SCHEMA DI AUDIT AL SISTEMA PRIVACY TQM-2019 VERIFICA DELLA COMPLIANCE AL REGOLAMENTO EUROPEO 2016/679 IN MERITO A POLITICA E

VALUTAZIONE DEI RISCHI ED EVENTUALE IMPATTI PER IL SISTEMA DI PROTEZIONE DEI DATI

Ambito e scopo dello schema

Manuale dei requisiti e delle regole di controllo per accreditare processi di trattamento dati rispettosi

dei diritti fondamentali delle persone fisiche e della libera circolazione delle informazioni.

Metodologia della Politica Integrata dei sistemi TQM

Il presente Schema di Audit (di seguito lo “Schema”), offre a Titolari e Responsabili del trattamento i principi e gli elementi di controllo, per la valutazione di compliance di tutte le attività di trattamento al EU Reg. 2016/679 (di seguito il “Regolamento”) e il successivo decreto di armonizzazione Dlgs.101/2018 che ha novellato il Codice Privacy (Dlg.vo196/2003). I principi adottati e le basi giuridiche applicabili nel Sistema con lo Schema sono valide e riconosciute anche nelle organizzazioni con trattamenti transfrontalieri.

All’interno dello Schema si fa riferimento all’impianto normativo cumulativo di cui sopra con la

notazione “Privacy 4.0” o “Privacy TQM”

Lo Schema formalizza sia validazione che monitoraggio dell'adeguatezza di processi, procedure dell'organizzazione e misure fisiche, logiche e organizzative applicate al Sistema aziendale di tutti i trattamenti di dati personali. Tali trattamenti sono considerati sia sul piano confidenziale della Privacy che sul piano della loro protezione; la integrazione dei due aspetti deve essere congiuntamente garantita da un sistema di gestione dei rischi, di governo delle prassi e di monitoraggio e riesame continuo del Sistema.

Lo Schema porta il Titolare (ed eventuali figure Co-Titolari, Designate e/o Responsabili di seguito Soggetti Privacy) a soddisfare i requisiti e implementare i controlli indispensabili alla gestione di sistemi hardware e software, perché la elaborazione automatica di dati personali garantisca la loro esattezza, accuratezza, attualità, coerenza, completezza e aggiornamento. La vigente normativa Privacy 4.0 sulla protezione dei dati personali richiede la migliore e più possibile aggiornata dotazione di strumenti tecnologici di trattamento.

Il presente Schema verifica i criteri di compliance al Regolamento, basandosi sulla matrice di audit TQM di cui in AQ-SPPD. Tale matrice consta di sette macro-monitoraggi che classificano altrettante sezioni di principi fondamentali richiamati dal Regolamento e dalla Privacy 4.0 quali:

la liceità del trattamento, la capacità e di notificare violazioni, la privacy by design e by default e

la valutazione d'impatto ove applicabile.

La Matrice dell’Annesso AQ-SPPD è definita come strumento di audit TQM in quanto è derivata dalla unificazione di controlli comuni alle norme volontarie di audit nei Sistemi Qualità delle famiglie ISO27000 - ISO20000, cosi come alle Linee Guida internazionali OWASP, ITIL, CoBIT e CSF-NIST per la sicurezza ICT

L'organizzazione che applica questo Schema a processi, prodotti e/o servizi, manifesta e dimostra ai portatori di interesse e tutti i potenziali Interessati l'adozione di un Sistema di Qualità e Sicurezza accreditabile a tutela delle informazioni di persone fisiche e la libera circolazione dei loro dati.

Revisionato, applicato e validato per il corrente Sistema della Organizzazione in data:……………………….

Titolare e Co-titolare Delegato Designato DPO se presente

……………………………………… ……………………………………… ………………………………………

NOTA DI RESPONSABILITA’

La valutazione della compliance al Regolamento condotta secondo lo Schema, è un atto volontario che non riduce o annulla la Responsabilità del Titolare del trattamento (o dove presenti delle figure Contitolari/Responsabili/Designati del trattamento) per ciò che riguarda gli obblighi di compliance al Regolamento stesso o a parti di esso.

Le responsabilità del Titolare per inadempienza valgono per ogni singolo trattamento di dati personali, sia esso effettuato direttamente o effettuato per loro conto dai soggetti del sistema Privacy 4.0; non esistono manleve possibili per eludere gli obblighi impliciti nella c.d. “accountability” (intesa come <obbligo di rendere conto> e <poter dimostrare>).

Sommario AUDIT PRIVACY TQM

0. INTRODUZIONE 0.1 Contesto ed evoluzione socio-tecnologica 0.2 Privacy TQM e analisi di processo 0.3 Modello PDCA applicato alla protezione dei dati personali (Ciclo di Deming) 0.4 Modello applicativo interoperabile – Schema TQM e HLS

1. OBIETTIVO E AMBITO Dl APPLICAZIONE 1.1. Impegno e diligenza della Organizzazione 1.2. Schema di audit TQM volontario per la Organizzazione

3. TERMINI E DEFINIZIONI (ordine alfabetico) 3. RIFERIMENTI NORMATIVI TERZI

4. PRINCIPI ED ELEMENTI DEL SISTEMA PRIVACY TQM 4.1. Premesse 4.2. Impostare Adeguatezza delle misure organizzative 4.3. Impostare Correttezza, Liceità e Trasparenza 4.4. Chiarire Finalità singola o multiple 4.5. Variazioni nella finalità 4.6. Verifica della Pertinenza 4.7. Essenzialità e non “eccedenza” 4.8. Etica della Qualità dei dati 4.9. Assicurare Esattezza dei dati 4.10. Documentare comprovato Aggiornamento dei dati 4.11. Verifica della Completezza dei dati 4.12. Stoccaggio e Conservazione sicure delle informazioni 4.13. Classificazione dei dati per finalità 4.14. Valutazione dei rischi e misure di sicurezza 4.15. Comunicazioni delle violazioni di Sistema e del sito

5. CONSAPEVOLEZZA E ASSUNZIONE DI RUOLO 5.1. Impegni del Titolare del Trattamento (TdT) 5.2. Politiche Privacy della Organizzazione 5.3. Ruoli, Responsabilità e adeguatezza tecnologica

6. GESTIONE DEL SISTEMA ORIENTATA AL RISCHIO 6.1. Gestione del cambiamento 6.2. Politica proattiva e preventiva del rischio 6.3. Valutazione del rischio e degli Impatti Privacy

7. PILASTRI DELLA ARCHITETTURA PRIVACY TQM 7.1. Requisiti e obblighi di sistema 7.2. Procedure e Prassi di primo livello 7.3. Monitoraggio e verifica dei processi interni 7.4. Responsabile della protezione dei dati 7.5. Piano di Formazione 7.6. Documentazione del Manuale Privacy TQM

8. SISTEMA OPERAZIONALE 8.1. Obblighi di Pianificazione e Controllo 8.2. Progettazione privacy per disegno e per scelta predefinita (by design e by default) 8.3. Controllo attivo modifiche di processi, prodotti e servizi forniti dall'esterno

9. AUDIT DELLE PRESTAZIONI 9.1. Audit per riesame idoneità, adeguatezza ed efficacia 9.2. Componenti di Audit di Sistema 9.3. Azioni correttive della non compliance

10. EVIDENZE E STRATEGIE DI MIGLIORAMENTO 10.1. Miglioramento continuo dei flussi di trattamento 10.2. Non conformità e Azioni correttive

ANNESSO AQ-SPPD - OBIETTIVI E METODO Dl CONTROLLO GESTIONALE

ANNESSO CHK-ICT-SPPD - OBIETTIVI E METODO Dl CONTROLLO ICT

0. INTRODUZIONE

Il Regolamento armonizza i diritti e le libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati unificando in tutti i Paesi della Unione Europea un innovativo e rivoluzionario quadro giuridico. Il diritto alla protezione dei dati trova le fondamenta storiche nell’ all'art. 8 paragrafo 1, della Carta dei Diritti Fondamentali dell'Unione europea e, nel rispetto del principio di proporzionalità, l’Art. 16 paragrafo 1 del TFUE (Trattato di Funzionamento della Unione Europea).

Il Regolamento (in Italia Reg.2016/679), assicura coerenza, certezza del diritto e trasparenza per gli operatori europei che trattano Dati Personali. Dall’altro versante, la sua certa applicazione garantisce ai soggetti interessati di tutti gli stati membri, rispetto egualitario degli obblighi e responsabilità dei Titolari e dei Soggetti Privacy che operano per loro conto.

Lo Schema è applicabile a qualsiasi Titolare e Soggetti Privacy, Pubblico, Privato o Organizzazione senza scopo di lucro, qualunque settore merceologico ed a prescindere dal tipo di trattamento realizzato. Implicitamente lo Schema può essere scalarmente applicato a qualsiasi dimensione aziendale.

Lo Schema discrimina la portata di applicabilità di un Sistema Privacy 4.0 (anche citato come Privacy TQM) in ragione di specifiche categorie di trattamento di dati personali. Naturalmente la sua adozione viene in aiuto ad organizzazioni e/o professionisti che precocemente debbano iniziare le proprie strategie di business adeguandosi nella fase iniziale di impresa ad uno standard di riferimento.

0.1 Contesto ed evoluzione socio-tecnologica

La portata tettonica della evoluzione delle tecnologie informatiche, è drammaticamente esplosa nelle componenti di rischio sui trattamenti dei dati relativi alle persone fisiche. Difendere l’identità digitale e il dato dell’individuo significa proteggere la persona fisica.

Le rivoluzioni del Cloud Computing, del WEB 4.0, della Virtualizzazione, del BigData e la interazione di queste tecnologie con l’IoT e l’ AI ha fattorialmente aumentato le possibilità di raccolta e di condivisione dei dati. Questa Era 4.0 è d’altra parte sfruttata dalle imprese Pubbliche e Private proprio per pubblicizzarsi nel mercato e orientare la propria immagine commerciale. Le conseguenze di questo non investono solo la Economia globale ma anche e soprattutto gli ordini sociali delle popolazioni.

In questo contesto, ogni realtà economica potrà immaginare un futuro di sviluppo solo a fronte di una gestione dei rischi del trattamento dei dati personali, perché oltre a soddisfare l'esigenza di rispettare le prescrizioni legali norma di riferimento, proteggerà le proprie informazioni di business.

Da qui il vantaggio competitivo derivante dalla adozione di processi di verifica (audit interni) e di certificazione (audit di terza parte) all'interno dell'organizzazione; un Sistema Privacy TQM (SP-TQM) che segue lo Schema non esclude gli eventi avversi, ma assicura che il rischio di impresa connesso alle attività di trattamento dei dati, sia efficientemente gestito nell'organizzazione e dimostrabili ed nel caso, sempre possibile, di un evento avverso tutte le misure di mitigazione del danno siano attuate.

Il SP-TQM obbliga il Titolare del trattamento alla revisione sistematica e periodica delle politiche organizzative, delle procedure operative standard (POS) e la verifica dimostrata della messa in opera delle misure fisiche, logiche e organizzative adeguate imposte dal nuovo impianto normativo inibitorio e caducante. Questo implica che le organizzazioni svolgano la mappatura dei trattamenti, e la ricognizione dei processi orientata alla valutazione del rischio e delle politiche aziendali. Un SP-TQM porta alla piena consapevolezza del Titolare e dei suoi Soggetti

Privacy, del vantaggio competitivo per le 'attività economiche e dell'adeguata gestione del rischio di perdita del proprio patrimonio di dati di business.

In Europa, oltre al Trilogo istituzionale, il Reg.2016/679 può contare sulla divulgazione e lo studio della evoluzione della norma da parte del gruppo di lavoro Articolo 29 (WP29, Working Party 29); questo gruppo indipendente emana Linee Guida operative che aiutano nella comprensione e nella applicazione di un SP-TQM. Una delle opinioni più recenti ha stabilito che le certificazioni (o l’adesione a marchi, sigilli e schemi di accreditamento), svolgono un ruolo importante nella Responsabilità degli adempimenti per la protezione dei dati (WP29 opinion 3/2010 on the principle of accountability WP173).

Uno Schema di accreditamento/certificazione, che valuta la compliance a regole cogenti circa la protezione dei dati personali, non solo dimostra la compliance stessa, ma permette al Titolare di provare tangibilmente che progettato, pianificato e implementato le misure tecniche ed organizzative adeguate alla gestione dei diritti degli Interessati secondo i principi sanciti dal Regolamento.

Aderendo allo Schema si soddisfano i principi e regole per gestire i rischi correlati ai trattamenti dei dati personali (elettronici, cartaceo) adattando l’impatto del SP-TQM in modo proporzionato alle risorse, le disponibilità e la sostenibilità delle esigenze delle micro, piccola e media impresa (art. 42.1).

La manutenzione e il monitoraggio del sistema orientato al miglioramento continuo secondo lo Schema, si ottiene con l’audit periodico basato su tabelle di controllo dell’ Annesso AQ-SPPD e dell’Annesso CHK-ICT-SPPD.

I pannelli con le tabelle di controlli dell'Annesso AQ-SPPD, sono utilizzabili e verificabili in aziende di qualunque ordine e grado, pubblico-privato e indipendentemente dalla dimensione e l'ambito di produzione o erogazione di processi e servizi rivolti direttamente alle persone fisiche.

La struttura AQ-SPPD dello Schema semplifica la gestione di Audit di prima, seconda e terza parte, descrive la applicabilità e il contesto degli obiettivi dei controlli via via validati. Operare secondo uno Schema TQM, ha infine il vantaggio di rendere il SQS della azienda completamente “interoperabile” con gli standard internazionali che convengono sul Sistema HLS o Struttura ad Alto Livello (Annex SL, Ref.: ISO-2014).

La struttura dell’Annesso CHK-ICT-SPPD è nello Schema Privacy TQM la checklist operativa per riscontrare selettivamente tutte le infrastrutture ICT. La Lista di Riscontro dell’Annesso CHK-ICT-SPPD è modulabile, intendendo con ciò che può essere utilizzata su più livelli di scalabilità e profondità.

Questo permette di effettuare un Audit di prima e/o seconda parte sia per una semplice azienda con una piccola LAN che una organizzazione strutturata e distribuita anche su piattaforme multimodali e internazionali.

0.2 Privacy TQM e analisi di processo

La applicazione dello Schema di audit ad un SP-TQM applica un metodo progettuale sistematico di analisi di processi con lo scopo di predisporre, verificare, riesaminare, mantenere, aggiornare e migliorare la compliance del Sistema a norme e prescrizioni legali sul trattamento dei dati personali.

Il SP-TQM implica pertanto un insieme di attività correlate e intra-dipendenti. E’ chiaro che la organizzazione mobilità ogni unità operativa (o funzione aziendale) coinvolgendo in modo diretto il relativo personale; quest’ultimo dovrà essere istruito tramite formazione specifica che attesti competenze adeguate e la consapevolezza a priori dei rischi per i diritti e le libertà del soggetto interessato conseguenti all’uso dei dati personali per ogni trattamento svolto.

La validazione di uno scheda di Audit si basa sul rilevamento e la analisi di evidenze oggettive e misurabili; tali evidenze possono essere sia documentali cartacee (registrazioni) che digitali (DB recordsets, reports e/o Logs fissati con tecniche di hashing) ma devono in ogni caso garantire la verificabilità e la significatività dell’adempimento a cui fanno riferimento nel SP-TQM. Ecco perché il manuale del sistema Privacy 4.0 (di seguito MSPPD) descrive tutti i processi valutabili e interoperabili previsti dal Regolamento (le infrastrutture ICT, i sistemi operativi, archivi, networks, configurazioni logiche di apparati e strumenti HW).

0.3 Modello PDCA applicato alla protezione dei dati personali (Ciclo di Deming)

Il modello PDCA (Plan Do Check Act o ciclo di Deming) cui tutte le norme contrattuali volontarie di certificazione fanno ricorso, può essere applicato anche alla protezione dei dati personali. Negli ultimi decenni anche le norme prescrittive e le leggi internazionali sono di fatto mirate alla assimilazione di disposizioni e adempimenti legali come vincoli per la attuazione di requisiti di controllo a scopo certificativo e/o di accreditamento.

La applicazione concettuale del ciclo Deming al Trattamento (cosi come identificato e formalizzato dalla organizzazione nel Registro dei Trattamenti (Art. 30 del Regolamento) è anche molto semplice da formalizzare. Di fatto tutti i documenti del MSPPD corrispondono a Procedure Gestionali e/o operative piuttosto che registrazioni di un Sistema AQ compliant con l’Annesso SL delle norme ISO di ultima generazione (vedi modello della struttura HLS).

E’ quindi corretto abbinare i principi generali e particolari dei due schemi perché entrambi sono orientati alla analisi e la valutazione del rischio (eventuale valutazione degli impatti DPIA (Art. 35 del Regolamento) dove richiesta dal tipo di trattamento e di dato (Es. Dati giudiziari, sensibili, ultra-sensibili, particolari e specifici; Art. 8).

Il modello PDCA assicura che per tutte le fasi decisionali e le attività di trattamento dei dati personali dell'organizzazione, vengano verificate/controllate le regole formalizzate dal Titolare del trattamento. Quanto il Titolare sceglie poi nomina, delega e/o designa tutti i Soggetti Privacy potrà realizzare un Piano di Adeguamento per la progressiva applicazione della “accountability” a tutti i livelli della organizzazione. Scopo ultimo la compliance del Sistema Privacy 4.0 al Regolamento.

La Figura 1.0 visualizza il ciclo virtuoso PDCA mappando per riferimento incrociato i principali adempimenti di un MSSPD. Dettagli sul significato e il meccanismo ciclico di audit nella legenda della Figura 1.0. La immagine riporta un blocco del ciclo addizionale rispetto al PDCA: REVIEW. Questo è peculiare della integrazione tra le filosofie ISO e quelle della normativa del Regolamento perché essenzialmente il momento della clausola del “Riesame” nei Sistemi HLS ISO corrispondono all’articolato per gli adempimenti di riqualifica, revisione e rinnovamento contrattualistico, organizzativo e del parco tecnologico nel combinato Codice Privacy (Dlg.196/03), Regolamento Privacy (Reg.2016/679)e coordinamento Dlg.vo 101/18

La legenda sotto la Figura 1.0 riassume sinteticamente le principali attività associate con le fasi progressive del ciclo adattato al disegno e la progettazione di un Sistema Privacy TQM.

Figura 1.0 – modello PDCA (o ciclo di Deming) applicato al GDPR

Legenda

PLAN: Analisi del (dei) processo di business identificando i flussi di dati associati a informazioni di trattamento, e pianificando gli obiettivi di controllo per la Valutazione dei Rischi e degli Impatti per i quali progettare soluzioni fisiche, logiche e organizzative.

DO: Sulla base della VR-DPIA determinare il livello di rischio accettabile e gestirlo per ogni trattamento cosi da poter redarre i Registri dei Trattamenti e le procedure critiche per sicurezza e qualità nel sistema (Es. Data Breach, VDS, Telecontrollo ecc.)

CHECK: verificare l'applicazione continua delle azioni stabilite in Politica, controllare l'efficacia delle misure fisiche, logiche e organizzative, misurare l'efficacia delle azioni e confrontare con gli obiettivi prefissati.

ACT: Standardizzare le soluzioni, sulla base della esperienza del SP-TQM relazionando e rendendo disponibili i resoconti delle registrazioni raccolta durante il funzionamento del SP-TQM, dove possibile considerare eventuali azioni migliorative e identificare nuovi rischi emergenti da eventi avversi.

REVIEW: Riqualificare e revisionare tutti i soggetti esterni di fornitura, per rinegoziare/adattare tutta la contrattualistica in essere per prodotti e servizi di fornitura allegando dove necessario nuovi obblighi e/o limitazioni dei termini di condivisione dei dati personali.

0.4 Modello applicativo interoperabile – Schema TQM e HLS

La logica di audit e controllo dello Schema SP-TQM si ispira e allinea con quello delle Strutture

HLS (High Level Structure) definite nelle norme volontarie internazionali ISO (derivare a loro

volta dagli schemi BSI, British Stantards Institute). Questa omologazione operativa dell’impianto

degli indici e di unificazione di schemi di audit è stata essa stessa formalizzata nelle direttive

ISO-Annex SL e dal 2014; chi implementa Sistemi Integrati segue quindi una struttura e un

percorso comuni.

L’approccio TQM rende pienamente compatibile lo Schema Privacy 4.0 con le tutte le principali

norme ISO e comporta tutti i vantaggi derivati dalla condivisione di molti elementi del Manuale

del SQS.

Riportiamo di seguito la lista delle norme volontarie compatibili:

0.4.1 - UNI EN IS019011, UNI CEI EN ISO/IEC 17021-1, ISO 9001, UNI EN ISO/IEC 27001 , UNI

ISO/IEC 25012, ISO/IEC 29100, ISO/IEC 29134 e UNI ISO 31000

Tutte le norme sopra elencate prevedono un monitoraggio continuo basato su numerose check-list di controlli di audit. I controlli seguono gli ambiti specifici di ogni norma come le infrastrutture IT, la Business Continuity e il Disaster Recovery, la cyber sicurezza ecc.

Lo Schema TQM ha integrato tutti gli elementi congiunti nell’ Annesso AQ-SPPD che quindi valuta in modo completo tutti gli aspetti critici oggetti di verifica e controllo per soddisfare e validare gli obblighi di adempienza previsti dal Sistema Privacy 4.0

1.0 OBIETTIVO E AMBITO Dl APPLICAZIONE

1.1 Impegno e diligenza dovuta della Organizzazione

Lo Schema TQM è applicabile qualunque organizzazione e, in tema di tutela dei dati personali e la libera circolazione di tali dati, può essere implementato in un nuovo Sistema cosi come utilizzato per il miglioramento di un Sistema privacy pre-esistente ma non aggiornato con le revisioni del combinato disposto Privacy TQM.

Pertanto i Titolari e i Soggetti Privacy aziendali, possono adeguarsi agli ultimi vincoli normativi e gestire la propria organizzazione con un monitoraggio proattivo nel MSPPD. Solo l’evidenza di un MSPPD attivo permette di affrontare serenamente le Ispezioni per conto della Autorità di Controllo e dimostrare l'adozione di garanzie “adeguate” ai sensi del Regolamento.

Il Titolare e i suoi Soggetti privacy, assumono l’impegno (Quality’s Committment) di rispettare i diritti e le libertà fondamentali a partire dalla facoltà di diritto di accesso e controllo da parte degli Interessati ai propri dati personal.

L’esecuzione tracciata delle “diligenze dovute” (Due diligences) può dimostrare che i trattamenti dei dati personali sono svolti nel pieno rispetto delle normative vigenti, indipendentemente dalla nazionalità dell'interessato. Questo implica che, nella nuova Privacy 4.0, anche per i Dati Transfrontalieri valgono le Diligenze Dovute di cui sopra

L’utilizzo dello schema di audit del SPD-TQM, porta all’emergere di elementi critici o inadeguatezze gestionali causa potenziale di diseguaglianze o discriminazione negli individui oggetto del trattamento secondo i principi espressi dall'art. 8 paragrafo 1 della Carta dei diritti fondamentali dell'EU e l'art. 16 Paragrafo 1 del Trattato di Lisbona. La sua applicazione ed implementazione è volontaria per ottenere una forma di accreditamento e/o certificazione in quanto utilizza l’evidenza documentale delle analisi e dei controlli dei principi di trattamento dei dati personali (documenti di registrazioni). Il Titolare e le sue figure privacy co-responsabili assolvono inequivocabilmente alla Responsabilizzazione (criterio di Accountability) richiesta dal Regolamento.

La documentazione del manuale MSPPD dimostra inoltre l’effettivo adeguatezza delle procedure interne all'organizzazione e loro coerenza con la corretta analisi e gestione del rischio.

Il Sistema complessivamente considerato, verifica giorno per giorno la bontà della fase di analisi e valutazione dei rischi e, dove mandatoria, della valutazione d'impatto (VR-DPIA).

1.2 Schema di audit TQM volontario per la Organizzazione

Lo Schema di audit della Privacy-TQM controlla tutte le prescrizioni dell'EU Reg. 2016/679 e considera anche il successivo Dlg.vo 101/2018 per il coordinamento delle norme europee con quelle del Codice Privacy (Dlg.196/2003).

I principi, i criteri e lo schema di controllo strutturati nell’annesso AQ-SPPD sono applicati indipendentemente dalla tipologia, dimensione, natura dei beni e servizi prodotti e/o della impresa. La validazione dei controlli rende trasparente e comprovata la diligenza del Titolare e dei suoi Soggetti Privacy. Il Sistema TQM dura consistentemente con l’esistenza della stessa azienda/impresa nel territorio dell'Unione Europea. Così come per tutti i Sistemi Integrati, dovrà essere annualmente verificato e revisionato con una riedizione del MSPPD

IMPORTANTE:

Un accreditamento e/o una certificazione di terza parte rilasciata alle organizzazioni, non comporterà

mai una sostituzione dei controlli e delle verifiche delle Autorità di Controllo. Pertanto, adottare un

Sistema Privacy TQM, ancorchè accreditato/certificato, non manleva i Titolari/Responsabili

dell'organizzazione dalle Responsabilità in caso di inadempienza e/o violazione delle prescrizioni

vigenti.

Ai fini di certificazione, esistono possibilità di esclusioni e/o limitazioni della applicazione di specifici punti di controllo (CCP); questo può determinarmi in circostanze di tipologie di trattamenti di dati basati su particolari basi giuridiche. In questi casi le esclusioni possono essere verificate prima della fase di pre-audit a fronte di motivazioni scritte inviate all’Ente.

La valutazione della compliance viene validata solo tramite: l'esatta rendicontazione delle procedure e dell'applicazione della norma oltre la dimostrazione di una provata comprensione dei disposti normativi al momento dell'effettuazione dell'Audit.

2 TERMINI E DEFINIZIONI (ordine alfabetico)

(Rif. Associati a UNI EN ISO 9000, UNI CEI ISO/IEC 27001, UNI ISO 31000, EU Reg. 2016/679, UNI ISO/IEC 25012, UNI CEI EN ISO/IEC

17065)

Amministratori di Sistema

Professionisti che in ambito ITC, gestiscono e

manutengono un impianto di elaborazione o di

sue componenti.

Analisi del rischio

Utilizzo sistematico di informazioni per

identificare le cause e stimare il rischio.

Archivio

Qualsiasi insieme organizzato e sistematico di dati personali disponibili su supporto cartaceo o digitale, accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o distribuito geograficamente.

Audit interno

Esame sistematico ed indipendente per

determinare se l'attività svolta ed i risultati

ottenuti sono in accordo con quanto pianificato e

se quanto pianificato e predisposto risulta

congruo al raggiungimento degli obiettivi.

Autenticazione Informatica

Insieme degli strumenti elettronici e delle procedure di verifica anche indiretta dell'identità dell'utente di un sistema informatico ed elettronico che anche solo potenzialmente fornisca un mezzo di accesso ai dati personali sia esso diretto o indiretto.

Autorità capofila

Autorità di controllo disciplinata dall'art. 56, EU

Reg. 2016/679

Azione correttiva

Azione da intraprendere per eliminare la causa di

non compliance rilevata o di particolari situazioni

che si presentano all'esame.

Azione preventiva

Azione per eliminare la causa di una non

compliance potenziale o di situazioni non

desiderabili. L 'azione preventiva si adotta per

evitare il verificarsi di non compliance.

Carta di Nizza

Carta dei diritti fondamentali dell'unione

europea proclamata a Nizza il 7 dicembre 2000 e

pubblicata i 18.12.2000 (2000/C 364/01)

Credenziali di autenticazione

Dati e/o dispositivi, in possesso di una persona,

da questa conosciuti o ad essa univocamente

correlati, utilizzati per l'autenticazione

informatica.

Dati

Forme classificabili e reinterpretabile dell'informazione che è possibile processare in modo formalizzato, sia cartaceo che elettronico-digitale, per essere controllato e reso idoneo alla comunicazione, alla interpretazione e alla loro elaborazione.

Dati Anonimi

Dato che in origine, o a seguito di trattamento, non può essere assodato ad un interessato identificato o identificabile.

Dati Identificativi:

Dati personali che permettono l'identificazione diretta dell'interessato.

Dati Particolari

Dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Dato Biometrico

I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici.

Dato Genetico

I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione.

Dato Personale

Qualunque informazione riguardante una persona fisica identificata o identificabile.

Dato relativo alla salute

I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Disponibilità

Le informazioni devono essere disponibili entro i

tempi stabiliti a coloro che le richiedono e sono

autorizzati ad accedervi

Integrità

Proprietà di salvaguardia dell'accuratezza e

completezza dei dati.

ISO (International Organization for

Standardisation)

Ente internazionale con sede e Ginevra, che ha il

compito di armonizzare le norme emanate dagli

enti di normazione delle varie nazioni

relativamente alle procedure tecniche e

metrologiche.

Misurazione di qualità dei Dati

Variabile a cui è assegnato un valore come il risultato di misurazione di una caratteristica di qualità dei dati o indicante un loro livello di sicurezza richiesto.

Misure di sicurezza

Complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che garantiscono un livello di protezione adeguato a quello richiesto dalla valutazione dei rischi connessi al trattamento secondo la norma di riferimento e la base giuridica secondo finalità.

Misure opportune di compliance

Elementi di valutazione della compliance al

Regolamento da parte del Titolare per attenuare

il rischio.

Non compliance

Mancato soddisfacimento di un requisito,

valutazione in luogo di inadempienza.

Norme vincolanti d'impresa

Politiche in materia di protezione dei dati

personali applicate da un Titolare del

trattamento o Responsabile stabilito in uno stato

membro per regolare il trasferimento o il

complesso di trasferimenti di dati personali a un

responsabile in un paese terzo fuori dall'unione.

Organizzazione internazionale

Un'organizzazione e gli organismi di diritto

internazionale pubblico ad essa subordinati o

qualsiasi altro organismo istituito sulla base di un

accordo fra due o più stati.

Parola chiave

Componente di una credenziale di autenticazione

associata ad una persona ed a questa nota,

costituita da una sequenza di caratteri o altri

dati in forma elettronica.

Principio di esattezza

Obbligo del Titolare di agire sui dati inesatti rispetto alla finalità dichiarate, di garantire e verificare l'esattezza, l'aggiornamento e la completezza dei dati trattati, i dati inesatti o rettificando con tempestività le anomalie riscontrate.

Principio di finalità

Trattamento di un Archivio che avviene in

termini chiari determinati e manifestati all'atto

della raccolta.

Principio di liceità e correttezza

Trattamento di un Archivio nel rispetto delle

norme vigenti, a regolamenti o a normativa

comunitaria e comunque in modo trasparente nei

confronti dell’Interessato.

Principio di non eccedenza

Utilizzo dei soli dati sufficienti al perseguimento

dei legittimi fini dichiarati, pertinenti e non

eccedenti i fini stessi ("minimizzazione dei dati").

Principi di Pertinenza e Trasparenza

Pertinenza - dei dati rispetto alla finalità per cui

vengono trattati.

Trasparenza - informazioni destinate al pubblico

o all'interessato siano concise, facilmente

accessibili e di facile comprensione e che sia

usato un linguaggio semplice e chiaro.

Profilazione

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o calcolare metricamente caratteristiche e/o aspetti di rendimento professionale, di situazione economica, di salute, di preferenze personali, di interessi, di affidabilità, di comportamento, di ubicazione, o di spostamenti della persona fisica resi georeferenziabili.

Profilo di autorizzazione

Insieme degli attributi, univocamente associati

ad una persona, che consentono di individuare a

quali dati essa può accedere, nonché i

trattamenti ad essa consentiti.

Pseudonimizzazione

Trattamento di dati personali che rendono identificabile l'interessato o possono essere a lui associati solo con ulteriori informazioni aggiuntive, separatamente conservate e sottoposte ad adeguate misure tecniche e organizzative che non ne consentano l'attribuzione univoca ad una persona.

Qualità dei Dati

La valutazione metrica del livello di sicurezza delle caratteristiche dei dati quando soddisfano coerentemente condizioni prestabilite e/o

implicite alle condizioni di trattamento dichiarate nelle politiche del sistema di Qualità e Sicurezza.

Responsabilizzazione (Accountability)

Obbligo Titolare nel garantire ed essere in grado

di dimostrare il rispetto degli obblighi derivanti

dai principi previsti nella normativa di

riferimento.

Riesame

Valutazione sistematica e regolare dell'efficacia ed efficienza degli elementi atti a conseguire gli obiettivi pianificati e stabiliti. Il riesame può comprendere un adattamento a nuove esigenze per azioni di miglioramento

Rischio elevato

E' una condizione ci rischio di pregiudizio dei

diritti e delle libertà delle persone fisiche.

Sistema

Insieme di strumenti e delle procedure che

abilitano l'accesso ai dati e alle modalità di

trattamento degli stessi, in funzione del profilo

di autorizzazione del richiedente.

Strumenti elettronici

Elaboratori, programmi per elaboratori, e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.

Struttura HLS

Struttura generale ad alto livello, cioè struttura

comune a gli standard ISO definita nel 2012 al

fine di migliorare l'interoperabilità degli standard

normativi. Si basa principalmente su

terminologie, testi, definizioni e sequenza

comuni.

Terzo

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il Titolare del trattamento, il Responsabile del trattamento, il Delegato al trattamento e una Soggetto Autorizzati al trattamento dei dati personali sotto l'autorità diretta del Responsabile o del Titolare.

TFEU

Trattato sul funzionamento dell'Unione Europea

(trattato di Lisbona)

Titolare del Trattamento

Persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli stati membri, il Titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal dritto dell'Unione o dagli stati membri.

Tracciabilità

Grado in cui i dati hanno attributi che forniscono

una registrazione degli accessi ai dati e a tutte le

modifiche effettuate ai dati in un contesto di

utilizzo specifico.

Trattamento

Qualsiasi operazione o insieme di operazioni

compiute con o senza l'ausilio di strumenti

elettronici, processi automatizzati e applicate a

dati personali, come la raccolta, la registrazione,

l'organizzazione, la strutturazione, la

conservazione, memorizzazione, l'adattamento o

la modifica, l'estrazione, la consultazione, l'uso,

la comunicazione mediante trasmissione,

diffusione o qualsiasi altra forma di messa a

disposizione, il raffronto o l'interconnessione, la

limitazione, la cancellazione o la distruzione.

Trattamento a rischio

Trattamento di dati personali suscettibile di

cagionare un danno fisico, materiale o morale in

particolar modo se il trattamento comporta

discriminazione, furto o usurpazione d'identità,

perdite finanziarie, pregiudizio alla reputazione

o qualsiasi altro danno economico o sociale

importante. Viene inoltre considerato

trattamento particolarmente a rischio il

trattamento di categorie particolari di dati, la

valutazione della personalità, preferenze ed

interessi personali, affidabilità o

comportamento. Infine, è trattamento a rischio il

trattamento di una notevole quantità di dati

personali per un vasto numero di interessati.

Valutazione del rischio

Processo atto a determinare la probabilità e la gravità del rischio del trattamento, in funzione della natura, dell'oggetto, del contesto e delle finalità del trattamento dei dati personali. La valutazione deve essere basata su elementi di valutazione oggettivi.

Valutazione d' Impatto

E' la valutazione che si rende obbligatoria,

qualora un tipo di trattamento presenti un

rischio elevato per i diritti e le libertà dei

interessati.

3 RIFERIMENTI NORMATIVI TERZI

I riferimenti richiamati all'interno di questo Schema di certificazione, sono di indirizzo per

l'applicazione dello Schema di Audit Privacy TQM

EU Reg. 2016/679

EN ISO/IEC 17065

EN ISO/IEC 17021-1

EN ISO 19011

REGOLAMENTO (CE) 765/2008

UNI ISO/IEC 25012

UNI ISO/IEC 25024

UNI EN ISO/IEC 27001

UNI EN ISO/IEC 9001

ISO/IEC 29134

ISO/IEC 29100

UNI ISO 31000 STANDARD ANNEX SL

4. PRINCIPI ED ELEMENTI DEL SISTEMA PRIVACY TQM

4.1 Premesse

Il Titolare deve verificare e assicurare costantemente che i dati personali relativi a soggetti Interessati oggetto di trattamento siano trattati con liceità e correttezza, vengano raccolti e registrati secondo finalità pre-determinate, esplicite e legittime. Il Titolare deve inoltre garantire che durante il periodo proporzionato e giustificato di trattamento i dati siano esatti, aggiornati, pertinenti e non eccedenti gli scopi della raccolta per i quali si ha le basi giuridiche di trattamento.

4.2 Impostare Adeguatezza delle misure organizzative

Il Titolare deve impostare metodi e prassi di controllo per valutare e dimostrare continuamente la compliance del trattamento del dato personale secondo i principi di corretta impostazione sin dalla fase di progettazione iniziale riducendo al minimo il trattamento dei dati e la loro accessibilità.

4.3 Impostare Correttezza, Liceità e Trasparenza

I dati personali dei soggetti Interessati, devono essere raccolti ed elaborati correttamente, il soggetto Interessato deve liberamente fornire le informazioni senza essere fuorviato con indicazioni vessatorie o poco comprensibili; questo anche in merito alle finalità del trattamento.

L'organizzazione deve sistematicamente verificare che il trattamento dei dati personali dei soggetti Interessati, sia effettuato secondo correttezza e liceità, affinchè la raccolta di dati e/o tutte le attività implicate nel processo di trattamento, sono lecite solo se soddisfano i requisiti e gli adempimenti delle prescrizioni legali di regolamenti, normative applicabili alla tipologia di finalità e raccolta che il Titolare decide per il business della Organizzazione.

4.4 Chiarire Finalità singola o multiple

La Finalità della raccolta dei dati personali scelta dal Titolare deve essere chiara, determinata e manifestata all’interessato nel momento della raccolta dati presso l’interessato e comunque prima della espressione del consenso. Rispetto alla finalità dichiarata, tutti gli utilizzi successivi dei dati personali devono rimanere compatibili e congrui con quanto dichiarato al momento della raccolta. Nel caso di ulteriori e nuove finalità, è necessario sottoporre una nuova informativa.

In nessun caso sono utilizzate finalità ambigue, generiche e a valenza multipla. Qualunque trattamento dei dati non associato ad una trasparente e preliminare informativa all'interessato completa di finalità aggiornate e aderenti alle misure applicate dalla organizzazione, prefigurano un trattamento illecito.

4.5 Variazioni nella finalità

Il Titolare del trattamento deve assicurarsi costantemente che non si verifichi uno sconfinamento dai criteri di legittimazione soddisfatti dalla originale informativa (vedi Punto 4.4), perché eventuali modifiche di finalità del trattamento implicano la verifica di compatibilità con la finalità precedente e in ogni caso la redazione di nuove informative per gli interessati.

4.6 Verifica della Pertinenza

Il Titolare del trattamento deve verificare che:

a. La raccolta dei dati personali sia funzionale alle e congrua con le finalità dichiarate ed effettivamente implementate, attraverso controlli che validano i dati quando realmente utili a conseguire il risultato

b. i dati personali oggetto di trattamento sino proporzionali e non eccedano le reali esigenze dei processi di business

4.7 Essenzialità e non “eccedenza”

Il Titolare del trattamento deve verificare e monitorare che i dati personali oggetto di trattamento siano utili e necessari ai fini dichiarati comunque controllando che siano in essere misure di minimizzazione dell’uso di dati personali.

Il Responsabile del trattamento (interno e/o esterno) e/o il Delegato, se e dove nominati, disporrà verifiche periodiche e sistematiche, se necessario anche automatizzate per monitorare le reali necessità dell'organizzazione.

Dati personali raccolti, non appartenenti alle categorie di finalità dichiarate, sono "eccedenti", e come tali saranno distrutti o resi anonimi attraverso le adeguate procedure e/o tecniche previste dalle prescrizioni applicabili.

4.8 Etica della Qualità dei dati

L'organizzazione deve garantire che i dati siano esatti, completi. Quando il Titolare deve dare conto di una richiesta di “aggiornamento”, provvederà a dare risconto e garantire il diritto all’interessato secondo i tempi e le modalità previste. La valutazione di completezza deve essere coerente con le finalità dichiarate.

In occasione di dubbi sulla correttezza dei dati personali trattati, la Organizzazione deve

piuttosto considerare la loro cancellazione.

4.9 Assicurare Esattezza dei dati

L'informazione nominativa non deve contenere errori quindi l'organizzazione adotta misure e mantiene prassi “adeguate” al mantenimento della esattezza dei dati gestiti.

Quando la Organizzazione ha ottenuto dati provenienti da albi, elenchi, o documenti conoscibili da chiunque, il Titolare del trattamento ha comunque l'obbligo di sincerarsi della loro validità e il riscontro riconciliato con gli elenchi originali di provenienza. Naturalmente dove possibile si potrebbe avere una adeguata documentazione a supporto dell'esattezza da parte della fonte di origine.

4.10 Documentare comprovato Aggiornamento dei dati

L'organizzazione deve verificare e documentare almeno una volta l'anno, l'esattezza e la

compliance dei dati contenuti nei propri archivi.

4.11 Verifica della Completezza dei dati

L 'organizzazione deve verificare l'interezza analitica dei dati personali degli interessati al fine di prevenire una divulgazione di dati di cui al Punto 4.10 e scongiurare qualunque possibile circolazione di notizie di dissimili dalla realtà o anche solo incomplete.

In occasione di controversie e/o incidenti di violazioni Informatiche, il Titolare del trattamento

ha l'obbligo di comunicare la fonte da cui i dati sono stati prelevati all'interessato così che sia in

grado di esercitare i propri diritti.

4.12 Stoccaggio e Conservazione sicure delle informazioni

Il Titolare del trattamento deve assicurare che la conservazione dei dati degli Interessati oggetto del trattamento rispetti i termini di tempo necessario a realizzare gli scopi per cui sono detenuti; l’Organizzazione deve pertanto progettare, formalizzare e implementare un Sistema di procedure e prassi di stoccaggio (sia cartaceo che digitale) e dovrà automatizzare procedure operative anche per la validazione periodica della integrità delle copie dei repertori di sicurezza tramite test di ripristino dei volumi a garanzia del mantenimento delle informazioni.

4.13 Classificazione dei dati per finalità

Il Titolare del trattamento, o la figura che per proprio conto gestisce il Sistema Privacy, disegna

e implementa tutte le necessarie procedure di automazione informatica e/o manuali sul

cartaceo, per assicurare che dati trattati siano solo quelli specificamente associabili alla finalità

dichiarata.

4.14 Valutazione dei rischi e misure di sicurezza

Il Titolare del trattamento con l'aiuto del Responsabile della protezione dei dati, se nominati e del Designato e/o dell'Amministratore di Sistema, deve individuare adeguate misure di sicurezza che siano allineate al progresso tecnico, e adatte ad evitare i rischi di distruzione, di perdita, di modifica, di divulgazione e di accesso non autorizzato ai dati dei soggetti.

Ogni anno sarà effettuato un audit interno per verificare/validare/aggiornare il Disciplinare Interno della Organizzazione (DIA) con specifico riferimento alla formazione IT per tutto lo staff aziendale. Il DIA è comprensivo delle eventuali nuove disposizioni e definizioni dei dati di trattamento per tutti i Soggetti Autorizzati a trattare e le corrispondenti categorie di dati loro consentiti.

4.15 Comunicazioni delle violazioni di Sistema e del sito

Il Titolare messo a conoscenza di violazione dei dati personali, notifica la stessa all'Autorità di Controllo nelle forme e nei modi previsti dall'EU Reg. 2016/679 e Succ. Dlg.101/2018.

Se le violazioni possono anche solo potenzialmente creare un nocumento elevato per i diritti e le libertà della persona fisica, il Titolare comunica anche agli interessati le violazioni dei dati personali senza ritardo. La comunicazione avverrà nei modi e nei termini previsti dal Regolamento stesso affinché sia possibile per gli stessi interessati preservarsi per quanto possibile e mitigare danni maggiori.

5 CONSAPEVOLEZZA E ASSUNZIONE DI RUOLO

5.1 Impegni del Titolare del Trattamento (TdT)

Il Titolare del trattamento deve garantire ed essere sempre in condizioni di dimostrare il rispetto della compliance al processo di gestione dei dati personali. Dovrà anche assicurare e mantenere ai soggetti che ha reso corresponsabili (Responsabili, Delegati e Soggetti Autorizzati al Trattamento) tutte le risorse necessarie (finanziarie e umane) per gli adempimenti normativi in materia di protezione dei dati personali pianificando una verifica almeno annuale.

La pianificazione e il monitoraggio delle adeguate politiche aziendali devono essere formalizzate in un Manuale Privacy (MSPPD). La struttura del manuale che può essere anche in formato elettronico/digitale, è istruito con Politiche, Procedure di Gestione (1°Livello), Procedure Operative e Registrazioni (documenti con paternità e data certa); complessivamente considerato il MSPPD supporta e rende conto della corretta compliance del Sistema Privacy TQM.

Se integrato con altre norme volontarie di tipo ISO-SL-HLS, Il Sistema Privacy condivide elementi di misurazione oggettivi (Es.: PKI), in grado di misurare tangibilmente e obiettivamente il funzionamento e l’escursione di miglioramento delle politiche adottate.

5.2 Politiche Privacy della Organizzazione

In ragione della natura, del contesto, del settore di business, delle finalità del trattamento e della preliminare analisi dei rischi (se dovuta anche degli Impatti privacy sulla azienda), a cui sono esposti anche solo potenzialmente i diritti e le libertà delle persone fisiche, il Titolare predispone/incarica misure fisiche, logiche e organizzative per la istruttoria di uno o più documenti contenenti:

a. dichiarazione delle politiche sulle finalità del trattamento dei dati personali

(protezione dei dati dei clienti, utenti, ecc.);

b. elaborazione di politiche conciliative e risarcitorie sul rischio residuo accettato

pianificando formalmente iniziative ed eventi di sensibilizzazione (awareness),

formazione, aggiornamento e affiancamento (training) dei dipendenti;

c. pianificazioni specifiche di protezione dei dati, come ad esempio la pianificazione

pluriennale delle misure adottate;

d. pianificazione di iniziative ed eventi di sensibilizzazione dei clienti, dei fornitori e

degli utenti;

e. campagne di coinvolgimento degli Interessati e delle loro organizzazioni (attività

implicita nella Valutazione d'Impatto);

g. elaborazione di un processo per la gestione delle violazioni dei dati personali;

h. dichiarazione di politiche sulla gestione dell'esercizio dei diritti dell'interessato;

i. validazione formalizzata periodica del mantenimento di condizioni di sussistenza del

consenso.

5.3 Ruoli, Responsabilità e adeguatezza tecnologica

Il Titolare del trattamento deve assicurare la compliance del Sistema Privacy aziendale al Regolamento sia per la sua diretta Accountability (Responsabilità) che per tutte quelle dei Soggetti Privacy che sono stati delegati/designati ad agire per suo conto.

In una Organizzazione, la Titolarità è diretta espressione della fattuale abilità di colui (Soggetto giuricico) che ha potere decisionale su finalità, e capacità di spesa per i mezzi e modalità di gestione di un Sistema Privacy per l'uso dei dati personali.

Il Titolare deve sempre aggiornare e riesaminare il proprio Sistema Privacy alla luce dell'evoluzione tecnologica e della normativa di compliance applicabile provvedendo contestualmente alla verifica per la eventuale riedizione di politiche interne, di misure fisiche, logiche ed organizzative e quindi del MSPPD.

6 GESTIONE DEL SISTEMA ORIENTATA AL RISCHIO

6.1 Gestione del cambiamento

Il Titolare al momento di pianificare nuovi trattamenti dovrà prendere in considerazione tutte le variabili di contesto che possono interagire con i propri obiettivi. Verranno pertanto qualificati i criteri, interni ed esterni, da considerare nella più generale valutazione del rischio, definendo il livello di rischio accettabile, attraverso parametri oggettivi di misurazione.

La protezione dei Dati Personali nello schema Privacy TQM non garantisce solamente il diritto alla riservatezza e alla confidenzialità degli interessati, ma assicura sostanzialmente (non solo formalmente), che le misure adeguate ai trattamenti possano prevenire danni conseguenti ad un trattamento illecito e/o compromissioni della integrità fisica del dato (cartaceo o digitale) quali perdita, cancellazione e corruzione.

Per tutti i trattamenti il Titolare valuta il rischio a partire dalle fonti iniziali lungo tutto il ciclo di vita del trattamento. L’emivita dei processi e delle misure messe in opera per garantire gli adempimenti del Regolamento decorrono quindi dal momento primogenito della acquisizione fino alla distruzione del dato.

6.2 Politica proattiva e preventiva del rischio

Dopo aver capito tutte le eventuali fonti di rischio (minacce/vulnerabilità) anche solo potenzialmente in grado di compromettere la confidenzialità, l'integrità, la disponibilità e la resilienza dei dati personali, il Titolare predispone e dichiara gli impegni della Politica Privacy 4.0.

Con la manifestazione degli intenti generali della organizzazione nei confronti delle prescrizioni legali del regolamento e del suo recepimento nelle emanazioni a livello di Autorità di Controllo nazionale, il Titolare intraprende la pianificazione, il disegno e la implementazione dei processi aziendali secondo misure logiche, fisiche e organizzative formalizzate nel Manuale del Sistema Privacy e Protezione dei Dati (MSPPD).

Tale MSPPD viene strutturato modularmente per essere continuamente adattato, aggiornato e revisionato dai soggetti Privacy cui il Titolare a esteso la responsabilità e le competenze Privacy quali il RPD (DPO), eventuali amministratori di sistema (ADS). In Italia, a decorrere dalla pubblicazione in Gazzetta Ufficiale del Dlg. 101/2018 del 19/09/2018, il Titolare può anche adottare figure di Designati interni a cui specificamente assegnare compiti di verifica, controllo e/o applicazione delle corrette disposizioni dichiarate in Politica Privacy dalla organizzazione.

6.3 Valutazione del rischio e degli Impatti Privacy

Dopo la stesura della documentazione relativa alla Valutazione dei Rischi, e dove necessaria della successiva e correlata valutazione degli Impatti Privacy (D-PIA), il Titolare deve attendere e soddisfare, adeguate risorse e procedure interne atte a garantire il tempestivo avvio dei processi valutativi e la loro corretta e puntuale esecuzione.

La capacità dell'organizzazione di identificare tutti i rischi riconducibili ai trattamenti tutelati dalle norme in materia di Protezione dei Dati Personali, permette di scegliere il corretto livello di misure tecniche ed organizzative per mitigare e/o ridurre al minimo le conseguenze di un incidente privacy, sia esso riferito a supporti cartacei o elettronico-digitali.

7 PILASTRI DELLA ARCHITETTURA PRIVACY TQM

7.1 Requisiti e obblighi di sistema

Il Titolare del trattamento a cui competono le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali trattati e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, al fine di poter comprovare la compliance a quanto richiesto dalle norme vigenti, deve: valutare, attuare, riesaminare e mantenere attivo, un opportuno sistema di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio potenziale che incombe sui dati con alto riguardo alla prevenzione della distruzione, perdita, modifiche e le rivelazioni non autorizzate, l'accesso illegale ai dati trattati. Inoltre, deve attuare corrette politiche preventive per verificare il rispetto dei principi di esattezza ed adeguatezza delle informazioni trattate.

7.2 Procedure e Prassi di primo livello

II Titolare del trattamento deve:

A. Definire una politica di gestione adeguata in relazione alle caratteristiche

dell'organizzazione, alle linee operative ed all'uso interno degli archivi di dati personali

gestiti.

B. Stabilire in maniera analitica quali sono i potenziai rischi che incombono sui dati nel

trattamento in oggetto.

C. Definire gli obiettivi temporali e metodologici del trattamento.

D. Comunicare all'organizzazione l'importanza di conseguire gli obiettivi per la messa a

norma del trattamento, creando i giusti presupposti di consapevolezza.

E. Fornire risorse umane ed economiche adeguate a gestire i processi.

F. Assicurarsi che siano predisposte procedure operative e documentazione relativa.

G. Accertarsi che tutto il personale sia adeguatamente formato.

H. Verificare che vengano effettuati gli Audit interni ed esterni.

L'organizzazione deve definire il sistema documentale di un MSPPD per diffondere e rendere operative le politiche Privacy 4.0 all'interno dell'organizzazione cosi che tutti i livelli di risorse umane svolgano la corretta attività di gestione dei trattamenti.

7.3 Monitoraggio e verifica dei processi interni

Il Titolare del trattamento deve:

A. Verificare che vengano rispettati i diritti e le libertà fondamentali dei soggetti rispetto al

trattamento effettuato.

B. Aver predisposto procedure di verifica dei processi realizzati al fine d monitorare che ciò

che è stato progettato corrisponda a quanto eseguito.

C. Individuare gli errori e le violazioni relative alla sicurezza.

D. Verificare che le politiche interne adottate, siano allineate al principio di protezione dei dati

dalla progettazione, al loro utilizzo.

E. Verificare che i dati siano protetti in tutto il loro ciclo di vita, dalla raccolta fino alla loro

distruzione.

F. Verificare che i dati utilizzati siano sempre ridotti al minimo indispensabile per la finalità

perseguita.

G. Verificare che gli accordi fra eventuali "co-Titolari del trattamento" riflettano

correttamente i loro ruoli.

H. Verificare che gli eventuali Responsabili del Trattamento siano correttamente istruiti sulle

attività di trattamento da effettuare per proprio conto.

7.4 Responsabile della protezione dei dati

Il Titolare del trattamento deve designare un Responsabile della Protezione dei Dati (RPD o DPO) quando le attività del trattamento consistono in trattamenti che per loro natura, oggetto e finalità, richiedono il monitoraggio regolare e sistematico dei dati o quando sono relativi, su larga scala, a categorie particolari di dati personali, oggetto di specifiche garanzie.

I trattamenti di dati personali effettuati da pubbliche autorità devono sempre formalizzare la designazione di un Responsabile della Protezione dei Dati

7.5 Piano di Formazione

Il modello di compliance aziendale Privacy TQM richiede un monitoraggio costante dei processi formativi, è necessario pertanto verificare la formazione puntuale del personale.

Il Titolare o chi per suo conto acquisisce la responsabilità della Formazione deve:

A. Stabilire le competenze del personale ed indicare almeno un referente di progetto.

B. Sottoporre ad audit interno l'efficacia delle azioni intraprese.

C. Conservare diligentemente tutta la documentazione fornita dall'Organismo di certificazione

e i certificati di compliance emessi.

D. Coordinare e formare il nuovo personale in merito alla compliance alle norme vigenti.

E. Al cambio di metodologie operative dell'organizzazione e delle conseguenti procedure ed

istruzioni, valutarne l'impatto sulla metodologia di gestione degli archivi interni

all'organizzazione e eventuali correttivi.

F. Verificare almeno annualmente la conoscenza generale e la corretta comprensione della

norma anche mediante l'uso di test di valutazione e corsi formativi.

G. Registrare le sessioni di addestramento, istruzione e formazione, verbalizzando per iscritto,

anche in formato elettronico, i risultati per singolo discente ed i soggetti che hanno

effettuato la docenza.

Nello schema di audit della Privacy TQM, la Formazione deve avere i requisiti richiesti dal Regolamento europeo. Il Titolare o chi per suo conto acquisisce la responsabilità della Formazione dovrà progettare un Piano Formativo (verificato su base almeno annuale) rispettando i criteri e i principi per la quale la Formazione deve quindi:

A. essere pianificata

B. essere specifica e diversificata

C. essere verificata periodicamente

D. essere frontale con lo staff e/o digitale per ogni soggetto autorizzato

E. essere dimostrabile e comprovabile agli organi ispettivi o alla AC

7.6 Documentazione del Manuale Privacy TQM

L'organizzazione che adotta lo Schema Privacy TQM, adeguatamente ad ogni trattamento sempre avere disponibile e aggiornata la seguente documentazione:

A. Manuale Privacy o documentazione equivalente che comprenda

• Mappatura dei trattamenti (archivi interni ed esterni e relativi tracciati record) Istruzioni

formali alle persone autorizzate al trattamento sotto l'autorità del Titolare (addetti)

• Qualifiche e contratti Responsabili del trattamento

• Procedure di monitoraggio degli Amministratori di Sistema (interni o esterni)

B. Modulistica di Informative (ed eventuali richieste di consenso)

C. Registro del trattamento (doppia edizione per TdT e RdT)

D. Valutazione del rischio e metriche di misurazione (proped. DPIA se dovuta, Punto E)

E. Metodologia di valutazione d'impatto sulla protezione dei dati e registro delle DPIA effettuate

F. Procedure che regolano la raccolta e il trattamento dei dati

G. Procedura per la gestione dei diritti dell'interessato

H. Procedura di modifica e/o cancellazione dati

I. Procedure misure tecniche ed organizzative per la gestione della sicurezza dei trattamenti,

documentazione (sia cartaceo che elettronico-digitale) incluso gestione cookies, business continuity,

disaster recovery e le necessarie misure di cyber sicurezza (on-premise, web, Cloud SaaS ecc.)

J. Relazione annuale dell'amministratore di sistema o Delegato con equivalente responsabilità

K. Relazione annuale del Responsabile della protezione dei dati (DPO) se nominato

L. Procedure di gestione dei “data breaches“

M. Procedure di gestione della privacy by design e by default

N. Procedura di gestione degli Audit interni

La documentazione del MSPPD può essere su supporto cartaceo e/o elettronico-digitale ma in ogni caso dovrà essere conosciuta a tutte le figure autorizzate dal Titolare e dovrà essere distribuita e fruibile secondo competenza e responsabilità attribuita alle diverse categorie di soggetti autorizzati.

8. SISTEMA OPERAZIONALE

8.1 Obblighi di Pianificazione e Controllo

Il Titolare dimostra la sua piena Responsabilizzazione in merito alle attività di pianificazione di tutti i controlli e rettifiche delle scelte dichiarate e motivate nella Politica Privacy TQM aziendale. Tutti i Piani di Audit rappresentano l'evidenza documentale di un Sistema SPPD operante secondo Regolamento.

8.1.1 Mappature trattamenti

Il Titolare pianifica formalmente la mappatura globale dei trattamenti e verifica costantemente tutti

gli archivi utilizzati all'interno dell'organizzazione. La mappatura segue una risoluzione di dettaglio a

livello di i singoli trattamenti effettuati da ogni soggetto autorizzato.

8.1.2 Registro delle operazioni di trattamento

Con i registri del trattamento il Titolare o chi per suo conto abbia la responsabilità del trattamento,

documenta e controlla che le caratteristiche dei trattamenti corrispondano a realtà.

8.1.3 Valutazione del rischio

Il Titolare dedica tempo, adeguate risorse e completa attenzione alle procedure interne di avvio dei

processi valutativi del rischio, e la successiva messa in opera dell’impianto di un corretto Sistema di

gestione per la loro minimizzazione.

8.1.4 Valutazione d'Impatto

Se la fase di valutazione dei rischi evidenzia un rischio elevato per i diritti e le libertà del soggetto

interessato, il Titolare deve formalizzare un documento di valutazione d'Impatto dei rischi Privacy.

l’Autorità di Controllo Garante redige e rende pubblica una lista di trattamenti soggetti alla

valutazione d'impatto, in aggiunta alle fattispecie previste dall'Art. 35 del Regolamento.

8.2 Progettazione privacy per disegno e per scelta predefinita (by design e by default)

La Organizzazione ha l'obbligo di adottare misure tecnico-organizzative a protezione dei dati personali in compliance al Regolamento alle quali applicare sia in fase di disegno che di realizzazione i criteri by design & by default a:

I. Politiche

II. Processi

III. Misure di sicurezza

8.3 Controllo attivo modifiche di processi, prodotti e servizi forniti dall'esterno

Se in un qualunque momento lungo la vita della Organizzazione, si modifica (ex novo o aggiornamento) un servizio o un prodotto software/hardware, il Titolare o il soggetto che per suo conto acquisisce la responsabilità, adotta procedure che garantiscano la riqualifica e il riesame dei fornitori per comprovare la continuità di compliance di Sistema e il rispetto del trattamento dei dati personali. Tutte le attività di queste fasi dovranno essere verbalizzate e validate con nuove edizioni/versioni delle procedure dello Schema Privacy TQM.

9. AUDIT DELLE PRESTAZIONI

9.1 Audit per riesame idoneità, adeguatezza ed efficacia

Il Titolare del trattamento assicura il riesame delle componenti del Sistema Privacy TQM della Organizzazione per la corretta applicazione e comprensione del Sistema almeno una volta l'anno, per verificarne la idoneità, la adeguatezza e l’efficacia. I risultati devono essere documentati e registrati.

9.2 Componenti di Audit di Sistema

Gli elementi da considerare al riesame da parte dell'organizzazione devono essere:

A. Documenti rilasciati dall'ente certificatore

B. Documento di mappatura dei trattamenti

C. Registro dei trattamenti

D. Documento aggiornato di valutazione dei rischi

E. Monitoraggio della Valutazione d'Impatto

F. Informazioni e statistiche puntuali o a campione di controllo sulla qualità ed esattezza

G. dei dati contenuti negli archivi

H. Stato delle eventuali azioni correttive

I. Analisi procedure relative ad Informative e consenso

J. Analisi del corretto rispetto dei diritti degli interessati

9.3 Azioni correttive della non compliance

Il Titolare del trattamento attraverso apposite figure se del caso nominate e con il supporto del Responsabile della protezione dei dati, se designato, deve intraprendere azioni atte ad eliminare le cause di non compliance; la procedura deve definire i requisiti per:

A. Riportare le non compliance in un documento aggiornato almeno annualmente

B. Stabilire le cause di non compliance

C. Studiare azioni atte ad evitare il ripetersi delle non compliance

D. Stabilire e mettere in atto azioni correttive

E. Riesaminare le azioni correttive intraprese

10 EVIDENZE E STRATEGIE DI MIGLIORAMENTO

10.1 Miglioramento continuo dei flussi di trattamento

Il di trattamento dei dati personali secondo lo Schema Privacy TQM, segue il ciclo PDCA e deve pertanto valutare in modo metrico e/o ergonomico le performance del Sistema secondo il principio del “miglioramento continuo (continual improvement). Si intende con ciò perseguire aa valutazione costante dei processi di gestione del rischio Privacy dell'organizzazione

Il miglioramento continuo applicato allo Schema Privacy TQM per la protezione dei dati, si basa sulla standardizzazione di indicatori dei processi rilevati dal monitoraggio delle registrazioni che seguono i flussi di trattamento cosi come identificati dal Registro dei Trattamenti.

Il monitoraggio prevede:

A. Creazione di flussi continui di informazioni verso il Titolare/DPO

B. Verificare l'eventuale messa in produzione di trattamenti non valutati preventivamente

C. Attuare delle verifiche periodiche (audit interni) intese a misurare sistematicamente lo stato

di compliance della organizzazione

D. Valutare lo stato dei piani di rientro a seguito delle non compliance riscontrate

E. Verificare l'efficacia del piano di trattamento dei rischi

F. Verificare che il personale addetto sia adeguatamente qualificato, formato e motivato

G. Valutare l'operato del team di lavoro

Il Miglioramento continuo non è solo interno alla Organizzazione, ma qualifica costantemente anche le prestazioni dei Responsabili e dei Fornitori esterni. A questo scopo si sono approntate procedure di verifiche ispettive e/o audit programmati all’esterno il cui scopo è assicurare il corretto coinvolgimento dei vari i livelli aziendali nei processi decisionali e il loro confronto con le corrispettive persone coinvolte nelle forniture

10.2 Non conformità e Azioni correttive

Le possibili non conformità sono schematicamente riassunte come segue:

A. Non Compliance/Carenze quando il requisito previsto dallo Schema di riferimento viene

costantemente disatteso mettendo a rischio l'affidabilità del prodotto, del servizio o del processo

oggetto di valutazione

B. Osservazione, Il requisito previsto dallo Schema di riferimento verificato è applicato solo

parzialmente o non viene applicato sistematicamente senza inficiare l'affidabilità del prodotto, del

servizio o del processo oggetto di valutazione.

C. Commento, possono considerarsi come spunti per attività di miglioramento del prodotto, del servizio

o del processo oggetto di valutazione. Seppure non inficiano la capacità dell'organizzazione di

soddisfare i requisiti contenuti nello Schema di riferimento, quando il commento non venisse

recepito la motivazione deve essere registrata.

Le Azioni Correttive verranno intraprese in conseguenza a:

• analisi della gravità e frequenza delle segnalazioni di non compliance;

• esigenze emerse in sede di Audit di riesame;

• esito di audit interni che abbiano rilevato non compliance;

• esito di audit di organismi di certificazione e/o organi ispettivi.

La formalizzazione delle Azioni Correttive rappresenta la comprovata eliminazione delle cause di non compliance rilevate e con essa lo sgravio del Titolare da possibili sanzioni per inadempienza.

ANNESSO AQ-SPPD OBIETTIVI E METODO Dl CONTROLLO ICT DEL

SISTEMA PRIVACY E PROTEZIONE DEI DATI

Committente

……………………………………………………..

Data Center

……………………………………………………..

Auditor

……………………………………………………..

Data audit

……………………………………………………..

ANNESSO AQ-SPPD OBIETTIVI E METODO Dl CONTROLLO DEL

SISTEMA PRIVACY E PROTEZIONE DEI DAI

Gli obiettivi di controllo riportati nel prospetto denominato "AQ-SPPD", sono derivati da quanto previsto

dalle norme vigenti e dalle linee guida pubblicate e rilasciate dallo European Data Protection Board

(EDPB-https://edpb.europa.eu/edpb_it )

L’acronimo AQ-SPPD pertiene la porzione del manuale annessa allo schema di Audit TQM che formalizza le

logiche ed i metodi di controllo di Assicurazione Qualità (AQ) applicati al Sistema Privacy e Protezione dei

Dati (SPPD). Le sezioni dell’annesso sottendono le liste di controllo operazionali associate nell’AQ-SPPD

affinché il Responsabile Privacy, se presente in concerto con quello della Assicurazione Qualità (RAQ),

possa condurre verifiche periodiche e formalizzare le registrazioni di audit interno del sistema TQM (Punto

9 dello Schema di Audit Privacy TQM)

A.1 POLITICA E OBBLIGAZIONI DEL TITOLARE

A.1.1 - Obblighi generali e consapevolezza del Titolare

Stabilire la corretta percezione e declinazione formale, del concetto di responsabilità

generale del Titolare del trattamento.

A.1.1.1 Consapevolezza del Titolare del trattamento

Metodo di controllo: Verificare la reale consapevolezza del Titolare del trattamento e come

sia diffusa e permeata all’interno dell'Organizzazione. Verificare evidenze documentali dello

svolgimento di azioni di sensibilizzazione interna.

A.1.1.2 Adozione di un manuale privacy

Metodo di controllo: Verificare che il abbia redatto e mantenga un manuale sinottico, che

descriva le procedure dall'organizzazione. Ogni procedura dovrà essere identificabile

A.1.1.3 Riesame delle attuate

Metodo di controllo: La politica della protezione dei dati deve essere riesaminata almeno

una vota l'anno ovvero ogni qualvolta si verifichino cambiamenti significativi, normativi, ci

sistema, di personale

A.1.1.4 Assegnazione interna dei ruoli

Metodo di controllo: Verificare che ci sia un'assegnazione dei ruoli per la corretta

ripartizione delle responsabilità.

A.1.1.5 Riesame della direzione

Metodo di controllo: Verificare che le procedure per la compliance del trattamento dei dati

personali, sia coerentemente valutato nel riesame della direzione.

A.2 - SOGGETTI PRIVACY IMPLICATI NEI TRATTAMENTI

A2.1 Titolare del trattamento

Assicurare il rispetto delle norme vigenti da parte del Titolare

A2.1.1 Titolarità del trattamento

Metodo di controllo: Verificare che sia chiaramente compresa e definita la titolarità dei

trattamenti all’interno dell'organizzazione.

A2.1.2 Titolare del trattamento che non è stabilito nell’Unione Europea

Metodo di controllo: Verificare l'eventuale nomina scritta di un "Rappresentante" del

Titolare o del Responsabile, stabilito in uno degli stati membri dove si trovano gli Interessati.

A2.2 Contitolare del trattamento

Metodo di controllo: Stabilire e assicurare la corretta ripartizione delle responsabilità

A2.2.1 ConTitolare del trattamento

Metodo di controllo: Il Titolare del trattamento se stabilisce finalità e mezzi del trattamento

congiuntamente con altri Titolari, deve redigere un documento dove vengono chiaramente

ripartite le responsabilità e le competenze.

A2.2.2 Esercizio dei dritti e comunicazioni all'interessato nella Contitolarità del

trattamento

Metodo di controllo: Quando sono presenti accordi di Contitolarità il Titolare deve

assicurarsi che l'Interessato possa esercitare i suoi diritti.

A2.2.3 Comunicazione dell'accordo di contitolarità all’interessato

Metodo di controllo: L’Interessato deve essere messo a conoscenza del contenuto

essenziale dell'accordo fra Contitolari.

A2.3 Responsabile del trattamento

Assicurare il rispetto delle prescrizioni del Titolare

A2.3.1 Garanzie richieste al Responsabile

Metodo di controllo: Deve essere verificata la competenza e la conoscenza. specialistica del

Responsabile

A2.3.2 Certificazione del Responsabile

Metodo di controllo: Verificare se il Responsabile applica codici di condotta o adotta

meccanismi certificazione al fine di comprovare la sua conoscenza e compliance alle norme

vigenti.

A2.3.3 Contratto con i esterni

Metodo di controllo: Verificare che all’interno del contratto o in appositi allegati sia

chiaramente riportato:

Materia disciplinata

Durata del trattamento

Natura del trattamento

Finalità da trattamento

Tipo di dati personali

Categorie degli interessati

Misure di sicurezza adottate

Istruzioni operative

A2.3.4 Completamento dei trattamenti da parte di Responsabili esterni

Metodo di controllo: Verificare che, per ogni singolo trattamento, il Responsabile esterno

designato si attenga alle indicazioni del Titolare circa la restituzione e/o la cancellazione dei

dati personali trattati.

A2.3.5 Audit programmati ai Responsabili esterni

Metodo di controllo: Verificare che, nella nomina o nel contratto con il Responsabile siano

previsti audit programmati (audit di seconda parte).

A2.3.6 Nomina e Qualità dei Sub Responsabili

Metodo di controllo: Qualora il Responsabile del trattamento, ricorra ad altro Responsabile (o

eventuale sub-responsabile) del trattamento, verificare che il Titolare abbia predisposto adeguate

misure di autorizzazione e monitoraggio.

A2.3.7 Verifica dei Sub-Responsabili

Metodo di controllo: Verificare che il Responsabile applichi processi di monitoraggio ai sub-

Responsabili

A2.4 Responsabile della protezione dei dati (RPD/DPO Art. 37, 38 e 39 Regolamento)

Verificare la correttezza delle valutazioni effettuate dal Titolare o dal Responsabile in merito alla

designazione, alla scelta e ai compiti del Responsabile della Protezione dei dati (D. P. O.)

A2.4.1 Designazione del Responsabile della protezione (RPD/DPO)

Metodo di controllo: Verificare che, in merito alla designazione e all'operato dell'RPD

(DPO), siano stati rispettati gli adempimenti normativi.

A2.4.2 Designazione di un unico RPD (DPO) per un gruppo imprenditoriale

Metodo di controllo: ln caso di scelta da parte di un grupo imprenditoriale di nominare un

RPD (DPO), verificare se tale scelta sia compatible con l'agevole disponibilità di intervento in

ciascuno stabilimento.

A2.4.3 Designazione di un unico RPD (DPO) da parte di più organismi o autorità

pubbliche

Metodo di controllo: Nel caso in cui più organismi pubblici ricorrano alla nomina di un unico

RPD (DPO), verificare che la scelta sia documentata e circostanziata nel rispetto della

valutazione della struttura organizzativa e dimensionale.

A2.4.4 Dati di Contatto dell'RPD (DPO)

Metodo di controllo: Verificare che nella informativa, i dati di contatto dell'RPD (DPO) siano

chiari e ben declinati.

A2.4.5 Qualifiche professionali dell'RPD (DPO)

Metodo di controllo: Verificare che la scelta dell'RPD (DPO), tenga conto delle conoscenze

specialistiche della normativa e delle prassi in materia di protezione dei dati.

A2.4.6 Indipendenza del Responsabile della protezione dei dati (DPO)

Metodo di controllo: Verificare che il Responsabile della protezione dei dati (DPO),

dipendente o consulente del Titolare, sia messo in condizioni di alle funzioni e ai compiti

assegnategli in modo indipendente, senza condizionamento alcuno.

A3 - PRINCIPI APPLICABILI AL TRATTAMENTO E TUTELA DEI

DIRITTI

A.3.1 Responsabilizzazione (Accountability)

Obiettivo: Assicurare la corretta applicazione dei principi di trattamento e qualità dei dati

A.3.1.1 Finalità del trattamento

Metodo di controllo: Verificare che i dati vengano utilizzati solo per finalità determinate,

esplicite e legittime. Verificare inoltre che il trattamento di dati personali avvenga in modo

trasparente nei confronti dell’Interessato.

A.3.1.2 Compatibilità della Finalità

Metodo di controllo: Successivi utilizzi dei dati personali devono essere sempre compatibili

con la finalità dichiarata.

A.3.1.3 Pertinenza del trattamento

Metodo di controllo: Verificare che i dati trattati siano funzionali alla finalità dichiarata e

perseguita.

A.3.1.4 Qualità ed esattezza dei dati

Metodo di controllo: Verificare la presenza di procedure per la valutazione, rettifica 0

cancellazione dei dati inesatti o non più funzionali rispetto alle finalità.

A.3.1.5 Dati personali acquisiti da soggetti terzi

Metodo di controllo: Il fornitore deve garantire il rispetto delle norme vigenti in relazione al

trattamento di dati personali. Il fornitore può comprovare la propria compliance al

Regolamento anche mediante adesione a codici di condotta o meccanismi di certificazione.

A.3.1.6 Misura della qualità dei dati

Metodo di controllo: Deve essere identificata una metrica per la misura della qualità dei

dati personali per ogni trattamento, sulla base delle caratteristiche del modello di qualità

dei dati [cfr. ISO 25012]

A.3.1.7 Limitazione dei dati personali raccolti

Metodo di controllo: Il Titolare deve documentare l'impostazione per la minimizzazione dei

dati raccolti, limitandone la quantità in relazione alla finalità.

A.3.1.8 Conservazione dei dati personali

Metodo di controllo: Verificare che i dati personali degli interessati siano conservati in una

forma che consenta la loro identificazione per un periodo non superiore a quello necessario

per reindirizzare le finalità per cui sono trattati.

A.3.1.9 Riesame dei processi per la valutazione della qualità ed esattezza dei dati

Metodo di controllo: Deve essere riesaminata almeno annualmente la politica di gestione

della esattezza dei dati, anche in sede di riesame della direzione

A.3.2 Requisiti di liceità del trattamento dei dati personali

Obiettivo: Valutare la base giuridica del trattamento

A.3.2.1 Base giuridica e principi del trattamento

Metodo di controllo: valutare la base su cui il Titolare del trattamento ha fondato la liceità

del trattamento di dati personali e verificare che ogni trattamento sia fondato su una

specifica base giuridica.

A.3.2.2 Consenso al trattamento

Metodo di controllo: Se la base giuridica del trattamento è basata sul consenso, verificare

che la organizzazione abbia pianificato una corretta politica di acquisizione dei consensi.

A.3.2.3 Revocabilità del consenso

Metodo di controllo: Verificare che quando l’interessato abbia prestato il consenso per un

trattamento, possa revocarlo agevolmente in qualsiasi momento

A.3.2.4 Consenso differenziato

Metodo di controllo: Se la base giuridica del trattamento è basata sul consenso, verificare

che sia stato richiesto uno specifico consenso ni finalità.

A.3.2.5 Consenso dei minori

Metodo di controllo: Nel caso vegano trattati dati personali di minori, verificare che il

consenso sia prestato o autorizzato dal Titolare della potestà genitoriale sul minore, in

considerazione delle tecnologie disponibili

A.3.2.6 Tracciabilità dei consensi

Metodo di controllo: Quando il consenso costituisce la base giuridica del trattamento, deve

essere predisposta una procedura al fine di verificare che l’interessato abbia prestato il suo

consenso o lo abbia revocato

A.3.3 Informativa

Obiettivo: Valutare la conformità e le regole di rilascio all'interessato

A.3.3.1 Consegna e contenuto della informativa direttamente

Metodo di controllo: Verificare che siano soddisfatte le condizioni previste per informare i

soggetti interessati

A.3.3.2 Informazioni acquisite da altra fonte

Metodo di controllo: Verificare che, qualora i dati siano stati ottenuti da altra fonte e non

direttamente dall'interessato, il Titolare abbia provveduto ad adempiere all'obbligo di

informare l’interessato.

A.3.3.3 Requisiti della informativa

Metodo di controllo: Verificare che la informativa rispetti i requisii previsti dalle norme

vigenti. Deve essere garantita la corretta informazione agli interessati.

A.3.3.4 Esenzione dalla informativa

Metodo di controllo: Verificare se il caso di specie rientri nelle ipotesi di deroga di fornire

informativa all'interessato.

A.3.4 Diritti dell'interessato

Valutare il corretto rispetto dell'esercizio dei diritti dell’interessato

A.3.4.1 Esercizio dei diritti dell’interessato

Metodo di controllo: Verificare che siano state predisposte adeguate procedure per

raccogliere e catalogare le richieste di esercizio dei diritti anche al fine di una agevole

fruizione degli stessi ai fini della rettifica delle informazioni.

A.3.4.2 Necessità di Riscontro

Metodo di controllo: Verificare che sia fornito all’interessato un riscontro nei termini di

legge; l’organizzazione deve dotarsi di adeguate procedure allo scopo.

A.3.4.3 Diritto alla cancellazione (Oblio)

Metodo di controllo: Verificare che il Titolare abbia attuato politiche idonee ad attuare la

cancellazione o l’opposizione al trattamento dei dati personali qualora l'interessato eserciti i

propri diritti, revocando il consenso oppure se vengono meno i presupposti di finalità,

conservazione o il trattamento dei dati è in violazione del regolamento.

A.3.4.4 Diritto alla portabilità

Metodo di controllo: Se i dati sono trattati con mezzi automatizzati, sono trattati in virtù

del consenso dell’interessato o in base a contratto e Sono stati da questo forniti al Titolare,

verificare che il Titolare abbia predisposto idonee procedure per consentire all'interessato di

ricevere i propri dati personali o di ottenerne il trasferimento ad altro titolare, in un formato

strutturato, di uso comune e da dispositivo automatico.

A.3.5 Limitazione del trattamento

Assicurare la applicazione corretta di diritti particolari

A.3.5.1 Diritto di opposizione alla profilazione del trattamento

Metodo di controllo: Verificare che l'interessato possa scegliere di non essere sottoposto a

una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione,

fatte salve le eccezioni previste dal regolamento.

A.3.5.2 limitazione trattamento

Metodo di controllo: Obiettivi e metodo di controllo Il Titolare deve porsi nella condizione di

recepire le istanze di limitazione del trattamento presentate dal soggetto interessato sui

dati che lo riguardano, sussistendone i presupposti di legge.

Verificare, pertanto, resistenza di procedure specifiche che ne consentano r attuazione

nonché la formazione del personale

A4- ADEGUAMENTO IN FASE PROATTIVA Dl TRATTAMENTO

(privacy by design e by default)

A4.1 Tutela dei diritti sin dalla progettazione

Dimostrazione della compliance del titolare attraverso l’adozione di politiche interne a tutela dei dati

personali sin dalla progettazione e per impostazione predefinita

A4.1.1 Attuazione delle politiche di tutela dei dati sin dalle politiche interne e

attuando misure sin dalla progettazione

Metodo di controllo: Verificare che il Titolare abbia adottato politiche interne e attuato

misure che tutelino i dati personali sin dalla fase di progettazione dei prodotti e dei servizi

ed all'atto del trattamento.

A4.1.2 Monitoraggio delle politiche di privacy design e by default

Metodo di controllo: Verificare che il Titolare sia dotato di un sistema di monitoraggio delle

politiche adottate, affinché le stesse possano adeguarsi ai mutamenti e all'insorgere di

nuovi rischi.

A4.1.3 Rischi per i diritti e le Ibertà degli interessati

Metodo di controllo: Verificare che il Titolare abbia previsto in fase di progettazione dei

prodotti o servizi, a seguito di una valutazione d’impatto, le adeguate misure a mitigare il

rischio.

A4.1.4 Impostazione predefinita, necessaria, dati trattati tutelino i dati personali sin

dalla fase di progettazione dei prodotti e dei servizi ed all'atto del trattamento.

Metodo di controllo: Verificare che il Titolare del trattamento abbia strutturato le relative

operazioni in modo da rendere minimo il trattamento dei dati personali.

A4.1.5 Gestione del rischio e delle politiche di protezione dei datl dal momento della

determinazione dei mezzi

Metodo di controllo: Verificare che il Titolare o Responsabile gestiscano la selezione dei

fornitori di prodotto o servizio, attraverso la verifica dei di protezione dei dati fin dalla

progettazione e default.

A4.1.6 Certificazione

Metodo di controllo: Verificare la presenza di eventuali certificazioni utilizzate per

dimostrare la compliance al punto in oggetto (art. 25. 1 e 2).

A.5 - OBBLIGHI GENERALI E SICUREZZA DEI DATI PERSONALI

A.5.1 — Mappatura e Registri del trattamento

Censire e descrivere le caratteristiche fondamentali dell'attività del Titolare o del

responsabile del trattamento alo di disporre di un quadro aggiornato dei trattamenti in

essere all'interno dell'organizzazione.

A.5.1.1 Mappatura delle categorie di attività dei dati personali

Metodo di controllo: Verificare che sia stata predisposta una mappatura sistematica dei

trattamenti dei dati personali. La mappatura dovrà avere un livello di dettaglio tale da

consentire la verifica di compliance alle prescrizioni del Regolamento.

A.5.1.2 Predisposizione del registro dei trattamenti

Metodo di controllo: Verificare che l'organizzazione abbia effettuato le corrette valutazioni

circa la tenuta del registro del trattamento. Tale adempimento non deve rappresentare un

semplice atto formale.

A.5.1.3 Mancata redazione del registro

Metodo di controllo: Verificare che se ne ricorrano i presupposti, che rendono non

obbligatorio il registro delle operazioni ci trattamento e che il Titolare 0 il responsabile

abbia documentato con atto scritto le sue motivazioni.

A.5.1.4 Informazioni contenute nel Registro del Titolare

Metodo di controllo: Verificare che nel registro del Titolare, siano presenti le seguenti

informazioni:

A. nome e generalità del Titolare

B. dati di contatto del Titolare e/o del/i Contitolare/i e del RPD/DPO (se nominato)

C. finalità

D. descrizione delle categorie di interessati

E. descrizione delle categorie di dati personali

F. categorie di destinatari

G. trasferimento pressi paesi terzi,

H. compreso l’identificazione e le adeguate garanzie

I. trasferimento presso un'organizzazione internazionale

J. termine ultimo per la cancellazione per le diverse categorie di dati

K. descrizione misure di sicurezza

A.5.1.5 Valutazione del Responsabile

Metodo di controllo: Verificare che nel registro del Responsabile, siano presenti le seguenti

informazioni:

A. Il nome e i dati di contatto del responsabile/i di ogni Titolare del trattamento per

conto del quale agisce il responsabile del trattamento

B. Le categorie di trattamenti effettuate per conto di ogni Titolare

C. I trasferimenti di dati verso un paese terzo

D. L’identificazione del paese terzo e le adeguate garanzie

E. Descrizione delle misure di sicurezza adottate

A.5.1.5 Conservazione e accesso ai registri

Metodo di controllo: Verificare che le modalità di accesso ai registri in formato elettronico o

di conservazione per quelli in formato cartaceo, siano dotate di controllo di accesso o

verifica.

A.5.2 Sicurezza del trattamento

Assicurare la gestione di sicurezza dei dati personali e prevenire intrusioni nei sistemi e gli

spazi della organizzazione

A.5.2.1 Misure di sicurezza

Metodo di controllo: Verificare che a seguito della valutazione dei rischi, il Titolare e il

Responsabile del trattamento, abbiano adottato misure adeguate e compatibili per

impedire qualsiasi forma illegittima di trattamento, garantendo l'Integrità, la

confidenzialità, la disponibilità e resilienza dei sistemi che trattano i dati.

A.5.2.2 Prevenzione della perdita di dati personali

Metodo di controllo: Verificare i meccanismi e le procedure adottate per prevenire la

perdita di dati personali.

A.5.2.3 Amministratori di Sistema

Metodo di controllo: Verificare le misure e le cautele adottate dal Titolare e dal

Responsabile del trattamento nel controllare le attività svolte dagli Amministratori di

Sistema (ADS).

A.5.2.4 Data Breaches

Metodo di controllo: Verificare resistenza di una procedura interna per corretta gestione

delle violazioni di dati personali, la adozione di misure preventive e di rimedio, la

valutazione della obbligatorietà della notificazione della violazione dei dati personali alle

autorità di supervisione competente nei tempi e nei modi previsti dal Regolamento e la

comunicazione ai tutti interessati quando previsto

A.5.3 — Misure organizzative la protezione dei

Stabilire se il Titolare ha adottato tutte le politiche interne per garantire la applicazione dei

principi di protezione dei dati personali.

A.5.3.1 Impegni del Titolare del trattamento per la sicurezza dei dati personali

Metodo di controllo: Verificare che il Titolare e Responsabile del trattamento dimostrino di

supportare attivamente il processo di gestione della sicurezza del trattamento dei dati

personali, anche attraverso la somministrazione di programmi di formazione

dell'organizzazione interna.

A.5.3.2 Coordinamento per le politiche della sicurezza

Metodo di controllo: Il Titolare ed il Responsabile del trattamento deve strutturare un

modello organizzativo con figure e ruoli, operativi e di coordinamento nell'ambito della

sicurezza. Devono essere effettuate riunioni di coordinamento per [attuazione delle

procedure di stabilite, con cadenza regolare. almeno annuale.

A.5.3.3 Valutazione del rischio

Metodo di controllo: Il Titolare del trattamento deve essere redatto un documento di

valutazione del rischio del trattamento che riporti re-identificazione, l'analisi, la

ponderazione, il trattamento del rischio stesso

A.5.3.4 Identificazione del rischio

Metodo di controllo: Nell'identificazione dei rischi, deve essere valutato se il rischio

incombe Su uno o più trattamenti o su parti di esso e, se del caso, descrivere quali.

A.5.3.5 Modello la rappresentazione della valutazione dei rischi

Metodo di controllo: Il modello analitico di rappresentazione dei rischi deve prevedere dei

criteri di misurazione. Verificare la coerenza del modello e dei criteri di rischio sulla della

tipologia di organizzazione e dei trattamenti svolti.

A.5.3.6 Ponderazione del rischio

Metodo di controllo: A seguito di un processo di analisi, il Titolare deve confrontare il livello

di rischio programmato rispetto a quello al fine di garantire un livello di sicurezza adeguato

al rischio.

A.5.3.7 Trattamento del rischio

Metodo di controllo: Nel caso in cui i criteri utilizzati evidenzino un rischio non elevato, il

Titolare deve attuare misure di che riducano il livello di rischio.

A.5.3.8 Consapevolezza del rischio da parte del personale del'organizzazione

Metodo di controllo: Il Titolare del trattamento deve assicurarsi che tutto il personale tutto

il personale della organizzazione abbia una corretta percezione del rischio legato al

trattamento dei dati personali.

A.5.3.9 Rischio residuo

Metodo di controllo: Il Titolare del trattamento deve documentare, monitorare,

riesaminare il rischio residuo che dopo che sono state implementate le misure di

mitigazione risulti ancora presente.

A.5.3.10 Riesame del rischio residuo

Metodo di controllo: Il Titolare del trattamento deve pianificare, in modo regolare, un

processo di sorveglianza dei rischi.

A.5.4 — Misure tecniche per la protezione dei dati personali

Assicurare la corretta applicazione di misure tecniche adeguate per verificare e valutare se

le politiche adottate dal Titolare la sicurezza del trattamento.

A.5.4.1 Protezione del trattamento

Metodo di controllo: Il trattamento deve essere progettato per ere ai requisiti di contesto e

finalità.

A.5.4.2 Pseudonimizzazione dei dati

Metodo di controllo: Verificare, ove applicabile, che il Titolare o il responsabile del

trattamento, abbiano previsto la pseudonimizzazione dei dati personali e che la tabella di

transcodifica degli stessi sia conservata separatamente, adottando misure adeguate ai

rischi.

A.5.4.3 Cifratura dei dati

Metodo di controllo: Verificare, ove applicabile, che il Titolare o il Responsabile abbia

pianificato, descritto e adottato algoritmi di cifratura per garantire un livello di sicurezza

adeguato al rischio.

A.5.4.4 Limitazione di accesso ai dati personali

Metodo di controllo: Verificare che i dati personali oggetto del trattamento non siano, per

impostazione predefinita, accessibili un numero indefinito di persone. Verificare che

l’interessato possa avere un controllo sul trattamento dei propri dati.

A.5.4.5 Standard a presidio della Riservatezza Integrità e disponibilità

Metodo di controllo: Per il rispetto dei presupposti di integrità, riservatezza, e disponibilità

delle informazioni verificare che l’organizzazione si basi su standard o best- practices

internazionali per il loro presidio.

A6 - VALUTAZIONE D'IMPATTO

A.6.1 Necessità e metodologie per lo svolgimento della Valutazione d'Impatto (DPIA)

Assicurare il rispetto del Regolamento qualora i trattamenti possano presentare un rischio

elevato per i diritti e le libertà persone fisiche.

A.6.1,1 Svolgimento della Valutazione d'impatto

Metodo di controllo: Verificare che Titolare del trattamento efficacemente analizzato e

documentato la scelta di effettuare o, di non effettuare, una valutazione d’impatto dei

trattamenti.

A.6.1.2 Supporto del Responsabile della protezione dei dati

Metodo di controllo: Verificare che al momento dello svolgimento della Valutazione

d’impatto (DPIA), il Titolare si sia consultato con il DPO qualora designato. Tale

consultazione e conseguenti decisioni devono avere un'evidenza scritta.

A.6.1.3 Opinioni degli interessati 0 dei loro rappresentanti

Metodo di controllo: Verificare che il Titolare, ove ne ricorrano i presupposti, consultato o

meno, gli interessati o i loro rappresentanti.

A.6.1.4 Esaustività della forma

Metodo di controllo: Verificare che nel documento di DPIA relativo al trattamento sia

descritto in maniera chiara ed esaustiva almeno il contenuto minimo richiesto dal

regolamento.

A.6.1.5 Consequenzialità e integrazione documentale fra Valutazione del rischio e

DPIA

Metodo di controllo: Verificare che la Valutazione d'Impatto venga effettuata oltre che nei

casi previsti del Regolamento, ogni volta che da una valutazione oggettiva e misurabile

evidenzi un rischio elevato per ogni trattamento o sui trattamenti simili.

A.6.1.6 Riesame programmato e costante della DPIA

Metodo di controllo: Verificare che il Titolare proceda a riesami regolari e costanti della

DPIA, per valutare se i trattamenti siano effettuati conformemente, o allorquando

insorgono variazioni del rischio dalle attività relative al trattamento.

A. 7 TRASFERIMENTO DEI DATI PERSONALI VERSO PAESI TERZI E

CLOUD COMPUTING

A.7.1 Valutare la compliance delle modalità adottate per trasferire i dati fuori dalla UE

A.7.1.1 Trasferimento di dati personali verso un Paese terzo

Metodo di controllo: Nel caso di trasferimento dei dati verso paesi extra EU, verificare che il

Titolare abbia rispettato le condizioni previste dal Regolamento, conducendo

preliminarmente tutte le valutazioni necessarie e che le stesse siano documentate.

A.7.1.2 Trasferimento in base a garanzie adeguate

Metodo di controllo: Quando un trasferimento di dati personali avviene fuori dall'unione

europea e tale trasferimento avviene in base a garanzie adeguate, accertare che

l'applicazione effettiva delle garanzie, sia verificata e monitorata.

A.7.1.3 Trasferimento in base alle Norme vincolanti d'impresa (BCR)

Metodo di controllo: Verificare che l'organizzazione sia dotata di adeguati meccanismi di

vigilanza sul rispetto - suo e degli altri membri del medesimo gruppo imprenditoriale non

stabiliti nel territorio dell'Unione - dei vincoli assunti mediante le Norme Vincolanti

d'Impresa sottoscritte da tutti i membri interessati del gruppo di imprese, compresi i loro

dipendenti.

A.7.1.4 Ruolo del DPO nelle Norme vincolanti d'Impresa

Metodo di controllo: Verificare i compiti e il ruolo attribuito al DPO nelle norme vincolanti di

impresa.

A.7.1.5 Clausole contrattuali ad hoc

Metodo di controllo: Al di fuori del ricorso a modelli contrattuali approvati dalla

Commissione UE oppure ad accordi amministrativi stipulati fra autorità pubbliche, nel caso

in cui il Titolare del trattamento desidera utilizzare clausole, verificare che tali clausole siano

oggetto di approvazione da parte della competente autorità di supervisione (es. BCR)

A.7.1.6 Deroghe particolari

Metodo di controllo: ln caso di trasferimenti di dati personali in paesi extra UE, agli artt. 45,

46 e 47, verificare se le condizioni dal Titolare siano correttamente impostate e applicare e

se è presente una procedura adeguata

A.7.2 Obiettivo: Gestione dei dati personali su Cloud computing

Gestione dei dati personali su Cloud Computing

A.7.2.1 Ponderazione dei rischi e dei benefici dell’utilizzo del cloud

Metodo di controllo: Verificare che il Titolare abbia effettuato una approfondita

comparazione fra rischi e benefici per il suo impiego. La valutazione deve limitare le

tipologie di dati da conservare in cloud in relazione al rischio.

A.7.2.2 Affidabilità del fornitore di Cloud computing

Metodo di controllo: Verificare che il Titolare abbia constatato le garanzie di capacità e

affidabilità del fornitore, unitamente alle misure per garantire la confidenzialità dei dati e la

continuità attiva.

A.7.2.3 Residenza fisica dei server

Metodo di controllo: Verificare che il Titolare sia a conoscenza di dove risiedano fisicamente

i server e che constatato che il trasferimento dei dati fra diversi paesi sia tutelato dalle

misure di salvaguardia dal Regolamento.

A.7.2.4 Clausole contrattuali

Metodo di controllo: Valutare se e il Titolare abbia verificato la idoneità delle condizioni

contrattuali per l'erogazione dei servizi di cloud computing, in particolare riguardo la

previsione di garanzie in materia di dati personali.

A.7.2.5 Tempi di persistenza dei dati

Metodo di controllo: Verificare il termine ultimo, alla scadenza del contratto, oltre il quale il

fornitore cancella definitivamente i dati.

A.7.2.6 Sicurezza del servizio utilizzato

Metodo di controllo: Verificare che il Titolare, prima di adottare il servizio di cloud

computing, abbia valutato le misure di sicurezza adottate da fornitore del servizio.

A.7.2.7 Personale preposto all’uso del cloud computing

Metodo di controllo: Verificare che il personale aziendale preposto all’utilizzo del cloud sia

stato sottoposto a specifiche attività formative, documentate.

ANNESSO CHK-ICT-SPPD OBIETTIVI E METODO Dl CONTROLLO ICT DEL

SISTEMA PRIVACY E PROTEZIONE DEI DATI

Committente

……………………………………………………..

Data Center

……………………………………………………..

Auditor

……………………………………………………..

Data audit

……………………………………………………..

ANNESSO CHK-ICT-SPPD OBIETTIVI E METODO Dl CONTROLLO ICT DEL

SISTEMA PRIVACY E PROTEZIONE DEI DATI

RIF: MSPPD: Check-list operativa per audit alle infrastrutture e i sistemi ICT

La Sicurezza Informatica aziendale è condotta a diversi livelli di implementazione la cui verifica completa è basata su una base di consensus derivata dalle Guide Lines delle famiglie ISO-27000 e ISO-20000 rispettivamente per l’audit di Sistemi di Gestione della Sicurezza delle Informazioni (ISMS) e di Qualità e Sicurezza dei Servizi Informatici (SSMS)

AUDIT ICT (SISTEMA TQM integrazione ISO-27001/ISO-20000)

REV. PASS N.C.

1. HARDWARE: check list di controllo e/o configurazioni

2. SOFTWARE: check list di controllo e/o configurazioni

3. NETWORK: check list di controllo e/o configurazioni

4. AUTOMAZIONE: check list di controllo e/o configurazioni

5. FATTORI UMANI: check list di controllo e/o configurazioni

❑

❑

❑

❑

❑

❑

❑

❑

❑

❑

❑

❑

❑

❑

❑

1. HARDWARE: check list di controllo e/o configurazioni

Controlli sugli Apparati Badge di identificazione

Privilegi per l'accesso fisico

Protezione fisica dei dispositivi Data Centers

Controlli ambientali Cavi e armadi di cablaggio

Utilizzo e distruzione di dispositivi elettronici Stampe

2. SOFTWARE: check list di controllo e/o configurazioni

Applicazione e sistemi operativi Assegnazione Privilegi Utilizzo Applicazioni Circolazione dati e modifiche Sistemi di autenticazione Policy di Autenticazione Passwords Autenticazione Avanzata Biometria

3. NETWORK: check list di controllo e/o configurazioni

Connettivitá costante Connessione di un apparato alla rete Dispositivi non autorizzati Gestione della rete Monitoraggio di rete Connettivitá Cloud e Piattaforme di condivisione Connettivitá e mobilitá Laptop e smartphone VPN e Modem Cifratura Sicurezza preventiva, firewall etc

4. AUTOMAZIONE: check list di controllo e/o configurazioni

Strategie di backup Dispositivi periferici Sensori remoti e sistemi di controllo

5. FATTORI UMANI: check list di controllo e/o configurazioni

Gestione degli incidenti (dipendenti / incaricati e soggetti autorizzati) Amministrazione della sicurezza Azioni amministrative Audit e review esterne Senior Management Azioni individuali dei dipendenti Attività di reporting da parte dei soggetti autorizzati Monitoraggio delle attività dei dipendenti Formazione dei dipendenti in materia di cyber security Responsabilità personale in tema di sicurezza

Sez.1.AUDIT HARDWARE

Controllo degli apparati

1.1 In azienda esiste un inventario accurato delle apparecchiature elettroniche presenti in

ciascuna stanza delle sue varie sedi?

1.2 L'inventario include un dettaglio di tutti i dispositivi autorizzati per l'utilizzo all'interno

dell'azienda (es. hard disk, pendrive, ecc.)?

1.3 Avvengono periodicamente dei controlli ispettivi a sorpresa per verificare che gli

apparati elettronici siano effettivamente presenti nei luoghi riportati nell'apposito

inventario?

1.4 Se vi sono discrepanze tra l'inventario dei dispositivi elettronici e quelli effettivamente

individuati avviene rapidamente una investigazione del motivo?

1.5 Ogni volta che un dipendente responsabile di un certo apparato ne autorizza lo

spostamento, esiste una procedura rapida ed efficiente per aggiornare tale inventario?

1.6 L'inventario dei dispositivi elettronici per ciascuna sede viene aggiornato ogni volta che

un nuovo dispositivo viene aggiunto o rimosso?

1.7 C'è in azienda una politica esplicita che definisce quali tipologie di apparati possano

essere trasportate fuori dai confini aziendali, nonché le autorizzazioni necessarie a tale

tipo di movimentazione?

1.8 Se un dispositivo di memorizzazione contenente dati sensibili deve essere portato fuori

dall'azienda ci sono procedure di cifratura sui dati?

1.9 C'è una policy che vieta ai dipendenti di pubblicare foto/video di attività che si svolgono

all'interno di aree che includono informazioni sensibili?

1.10 I dipendenti possono portare dispositivi elettronici personali all'interno dell'azienda o

vi è un esplicito divieto?

1.11 Se un dipendente viene identificato mentre porta al di fuori dell'azienda dispositivi di

memorizzazione non autorizzati, ci sono policy che autorizzano l'azienda all'analisi del

dispositivo stesso?

1.12 Se un dispositivo viene smarrito ci sono procedure che permettono di identificarne

rapidamente il contenuto e se tale contenuto è cifrato o meno?

1.13 Sono disponibili dispositivi sostitutivi per le funzionalità più rilevanti (server, desktop,

laptop) in caso di smarrimento o danneggiamento fisico?

1.14 Tali dispositivi sono già configurati e pronti per essere resi opera

Badge di identificazione

1.15 I dipendenti devono indossare un badge identificativo con foto durante le attività

lavorative?

1.16 Ai visitatori esterni viene fornito un badge identificativo temporaneo, eventualmente

con foto?

Privilegi per l'accesso fisico

1.17 Vi sono delle chiare disposizioni formali portate a conoscenza di tutto il personale per

ciò che riguarda le autorizzazioni necessarie per l'accesso al CED, e queste disposizioni

vengono fatte rigorosamente rispettare?

1.18 Sono presenti controlli per identificare chi entra ed esce dagli ambienti in cui operano i

sistemi informativi?

1.19 Sono presenti sistemi di logging degli accessi (data di entrata e data di uscita) da

determinati ambienti?

1.20 I permessi relativi agli accessi a determinate aree fisiche dell'azienda devono essere

rinnovati alla loro scadenza o sono automaticamente validi fino alla loro disattivazione?

1.21 E' identificato chi sono i soggetti che possono apportare modifiche alla lista dei

soggetti autorizzati ad accedere a una specifica area?

1.22 Al momento dell'aggiunta di un nuovo soggetto nella lista delle persone autorizzate, è

prevista una verifica con il soggetto che lo ha autorizzato?

1.23 Avviene un controllo a intervalli predefinito delle liste di accesso per verificare i

soggetti che possono essere rimossi?

1.24 I privilegi di accesso fisico e i relativi badge vengono immediatamente modificati nel

momento in cui un dipendente cambia il suo ruolo di lavoro in azienda?

1.25 I privilegi di accesso fisico e i relativi badge vengono immediatamente disattivati nel

momento in cui un dipendete viene licenziato, lascia l'azienda o va in pensione?

1.26 I privilegi di accesso fisico e i relativi badge concessi a fornitori esterni vengono

immediatamente disattivati nel momento in cui termina il rapporto di collaborazione?

1.27 Avviene una attività di audit dei log di accesso dei dipendenti alle aree contenenti dati

sensibili, per verificare che tali accessi siano compatibili con il ruolo del dipendente

stesso?

1.28 Se vi è una discrepanza che emerge in fase di audit sono previste delle modalità di

investigazione?

1.29 Se vengono utilizzate delle videocamere, specialmente quelle di tipo wireless (senza

fili), a scopo di monitoraggio, esse risultano protette contro tentativi di interferenza,

visioni non autorizzate, e alterazione delle immagini registrate?

Protezione fisica dei dispositivi

1.30 Sono previste delle barriere fisiche per impedire l'utilizzo di porte sui dispositivi (es.

USB e lettori CD)?

1.31 Gli armadi contenenti i dispositivi di rete e cavi di rete sono sempre chiusi a chiave?

1.32 Le porte non utilizzate sugli switch di rete, in particolare le SPAN ports, sono

disattivate per prevenire accessi non autorizzati?

1.33 L'accesso con privelgi di root a router o switch è disattivato di default per impedire

l'accesso non autorizzato?

1.34 L'accesso fisico alle console di gestione di dispositivi di sicurezza della rete (es.

firewall, IPS, IDS) è ristretto unicamente agli utenti autorizzati?

1.35 Sono presenti fax e sono gli stessi protetti dall'accesso da parte di soggetti non

autorizzati?

1.36 I dispositivi elettronici sono etichettati con un codice a barra o altro identificativo?

1.37 Se un apparato elettronico deve comunque lasciare i confini dell'azienda, esiste una

procedura efficiente che permetta di seguirne gli spostamenti?

1.38 Se un apparato informatico è molto sensibile dal punto di vista della sicurezza, esso

risulta corredato di chip a tecnologia RFID (identificazione a radiofrequenza), così da

permetterne la localizzazione in tempo pressoché reale?

1.39 Quando le persone escono dalla sede dell'azienda vengono sottoposte a qualche forma

di scansione per verificare la presenza di dispositivi elettronici?

1.40 Esiste un sistema informatico per verificare che ciascun dispositivo connesso alla rete e

al quale è assegnato un determinato indirizzo IP si trovi proprio in quel posto?

1.41 Se una porta di accesso è attivata, in quanto in uso, ci sono procedure per monitorarne

l'accesso non autorizzato?

1.42 Se i dipendenti notano un utilizzo non autorizzato di dispositivi elettronici all'interno

dell'azienda esiste un canale di facile utilizzo e privato per fare un reporting? Vi sono

eventuali incentivi per chi lo fa?

Data Centers

1.43 L'accesso al centro di elaborazione dati (CED) aziendale viene controllato in modo

continuo, con porte di ingresso tenute sempre chiuse?

1.44 L'accesso al CED è controllato da tecnologie tipo badge a scansione, smartcard, tessere

di prossimità, biometria o serrature a combinazione individuale?

1.45 E' necessario inserire altre forme di credenziali di accesso (es. password, PIN, ecc.) per

accedere al CED?

1.46 Tali sistemi sono sottoposti ad audit o review costanti?

1.47 Esiste un controllo sui fornitori che hanno accesso al CED?

1.48 Esiste un inventario e uno schema dettagliato dei dispositivi presenti nei data center?

1.49 L'accesso al CED è inibito a soggetti terzi che non ne hanno necessità (es. impresa di

pulizia) oppure tali accessi sono monitorati/effettuati alla presenza di soggetti preposti

al controllo?

1.50 Lo stesso inventario viene aggiornato ogni volta che un dispositivo o il modo in cui lo

stesso è collegato viene cambiato?

1.51 Viene impiegata la videosorveglianza per controllare gli spazi di ingresso al CED o ad

altre aree che ospitano apparecchiature di elaborazione dati?

1.52 Se il CED è videosorvegliato, il monitoraggio avviene da un sito remoto?

1.53 Se il CED è videosorvegliato, il video stesso viene registrato su un supporto permanente

e resistente alla contraffazione?

1.54 In caso di videosorveglianza dei centri elaborazione dati, le registrazioni video restano

a disposizione per un tempo sufficiente per acconsentire indagini su una violazione di

sicurezza a distanza di diversi mesi?

1.55 Chi si occupa delle informazioni fornite all'esterno (es. sito web) è istruito per non

pubblicare specifiche relative ai data centers?

1.56 I centri critici di elaborazione dati e di telecomunicazione sono sufficientemente

lontani da altri complessi permanenti che si possano rivelare fonti pericolose di

incendio, di esplosioni o di perdita di liquidi tossici?

1.57 I centri critici di elaborazione dati e di telecomunicazione sono posti a distanza

sufficiente da posteggi pubblici, strade ed altre aree dove sarebbe facile deporre

sostanze esplosive?

1.58 Le apparecchiature informatiche e di telecomunicazione più critiche sono a distanza di

sicurezza da finestre non blindate, che potrebbero costituire bersaglio di bombe, armi

da fuoco o armi a microonde?

1.59 I componenti degli apparati elettronici o di altra natura che devono essere trasferiti

all'interno del centro elaborazione dati, vengono ispezionati con la necessaria

attenzione per controllare la presenza di eventuali manomissioni?

1.60 In caso di incendio all'interno del CED sono previste idonee misure di gestione

dell'incidente?

1.61 I dispositivi elettronici presenti all'interno del CED sono protetti con lucchetti o altre

misure di sicurezza fisica?

1.62 Il CED è dotato di allarme che monitori la presenza di personale non autorizzato

all'interno?

1.63 Sui sistemi più sensibili sono presenti allarmi o altri sistemi anti-intrusione?

1.64 Se i dipendenti notano un accesso non autorizzato nel CED dell'azienda esiste un canale

di facile utilizzo e privato per fare un reporting? Vi sono eventuali incentivi per chi lo

fa?

1.65 Esiste un piano per spostare le attività più critiche del CED dell'azienda a altri

computer/sistemi aziendali nel caso in cui il CED primario dovesse essere evacuato o

spento?

1.66 Il sito secondario individuato è sufficientemente lontano da quello primario affinché

non sia afflitto dallo stesso problema?

Controlli ambientali

1.67 Esistono sistemi di controllo ambientale - riscaldamento e raffreddamento - in grado di

mantenere costante la temperatura operativa delle apparecchiature elettroniche?

1.68 Tali apparecchiature sono protette dalla presenza d'acqua e da eccessiva umidità?

1.69 Se i controlli ambientali possono essere azionati da postazioni remote, tali controlli

sono adeguatamente protetti da accessi non autorizzati?

1.70 Esistono controlli ambientali che proteggono i sistemi da altri fattori che non siano

temperatura ed umidità, ad esempio fumo, polvere, gas chimici?

1.71 Nei locali del CED e negli armadi da cablaggio, vi sono sensori di controllo ambientale,

in particolare di rilevazione della temperatura, di fumo e d'acqua?

1.72 Le aree che ospitano apparati elettronici sono dotate di un sistema antincendio

adeguato alla tipologia degli apparati presenti?

1.73 Tali sistemi sono configurati per generare un allarme nel caso in cui l'ambiente non

fosse più sicuro per i soggetti che sono all'interno?

1.74 Esiste un documento prontamente consultabile che elenchi la posizione e i tipi di

controlli ambientali in essere, quali rilevatori di incendio, termostati, rilevatori di

acqua, ecc.?

1.75 Esiste un documento prontamente consultabile che elenchi le condizioni ambientali

richieste affinchè i dispositivi elettronici possano operare correttamente?

1.76 I fornitori che gestiscono la sicurezza ambientali dell'azienda sono ammoniti dal non

pubblicizzare il fatto che l'azienda sia propria cliente?

Cavi e armadi di cablaggio

1.77 Esiste un piano dettagliato dell'intero cablaggio dati aziendale?

1.78 Esiste un piano dettagliato dell'intero cablaggio elettronico aziendale?

1.79 La documentazione relativa ai cablaggi è protetta da accessi non utilizzati?

1.80 Esiste una etichettatura puntuale di tutti i cablaggi, anche all'interno degli armadi, per

facilitare una riconfigurazione?

1.81 Tale etichettatura è studiata in modo tale che non sia immediatamente comprensibile

ad un occhio esterno?

1.82 Esiste un piano per il fabbisogno energetico sia nei momenti di attività normale sia nei

momenti di picco?

1.83 Esistono sistemi di allarme che identifichino che un determinato cavo è stato tagliato?

1.84 Sono presenti sistemi anti-intrusione di qualche tipo negli armadi di cablaggio?

1.85 Esiste un piano di sorgente di corrente di back-up per tutti i sistemi critici?

1.86 Sono presenti gruppi di continuità nelle vicinanze di sistemi di videosorveglianza?

1.87 Se sono installati degli UPS, risultano protetti da accessi remoti non autorizzati?

1.88 I generatori di riserva vengono protetti tramite dispositivi di sicurezza fisica quali

serrature, allarmi, o recinti con filo spinato?

1.89 I dispositivi di alimentazione di riserva sono collocati in luoghi non esposti a fenomeni

di inondazione?

1.90 E' predisposto un meccanismo di protezione contro i picchi anomali di tensione

provocati da fulmini o da mezzi artificiali?

1.91 Sono effettuati regolarmente dei test relativi alla tenuta del sistema di energia

secondaria?

Utilizzo e distruzione di dispositivi elettronici

1.92 Esistono procedure per il wiping o la distruzione sicura di qualsiasi dispositivo

elettronico di memorizzazione?

1.93 Esistono procedure sufficientemente rigorose per effettuare la distruzione o la

cancellazione irreversibile dei supporti di memoria, quali dischi fissi, nastri, dischi flash

o zip, al termine della loro vita utile in azienda?

1.94 Esistono procedure sufficientemente rigorose per la cancellazione irreversibile dei

supporti di memoria che vengono consegnati ad altri in caso di sostituzione in garanzia,

di vendita al pubblico, o di donazioni ad enti di volontariato?

1.95 Viene seguita una rigorosa catena di custodia per la distruzione dei dispositivi di

memorizzazione?

1.96 Ci sono procedure relativamente all'utilizzo di dispositivi esterni di memorizzazione?

1.97 I dispositivi da distruggere sono conservati in un ambiente idoneo e controllato prima

della distruzione?

1.98 I CD contenenti dati sensibili aziendali vengono fisicamente distrutti?

1.99 Viene verificata l'effettiva cancellazione sicura dei dati, ad esempio tramite un

soggetto terzo?

1.100 Quando un dipendente lascia l'azienda, i dispositivi che utilizzava sono riutilizzati?

1.101 In caso affermativo, si procede ad effettuarne una copia forense?

1.102 In caso negativo, si procede a conservare il dispositivo (o il relativo contenitore di

dati) per

eventuali successive attività investigative?

1.103 Se un documento contiene informazioni altamente sensibili viene mantenuto un

record di ogni volta che viene stampato o copiato?

1.104 Ci sono procedure per restringere l'accesso a stampe contenenti dati particolarmente

sensibili?

1.105 Esistono contenitori sicuri dove inserire i documenti cartacei che devono essere

distrutti in modo sicuro?

1.106 I dipendenti sono formati per una distruzione dei documenti cartacei contenenti dati

sensibili?

sez.2. AUDIT SOFTWARE

Applicazione e sistemi operativi

2.1 In azienda esiste un inventario accurato dei software di sitema e applicativi installati?

2.2 Esiste una policy inerente quali software i dipendendi possano/non possano usare?

2.3 Esiste un inventario di quali applicazioni richiedano accessi amministrativi e quali utenti

posseggano tali privilegi?

2.4 Esiste una procedura per la documentazione e il tracking delle applicazioni

2.5 Esiste una lista comprensiva di tutti gli script/applicazioni che utilizzano credenziali

embedded?

2.6 Esiste il patch management tracking, cioè log delle patch richieste, delle patch pronte,

date di ricezione e date di applicazione?

2.7 Viene effettuato un approfondito test di vulnerabilità sulle applicazioni prima che esse

vengano messe in produzione?

2.8 Le impostazioni di sicurezza di default (impostate dal vendor) di un software, vengono

modificate?

2.9 Le password per gli account di servizio (es backup server, etc) sono complesse per

numero di caratteri e loro tipologia?

2.10 La sequenza di boot dei computer aziendali è impostata per fare il boot solo dal disco

del sistema operativo (no CD, no USB)?

2.11 "Gli account ""Amministratore"" sono stati rinominati?"

2.12 Gli account di servizio sono stati rinominati?

2.13 I sistemi aziendali vengono regolarmente controllati alla ricerca di malware e hacking

tool?

2.14 Gli innalzamenti di privilegio vengono loggati e controllati?

2.15 Le richeste di privilegi amministrativi (es: Domain Administrator) sono loggati e

immediatamente controllati?

2.16 Dopo patch/upgrade le configurazioni e le impostazioni del software vengono verificate

(automaticamente)?

2.17 Esiste una procedura per verificare che patch e update sono state installate nei tempi e

modi corretti?

2.18 L'azienda effettua vulnerability testing dopo il deploy di applicazioni/sistemi?

2.19 "L'azienda mantiene la cosiddetta ""golden image"" di riferimento per ogni OS a suite di

applicativi?"

2.20 Viene effettuato un approfondito test da esperti sulle golden image?

2.21 Le golden image sono mantenute in un repository sicuro, accessibile solo da

determinati indirizzi e utenti?

2.22 Vengono calcolati e mantenuti hash (anche multipli) delle golden image?

2.23 Esistono procedure dettagliate per l'aggiornamento (path/upgrade) delle golden image?

2.24 Le procedure di path/upgrade prevedono una fase di test prima di essere applicate in

produzione?

2.25 I tempi di applicazione delle patch/upgrade sono scelti in modo da ridurre eventuali

malfunzionamenti?

Assegnazione Privilegi

2.26 L'accesso alle applicazioni critiche è permesso solo a quegli utenti che lo necessitano?

2.27 Viene chiesto agli utenti una lista delle applicazioni cui loro richiedono accesso?

2.28 La lista delle richieste d'uso delle applicazioni è controllata ed il controllo loggato?

2.29 In caso di prolungata assenza d'uso di una applicazione, all'utente viene rimosso

l'accesso?

2.30 Nel caso l'utente cambi mansione, la lista delle sue applicazioni viene rivista?

2.31 Esiste una procedura di controllo (es: annuale) dei privilegi assegnati agli utenti?

2.32 I privilegi di root/domain admin sono ristretti ai soli utenti che li necessitano?

2.33 I privilegi locali di amministrazione sono disabilitati sui sistemi degli utenti?

Utilizzo Applicazioni

2.34 In caso di nuove vulnerabilità software/hardware, le persone in carico di decidere le

misure prima del rilascio delle patch vengono informate?

2.35 I messaggi di errore sono stati impostati per non rivelare informazioni sul design e

configurazione interna dell'applicazione?

2.36 In produzione, è stato verificato che le feature di debug (o anche semilavorati) siano

state eliminate?

Patch e Update (domande condivise con altre sezioni)

Circolazione dati e modifiche

2.37 "La disseminazione delle informazioni in azienda segue il principio del ""need to

know""?"

2.38 L'azienda ha formalmente assegnato una classificazione ai propri documenti?

2.39 La classificazione delle informazioni, e ciò che ne deriva, è stata comunicata in modo

chiaro ai dipendenti?

2.40 La classificazione delle informazioni viene (es: annualmente) rivista?

2.41 L'accesso ai dati sensibili ristretto ai solo utenti che ne hanno necessità?

2.42 Le informazioni classificate al massimo livello sono mantenute in uno storage cifrato

quando non in uso?

2.43 Agli utenti che accedono a dati sensibili vengono richieste ulteriori forme di

autenticazione (es: password, 2FA)?

2.44 Esistono informazioni finte mescolate con le vere in modo che un attaccante non sappia

distinguerle?

2.45 Il database o contenitore di informazioni classificate è configurato in modo che tali

informazioni non possano essere sovrascritte, ma corrette con revisioni loggate e

archiviate?

2.46 I file di log che devono essere preservati, sono opportunamente trattati (diverse copie

a prova di contraffazione)?

2.47 Nella circolazione di documenti aziendali al di fuori dell'azienda viene usato un

formato di file resistente alle modifiche?

2.48 Nella circolazione di documenti aziendali al di fuori dell'azienda esse vengono firmate

digitalmente?

2.49 Vengono utilizzate firme digitali nello scambio di email interne?

2.50 E' in uso un meccanismo per il controllo e log di tutti i cambiamenti ai database critici?

2.51 Gli upload verso l'esterno di dati sensibili sono monitorati?

2.52 Gli upload verso l'esterno di dati cifrati sono monitorati?

2.53 L'azienda controlla accesso ai dati (almeno quelli sensibili) inusuali?

2.54 L'azienda controlla modifiche ai dati (almeno quelli sensibili) inusuali?

2.55 L'azienda previene fortuiti upload/download di dati sensibili da parte degli utenti fra i

sistemi?

2.56 L'azienda previene la stampa di email/allegati/etc da parte degli utenti non

autorizzati?

2.57 Ai dipendenti viene impedito di salvare dati sensibili su dispositivi come DVD, USB,

salvo specifiche autorizzazioni?

2.58 Esiste un limite alla quantità di dati che può essere acceduta/scaricata da un sistema

ad un altro?

2.59 Se gli utenti possono memorizzare localmente informazioni sensibili, tale azione è

monitorata?

2.60 L'azienda applica watermark ai documenti particolarmente sensibili?

2.61 L'azienda applica beacon ai documenti particolarmente sensibili?

Sistemi di autenticazione

2.62 Esiste policy per l'immediata deattivazione delle password (e altri sistemi di

autenticazione) quando un dipendente fuoriesce dall'azienda?

2.63 Le username login degli utenti sono differenti dal loro nome e indirizzo email?

2.64 Esiste una policy per il cambio password ogni x giorni?

2.65 Alla richiesta di cambio password, gli utenti possono inserire password giá utilizzate in

precedenza?

2.66 I computer/software applicativi vanno in lock dopo un determinato periodo di

inattivitá da parte dell'utente?

2.67 Esiste una policy che richieda il logging di tutti i tentativi di accesso (positivi e

negativi) per le applicazioni/sistemi critici?

2.68 I log di accesso a sistemi critici sono mantenuti su dischi non riscrivibili o comunque

resistenti a manipolazioni?

2.69 Esiste un sistema di allarme automatico in caso di multipli accessi falliti, anche se

questi ultimi sono sparsi nel tempo e fra gli utenti?

2.70 Accessi autorizzati ma temporalmente inusuali vengono analizzati?

2.71 Esiste un sistema di allarme in caso di sottrazione di un file contenente password di

accesso a sistemi?

2.72 Se un amministratore cambia delle password, tali cambiamenti sono loggati e

analizzati in tempo utile?

2.73 Esiste un sistema di allarme in caso di uso di 2FA (es: smart card) che é stato revocato?

2.74 Esiste un sistema di allarme in caso di uso di un account disabilitato?

2.75 Esiste una procedura per il cambio rapido e sicuro di password all'interno

dell'organizzazione (in caso di compromissione)?

2.76 In caso un utente necessiti di recuperare o cambiare una password, vengono utilizzate

domande segrete di cui egli é il solo a conoscerne la risposta?

2.77 In caso un utente necessiti di recuperare o cambiare una password, viene inviato un

link all'email aziendale dell'utente?

2.78 Esiste una procedura rapida e sicura per la deattivazione di token di sicurezza (in caso

di compromissione/smarrimento)?

2.79 L'azienda ha la possibilitá, se necessario, di accedere in modo controllato ad

applicazione e dati protetti dalla password e/o token di un utente?

Policy di Autenticazione

2.80 I sistemi aziendali sono tutti protetti con sistemi di autenticazione di base, come

username e password?

2.81 I tentativi di login sono limitati ad un massimo di x/minuto (piuttosto che in numero

senza limite temporale)?

2.82 Il tempo minimo fra due possibili tentativi di login viene gradualmente aumentato in

caso di fallimenti?

2.83 Se un account o sistema viene acceduto dopo molteplici tentativi falliti, esso viene

immediatamente monitorato per possibile uso improprio?

2.84 Esiste una procedura sicura ed automatica per eliminare gli accessi di un dipendente

una volta fuoriuscito dall'azienda?

Passwords

2.85 Le password devono rispettare criteri minimi di lunghezza e complessitá?

2.86 Vengono eseguiti dei check durante la creazione delle password per verificare se essere

rispettino i criteri minimi impostati?

2.87 Viene impedito l'uso di password note e/o appartenenti alle comuni liste online?

2.88 Esistono policy che richiedano procedure sicure per la generazione e la trasmissione di

password?

2.89 Le password sono sempre e comunque memorizzate in forma cifrata?

Autenticazione Avanzata

2.90 Le informazioni e i sistemi critici richiedono 2FA?

2.91 Le informazioni e i sistemi critici richiedono autenticazione doppia (due utenze)?

Biometria

2.92 Vengono utilizzati sistemi biometrici per l'autenticazione?

sez.3. AUDIT NETWORKS

Connettivitá costante

3.1 Reti per attività che richiedono livelli di sicurezza differenti sono separate fra di loro?

3.2 L'azienda mantiene una lista di tutti i dispositivi in uso, compresi i loro indirizzi MAC?

3.3 L'azienda mantiene una lista di tutti i protocolli e porte usate dagli applicativi installati

sui propri sistemi?

3.4 L'azienda mantiene una lista di tutti i nomi di sistema e loro indirizzi IP?

3.5 Esiste una dettagliata topologia della rete aziendale?

3.6 Il dettaglio della topologia di rete contiene i protocolli ed i percorsi dei servizi?

3.7 I documenti sulla topologia di rete vengono puntualmente verificati e aggiornati?

3.8 I documenti sulla topologia di rete sono accuratamente protetti da accessi non

autorizzati?

3.9 I dispositivi di rete (router, switch, etc.) dispongono di ACL per il loro accesso?

3.10 I cambiamenti di configurazione dei dispositivi di rete richiedono almeno una seconda

revisione prima di essere applicati?

3.11 I cambiamenti di configurazione dei dispositivi di rete vengono opportunamente

loggati?

3.12 Se viene rilevata un'attivitá sospetta da parte di un MAC, tale attivitá viene monitorata

e investigata?

3.13 I sistemi critici hanno connessioni ridondanti per HA?

3.14 Reti critiche hanno ridondanza a livello di switch?

Connessione di un apparato alla rete

3.15 Prima di connettere/inserire un apparato nella rete, esso deve superare dei test di

sicurezza?

3.16 Le impostazioni di default di un apparato vengono modificate prima di connetterlo in

rete (es: username e password)?

3.17 Vengono eseguiti vulnerability scan e/o pentesting sui dispositivi critici prima di

connetterli alla rete e successivamente?

3.18 E' fatto divieto ai dipendenti di inserire propri dispostivi in rete (flash drive, ipod,

kindle, smartphone, camera, etc)?

Dispositivi non autorizzati

3.19 La rete é costantemente monitorata per rilevare dispositivi non nella lista di quelli

autorizzati?

3.20 L'azienda monitora lo spoofing degli indirizzi MAC (confrontando ad esempio OS, porte,

posizionamento, etc.)?

3.21 La rete wifi é monitorata per rilevare l'accesso di dispositivi non autorizzati?

3.22 I modem dial up sono monitorati per rilevare accessi non autorizzati dall'esterno?

Gestione della rete

3.23 L'accesso alla rete, come per i sistemi, richiede autenticazione?

3.24 Sono in uso precise e rigorose regole per l'accesso alla rete aziendale via wireless?

3.25 L'accesso wifi é limitato ai soli dispositivi autorizzati?

3.26 L'uso di dispositivi di rete interni é rigorsamente specificato/impedito?

3.27 La connettivitá con i partner avviene tramite vpn?

3.28 Esiste un processo per approvare l'accesso alle VPN?

3.29 La rete é segmentata e le comunicazioni inter-segmento rigorosamente configurate?

3.30 Esiste una policy che limiti l'uso di protocolli insicuri (ftp, telenet, snmp)?

3.31 Le richieste SNMP sono limitate ai soli sistemi autorizzati?

3.32 Esistono policy che impediscano o limitino l'uso di tool per la gestione remota di

sistemi (logmein, teamviewer, etc.)?

3.33 Esiste un meccanismo automatico che avverta gli amministratori quando un dispositivo

critico é spento o ha eseguito un reboot?

3.34 Esiste una meccanismo di controllo che rilevi cambi di configurazione sui sistemi di

rete?

3.35 Esiste una meccanismo di controllo che rilevi cambi di configurazione sui sistemi

server?

3.36 In caso di cambio di configurazione, ne viene verificato l'impatto sulla sicurezza?

3.37 Le modifiche alle configurazione di server e sistemi di rete sono loggate?

Monitoraggio di rete

3.38 Il traffico di rete é monitorato per stabilire i normali pattern d'uso?

3.39 Il traffico di rete fra segmenti con differente livelli di sicurezza é monitorato?

3.40 Pattern di traffico inusuali vengono prontamente rilevati e analizzati?

3.41 I server DND sono monitorati per evitare modifiche che re-indirizzino il traffico?

3.42 Il traffico di rete é regolarmente monitorato alla ricerca di possibili covert channel?

Connettivitá Cloud e Piattaforme di condivisione

3.43 Sono chiare all'azienda le necessitá di sicurezza specifiche per l'uso di cloud computing?

3.44 L'azienda é a conoscenza che mantenere dati nel cloud senza cifratura puó essere

particolarmente rischioso?

3.45 Esiste una policy aziendale su quali documenti, sulla base dei dati sensibili, possano

essere gestiti tramite Google Docs, Dropbox, etc.?

3.46 L'accesso degli amministratori dei sistemi in cloud richiede 2FA?

3.47 Le macchine virtuali che eseguono servizi critici sono separate da quelle che eseguono

servizi meno critici?

3.48 Le comunicazioni con i server cloud sono tutte cifrate?

3.49 I database / file server nel cloud sono monitorati per rilevare trasferimenti di grandi

moli di dati?

3.50 I log di accesso ai sistemi cloud sono trasferiti su altri server, anche garantendone la

non modificabilitá da parte degli amministratori?

3.51 Le chiavi di cifratura e/o i certificati per la cifratura dei dati cloud sono memorizzate

e gestite in modo sicuro?

3.52 L'azienda ha preparato un set di procedure per essere pronta a trasferire velocemente

le operazioni nel cloud fuori dal cloud?

3.53 Esiste una policy che impedisca agli utenti la memorizzazione nelle piattaforme di

condivisione cloud (Dropbox etc) di dati sensibili?

3.54 Esiste una policy che limiti il tempo in cui un determinato tipo di informazione possa

essere memorizzato nel cloud?

3.55 Esiste una procedura per verificare che documenti aziendali non esistano o siano stati

rimossi dal cloud?

Connettivitá e mobilitá

3.56 I dispositivi mobili (laptop, smartphone) degli utenti sono standardizzati in modo da

rispettare i requisiti minimi di sicurezza aziendale?

3.57 Le utenze dei dispositivi mobili sono impedite dal possedere diritti di amministrazione?

3.58 In caso di BYOD, l'azienda impedisce la memorizzazione su tali dispositivi di dati

aziendali sensibili?

3.59 Nei dispositivi mobili viene utilizzata FDE?

3.60 Microfoni e telecamere dei dispositivi mobili sono disabilitati in aree o riunioni

sensibili?

3.61 Viene impedito il boot da dispositivi esterni (CD, USB) sui laptop?

3.62 Le email aziendali contenenti dati sensibili sono cifrate?

3.63 Se i dispositivi rimovibili sono in uso nell'azienda, il loro uso viene monitorato?

3.64 Le attivitá dei dispositivi mobili di terzi (fornitori) temporaneamente connessi

all'azienda sono monitorate?

3.65 Le comunicazioni VoIP sono cifrate?

3.66 Le comunicazioni VoIP sono monitorate per rilevare trasmissione dati?

3.67 Le connessioni remote sono monitorate con particolare attenzione?

3.68 L'azienda mette a disposizione un servizio che permetta agli utenti di segnalare

possibili malware/malfunzionamenti sospetti?

Laptop, Notebook, tablet, smartphone e BYOD

3.69 Tutti i dispositivi aziendali sono protetti da antivirus?

3.70 Gli agenti antivirus sono gestiti centralmente?

3.71 Gli smartphone aziendali sono gestiti centralmente?

3.72 I dispositivi utente hanno installato un software di protezione che blocchi l'accesso a IP

o hostname noti come malevoli?

3.73 I dispositivi infrarosso, bluetooth e wireless sono disabilitati sui laptop, salvo diverse

necessitá?

3.74 Viene effettuato un controllo sulle login da laptop di utenti remoti, che siano

consistenti con la posizione geografica dell'utente?

3.75 Viene effettuato un controllo sulle login da smartphone di utenti remoti, che siano

consistenti con la posizione geografica dell'utente?

3.76 Le comunicazione VoIP sono cifrate, specie per le chiamate sensibili?

3.77 I sistemi aziendali e di terze parti vengono analizzati per ricecare malware o

vulnerabilitá (missing patch) prima di concedere l'accesso alla rete interna?

VPN e Modem

3.78 L'accesso VPN richiede 2FA?

3.79 L'accesso a VPN per sistemi critici, richiede 2FA, token e/o sistemi di autenticazione

biometrica?

3.80 Una volta autenticati alla VPN, i sistemi vengono sottoposti a check di sicurezza prima

di acconsentire l'accesso alla rete interna?

3.81 In caso di Web VPN, le informazioni di sessione vengono eliminate dal computer

remoto?

3.82 L'azienda utilizza modem per la gestione remota di sistemi?

3.83 I modem sono provvisti di feature di sicurezza per verificare se un utente é

autorizzato?

Web e E-Commerce

3.84 I portali web sono implementati da specialisti anche per la parte sicurezza?

3.85 I banner dei server che ospitano le pagine web pubbliche sono stati rimossi?

3.86 Le pagine/script di test sono stati rimossi dai siti in produzione?

3.87 L'azienda ha acquistato tutti i domini che potrebbero essere interpretati come propri?

3.88 Le informazioni sensibili dei clienti (es: carte di pagamento) sono gestite da sistemi

differenti da quelli web che gestiscono le transazioni?

3.89 Eventuali social media account (Twitter) utilizzando 2FA?

3.90 L'azienda ricerca costantemente siti fasulli che pretendono di essere un sito

dell'azienda?

3.91 L'azienda fornisce pubblicamente un contatto (email, telefono) che puó essere usato

per segnalare problemi di sicurezza?

3.92 Esiste una procedura per un'azione rapida di rimozione di notizie fasulle dai social

media?

3.93 Esiste una procedura per un'azione rapida di rimozione di siti fasulli?

3.94 In caso di problemi di sicurezza web, esistono procedure per la gestione e la messa in

sicurezza?

3.95 Le transazioni economiche sono gestite da terzi?

3.96 Le transazioni economiche sono gestite in modo sicuro?

Cifratura

3.97 Esiste una policy che definisca quali comunicazioni debbano essere cifrate e come?

3.98 L'azienda mantiene una lista dei certificati utilizzati nei propri sistemi e applicazioni?

3.99 Le VPN utilizzano certificati digitali?

Sicurezza preventiva e controllo difesa perimetrale (IDS/IPS, Proxy e firewalls)

3.100 Viene utilizzato IPv6?

3.101 Viene disabilitato, se non in uso, il protocollo IPv6?

3.102 Se disabilitato, esistono meccanismi di rilevamento di traffico IPv6?

3.103 Il firewall é utilizzato solo sul perimetro o anche internamente per separare reti a

diverso livello di sicurezza?

3.104 L'azienda utilizza anche Host Firewall?

3.105 Esiste un processo scritto e approvato per il cambio delle regole del firewall?

3.106 L'accessp all'interfaccia di management di un dispositivo di sicurezza é limitata a soli

determinati indirizzi IP?

3.107 Ogni modifica alla regole di un dispositivo di sicurezza é loggato?

3.108 I log dei firewall vengono periodicamente analizzati?

3.109 L'azienda utilizza IPS/IDS?

3.110 L'azienda analizza malware e/o esempi di attacchi reali ad altri aziende?

3.111 L'azienda utilizza un sistema di content filtering?

sez.4. AUDIT AUTOMAZIONE

Sensori remoti e sistemi di controllo

4.1 In azienda è disponibile uno schema completo che identifichi accuratamente tutti i

percorsi di comunicazione tramite i quali sono connessi i sistemi di controllo?

4.2 Tutti i documenti che riportano le corrispondenze tra percorsi logici di accesso e sistemi

di controllo sono rigorosamente protetti contro accessi non autorizzati?

4.3 Tutti i sistemi di controllo che non hanno l'esigenza di una connessione Internet sono

effettivamente isolati da Internet?

4.4 I sistemi di controllo vengono isolati dalla rete aziendale quando non vi sia giustificato

motivo di connetterli?

4.5 Se un determinato sistema di controllo non può essere isolato dalla rete aziendale, è

perlomeno protetto da firewall e sistemi IDS altamente selettivi?

4.6 Si pone attenzione affinché ad eventuali estranei non sia concessa la presa in visione di

diagrammi e schemi contenenti chiari riferimenti ai processi fisici ed ai sistemi che li

gestiscono?

4.7 I sensori remoti sono stati progettati o aggiornati in modo da rendere difficile per un

malintenzionato alterarne le misurazioni tramite un'operazione di manomissione fisica?

4.8 Vi sono insiemi di sensori secondari che controllano i processi critici tramite una tecnica

alternativa di misurazione, così che una lettura falsa effettuata dal set primario di

sensori possa essere rapidamente messa in evidenza?

4.9 Esistono piani e procedure operative per gestire i casi in cui i collegamenti wireless

considerati critici vengano messi fuori uso?

4.10 I nuovi dispositivi terminali remoti o altri dispositivi di controllo che vengono installati

sulla rete aziendale sono corredati della funzione di cambio della password o di altri

meccanismi di autenticazione riprogrammabili?

4.11 Tutti i componenti della rete sono sincronizzati sulla medesima ora, fuso orario e data?

4.12 Gli aggiornamenti ai sistemi operativi dei dispositivi terminali remoti sono trasmessi in

modalità sicura da fonte autorizzata?

4.13 Le interrogazioni sullo stato dei dispositivi terminali remoti sono trasmesse in modalità

sicura da fonte autorizzata?

Dispositivi periferici

4.14 Prima di acquistare un prodotto se ne valutano le caratteristiche in termini di

sicurezza?

4.15 Il supporto di sistemi di cifratura è un parametro che viene tenuto in considerazione

quando si acquistano dispositivi periferici?

4.16 Sono presenti procedure per l'update sicuro dei firmware dei dispositivi hardware

installati in azienda?

4.17 E' presente una lista di tutti i dispositivi periferici come stampanti, scanner che sono

condivisi tra diversi utenti e che contempli la lista dei computer/utenti che vi hanno

accesso?

4.18 E' presente una lista di tutti i computer che hanno accesso ad Internet?

4.19 Le password di default dei dispositivi wireless e bluetooth sono modificate prima che

questi vengano messi in funzione?

4.20 La connettività bluetooth e wirelesse dei dispositivi perifireci quali stampanti e

scanner viene disabilitata se non utilizzata?

4.21 Quando un dispositivo deve essere collegato solo occasionalmente alla rete Internet,

sono presenti procedure per il controllo dell'effettiva disconnessione fisica dalla rete?

4.22 Le comunicazioni che intercorrono tra dispositivi periferici e i computer sono

generalmente cifrate?

4.23 Tutti i dispositivi periferici sono dotati di password distinte?

4.24 Se un dispositivo periferico come una stampante o uno scanner può contenere una

grossa quantità di dati, vi è un blocco per impedire che lo stesso possa comunicare tali

grosse quantità verso l'esterno?

4.25 Se un dispositivo locale connesso ad Internet trasmette o riceve dati ad un orario

inatteso, per frequenza e/o volume, viene attivata una qualche forma di warning?

4.26 Se vi è indicazione di una elevata quantità di traffico generato da un dispositivo si

procede rapidamente con una attività ispettiva?

4.27 Il traffico generato da dispositivi periferici viene ispezionato per verificarne l'effettiva

cifratura?

4.28 Se un dispositivo contiene impostazioni personalizzate, le stesse vengono regolarmente

verificate per controllare che non siano state cambiate?

4.29 Se un dispositivo contiene impostazioni personalizzate, esiste una copia di backup di

tali impostazioni?

4.30 L'eventuale copia di backup è cifrata?

Strategie di backup

4.31 Esiste un piano completo di ciò che deve essere sottoposto a backup?

4.32 I dati vengono salvati con una cadenza che ne riflette il valore economico e la

frequenza di aggiornamento?

4.33 Sono oggetto di backup (cioè di creazione di copie di sicurezza) i sistemi operativi, i

programmi, e le informazioni di configurazione, oltre naturalmente ai dati dell'azienda?

4.34 Esiste un piano specifico per il backup regolare dei laptop e dei dispositivi mobile degli

utenti?

4.35 Le configurazioni di switch e router sono regolarmente oggetto di backup?

4.36 Se è necessario trasferire i dispositivi di backup al di fuori dell'azienda vengono

mantenuti segreti il luogo di destinazione e il percorso?

4.37 Esiste una copia di backup dei dati che viene trasferita con regolarità in un luogo

isolato dalla rete aziendale?

4.38 I dati vengono salvati con una cadenza che ne riflette il valore economico e la

frequenza di aggiornamento?

4.39 I dati salvati sono memorizzati per un periodo sufficientemente lungo da poter

garantire la disponibilità di una copia integra di dati, nel caso che questi siano stati

fatti oggetto di alterazioni di difficile rilevazione per un periodo di tempo anche

prolungato?

4.40 La procedura di backup include la verifica della presenza di codice malevolo

(virus/trojan) prima/dopo il backup?

4.41 Sono presenti procedure rigorose per restringere l'accesso ai dispositivi di backup?

4.42 Se la copia di backup viene trasferita elettronicamente ad un sistema remoto, le

informazioni vengono trasmesse in forma crittografata o per il tramite di una rete

dedicata sicura?

4.43 Se i dati di backup sono trasportati fisicamente in una posizione secondari sono trattati

con misure di sicurezza?

4.44 Se le informazioni da copiare sono sensibili o di natura proprietaria, vengono criptate

durante il processo di backup, così che sui supporti di memorizzazione siano registrate

in forma crittografata?

4.45 Le chiavi crittografiche usate per il backup sono memorizzate in un luogo sicuro, e

distribuite in modo che una chiave compromessa non possa mettere a repentaglio la

totalità dei dati salvati?

4.46 Le chiavi crittografiche usate per il backup, insieme alla documentazione riportante la

data e il sistema dove sono state utilizzate, vengono memorizzate in formato sicuro, in

una località diversa dal luogo che ospita i supporti di backup? *

4.47 Se una perdita di informazioni salvate può mettere a repentaglio l'attività aziendale, è

previsto che altre copie di backup vengano mantenute presso più di una località remota?

4.48 I supporti di backup sono protetti da tentativi di furto durante la permanenza nel luogo

in cui sono custoditi, sia esso locale o remoto?

4.49 Quando i supporti di memoria di backup non servono più alla funzione di copia di

salvataggio, sono previste procedure per la distruzione o il riuso dei supporti, che siano

custoditi localmente o in località remota?

4.50 Sono pianificati ed effettuati con regolarità test per garantire che i backup siano

leggibili e non corrotti?

4.51 Sono effettuati test a campione per verificare che i dati non siano stati alterati?

4.52 Se le copie di backup sono trasportate fisicamente in località remota, vengono poste in

contenitori di sicurezza anti-manomissione, trasportate in mezzi sicuri, e monitorate

durante il transito? *

4.53 Tali dispositivi di protezione contengono sistemi GPS?

4.54 I file di log delle attività rilevanti ai fini della sicurezza vengono salvati regolarmente

e memorizzati in un formato che ne minimizzi le possibilità di manomissione?

4.55 I file di log degli accessi delle applicazioni vengono periodicamente salvati ed inviati in

luogo sicuro?

4.56 I file di log degli accessi delle applicazioni sono disponibili per periodi sufficientemente

lunghi da permettere di rintracciare le cause di una graduale corruzione di

informazioni?

4.57 Vengono eseguiti backup multipli, in maniera che se anche una copia venisse persa o

manomessa, il sistema possa comunque essere ripristinato da un'altra copia?

4.58 Esistono procedure per gestire dati di backup che non sono più integri, in particolare

durante una situazione di crisi?

4.59 Esistono procedure per gestire la perdita o il furto di nastri di backup non criptati che

contengono informazioni proprietarie o sensibili?

sez.5. AUDIT FATTORI UMANI

Gestione degli incidenti (dipendenti / incaricati e soggetti autorizzati)

Amministrazione della sicurezza

Azioni amministrative

Audit e review esterne

Senior Management

Azioni individuali dei dipendenti

Attività di reporting da parte dei soggetti autorizzati

Monitoraggio delle attività dei dipendenti

Formazione dei dipendenti in materia di cyber security

Responsabilità personale in tema di sicurezza

5.1 La salvaguardia della sicurezza dell'azienda Þ resa parte integrante in modo formale di

ciascuna mansione delle persone che vi lavorano?

5.2 Ai dipendenti viene fatto obbligo di sottoscrivere accordi sulla riservatezza e sulla

proprietà intellettuale?

5.3 Ogni componente del parco hardware informatico di cui l'azienda Þ proprietaria o

licenziataria risulta essere di esplicita responsabilità di un determinato dipendente?

5.4 Esistono etichettature permanenti o altri marchi di identificazione che rendono facile

per gli altri impiegati determinare chi possiede un dato componente informatico?

5.5 Al dipendente cui si assegna la responsabilità di un dato apparato informatico viene

richiesto anche di salvaguardarne la sicurezza in generale?

5.6 I dipendenti sono abituati a tenere i computer portatili e altri apparati informatici

trasportabili sotto osservazione diretta o riposti in locali sicuri quando vengono fatti

uscire dai confini dell'azienda?

5.7 Le politiche aziendali regolamentano l'uso corretto della posta elettronica, dell'accesso

ad internet e della messaggistica istantanea da parte dei dipendenti?

5.8 Le policy aziendali definiscono quali dati possono essere postati su social media dai

dipendenti e quali informazioni, invece, debbano rimanere riservate?

5.9 I dipendenti sono ritenuti personalmente responsabili di eventuali azioni compiute sul

sistema informativo aziendale che violano le politiche di sicurezza aziendali?

5.10 Ai dipendenti viene impedita la condivisione del proprio computer con altri dipendenti?

5.11 Ai dipendenti viene fatto divieto di scambiarsi le password tra colleghi?

Formazione dei dipendenti in materia di cyber security

5.12 A tutti i dipendenti viene fatta periodicamente formazione sulle politiche di sicurezza

adottate in azienda, e sui motivi per cui tali politiche debbano essere ritenute

importanti?

5.13 Ai dipendenti vengono indicate quali siano le categorie di informazioni gestite

dall'azienda che vanno considerate sensibili?

5.14 Ai dipendenti si insegna a diffidare di qualsiasi tipo di software arrivi per posta, anche

se appare confezionato e spedito da fornitori di fiducia?

5.15 Ai dipendenti si insegna a non cadere vittime di manipolazioni sociali tramite telefono

o Internet, che potrebbero convincerli a rivelare informazioni strettamente private

oppure indurli a digitare / chiamare determinate sequenze di numeri o caratteri?

5.16 Ai dipendenti si raccomanda periodicamente di non scaricare tipi di file che possano

contenere del codice eseguibile, di non aprire e-mail sospette, e di non installare

software personale sui sistemi dell'azienda?

5.17 Ai dipendenti vengono illustrati i rischi di sicurezza che possano correre se sono soliti

memorizzare informazioni private, quali i codici di identificazione personali, sui propri

telefoni cellulari?

5.18 Durante il training vengono realizzate anche esercitazioni pratiche?

5.19 I dipendenti sono sottoposti a test periodici per verificare la loro conoscenza sulle

procedure di sicurezza, nonchè la conoscenza sulle minacce di ultima generazione?

Monitoraggio delle attività dei dipendenti

5.20 Esiste un sistema per la raccolta di informazioni relative ai luoghi fisici e alle risorse

informatiche alle quali ciascun dipendente ha accesso?

5.21 Sono poste in essere attività di verifica dei log di accesso (fisici e elettronici) per

identificare comportamenti abituali di accesso che non sono motivati dal ruolo del

dipendente?

5.22 Sono effettuate ricerche su web per verificare che i dipendenti non abbiano pubblicato

informazioni che potrebbero causare problemi alla sicurezza informatica dell'azienda?

5.23 Esiste un sistema per il monitoraggio puntuale delle risorse e dei dati ai quali un

dipendente ha avuto accesso, in particolare quando ha comunicato di voler lasciare

l'azienda?

5.24 L'azienda fa una attività di analisi dei dati acceduti da un dipendente almeno nei 90

giorni antecedenti alla data in cui ha dato notizia di voler lasciare l'azienda stessa?

Attività di reporting da parte dei soggetti autorizzati

5.25 I dipendenti sono consapevoli che ogni volta che installano un nuovo software

applicativo in un computer aziendale, sono tenuti a fare reporting al personale di

cyber-security dell'azienda?

5.26 Esiste un modo semplice per i dipendenti per segnalare vulnerabilità di sicurezza,

tentativi di cyber-attacco, telefonate sospette, ecc. e i dipendenti sono premiati per

fare ci‗?

5.27 Le principali strategie di attacco sono descritte in modo abbastanza esaustivo ai

dipendenti, in modo tale che ci sia una buona probabilità di un riconoscimento fin da

subito di tali segnali?

5.28 Se un dipendente riceve un link a una risorsa Internet da un altro dipendente o da

chiunque altro, sono formati perchè verifichino sempre la URL per verificare che punti a

un dominio corretto/atteso?

Azioni individuali dei dipendenti

5.29 Esiste un divieto contrattuale per i dipendenti di postare su Internet informazioni

relative ai sistemi critici aziendali ai quali hanno accesso?

5.30 Esiste un divieto contrattuale per i dipendenti di postare su Internet informazioni che

possano permettere di individuare quali misure di sicurezza sono state implementate

dall'azienda?

5.31 I dipendenti sono adeguatamente formati rispetto ai rischi di sicurezza che derivano

dalla memorizzazione di informazioni personali (es. PIN, password) all'interno dei propri

smart phone?

5.32 I dipendenti sono istruiti a non fornire all'esterno informazioni rilevanti per la

sicurezza, anche informazioni che sembrano apparentemente innocue?

5.33 E' fatto divieto ai dipendenti di cedere i propri dispositivi di identificazione personale

per permettere l'accesso alla struttura ad altri impiegati?

5.34 I dipendenti sono formati sull'evitare l'utilizzo di password costruire su dati biografici e

fatti personali che potrebbero essere pubblicamente accessibili?

5.35 I dipendenti sono formati su come costruire password che non appartengono a dizionari

o basate su frasi?

5.36 I dipendenti sono formati sui rischi di conservare le password in posti non sicuri, come

ad esempio post-it nell'area di lavoro?

5.37 I dipendenti sono formati sui rischi che potrebbero derivare dal collegamento di

dispositivi personali (es. smartphone, tablet, digital camera) in computer aziendali,

anche solo per caricare la batteria?

5.38 Il personale addetto alla sicurezza Þ stato istruito sul fatto che impedire il

collegamento non autorizzato di dispositivi elettronici, incluse pendrive, ai computer

aziendali Þ tanto importante quanto prevenire che il furto o il danneggiamento del

dispositivo?

5.39 I dipendenti sono formati sul rischio che deriva dall'apertura di un allegato presente in

una e-mail generica, non apparentemente sensata o con comportamenti strani?

5.40 I dipendenti sono formati sul fatto di non installare software per scopi personali sui

computer aziendali?

5.41 I dipendenti sono formati sul fatto di diffidare dai software che arrivano via mail (es.

aggiornamenti) anche se la sorgente sembra essere trusted?

5.42 I dipendenti sono formati sul fatto che non dovrebbero collegare nessun dispositivo di

cui non conosce la provenienza solo per guardare cosa c'è dentro?

5.43 I dipendenti sono formati sul fatto di non scaricare da Internet tipi di file che

potrebbero contenere codice eseguibile?

5.44 I dipendenti sono formati sul fatto che anche software di massa potrebbero comunque

contenere malware?

5.45 I dipendenti sono formati sul non cadere vittime di manipolazioni sociali attraverso

telefono o via Internet che li potrebbe portare a rivelare informazioni legate alla

sicurezza?

5.46 I dipendenti sono formati sul non fornire telefonicamente sequenze di numero o di

caratteri (es. password) quando qualcuno glielo chiede?

5.47 Ci sono restrizioni formali per gli utenti rispetto all'acceso a sistemi critici quando si

trovano in posizioni strane?

5.48 I ruoli dei dipendenti sono distinti in modo tale che un singolo dipendente non possa

portare a termine una operazione critica senza la consapevolezza degli altri impiegati?

5.49 L'esecuzione di operazioni estremamente critiche richiede la partecipazione simultanea

di duo o più impiegati?

5.50 I dipendenti nell'area IT sono resi consapevoli di quanto sia pericoloso installare

collegamenti di rete (es. Wi-Fi) che siano non documentati e non autorizzati del

personale della sicurezza anche quando questa richiesta proviene da un capo?

5.51 L'azienda ammonisce tutti i dipendenti che lasciano l'azienda che devono rispettarne la

proprietà intellettuale?

5.52 L'azienda ha procedure per la raccolta di evidenze forensi per ogni tentativo da parte

di un dipendente di utilizzare un sistema aziendali per rubare dei dati o causare un

danno?

Senior Management

5.53 I manager senior dell'azienda sono regolarmente informati sullo stato di cyber security

dell'azienda e sulle possibili conseguenze delle minacce emergenti?

5.54 I manager senior dell'azienda sono resi edotti che un buon piano di cyber security parte

dal comprendere come sono utilizzati i sistemi informatici aziendali ai fini della

produzione del business?

5.55 I manager senior dell'azienda sono resi edotti del fatto che la migliore strada per la

gestione della maggior parte dei problemi di sicurezza non Þ quella di aggiungere più

misure di cyber-security, ma di fare piccoli cambiamenti nel modo in cui le attività sono

svolte?

5.56 I manager senior dell'azienda sono resi edotti del fatto che la gestione di problemi di

cyber-security è generalmente più semplice e molto meno costosa quando questi

possibili problemi sono presi in considerazione quando nuove operazioni di business sono

attivate?

5.57 L'azienda ha un Chief Information Security Officer?

5.58 Il CISO Þ tenuto a fare un reporting al CFO e al CEO senza la presenza di altri

dipendenti?

5.59 L'azienda utilizza le notizie relative a nuovi attacchi alla cybersecurity che sono stato

portati a termine contro altre organizzazioni per aggiornare i propri piani e programmi

di cyber-security?

5.60 L'azienda ha un canale attraverso il quale il personale dedicato alla cyber-security può

fornire consigli e avvisi riguardo alle implicazioni per la cyber-security nella strategia,

policy, procedure e rapporti verso l'esterno dell'azienda?

5.61 Il personale di cyber-security è correttamente premiato se fa emergere considerazioni

ai manager o ad altro personale esterno al team di cybersecurity, fino a che ha fatto in

modo corretto?

Audit e review esterne

5.62 Le policy di sicurezza di una azienda e la loro implementazione sono valutate

annualmente da un auditor esperto esterno?

5.63 Le policy di sicurezza dell'azienda e la loro implementazione sono attentamente

verificate rispetto alle leggi vigenti e agli standard dell'industria?

5.64 La review annuale delle policy di sicurezza dell'azienda e l'implementazione delle

stesse Þ abbastanza approfondita per scoprire nuove vulnerabilità?

5.65 Gli audit effettuati sono esaminati in modo analitico per identificare le aree dove Þ

necessario attivare delle contro misure?

5.66 I diversi audit effettuati negli anni sono comparati, in modo tale da permettere al

management di valutare se la sicurezza sta crescendo anzichè diminuendo?

Azioni amministrative

5.67 Il personale addetto alle pubbliche relazioni e commerciale Þ reso edotto sul fatto che

le loro attività potrebbero avere impatto sull'organizzazione aziendale della

cybersecurity?

5.68 L'azienda evita attività pubblicitarie e materiale pubblicitario che potrebbero portare

l'attenzione dei punti e dei sistemi critici aziendali?

5.69 L'azienda evita attività di marketing che possano sembrare provocazioni per la

comunità degli “ underground hackers”, rendendo l'azienda un possibile target?

5.70 Se l'azienda Þ un target potenzialmente di alto profilo, gli annunci di lavoro per

l'assunzione di personale nel ramo della cyber-security sono fatte in modo tale da

evitare l'identità dell'azienda?

5.71 Sono effettuati approfonditi background checks sui dipendenti che hanno un livello di

accesso elevato alle informazioni, anche se i loro salari e il titolo di lavoro potrebbero

non far intendere tale accesso?

5.72 Se un dipendente viene promosso a un livello più alto in termini di responsabilità e di

accesso alle informazioni, viene effettuato un nuovo background check su di lui?

5.73 Viene effettuato un background check del personale addetto al mantenimento degli

edifici dell'azienda (es. guardiani, pulizie, ecc.) che hanno un accesso fisico elevato alle

componenti dei sistemi?

5.74 Se avviene un cambio considerevole nel comportamento personale o economico di un

dipendente, esiste una procedura per effettuare un background check non intrusivo e

capire le ragioni?

5.75 Se un dipendente sta attraversando un periodo di grandi difficolta personali, esiste una

policy per ridurre temporaneamente le sue responsabilità rispetto ai sistemi critici

aziendali?

5.76 Gli impiegati addetti al monitoraggio dei sistemi critici sono ruotati al fine di rendere

il proprio lavoro meno noioso?

5.77 L'azienda provvede a premiare pubblicamente in meeting interni i dipendenti che

operano nei sistemi informativi per aver fatto un lavoro particolarmente di pregio o

rilevante per l'azienda stessa?

5.78 L'azienda fornisce un canale attraverso il quale gli impiegati possono nominare in modo

anonimo gli altri dipendenti per un riconoscimento speciale, basato sul fatto di aver

creato qualcosa di particolarmente innovativo rispetto ai sistemi informativi?

5.79 L'azienda fornisce un canale per i dipendenti per manifestare le proprie lamentele

senza che questo comporti punizioni e permettendo ai dipendenti di verificare che le

lamentele siano state correttamente considerate?

5.80 L'azienda gestisce il ridimensionamento di certi settori in una maniera che minimizzi i

sentimenti ostili da parte degli ex dipendenti?

5.81 Se un dipendente che ha un ruolo che gli permette accesso ai dati interessanti per la

concorrenza lascia l'azienda, viene effettuato un check per verificare segnali di utilizzo

di tali informazioni nel nuovo lavoro?

5.82 L'azienda fornisce ai dipendenti una procedure che gli permette di segnalare tentativi

da parte di soggetti esterni di estorcere la loro collaborazione nel superare i sistemi di

sicurezza dell'azienda?

5.83 L'azienda monitora le attività di ex dipendenti nelle nuove aziende dove questi si

trovano, soprattutto relativamente a quelli che avevano accesso a sistemi e procedure

critiche?

Amministrazione della sicurezza

5.84 Esiste un sistema affidabile per tenere traccia di tutti i log e le altre sorgenti di

informazioni di cui ha bisogno il team di security e per verificare che siano stati trattati

con uno schedule appropriato?

5.85 Esiste un sistema affidabile e costantemente aggiornato per il tracking di tutte le

vulnerabilità evidenziate dai dipendenti, scoperte dall’ audit, riportate dai vendors o

diffuse dai giornali?

5.86 Il sistema di tracking delle vulnerabilità permette al personale addetto alla sicurezza

di determinare rapidamente quali vulnerabilità devono ancora essere gestite, quali

siano attualmente in gestione e quali siano state già sistemate?

5.87 Alle vulnerabilità viene assegnato un livello di priorità elevato in modo tale che le

vulnerabilità più critiche siano gestite più rapidamente?

5.88 Il livello di priorità assegnato tiene in considerazione la natura delle operazioni di

business e produzione che utilizzano il sistema informatico in cui la vulnerabilità si

verifica?

5.89 Il sistema di tracking delle vulnerabilità Þ coordinato con il sistema di tracking delle

patch e degli aggiornamenti di sicurezza, in modo tale che non si perda produttività

nella gestione dello stesso problema più di una volta?

5.90 Esiste un “security manager” (ADS) che verifichi con continuità che tutte le

vulnerabilità siano state prese in considerazione per tempo e nel corretto ordine di

priorità?

5.91 Il CISO fa una review mensile dei programmi e delle procedure per la cybersecurity per

verificare che siano allineati con le attese?

5.92 Il team di security ha un tempo sufficiente per mettere in pratica misure di sicurezza e

rinnovare quelle vecchie, anziché dover spendere tutto il proprio tempo a mettere

patch alle vulnerabilità e rispondere agli attacchi?

Gestione degli incidenti (dipendenti / incaricati e soggetti autorizzati)

5.93 L'azienda ha piani dettagliati per la gestione degli incidenti di sicurezza, sia quando

stanno accadendo sia immediatamente dopo?

5.94 I piani dettagliati per la gestione degli incidenti di sicurezza, specificano chiaramente i

punti in cui i senior manager devono essere avvisati?

5.95 I dipendenti sanno chi avvertire, sia dentro che fuori dell'azienda, nell'eventualità di

un possibile attacco?

5.96 Sono effettuate con regolarità esercitazioni in cui sono coinvolti i dipendenti

responsabili della gestione degli incidenti, attraverso simulazioni realistiche?

5.97 Le persone chiave hanno avuto l'opportunità di mettere in pratica la propria capacità di

gestione delle emergenze in situazioni reali?

5.98 Gli incidenti reali o simulati sono seguiti da una discussione per identificare la lesson

learned?

5.99 L'azienda utilizza costantemente le news relative agli attacchi subiti da altre aziende

per aggiornare e rinforzare i piani di risposta agli attacchi che potrebbero arrivare?

5.100 I piani dettagliati per la gestione degli incidenti sono conservati come strettamente

confidenziali?

5.101 I risultati delle simulazioni di attacco sono trattati come elemento altamente

confidenziale?

5.102 I dipendenti sanno come interrompere o spegnere rapidamente i canali di

comunicazione che sono apparentemente utilizzati da un attacco informatico?

5.103 Se un particolare account Þ stato utilizzato durante un attacco, gli amministratori dei

sistemi sono in grado di forzare rapidamente un logout e disabilitare l'account nella

rete aziendale?

5.104 Se c’è ragione di credere che un attacco informatico possa essere imminente, c’è un

piano per disabilitare temporaneamente i sistemi vulnerabili e interrompere i canali di

comunicazione, al fine di limitare l'effetto dell'attacco?

5.105 Se si Þ verificato un attacco grave, esistono procedure che possono essere

rapidamente implementate per isolare o mettere in quarantena i sistemi che possono

essere stati contaminati, senza necessità di spegnerli?

5.106 Sono presenti delle procedure che possono essere rapidamente adottate per isolare o

mettere in quarantena i sistemi infetti se vi è una ragione per non fidarsi della

procedura informatica?

5.107 I cavi che devono essere disconnessi in caso di un cyber attacco sono chiaramente

etichettati?

5.108 I dipendenti sanno quali cavi devono essere staccati nel caso di un attacco e quali

eventi debbano triggerare questa risposta?

5.109 Se un attacco sta causando le cancellazioni o la cifrature dei dati su un computer

locale i dipendenti sono stati autorizzati a spegnere immediatamente il computer?