REGOLE DI CONTROLLO APPROPRIATE DEGLI ACCESSI, I DIRITTI DI ACCESSO E LE RESTRIZIONI PER SPECIFICI RUOLI DEGLI UTENTI NELL’AMBITO DEI PROCESSI E DELLE PROCEDURE RELATIVE AI DATI PERSONALI. | A.9.1.1 Politica di controllo degli accessi | M | |
||
|
|
|
C.3 | Politica di controllo degli accessi | DOVREBBE ESSERE CHIARAMENTE DEFINITA E DOCUMENTATA LA SEGREGAZIONE DEI RUOLI DI CONTROLLO DEGLI ACCESSI (AD ES. RICHIESTA DI ACCESSO, AUTORIZZAZIONE DI ACCESSO, AMMINISTRAZIONE DEGLI ACCESSI). | A.9.1.1 Politica di controllo degli accessi | M | |
||
|
|
|
D.3 | Gestione risorse/asset | I RUOLI CHE HANNO ACCESSO A DETERMINATE RISORSE DOVREBBERO ESSERE DEFINITI E DOCUMENTATI. | A.8 Gestione delle risorse | M | |
||
|
|
|
E.3 | Gestione delle modifiche | DOVREBBE ESSERE PREVISTA E APPLICATA UNA POLICY INTERNA CHE DISCIPLINI LA GESTIONE DELLE MODIFICHE E CHE INCLUDA PER LO MENO: UN PROCESSO CHE GOVERNI L'INTRODUZIONE DELLE MODIFICHE, I RUOLI / UTENTI CHE HANNO I DIRITTI DI MODIFICA, LE TEMPISTICHE PER L'INTRODUZIONE DELLE MODIFICHE. LA POLICY DI GESTIONE DELLE MODIFICHE DOVREBBE ESSERE REGOLARMENTE AGGIORNATA. | A. 12.1 Procedure operative e responsabilità | M | |
||
|
|
|
F.4 | Responsabili del trattamento | L'ORGANIZZAZIONE DEL TITOLARE DEL TRATTAMENTO DOVREBBE SVOLGERE REGOLARMENTE AUDIT PER CONTROLLARE IL PERMANERE DELLA CONFORMITà DEI TRATTAMENTI AFFIDATI AI RESPONSABILI DEL TRATTAMENTO AI LIVELLI E ALLE ISTRUZIONI CONFERITE PER IL PIENO RISPETTO DEI DI REQUISITI E OBBLIGHI. | A.15 Rapporti con i fornitori | M | |
||
|
|
|
G.3 | Gestione degli incidenti/Personal data breaches | IL PIANO DI RISPOSTA DEGLI INCIDENTI (INCIDENT RESPONSE PLAN) DOVREBBE ESSERE DOCUMENTATO, COMPRESO UN ELENCO DI POSSIBILI AZIONI DI MITIGAZIONE E UNA CHIARA ASSEGNAZIONE DEI RUOLI. | A.16 Gestione degli incidenti di sicurezza delle informazioni | M | |
||
|
|
|
H.2 | Business continuity | DOVREBBE ESSERE PREDISPOSTO, DETTAGLIATO E DOCUMENTATO UN BUSINESS CONTINUITY PLAN (SEGUENDO LA POLITICA GENERALE DI SICUREZZA). DOVREBBE INCLUDERE AZIONI CHIARE E ASSEGNAZIONE DI RUOLI. | A. 17 Aspetti di sicurezza delle informazioni della gestione della continuità operativa | M | |
||
|
|
|
H.3 | Business continuity | UN LIVELLO DI QUALITà DEL SERVIZIO GARANTITO DOVREBBE ESSERE DEFINITO NEL BUSINESS CONTINUITY PLAN PER I PROCESSI AZIENDALI FONDAMENTALI CHE ATTENGONO ALLA SICUREZZA DEI DATI PERSONALI. | A. 17 Aspetti di sicurezza delle informazioni della gestione della continuità operativa | M | |
PRINT
PDF
WORD
CSV
EXCEL
Caricamento in corso...
Salvataggio del record
Caricamento in corso...