SCHEMA DI AUDIT AL SISTEMA PRIVACY TQM-2019 · 2019-02-15 · Il presente Schema di Audit (di...
Transcript of SCHEMA DI AUDIT AL SISTEMA PRIVACY TQM-2019 · 2019-02-15 · Il presente Schema di Audit (di...
SCHEMA DI AUDIT AL SISTEMA PRIVACY TQM-2019 VERIFICA DELLA COMPLIANCE AL REGOLAMENTO EUROPEO 2016/679 IN MERITO A POLITICA E
VALUTAZIONE DEI RISCHI ED EVENTUALE IMPATTI PER IL SISTEMA DI PROTEZIONE DEI DATI
Ambito e scopo dello schema
Manuale dei requisiti e delle regole di controllo per accreditare processi di trattamento dati rispettosi
dei diritti fondamentali delle persone fisiche e della libera circolazione delle informazioni.
Metodologia della Politica Integrata dei sistemi TQM
Il presente Schema di Audit (di seguito lo “Schema”), offre a Titolari e Responsabili del trattamento i principi e gli elementi di controllo, per la valutazione di compliance di tutte le attività di trattamento al EU Reg. 2016/679 (di seguito il “Regolamento”) e il successivo decreto di armonizzazione Dlgs.101/2018 che ha novellato il Codice Privacy (Dlg.vo196/2003). I principi adottati e le basi giuridiche applicabili nel Sistema con lo Schema sono valide e riconosciute anche nelle organizzazioni con trattamenti transfrontalieri.
All’interno dello Schema si fa riferimento all’impianto normativo cumulativo di cui sopra con la
notazione “Privacy 4.0” o “Privacy TQM”
Lo Schema formalizza sia validazione che monitoraggio dell'adeguatezza di processi, procedure dell'organizzazione e misure fisiche, logiche e organizzative applicate al Sistema aziendale di tutti i trattamenti di dati personali. Tali trattamenti sono considerati sia sul piano confidenziale della Privacy che sul piano della loro protezione; la integrazione dei due aspetti deve essere congiuntamente garantita da un sistema di gestione dei rischi, di governo delle prassi e di monitoraggio e riesame continuo del Sistema.
Lo Schema porta il Titolare (ed eventuali figure Co-Titolari, Designate e/o Responsabili di seguito Soggetti Privacy) a soddisfare i requisiti e implementare i controlli indispensabili alla gestione di sistemi hardware e software, perché la elaborazione automatica di dati personali garantisca la loro esattezza, accuratezza, attualità, coerenza, completezza e aggiornamento. La vigente normativa Privacy 4.0 sulla protezione dei dati personali richiede la migliore e più possibile aggiornata dotazione di strumenti tecnologici di trattamento.
Il presente Schema verifica i criteri di compliance al Regolamento, basandosi sulla matrice di audit TQM di cui in AQ-SPPD. Tale matrice consta di sette macro-monitoraggi che classificano altrettante sezioni di principi fondamentali richiamati dal Regolamento e dalla Privacy 4.0 quali:
la liceità del trattamento, la capacità e di notificare violazioni, la privacy by design e by default e
la valutazione d'impatto ove applicabile.
La Matrice dell’Annesso AQ-SPPD è definita come strumento di audit TQM in quanto è derivata dalla unificazione di controlli comuni alle norme volontarie di audit nei Sistemi Qualità delle famiglie ISO27000 - ISO20000, cosi come alle Linee Guida internazionali OWASP, ITIL, CoBIT e CSF-NIST per la sicurezza ICT
L'organizzazione che applica questo Schema a processi, prodotti e/o servizi, manifesta e dimostra ai portatori di interesse e tutti i potenziali Interessati l'adozione di un Sistema di Qualità e Sicurezza accreditabile a tutela delle informazioni di persone fisiche e la libera circolazione dei loro dati.
Revisionato, applicato e validato per il corrente Sistema della Organizzazione in data:……………………….
Titolare e Co-titolare Delegato Designato DPO se presente
……………………………………… ……………………………………… ………………………………………
NOTA DI RESPONSABILITA’
La valutazione della compliance al Regolamento condotta secondo lo Schema, è un atto volontario che non riduce o annulla la Responsabilità del Titolare del trattamento (o dove presenti delle figure Contitolari/Responsabili/Designati del trattamento) per ciò che riguarda gli obblighi di compliance al Regolamento stesso o a parti di esso.
Le responsabilità del Titolare per inadempienza valgono per ogni singolo trattamento di dati personali, sia esso effettuato direttamente o effettuato per loro conto dai soggetti del sistema Privacy 4.0; non esistono manleve possibili per eludere gli obblighi impliciti nella c.d. “accountability” (intesa come <obbligo di rendere conto> e <poter dimostrare>).
Sommario AUDIT PRIVACY TQM
0. INTRODUZIONE 0.1 Contesto ed evoluzione socio-tecnologica 0.2 Privacy TQM e analisi di processo 0.3 Modello PDCA applicato alla protezione dei dati personali (Ciclo di Deming) 0.4 Modello applicativo interoperabile – Schema TQM e HLS
1. OBIETTIVO E AMBITO Dl APPLICAZIONE 1.1. Impegno e diligenza della Organizzazione 1.2. Schema di audit TQM volontario per la Organizzazione
3. TERMINI E DEFINIZIONI (ordine alfabetico) 3. RIFERIMENTI NORMATIVI TERZI
4. PRINCIPI ED ELEMENTI DEL SISTEMA PRIVACY TQM 4.1. Premesse 4.2. Impostare Adeguatezza delle misure organizzative 4.3. Impostare Correttezza, Liceità e Trasparenza 4.4. Chiarire Finalità singola o multiple 4.5. Variazioni nella finalità 4.6. Verifica della Pertinenza 4.7. Essenzialità e non “eccedenza” 4.8. Etica della Qualità dei dati 4.9. Assicurare Esattezza dei dati 4.10. Documentare comprovato Aggiornamento dei dati 4.11. Verifica della Completezza dei dati 4.12. Stoccaggio e Conservazione sicure delle informazioni 4.13. Classificazione dei dati per finalità 4.14. Valutazione dei rischi e misure di sicurezza 4.15. Comunicazioni delle violazioni di Sistema e del sito
5. CONSAPEVOLEZZA E ASSUNZIONE DI RUOLO 5.1. Impegni del Titolare del Trattamento (TdT) 5.2. Politiche Privacy della Organizzazione 5.3. Ruoli, Responsabilità e adeguatezza tecnologica
6. GESTIONE DEL SISTEMA ORIENTATA AL RISCHIO 6.1. Gestione del cambiamento 6.2. Politica proattiva e preventiva del rischio 6.3. Valutazione del rischio e degli Impatti Privacy
7. PILASTRI DELLA ARCHITETTURA PRIVACY TQM 7.1. Requisiti e obblighi di sistema 7.2. Procedure e Prassi di primo livello 7.3. Monitoraggio e verifica dei processi interni 7.4. Responsabile della protezione dei dati 7.5. Piano di Formazione 7.6. Documentazione del Manuale Privacy TQM
8. SISTEMA OPERAZIONALE 8.1. Obblighi di Pianificazione e Controllo 8.2. Progettazione privacy per disegno e per scelta predefinita (by design e by default) 8.3. Controllo attivo modifiche di processi, prodotti e servizi forniti dall'esterno
9. AUDIT DELLE PRESTAZIONI 9.1. Audit per riesame idoneità, adeguatezza ed efficacia 9.2. Componenti di Audit di Sistema 9.3. Azioni correttive della non compliance
10. EVIDENZE E STRATEGIE DI MIGLIORAMENTO 10.1. Miglioramento continuo dei flussi di trattamento 10.2. Non conformità e Azioni correttive
ANNESSO AQ-SPPD - OBIETTIVI E METODO Dl CONTROLLO GESTIONALE
ANNESSO CHK-ICT-SPPD - OBIETTIVI E METODO Dl CONTROLLO ICT
0. INTRODUZIONE
Il Regolamento armonizza i diritti e le libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati unificando in tutti i Paesi della Unione Europea un innovativo e rivoluzionario quadro giuridico. Il diritto alla protezione dei dati trova le fondamenta storiche nell’ all'art. 8 paragrafo 1, della Carta dei Diritti Fondamentali dell'Unione europea e, nel rispetto del principio di proporzionalità, l’Art. 16 paragrafo 1 del TFUE (Trattato di Funzionamento della Unione Europea).
Il Regolamento (in Italia Reg.2016/679), assicura coerenza, certezza del diritto e trasparenza per gli operatori europei che trattano Dati Personali. Dall’altro versante, la sua certa applicazione garantisce ai soggetti interessati di tutti gli stati membri, rispetto egualitario degli obblighi e responsabilità dei Titolari e dei Soggetti Privacy che operano per loro conto.
Lo Schema è applicabile a qualsiasi Titolare e Soggetti Privacy, Pubblico, Privato o Organizzazione senza scopo di lucro, qualunque settore merceologico ed a prescindere dal tipo di trattamento realizzato. Implicitamente lo Schema può essere scalarmente applicato a qualsiasi dimensione aziendale.
Lo Schema discrimina la portata di applicabilità di un Sistema Privacy 4.0 (anche citato come Privacy TQM) in ragione di specifiche categorie di trattamento di dati personali. Naturalmente la sua adozione viene in aiuto ad organizzazioni e/o professionisti che precocemente debbano iniziare le proprie strategie di business adeguandosi nella fase iniziale di impresa ad uno standard di riferimento.
0.1 Contesto ed evoluzione socio-tecnologica
La portata tettonica della evoluzione delle tecnologie informatiche, è drammaticamente esplosa nelle componenti di rischio sui trattamenti dei dati relativi alle persone fisiche. Difendere l’identità digitale e il dato dell’individuo significa proteggere la persona fisica.
Le rivoluzioni del Cloud Computing, del WEB 4.0, della Virtualizzazione, del BigData e la interazione di queste tecnologie con l’IoT e l’ AI ha fattorialmente aumentato le possibilità di raccolta e di condivisione dei dati. Questa Era 4.0 è d’altra parte sfruttata dalle imprese Pubbliche e Private proprio per pubblicizzarsi nel mercato e orientare la propria immagine commerciale. Le conseguenze di questo non investono solo la Economia globale ma anche e soprattutto gli ordini sociali delle popolazioni.
In questo contesto, ogni realtà economica potrà immaginare un futuro di sviluppo solo a fronte di una gestione dei rischi del trattamento dei dati personali, perché oltre a soddisfare l'esigenza di rispettare le prescrizioni legali norma di riferimento, proteggerà le proprie informazioni di business.
Da qui il vantaggio competitivo derivante dalla adozione di processi di verifica (audit interni) e di certificazione (audit di terza parte) all'interno dell'organizzazione; un Sistema Privacy TQM (SP-TQM) che segue lo Schema non esclude gli eventi avversi, ma assicura che il rischio di impresa connesso alle attività di trattamento dei dati, sia efficientemente gestito nell'organizzazione e dimostrabili ed nel caso, sempre possibile, di un evento avverso tutte le misure di mitigazione del danno siano attuate.
Il SP-TQM obbliga il Titolare del trattamento alla revisione sistematica e periodica delle politiche organizzative, delle procedure operative standard (POS) e la verifica dimostrata della messa in opera delle misure fisiche, logiche e organizzative adeguate imposte dal nuovo impianto normativo inibitorio e caducante. Questo implica che le organizzazioni svolgano la mappatura dei trattamenti, e la ricognizione dei processi orientata alla valutazione del rischio e delle politiche aziendali. Un SP-TQM porta alla piena consapevolezza del Titolare e dei suoi Soggetti
Privacy, del vantaggio competitivo per le 'attività economiche e dell'adeguata gestione del rischio di perdita del proprio patrimonio di dati di business.
In Europa, oltre al Trilogo istituzionale, il Reg.2016/679 può contare sulla divulgazione e lo studio della evoluzione della norma da parte del gruppo di lavoro Articolo 29 (WP29, Working Party 29); questo gruppo indipendente emana Linee Guida operative che aiutano nella comprensione e nella applicazione di un SP-TQM. Una delle opinioni più recenti ha stabilito che le certificazioni (o l’adesione a marchi, sigilli e schemi di accreditamento), svolgono un ruolo importante nella Responsabilità degli adempimenti per la protezione dei dati (WP29 opinion 3/2010 on the principle of accountability WP173).
Uno Schema di accreditamento/certificazione, che valuta la compliance a regole cogenti circa la protezione dei dati personali, non solo dimostra la compliance stessa, ma permette al Titolare di provare tangibilmente che progettato, pianificato e implementato le misure tecniche ed organizzative adeguate alla gestione dei diritti degli Interessati secondo i principi sanciti dal Regolamento.
Aderendo allo Schema si soddisfano i principi e regole per gestire i rischi correlati ai trattamenti dei dati personali (elettronici, cartaceo) adattando l’impatto del SP-TQM in modo proporzionato alle risorse, le disponibilità e la sostenibilità delle esigenze delle micro, piccola e media impresa (art. 42.1).
La manutenzione e il monitoraggio del sistema orientato al miglioramento continuo secondo lo Schema, si ottiene con l’audit periodico basato su tabelle di controllo dell’ Annesso AQ-SPPD e dell’Annesso CHK-ICT-SPPD.
I pannelli con le tabelle di controlli dell'Annesso AQ-SPPD, sono utilizzabili e verificabili in aziende di qualunque ordine e grado, pubblico-privato e indipendentemente dalla dimensione e l'ambito di produzione o erogazione di processi e servizi rivolti direttamente alle persone fisiche.
La struttura AQ-SPPD dello Schema semplifica la gestione di Audit di prima, seconda e terza parte, descrive la applicabilità e il contesto degli obiettivi dei controlli via via validati. Operare secondo uno Schema TQM, ha infine il vantaggio di rendere il SQS della azienda completamente “interoperabile” con gli standard internazionali che convengono sul Sistema HLS o Struttura ad Alto Livello (Annex SL, Ref.: ISO-2014).
La struttura dell’Annesso CHK-ICT-SPPD è nello Schema Privacy TQM la checklist operativa per riscontrare selettivamente tutte le infrastrutture ICT. La Lista di Riscontro dell’Annesso CHK-ICT-SPPD è modulabile, intendendo con ciò che può essere utilizzata su più livelli di scalabilità e profondità.
Questo permette di effettuare un Audit di prima e/o seconda parte sia per una semplice azienda con una piccola LAN che una organizzazione strutturata e distribuita anche su piattaforme multimodali e internazionali.
0.2 Privacy TQM e analisi di processo
La applicazione dello Schema di audit ad un SP-TQM applica un metodo progettuale sistematico di analisi di processi con lo scopo di predisporre, verificare, riesaminare, mantenere, aggiornare e migliorare la compliance del Sistema a norme e prescrizioni legali sul trattamento dei dati personali.
Il SP-TQM implica pertanto un insieme di attività correlate e intra-dipendenti. E’ chiaro che la organizzazione mobilità ogni unità operativa (o funzione aziendale) coinvolgendo in modo diretto il relativo personale; quest’ultimo dovrà essere istruito tramite formazione specifica che attesti competenze adeguate e la consapevolezza a priori dei rischi per i diritti e le libertà del soggetto interessato conseguenti all’uso dei dati personali per ogni trattamento svolto.
La validazione di uno scheda di Audit si basa sul rilevamento e la analisi di evidenze oggettive e misurabili; tali evidenze possono essere sia documentali cartacee (registrazioni) che digitali (DB recordsets, reports e/o Logs fissati con tecniche di hashing) ma devono in ogni caso garantire la verificabilità e la significatività dell’adempimento a cui fanno riferimento nel SP-TQM. Ecco perché il manuale del sistema Privacy 4.0 (di seguito MSPPD) descrive tutti i processi valutabili e interoperabili previsti dal Regolamento (le infrastrutture ICT, i sistemi operativi, archivi, networks, configurazioni logiche di apparati e strumenti HW).
0.3 Modello PDCA applicato alla protezione dei dati personali (Ciclo di Deming)
Il modello PDCA (Plan Do Check Act o ciclo di Deming) cui tutte le norme contrattuali volontarie di certificazione fanno ricorso, può essere applicato anche alla protezione dei dati personali. Negli ultimi decenni anche le norme prescrittive e le leggi internazionali sono di fatto mirate alla assimilazione di disposizioni e adempimenti legali come vincoli per la attuazione di requisiti di controllo a scopo certificativo e/o di accreditamento.
La applicazione concettuale del ciclo Deming al Trattamento (cosi come identificato e formalizzato dalla organizzazione nel Registro dei Trattamenti (Art. 30 del Regolamento) è anche molto semplice da formalizzare. Di fatto tutti i documenti del MSPPD corrispondono a Procedure Gestionali e/o operative piuttosto che registrazioni di un Sistema AQ compliant con l’Annesso SL delle norme ISO di ultima generazione (vedi modello della struttura HLS).
E’ quindi corretto abbinare i principi generali e particolari dei due schemi perché entrambi sono orientati alla analisi e la valutazione del rischio (eventuale valutazione degli impatti DPIA (Art. 35 del Regolamento) dove richiesta dal tipo di trattamento e di dato (Es. Dati giudiziari, sensibili, ultra-sensibili, particolari e specifici; Art. 8).
Il modello PDCA assicura che per tutte le fasi decisionali e le attività di trattamento dei dati personali dell'organizzazione, vengano verificate/controllate le regole formalizzate dal Titolare del trattamento. Quanto il Titolare sceglie poi nomina, delega e/o designa tutti i Soggetti Privacy potrà realizzare un Piano di Adeguamento per la progressiva applicazione della “accountability” a tutti i livelli della organizzazione. Scopo ultimo la compliance del Sistema Privacy 4.0 al Regolamento.
La Figura 1.0 visualizza il ciclo virtuoso PDCA mappando per riferimento incrociato i principali adempimenti di un MSSPD. Dettagli sul significato e il meccanismo ciclico di audit nella legenda della Figura 1.0. La immagine riporta un blocco del ciclo addizionale rispetto al PDCA: REVIEW. Questo è peculiare della integrazione tra le filosofie ISO e quelle della normativa del Regolamento perché essenzialmente il momento della clausola del “Riesame” nei Sistemi HLS ISO corrispondono all’articolato per gli adempimenti di riqualifica, revisione e rinnovamento contrattualistico, organizzativo e del parco tecnologico nel combinato Codice Privacy (Dlg.196/03), Regolamento Privacy (Reg.2016/679)e coordinamento Dlg.vo 101/18
La legenda sotto la Figura 1.0 riassume sinteticamente le principali attività associate con le fasi progressive del ciclo adattato al disegno e la progettazione di un Sistema Privacy TQM.
Figura 1.0 – modello PDCA (o ciclo di Deming) applicato al GDPR
Legenda
PLAN: Analisi del (dei) processo di business identificando i flussi di dati associati a informazioni di trattamento, e pianificando gli obiettivi di controllo per la Valutazione dei Rischi e degli Impatti per i quali progettare soluzioni fisiche, logiche e organizzative.
DO: Sulla base della VR-DPIA determinare il livello di rischio accettabile e gestirlo per ogni trattamento cosi da poter redarre i Registri dei Trattamenti e le procedure critiche per sicurezza e qualità nel sistema (Es. Data Breach, VDS, Telecontrollo ecc.)
CHECK: verificare l'applicazione continua delle azioni stabilite in Politica, controllare l'efficacia delle misure fisiche, logiche e organizzative, misurare l'efficacia delle azioni e confrontare con gli obiettivi prefissati.
ACT: Standardizzare le soluzioni, sulla base della esperienza del SP-TQM relazionando e rendendo disponibili i resoconti delle registrazioni raccolta durante il funzionamento del SP-TQM, dove possibile considerare eventuali azioni migliorative e identificare nuovi rischi emergenti da eventi avversi.
REVIEW: Riqualificare e revisionare tutti i soggetti esterni di fornitura, per rinegoziare/adattare tutta la contrattualistica in essere per prodotti e servizi di fornitura allegando dove necessario nuovi obblighi e/o limitazioni dei termini di condivisione dei dati personali.
0.4 Modello applicativo interoperabile – Schema TQM e HLS
La logica di audit e controllo dello Schema SP-TQM si ispira e allinea con quello delle Strutture
HLS (High Level Structure) definite nelle norme volontarie internazionali ISO (derivare a loro
volta dagli schemi BSI, British Stantards Institute). Questa omologazione operativa dell’impianto
degli indici e di unificazione di schemi di audit è stata essa stessa formalizzata nelle direttive
ISO-Annex SL e dal 2014; chi implementa Sistemi Integrati segue quindi una struttura e un
percorso comuni.
L’approccio TQM rende pienamente compatibile lo Schema Privacy 4.0 con le tutte le principali
norme ISO e comporta tutti i vantaggi derivati dalla condivisione di molti elementi del Manuale
del SQS.
Riportiamo di seguito la lista delle norme volontarie compatibili:
0.4.1 - UNI EN IS019011, UNI CEI EN ISO/IEC 17021-1, ISO 9001, UNI EN ISO/IEC 27001 , UNI
ISO/IEC 25012, ISO/IEC 29100, ISO/IEC 29134 e UNI ISO 31000
Tutte le norme sopra elencate prevedono un monitoraggio continuo basato su numerose check-list di controlli di audit. I controlli seguono gli ambiti specifici di ogni norma come le infrastrutture IT, la Business Continuity e il Disaster Recovery, la cyber sicurezza ecc.
Lo Schema TQM ha integrato tutti gli elementi congiunti nell’ Annesso AQ-SPPD che quindi valuta in modo completo tutti gli aspetti critici oggetti di verifica e controllo per soddisfare e validare gli obblighi di adempienza previsti dal Sistema Privacy 4.0
1.0 OBIETTIVO E AMBITO Dl APPLICAZIONE
1.1 Impegno e diligenza dovuta della Organizzazione
Lo Schema TQM è applicabile qualunque organizzazione e, in tema di tutela dei dati personali e la libera circolazione di tali dati, può essere implementato in un nuovo Sistema cosi come utilizzato per il miglioramento di un Sistema privacy pre-esistente ma non aggiornato con le revisioni del combinato disposto Privacy TQM.
Pertanto i Titolari e i Soggetti Privacy aziendali, possono adeguarsi agli ultimi vincoli normativi e gestire la propria organizzazione con un monitoraggio proattivo nel MSPPD. Solo l’evidenza di un MSPPD attivo permette di affrontare serenamente le Ispezioni per conto della Autorità di Controllo e dimostrare l'adozione di garanzie “adeguate” ai sensi del Regolamento.
Il Titolare e i suoi Soggetti privacy, assumono l’impegno (Quality’s Committment) di rispettare i diritti e le libertà fondamentali a partire dalla facoltà di diritto di accesso e controllo da parte degli Interessati ai propri dati personal.
L’esecuzione tracciata delle “diligenze dovute” (Due diligences) può dimostrare che i trattamenti dei dati personali sono svolti nel pieno rispetto delle normative vigenti, indipendentemente dalla nazionalità dell'interessato. Questo implica che, nella nuova Privacy 4.0, anche per i Dati Transfrontalieri valgono le Diligenze Dovute di cui sopra
L’utilizzo dello schema di audit del SPD-TQM, porta all’emergere di elementi critici o inadeguatezze gestionali causa potenziale di diseguaglianze o discriminazione negli individui oggetto del trattamento secondo i principi espressi dall'art. 8 paragrafo 1 della Carta dei diritti fondamentali dell'EU e l'art. 16 Paragrafo 1 del Trattato di Lisbona. La sua applicazione ed implementazione è volontaria per ottenere una forma di accreditamento e/o certificazione in quanto utilizza l’evidenza documentale delle analisi e dei controlli dei principi di trattamento dei dati personali (documenti di registrazioni). Il Titolare e le sue figure privacy co-responsabili assolvono inequivocabilmente alla Responsabilizzazione (criterio di Accountability) richiesta dal Regolamento.
La documentazione del manuale MSPPD dimostra inoltre l’effettivo adeguatezza delle procedure interne all'organizzazione e loro coerenza con la corretta analisi e gestione del rischio.
Il Sistema complessivamente considerato, verifica giorno per giorno la bontà della fase di analisi e valutazione dei rischi e, dove mandatoria, della valutazione d'impatto (VR-DPIA).
1.2 Schema di audit TQM volontario per la Organizzazione
Lo Schema di audit della Privacy-TQM controlla tutte le prescrizioni dell'EU Reg. 2016/679 e considera anche il successivo Dlg.vo 101/2018 per il coordinamento delle norme europee con quelle del Codice Privacy (Dlg.196/2003).
I principi, i criteri e lo schema di controllo strutturati nell’annesso AQ-SPPD sono applicati indipendentemente dalla tipologia, dimensione, natura dei beni e servizi prodotti e/o della impresa. La validazione dei controlli rende trasparente e comprovata la diligenza del Titolare e dei suoi Soggetti Privacy. Il Sistema TQM dura consistentemente con l’esistenza della stessa azienda/impresa nel territorio dell'Unione Europea. Così come per tutti i Sistemi Integrati, dovrà essere annualmente verificato e revisionato con una riedizione del MSPPD
IMPORTANTE:
Un accreditamento e/o una certificazione di terza parte rilasciata alle organizzazioni, non comporterà
mai una sostituzione dei controlli e delle verifiche delle Autorità di Controllo. Pertanto, adottare un
Sistema Privacy TQM, ancorchè accreditato/certificato, non manleva i Titolari/Responsabili
dell'organizzazione dalle Responsabilità in caso di inadempienza e/o violazione delle prescrizioni
vigenti.
Ai fini di certificazione, esistono possibilità di esclusioni e/o limitazioni della applicazione di specifici punti di controllo (CCP); questo può determinarmi in circostanze di tipologie di trattamenti di dati basati su particolari basi giuridiche. In questi casi le esclusioni possono essere verificate prima della fase di pre-audit a fronte di motivazioni scritte inviate all’Ente.
La valutazione della compliance viene validata solo tramite: l'esatta rendicontazione delle procedure e dell'applicazione della norma oltre la dimostrazione di una provata comprensione dei disposti normativi al momento dell'effettuazione dell'Audit.
2 TERMINI E DEFINIZIONI (ordine alfabetico)
(Rif. Associati a UNI EN ISO 9000, UNI CEI ISO/IEC 27001, UNI ISO 31000, EU Reg. 2016/679, UNI ISO/IEC 25012, UNI CEI EN ISO/IEC
17065)
Amministratori di Sistema
Professionisti che in ambito ITC, gestiscono e
manutengono un impianto di elaborazione o di
sue componenti.
Analisi del rischio
Utilizzo sistematico di informazioni per
identificare le cause e stimare il rischio.
Archivio
Qualsiasi insieme organizzato e sistematico di dati personali disponibili su supporto cartaceo o digitale, accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o distribuito geograficamente.
Audit interno
Esame sistematico ed indipendente per
determinare se l'attività svolta ed i risultati
ottenuti sono in accordo con quanto pianificato e
se quanto pianificato e predisposto risulta
congruo al raggiungimento degli obiettivi.
Autenticazione Informatica
Insieme degli strumenti elettronici e delle procedure di verifica anche indiretta dell'identità dell'utente di un sistema informatico ed elettronico che anche solo potenzialmente fornisca un mezzo di accesso ai dati personali sia esso diretto o indiretto.
Autorità capofila
Autorità di controllo disciplinata dall'art. 56, EU
Reg. 2016/679
Azione correttiva
Azione da intraprendere per eliminare la causa di
non compliance rilevata o di particolari situazioni
che si presentano all'esame.
Azione preventiva
Azione per eliminare la causa di una non
compliance potenziale o di situazioni non
desiderabili. L 'azione preventiva si adotta per
evitare il verificarsi di non compliance.
Carta di Nizza
Carta dei diritti fondamentali dell'unione
europea proclamata a Nizza il 7 dicembre 2000 e
pubblicata i 18.12.2000 (2000/C 364/01)
Credenziali di autenticazione
Dati e/o dispositivi, in possesso di una persona,
da questa conosciuti o ad essa univocamente
correlati, utilizzati per l'autenticazione
informatica.
Dati
Forme classificabili e reinterpretabile dell'informazione che è possibile processare in modo formalizzato, sia cartaceo che elettronico-digitale, per essere controllato e reso idoneo alla comunicazione, alla interpretazione e alla loro elaborazione.
Dati Anonimi
Dato che in origine, o a seguito di trattamento, non può essere assodato ad un interessato identificato o identificabile.
Dati Identificativi:
Dati personali che permettono l'identificazione diretta dell'interessato.
Dati Particolari
Dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Dato Biometrico
I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici.
Dato Genetico
I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione.
Dato Personale
Qualunque informazione riguardante una persona fisica identificata o identificabile.
Dato relativo alla salute
I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Disponibilità
Le informazioni devono essere disponibili entro i
tempi stabiliti a coloro che le richiedono e sono
autorizzati ad accedervi
Integrità
Proprietà di salvaguardia dell'accuratezza e
completezza dei dati.
ISO (International Organization for
Standardisation)
Ente internazionale con sede e Ginevra, che ha il
compito di armonizzare le norme emanate dagli
enti di normazione delle varie nazioni
relativamente alle procedure tecniche e
metrologiche.
Misurazione di qualità dei Dati
Variabile a cui è assegnato un valore come il risultato di misurazione di una caratteristica di qualità dei dati o indicante un loro livello di sicurezza richiesto.
Misure di sicurezza
Complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che garantiscono un livello di protezione adeguato a quello richiesto dalla valutazione dei rischi connessi al trattamento secondo la norma di riferimento e la base giuridica secondo finalità.
Misure opportune di compliance
Elementi di valutazione della compliance al
Regolamento da parte del Titolare per attenuare
il rischio.
Non compliance
Mancato soddisfacimento di un requisito,
valutazione in luogo di inadempienza.
Norme vincolanti d'impresa
Politiche in materia di protezione dei dati
personali applicate da un Titolare del
trattamento o Responsabile stabilito in uno stato
membro per regolare il trasferimento o il
complesso di trasferimenti di dati personali a un
responsabile in un paese terzo fuori dall'unione.
Organizzazione internazionale
Un'organizzazione e gli organismi di diritto
internazionale pubblico ad essa subordinati o
qualsiasi altro organismo istituito sulla base di un
accordo fra due o più stati.
Parola chiave
Componente di una credenziale di autenticazione
associata ad una persona ed a questa nota,
costituita da una sequenza di caratteri o altri
dati in forma elettronica.
Principio di esattezza
Obbligo del Titolare di agire sui dati inesatti rispetto alla finalità dichiarate, di garantire e verificare l'esattezza, l'aggiornamento e la completezza dei dati trattati, i dati inesatti o rettificando con tempestività le anomalie riscontrate.
Principio di finalità
Trattamento di un Archivio che avviene in
termini chiari determinati e manifestati all'atto
della raccolta.
Principio di liceità e correttezza
Trattamento di un Archivio nel rispetto delle
norme vigenti, a regolamenti o a normativa
comunitaria e comunque in modo trasparente nei
confronti dell’Interessato.
Principio di non eccedenza
Utilizzo dei soli dati sufficienti al perseguimento
dei legittimi fini dichiarati, pertinenti e non
eccedenti i fini stessi ("minimizzazione dei dati").
Principi di Pertinenza e Trasparenza
Pertinenza - dei dati rispetto alla finalità per cui
vengono trattati.
Trasparenza - informazioni destinate al pubblico
o all'interessato siano concise, facilmente
accessibili e di facile comprensione e che sia
usato un linguaggio semplice e chiaro.
Profilazione
Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o calcolare metricamente caratteristiche e/o aspetti di rendimento professionale, di situazione economica, di salute, di preferenze personali, di interessi, di affidabilità, di comportamento, di ubicazione, o di spostamenti della persona fisica resi georeferenziabili.
Profilo di autorizzazione
Insieme degli attributi, univocamente associati
ad una persona, che consentono di individuare a
quali dati essa può accedere, nonché i
trattamenti ad essa consentiti.
Pseudonimizzazione
Trattamento di dati personali che rendono identificabile l'interessato o possono essere a lui associati solo con ulteriori informazioni aggiuntive, separatamente conservate e sottoposte ad adeguate misure tecniche e organizzative che non ne consentano l'attribuzione univoca ad una persona.
Qualità dei Dati
La valutazione metrica del livello di sicurezza delle caratteristiche dei dati quando soddisfano coerentemente condizioni prestabilite e/o
implicite alle condizioni di trattamento dichiarate nelle politiche del sistema di Qualità e Sicurezza.
Responsabilizzazione (Accountability)
Obbligo Titolare nel garantire ed essere in grado
di dimostrare il rispetto degli obblighi derivanti
dai principi previsti nella normativa di
riferimento.
Riesame
Valutazione sistematica e regolare dell'efficacia ed efficienza degli elementi atti a conseguire gli obiettivi pianificati e stabiliti. Il riesame può comprendere un adattamento a nuove esigenze per azioni di miglioramento
Rischio elevato
E' una condizione ci rischio di pregiudizio dei
diritti e delle libertà delle persone fisiche.
Sistema
Insieme di strumenti e delle procedure che
abilitano l'accesso ai dati e alle modalità di
trattamento degli stessi, in funzione del profilo
di autorizzazione del richiedente.
Strumenti elettronici
Elaboratori, programmi per elaboratori, e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
Struttura HLS
Struttura generale ad alto livello, cioè struttura
comune a gli standard ISO definita nel 2012 al
fine di migliorare l'interoperabilità degli standard
normativi. Si basa principalmente su
terminologie, testi, definizioni e sequenza
comuni.
Terzo
La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il Titolare del trattamento, il Responsabile del trattamento, il Delegato al trattamento e una Soggetto Autorizzati al trattamento dei dati personali sotto l'autorità diretta del Responsabile o del Titolare.
TFEU
Trattato sul funzionamento dell'Unione Europea
(trattato di Lisbona)
Titolare del Trattamento
Persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli stati membri, il Titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal dritto dell'Unione o dagli stati membri.
Tracciabilità
Grado in cui i dati hanno attributi che forniscono
una registrazione degli accessi ai dati e a tutte le
modifiche effettuate ai dati in un contesto di
utilizzo specifico.
Trattamento
Qualsiasi operazione o insieme di operazioni
compiute con o senza l'ausilio di strumenti
elettronici, processi automatizzati e applicate a
dati personali, come la raccolta, la registrazione,
l'organizzazione, la strutturazione, la
conservazione, memorizzazione, l'adattamento o
la modifica, l'estrazione, la consultazione, l'uso,
la comunicazione mediante trasmissione,
diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l'interconnessione, la
limitazione, la cancellazione o la distruzione.
Trattamento a rischio
Trattamento di dati personali suscettibile di
cagionare un danno fisico, materiale o morale in
particolar modo se il trattamento comporta
discriminazione, furto o usurpazione d'identità,
perdite finanziarie, pregiudizio alla reputazione
o qualsiasi altro danno economico o sociale
importante. Viene inoltre considerato
trattamento particolarmente a rischio il
trattamento di categorie particolari di dati, la
valutazione della personalità, preferenze ed
interessi personali, affidabilità o
comportamento. Infine, è trattamento a rischio il
trattamento di una notevole quantità di dati
personali per un vasto numero di interessati.
Valutazione del rischio
Processo atto a determinare la probabilità e la gravità del rischio del trattamento, in funzione della natura, dell'oggetto, del contesto e delle finalità del trattamento dei dati personali. La valutazione deve essere basata su elementi di valutazione oggettivi.
Valutazione d' Impatto
E' la valutazione che si rende obbligatoria,
qualora un tipo di trattamento presenti un
rischio elevato per i diritti e le libertà dei
interessati.
3 RIFERIMENTI NORMATIVI TERZI
I riferimenti richiamati all'interno di questo Schema di certificazione, sono di indirizzo per
l'applicazione dello Schema di Audit Privacy TQM
EU Reg. 2016/679
EN ISO/IEC 17065
EN ISO/IEC 17021-1
EN ISO 19011
REGOLAMENTO (CE) 765/2008
UNI ISO/IEC 25012
UNI ISO/IEC 25024
UNI EN ISO/IEC 27001
UNI EN ISO/IEC 9001
ISO/IEC 29134
ISO/IEC 29100
UNI ISO 31000 STANDARD ANNEX SL
4. PRINCIPI ED ELEMENTI DEL SISTEMA PRIVACY TQM
4.1 Premesse
Il Titolare deve verificare e assicurare costantemente che i dati personali relativi a soggetti Interessati oggetto di trattamento siano trattati con liceità e correttezza, vengano raccolti e registrati secondo finalità pre-determinate, esplicite e legittime. Il Titolare deve inoltre garantire che durante il periodo proporzionato e giustificato di trattamento i dati siano esatti, aggiornati, pertinenti e non eccedenti gli scopi della raccolta per i quali si ha le basi giuridiche di trattamento.
4.2 Impostare Adeguatezza delle misure organizzative
Il Titolare deve impostare metodi e prassi di controllo per valutare e dimostrare continuamente la compliance del trattamento del dato personale secondo i principi di corretta impostazione sin dalla fase di progettazione iniziale riducendo al minimo il trattamento dei dati e la loro accessibilità.
4.3 Impostare Correttezza, Liceità e Trasparenza
I dati personali dei soggetti Interessati, devono essere raccolti ed elaborati correttamente, il soggetto Interessato deve liberamente fornire le informazioni senza essere fuorviato con indicazioni vessatorie o poco comprensibili; questo anche in merito alle finalità del trattamento.
L'organizzazione deve sistematicamente verificare che il trattamento dei dati personali dei soggetti Interessati, sia effettuato secondo correttezza e liceità, affinchè la raccolta di dati e/o tutte le attività implicate nel processo di trattamento, sono lecite solo se soddisfano i requisiti e gli adempimenti delle prescrizioni legali di regolamenti, normative applicabili alla tipologia di finalità e raccolta che il Titolare decide per il business della Organizzazione.
4.4 Chiarire Finalità singola o multiple
La Finalità della raccolta dei dati personali scelta dal Titolare deve essere chiara, determinata e manifestata all’interessato nel momento della raccolta dati presso l’interessato e comunque prima della espressione del consenso. Rispetto alla finalità dichiarata, tutti gli utilizzi successivi dei dati personali devono rimanere compatibili e congrui con quanto dichiarato al momento della raccolta. Nel caso di ulteriori e nuove finalità, è necessario sottoporre una nuova informativa.
In nessun caso sono utilizzate finalità ambigue, generiche e a valenza multipla. Qualunque trattamento dei dati non associato ad una trasparente e preliminare informativa all'interessato completa di finalità aggiornate e aderenti alle misure applicate dalla organizzazione, prefigurano un trattamento illecito.
4.5 Variazioni nella finalità
Il Titolare del trattamento deve assicurarsi costantemente che non si verifichi uno sconfinamento dai criteri di legittimazione soddisfatti dalla originale informativa (vedi Punto 4.4), perché eventuali modifiche di finalità del trattamento implicano la verifica di compatibilità con la finalità precedente e in ogni caso la redazione di nuove informative per gli interessati.
4.6 Verifica della Pertinenza
Il Titolare del trattamento deve verificare che:
a. La raccolta dei dati personali sia funzionale alle e congrua con le finalità dichiarate ed effettivamente implementate, attraverso controlli che validano i dati quando realmente utili a conseguire il risultato
b. i dati personali oggetto di trattamento sino proporzionali e non eccedano le reali esigenze dei processi di business
4.7 Essenzialità e non “eccedenza”
Il Titolare del trattamento deve verificare e monitorare che i dati personali oggetto di trattamento siano utili e necessari ai fini dichiarati comunque controllando che siano in essere misure di minimizzazione dell’uso di dati personali.
Il Responsabile del trattamento (interno e/o esterno) e/o il Delegato, se e dove nominati, disporrà verifiche periodiche e sistematiche, se necessario anche automatizzate per monitorare le reali necessità dell'organizzazione.
Dati personali raccolti, non appartenenti alle categorie di finalità dichiarate, sono "eccedenti", e come tali saranno distrutti o resi anonimi attraverso le adeguate procedure e/o tecniche previste dalle prescrizioni applicabili.
4.8 Etica della Qualità dei dati
L'organizzazione deve garantire che i dati siano esatti, completi. Quando il Titolare deve dare conto di una richiesta di “aggiornamento”, provvederà a dare risconto e garantire il diritto all’interessato secondo i tempi e le modalità previste. La valutazione di completezza deve essere coerente con le finalità dichiarate.
In occasione di dubbi sulla correttezza dei dati personali trattati, la Organizzazione deve
piuttosto considerare la loro cancellazione.
4.9 Assicurare Esattezza dei dati
L'informazione nominativa non deve contenere errori quindi l'organizzazione adotta misure e mantiene prassi “adeguate” al mantenimento della esattezza dei dati gestiti.
Quando la Organizzazione ha ottenuto dati provenienti da albi, elenchi, o documenti conoscibili da chiunque, il Titolare del trattamento ha comunque l'obbligo di sincerarsi della loro validità e il riscontro riconciliato con gli elenchi originali di provenienza. Naturalmente dove possibile si potrebbe avere una adeguata documentazione a supporto dell'esattezza da parte della fonte di origine.
4.10 Documentare comprovato Aggiornamento dei dati
L'organizzazione deve verificare e documentare almeno una volta l'anno, l'esattezza e la
compliance dei dati contenuti nei propri archivi.
4.11 Verifica della Completezza dei dati
L 'organizzazione deve verificare l'interezza analitica dei dati personali degli interessati al fine di prevenire una divulgazione di dati di cui al Punto 4.10 e scongiurare qualunque possibile circolazione di notizie di dissimili dalla realtà o anche solo incomplete.
In occasione di controversie e/o incidenti di violazioni Informatiche, il Titolare del trattamento
ha l'obbligo di comunicare la fonte da cui i dati sono stati prelevati all'interessato così che sia in
grado di esercitare i propri diritti.
4.12 Stoccaggio e Conservazione sicure delle informazioni
Il Titolare del trattamento deve assicurare che la conservazione dei dati degli Interessati oggetto del trattamento rispetti i termini di tempo necessario a realizzare gli scopi per cui sono detenuti; l’Organizzazione deve pertanto progettare, formalizzare e implementare un Sistema di procedure e prassi di stoccaggio (sia cartaceo che digitale) e dovrà automatizzare procedure operative anche per la validazione periodica della integrità delle copie dei repertori di sicurezza tramite test di ripristino dei volumi a garanzia del mantenimento delle informazioni.
4.13 Classificazione dei dati per finalità
Il Titolare del trattamento, o la figura che per proprio conto gestisce il Sistema Privacy, disegna
e implementa tutte le necessarie procedure di automazione informatica e/o manuali sul
cartaceo, per assicurare che dati trattati siano solo quelli specificamente associabili alla finalità
dichiarata.
4.14 Valutazione dei rischi e misure di sicurezza
Il Titolare del trattamento con l'aiuto del Responsabile della protezione dei dati, se nominati e del Designato e/o dell'Amministratore di Sistema, deve individuare adeguate misure di sicurezza che siano allineate al progresso tecnico, e adatte ad evitare i rischi di distruzione, di perdita, di modifica, di divulgazione e di accesso non autorizzato ai dati dei soggetti.
Ogni anno sarà effettuato un audit interno per verificare/validare/aggiornare il Disciplinare Interno della Organizzazione (DIA) con specifico riferimento alla formazione IT per tutto lo staff aziendale. Il DIA è comprensivo delle eventuali nuove disposizioni e definizioni dei dati di trattamento per tutti i Soggetti Autorizzati a trattare e le corrispondenti categorie di dati loro consentiti.
4.15 Comunicazioni delle violazioni di Sistema e del sito
Il Titolare messo a conoscenza di violazione dei dati personali, notifica la stessa all'Autorità di Controllo nelle forme e nei modi previsti dall'EU Reg. 2016/679 e Succ. Dlg.101/2018.
Se le violazioni possono anche solo potenzialmente creare un nocumento elevato per i diritti e le libertà della persona fisica, il Titolare comunica anche agli interessati le violazioni dei dati personali senza ritardo. La comunicazione avverrà nei modi e nei termini previsti dal Regolamento stesso affinché sia possibile per gli stessi interessati preservarsi per quanto possibile e mitigare danni maggiori.
5 CONSAPEVOLEZZA E ASSUNZIONE DI RUOLO
5.1 Impegni del Titolare del Trattamento (TdT)
Il Titolare del trattamento deve garantire ed essere sempre in condizioni di dimostrare il rispetto della compliance al processo di gestione dei dati personali. Dovrà anche assicurare e mantenere ai soggetti che ha reso corresponsabili (Responsabili, Delegati e Soggetti Autorizzati al Trattamento) tutte le risorse necessarie (finanziarie e umane) per gli adempimenti normativi in materia di protezione dei dati personali pianificando una verifica almeno annuale.
La pianificazione e il monitoraggio delle adeguate politiche aziendali devono essere formalizzate in un Manuale Privacy (MSPPD). La struttura del manuale che può essere anche in formato elettronico/digitale, è istruito con Politiche, Procedure di Gestione (1°Livello), Procedure Operative e Registrazioni (documenti con paternità e data certa); complessivamente considerato il MSPPD supporta e rende conto della corretta compliance del Sistema Privacy TQM.
Se integrato con altre norme volontarie di tipo ISO-SL-HLS, Il Sistema Privacy condivide elementi di misurazione oggettivi (Es.: PKI), in grado di misurare tangibilmente e obiettivamente il funzionamento e l’escursione di miglioramento delle politiche adottate.
5.2 Politiche Privacy della Organizzazione
In ragione della natura, del contesto, del settore di business, delle finalità del trattamento e della preliminare analisi dei rischi (se dovuta anche degli Impatti privacy sulla azienda), a cui sono esposti anche solo potenzialmente i diritti e le libertà delle persone fisiche, il Titolare predispone/incarica misure fisiche, logiche e organizzative per la istruttoria di uno o più documenti contenenti:
a. dichiarazione delle politiche sulle finalità del trattamento dei dati personali
(protezione dei dati dei clienti, utenti, ecc.);
b. elaborazione di politiche conciliative e risarcitorie sul rischio residuo accettato
pianificando formalmente iniziative ed eventi di sensibilizzazione (awareness),
formazione, aggiornamento e affiancamento (training) dei dipendenti;
c. pianificazioni specifiche di protezione dei dati, come ad esempio la pianificazione
pluriennale delle misure adottate;
d. pianificazione di iniziative ed eventi di sensibilizzazione dei clienti, dei fornitori e
degli utenti;
e. campagne di coinvolgimento degli Interessati e delle loro organizzazioni (attività
implicita nella Valutazione d'Impatto);
g. elaborazione di un processo per la gestione delle violazioni dei dati personali;
h. dichiarazione di politiche sulla gestione dell'esercizio dei diritti dell'interessato;
i. validazione formalizzata periodica del mantenimento di condizioni di sussistenza del
consenso.
5.3 Ruoli, Responsabilità e adeguatezza tecnologica
Il Titolare del trattamento deve assicurare la compliance del Sistema Privacy aziendale al Regolamento sia per la sua diretta Accountability (Responsabilità) che per tutte quelle dei Soggetti Privacy che sono stati delegati/designati ad agire per suo conto.
In una Organizzazione, la Titolarità è diretta espressione della fattuale abilità di colui (Soggetto giuricico) che ha potere decisionale su finalità, e capacità di spesa per i mezzi e modalità di gestione di un Sistema Privacy per l'uso dei dati personali.
Il Titolare deve sempre aggiornare e riesaminare il proprio Sistema Privacy alla luce dell'evoluzione tecnologica e della normativa di compliance applicabile provvedendo contestualmente alla verifica per la eventuale riedizione di politiche interne, di misure fisiche, logiche ed organizzative e quindi del MSPPD.
6 GESTIONE DEL SISTEMA ORIENTATA AL RISCHIO
6.1 Gestione del cambiamento
Il Titolare al momento di pianificare nuovi trattamenti dovrà prendere in considerazione tutte le variabili di contesto che possono interagire con i propri obiettivi. Verranno pertanto qualificati i criteri, interni ed esterni, da considerare nella più generale valutazione del rischio, definendo il livello di rischio accettabile, attraverso parametri oggettivi di misurazione.
La protezione dei Dati Personali nello schema Privacy TQM non garantisce solamente il diritto alla riservatezza e alla confidenzialità degli interessati, ma assicura sostanzialmente (non solo formalmente), che le misure adeguate ai trattamenti possano prevenire danni conseguenti ad un trattamento illecito e/o compromissioni della integrità fisica del dato (cartaceo o digitale) quali perdita, cancellazione e corruzione.
Per tutti i trattamenti il Titolare valuta il rischio a partire dalle fonti iniziali lungo tutto il ciclo di vita del trattamento. L’emivita dei processi e delle misure messe in opera per garantire gli adempimenti del Regolamento decorrono quindi dal momento primogenito della acquisizione fino alla distruzione del dato.
6.2 Politica proattiva e preventiva del rischio
Dopo aver capito tutte le eventuali fonti di rischio (minacce/vulnerabilità) anche solo potenzialmente in grado di compromettere la confidenzialità, l'integrità, la disponibilità e la resilienza dei dati personali, il Titolare predispone e dichiara gli impegni della Politica Privacy 4.0.
Con la manifestazione degli intenti generali della organizzazione nei confronti delle prescrizioni legali del regolamento e del suo recepimento nelle emanazioni a livello di Autorità di Controllo nazionale, il Titolare intraprende la pianificazione, il disegno e la implementazione dei processi aziendali secondo misure logiche, fisiche e organizzative formalizzate nel Manuale del Sistema Privacy e Protezione dei Dati (MSPPD).
Tale MSPPD viene strutturato modularmente per essere continuamente adattato, aggiornato e revisionato dai soggetti Privacy cui il Titolare a esteso la responsabilità e le competenze Privacy quali il RPD (DPO), eventuali amministratori di sistema (ADS). In Italia, a decorrere dalla pubblicazione in Gazzetta Ufficiale del Dlg. 101/2018 del 19/09/2018, il Titolare può anche adottare figure di Designati interni a cui specificamente assegnare compiti di verifica, controllo e/o applicazione delle corrette disposizioni dichiarate in Politica Privacy dalla organizzazione.
6.3 Valutazione del rischio e degli Impatti Privacy
Dopo la stesura della documentazione relativa alla Valutazione dei Rischi, e dove necessaria della successiva e correlata valutazione degli Impatti Privacy (D-PIA), il Titolare deve attendere e soddisfare, adeguate risorse e procedure interne atte a garantire il tempestivo avvio dei processi valutativi e la loro corretta e puntuale esecuzione.
La capacità dell'organizzazione di identificare tutti i rischi riconducibili ai trattamenti tutelati dalle norme in materia di Protezione dei Dati Personali, permette di scegliere il corretto livello di misure tecniche ed organizzative per mitigare e/o ridurre al minimo le conseguenze di un incidente privacy, sia esso riferito a supporti cartacei o elettronico-digitali.
7 PILASTRI DELLA ARCHITETTURA PRIVACY TQM
7.1 Requisiti e obblighi di sistema
Il Titolare del trattamento a cui competono le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali trattati e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, al fine di poter comprovare la compliance a quanto richiesto dalle norme vigenti, deve: valutare, attuare, riesaminare e mantenere attivo, un opportuno sistema di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio potenziale che incombe sui dati con alto riguardo alla prevenzione della distruzione, perdita, modifiche e le rivelazioni non autorizzate, l'accesso illegale ai dati trattati. Inoltre, deve attuare corrette politiche preventive per verificare il rispetto dei principi di esattezza ed adeguatezza delle informazioni trattate.
7.2 Procedure e Prassi di primo livello
II Titolare del trattamento deve:
A. Definire una politica di gestione adeguata in relazione alle caratteristiche
dell'organizzazione, alle linee operative ed all'uso interno degli archivi di dati personali
gestiti.
B. Stabilire in maniera analitica quali sono i potenziai rischi che incombono sui dati nel
trattamento in oggetto.
C. Definire gli obiettivi temporali e metodologici del trattamento.
D. Comunicare all'organizzazione l'importanza di conseguire gli obiettivi per la messa a
norma del trattamento, creando i giusti presupposti di consapevolezza.
E. Fornire risorse umane ed economiche adeguate a gestire i processi.
F. Assicurarsi che siano predisposte procedure operative e documentazione relativa.
G. Accertarsi che tutto il personale sia adeguatamente formato.
H. Verificare che vengano effettuati gli Audit interni ed esterni.
L'organizzazione deve definire il sistema documentale di un MSPPD per diffondere e rendere operative le politiche Privacy 4.0 all'interno dell'organizzazione cosi che tutti i livelli di risorse umane svolgano la corretta attività di gestione dei trattamenti.
7.3 Monitoraggio e verifica dei processi interni
Il Titolare del trattamento deve:
A. Verificare che vengano rispettati i diritti e le libertà fondamentali dei soggetti rispetto al
trattamento effettuato.
B. Aver predisposto procedure di verifica dei processi realizzati al fine d monitorare che ciò
che è stato progettato corrisponda a quanto eseguito.
C. Individuare gli errori e le violazioni relative alla sicurezza.
D. Verificare che le politiche interne adottate, siano allineate al principio di protezione dei dati
dalla progettazione, al loro utilizzo.
E. Verificare che i dati siano protetti in tutto il loro ciclo di vita, dalla raccolta fino alla loro
distruzione.
F. Verificare che i dati utilizzati siano sempre ridotti al minimo indispensabile per la finalità
perseguita.
G. Verificare che gli accordi fra eventuali "co-Titolari del trattamento" riflettano
correttamente i loro ruoli.
H. Verificare che gli eventuali Responsabili del Trattamento siano correttamente istruiti sulle
attività di trattamento da effettuare per proprio conto.
7.4 Responsabile della protezione dei dati
Il Titolare del trattamento deve designare un Responsabile della Protezione dei Dati (RPD o DPO) quando le attività del trattamento consistono in trattamenti che per loro natura, oggetto e finalità, richiedono il monitoraggio regolare e sistematico dei dati o quando sono relativi, su larga scala, a categorie particolari di dati personali, oggetto di specifiche garanzie.
I trattamenti di dati personali effettuati da pubbliche autorità devono sempre formalizzare la designazione di un Responsabile della Protezione dei Dati
7.5 Piano di Formazione
Il modello di compliance aziendale Privacy TQM richiede un monitoraggio costante dei processi formativi, è necessario pertanto verificare la formazione puntuale del personale.
Il Titolare o chi per suo conto acquisisce la responsabilità della Formazione deve:
A. Stabilire le competenze del personale ed indicare almeno un referente di progetto.
B. Sottoporre ad audit interno l'efficacia delle azioni intraprese.
C. Conservare diligentemente tutta la documentazione fornita dall'Organismo di certificazione
e i certificati di compliance emessi.
D. Coordinare e formare il nuovo personale in merito alla compliance alle norme vigenti.
E. Al cambio di metodologie operative dell'organizzazione e delle conseguenti procedure ed
istruzioni, valutarne l'impatto sulla metodologia di gestione degli archivi interni
all'organizzazione e eventuali correttivi.
F. Verificare almeno annualmente la conoscenza generale e la corretta comprensione della
norma anche mediante l'uso di test di valutazione e corsi formativi.
G. Registrare le sessioni di addestramento, istruzione e formazione, verbalizzando per iscritto,
anche in formato elettronico, i risultati per singolo discente ed i soggetti che hanno
effettuato la docenza.
Nello schema di audit della Privacy TQM, la Formazione deve avere i requisiti richiesti dal Regolamento europeo. Il Titolare o chi per suo conto acquisisce la responsabilità della Formazione dovrà progettare un Piano Formativo (verificato su base almeno annuale) rispettando i criteri e i principi per la quale la Formazione deve quindi:
A. essere pianificata
B. essere specifica e diversificata
C. essere verificata periodicamente
D. essere frontale con lo staff e/o digitale per ogni soggetto autorizzato
E. essere dimostrabile e comprovabile agli organi ispettivi o alla AC
7.6 Documentazione del Manuale Privacy TQM
L'organizzazione che adotta lo Schema Privacy TQM, adeguatamente ad ogni trattamento sempre avere disponibile e aggiornata la seguente documentazione:
A. Manuale Privacy o documentazione equivalente che comprenda
• Mappatura dei trattamenti (archivi interni ed esterni e relativi tracciati record) Istruzioni
formali alle persone autorizzate al trattamento sotto l'autorità del Titolare (addetti)
• Qualifiche e contratti Responsabili del trattamento
• Procedure di monitoraggio degli Amministratori di Sistema (interni o esterni)
B. Modulistica di Informative (ed eventuali richieste di consenso)
C. Registro del trattamento (doppia edizione per TdT e RdT)
D. Valutazione del rischio e metriche di misurazione (proped. DPIA se dovuta, Punto E)
E. Metodologia di valutazione d'impatto sulla protezione dei dati e registro delle DPIA effettuate
F. Procedure che regolano la raccolta e il trattamento dei dati
G. Procedura per la gestione dei diritti dell'interessato
H. Procedura di modifica e/o cancellazione dati
I. Procedure misure tecniche ed organizzative per la gestione della sicurezza dei trattamenti,
documentazione (sia cartaceo che elettronico-digitale) incluso gestione cookies, business continuity,
disaster recovery e le necessarie misure di cyber sicurezza (on-premise, web, Cloud SaaS ecc.)
J. Relazione annuale dell'amministratore di sistema o Delegato con equivalente responsabilità
K. Relazione annuale del Responsabile della protezione dei dati (DPO) se nominato
L. Procedure di gestione dei “data breaches“
M. Procedure di gestione della privacy by design e by default
N. Procedura di gestione degli Audit interni
La documentazione del MSPPD può essere su supporto cartaceo e/o elettronico-digitale ma in ogni caso dovrà essere conosciuta a tutte le figure autorizzate dal Titolare e dovrà essere distribuita e fruibile secondo competenza e responsabilità attribuita alle diverse categorie di soggetti autorizzati.
8. SISTEMA OPERAZIONALE
8.1 Obblighi di Pianificazione e Controllo
Il Titolare dimostra la sua piena Responsabilizzazione in merito alle attività di pianificazione di tutti i controlli e rettifiche delle scelte dichiarate e motivate nella Politica Privacy TQM aziendale. Tutti i Piani di Audit rappresentano l'evidenza documentale di un Sistema SPPD operante secondo Regolamento.
8.1.1 Mappature trattamenti
Il Titolare pianifica formalmente la mappatura globale dei trattamenti e verifica costantemente tutti
gli archivi utilizzati all'interno dell'organizzazione. La mappatura segue una risoluzione di dettaglio a
livello di i singoli trattamenti effettuati da ogni soggetto autorizzato.
8.1.2 Registro delle operazioni di trattamento
Con i registri del trattamento il Titolare o chi per suo conto abbia la responsabilità del trattamento,
documenta e controlla che le caratteristiche dei trattamenti corrispondano a realtà.
8.1.3 Valutazione del rischio
Il Titolare dedica tempo, adeguate risorse e completa attenzione alle procedure interne di avvio dei
processi valutativi del rischio, e la successiva messa in opera dell’impianto di un corretto Sistema di
gestione per la loro minimizzazione.
8.1.4 Valutazione d'Impatto
Se la fase di valutazione dei rischi evidenzia un rischio elevato per i diritti e le libertà del soggetto
interessato, il Titolare deve formalizzare un documento di valutazione d'Impatto dei rischi Privacy.
l’Autorità di Controllo Garante redige e rende pubblica una lista di trattamenti soggetti alla
valutazione d'impatto, in aggiunta alle fattispecie previste dall'Art. 35 del Regolamento.
8.2 Progettazione privacy per disegno e per scelta predefinita (by design e by default)
La Organizzazione ha l'obbligo di adottare misure tecnico-organizzative a protezione dei dati personali in compliance al Regolamento alle quali applicare sia in fase di disegno che di realizzazione i criteri by design & by default a:
I. Politiche
II. Processi
III. Misure di sicurezza
8.3 Controllo attivo modifiche di processi, prodotti e servizi forniti dall'esterno
Se in un qualunque momento lungo la vita della Organizzazione, si modifica (ex novo o aggiornamento) un servizio o un prodotto software/hardware, il Titolare o il soggetto che per suo conto acquisisce la responsabilità, adotta procedure che garantiscano la riqualifica e il riesame dei fornitori per comprovare la continuità di compliance di Sistema e il rispetto del trattamento dei dati personali. Tutte le attività di queste fasi dovranno essere verbalizzate e validate con nuove edizioni/versioni delle procedure dello Schema Privacy TQM.
9. AUDIT DELLE PRESTAZIONI
9.1 Audit per riesame idoneità, adeguatezza ed efficacia
Il Titolare del trattamento assicura il riesame delle componenti del Sistema Privacy TQM della Organizzazione per la corretta applicazione e comprensione del Sistema almeno una volta l'anno, per verificarne la idoneità, la adeguatezza e l’efficacia. I risultati devono essere documentati e registrati.
9.2 Componenti di Audit di Sistema
Gli elementi da considerare al riesame da parte dell'organizzazione devono essere:
A. Documenti rilasciati dall'ente certificatore
B. Documento di mappatura dei trattamenti
C. Registro dei trattamenti
D. Documento aggiornato di valutazione dei rischi
E. Monitoraggio della Valutazione d'Impatto
F. Informazioni e statistiche puntuali o a campione di controllo sulla qualità ed esattezza
G. dei dati contenuti negli archivi
H. Stato delle eventuali azioni correttive
I. Analisi procedure relative ad Informative e consenso
J. Analisi del corretto rispetto dei diritti degli interessati
9.3 Azioni correttive della non compliance
Il Titolare del trattamento attraverso apposite figure se del caso nominate e con il supporto del Responsabile della protezione dei dati, se designato, deve intraprendere azioni atte ad eliminare le cause di non compliance; la procedura deve definire i requisiti per:
A. Riportare le non compliance in un documento aggiornato almeno annualmente
B. Stabilire le cause di non compliance
C. Studiare azioni atte ad evitare il ripetersi delle non compliance
D. Stabilire e mettere in atto azioni correttive
E. Riesaminare le azioni correttive intraprese
10 EVIDENZE E STRATEGIE DI MIGLIORAMENTO
10.1 Miglioramento continuo dei flussi di trattamento
Il di trattamento dei dati personali secondo lo Schema Privacy TQM, segue il ciclo PDCA e deve pertanto valutare in modo metrico e/o ergonomico le performance del Sistema secondo il principio del “miglioramento continuo (continual improvement). Si intende con ciò perseguire aa valutazione costante dei processi di gestione del rischio Privacy dell'organizzazione
Il miglioramento continuo applicato allo Schema Privacy TQM per la protezione dei dati, si basa sulla standardizzazione di indicatori dei processi rilevati dal monitoraggio delle registrazioni che seguono i flussi di trattamento cosi come identificati dal Registro dei Trattamenti.
Il monitoraggio prevede:
A. Creazione di flussi continui di informazioni verso il Titolare/DPO
B. Verificare l'eventuale messa in produzione di trattamenti non valutati preventivamente
C. Attuare delle verifiche periodiche (audit interni) intese a misurare sistematicamente lo stato
di compliance della organizzazione
D. Valutare lo stato dei piani di rientro a seguito delle non compliance riscontrate
E. Verificare l'efficacia del piano di trattamento dei rischi
F. Verificare che il personale addetto sia adeguatamente qualificato, formato e motivato
G. Valutare l'operato del team di lavoro
Il Miglioramento continuo non è solo interno alla Organizzazione, ma qualifica costantemente anche le prestazioni dei Responsabili e dei Fornitori esterni. A questo scopo si sono approntate procedure di verifiche ispettive e/o audit programmati all’esterno il cui scopo è assicurare il corretto coinvolgimento dei vari i livelli aziendali nei processi decisionali e il loro confronto con le corrispettive persone coinvolte nelle forniture
10.2 Non conformità e Azioni correttive
Le possibili non conformità sono schematicamente riassunte come segue:
A. Non Compliance/Carenze quando il requisito previsto dallo Schema di riferimento viene
costantemente disatteso mettendo a rischio l'affidabilità del prodotto, del servizio o del processo
oggetto di valutazione
B. Osservazione, Il requisito previsto dallo Schema di riferimento verificato è applicato solo
parzialmente o non viene applicato sistematicamente senza inficiare l'affidabilità del prodotto, del
servizio o del processo oggetto di valutazione.
C. Commento, possono considerarsi come spunti per attività di miglioramento del prodotto, del servizio
o del processo oggetto di valutazione. Seppure non inficiano la capacità dell'organizzazione di
soddisfare i requisiti contenuti nello Schema di riferimento, quando il commento non venisse
recepito la motivazione deve essere registrata.
Le Azioni Correttive verranno intraprese in conseguenza a:
• analisi della gravità e frequenza delle segnalazioni di non compliance;
• esigenze emerse in sede di Audit di riesame;
• esito di audit interni che abbiano rilevato non compliance;
• esito di audit di organismi di certificazione e/o organi ispettivi.
La formalizzazione delle Azioni Correttive rappresenta la comprovata eliminazione delle cause di non compliance rilevate e con essa lo sgravio del Titolare da possibili sanzioni per inadempienza.
ANNESSO AQ-SPPD OBIETTIVI E METODO Dl CONTROLLO ICT DEL
SISTEMA PRIVACY E PROTEZIONE DEI DATI
Committente
……………………………………………………..
Data Center
……………………………………………………..
Auditor
……………………………………………………..
Data audit
……………………………………………………..
ANNESSO AQ-SPPD OBIETTIVI E METODO Dl CONTROLLO DEL
SISTEMA PRIVACY E PROTEZIONE DEI DAI
Gli obiettivi di controllo riportati nel prospetto denominato "AQ-SPPD", sono derivati da quanto previsto
dalle norme vigenti e dalle linee guida pubblicate e rilasciate dallo European Data Protection Board
(EDPB-https://edpb.europa.eu/edpb_it )
L’acronimo AQ-SPPD pertiene la porzione del manuale annessa allo schema di Audit TQM che formalizza le
logiche ed i metodi di controllo di Assicurazione Qualità (AQ) applicati al Sistema Privacy e Protezione dei
Dati (SPPD). Le sezioni dell’annesso sottendono le liste di controllo operazionali associate nell’AQ-SPPD
affinché il Responsabile Privacy, se presente in concerto con quello della Assicurazione Qualità (RAQ),
possa condurre verifiche periodiche e formalizzare le registrazioni di audit interno del sistema TQM (Punto
9 dello Schema di Audit Privacy TQM)
A.1 POLITICA E OBBLIGAZIONI DEL TITOLARE
A.1.1 - Obblighi generali e consapevolezza del Titolare
Stabilire la corretta percezione e declinazione formale, del concetto di responsabilità
generale del Titolare del trattamento.
A.1.1.1 Consapevolezza del Titolare del trattamento
Metodo di controllo: Verificare la reale consapevolezza del Titolare del trattamento e come
sia diffusa e permeata all’interno dell'Organizzazione. Verificare evidenze documentali dello
svolgimento di azioni di sensibilizzazione interna.
A.1.1.2 Adozione di un manuale privacy
Metodo di controllo: Verificare che il abbia redatto e mantenga un manuale sinottico, che
descriva le procedure dall'organizzazione. Ogni procedura dovrà essere identificabile
A.1.1.3 Riesame delle attuate
Metodo di controllo: La politica della protezione dei dati deve essere riesaminata almeno
una vota l'anno ovvero ogni qualvolta si verifichino cambiamenti significativi, normativi, ci
sistema, di personale
A.1.1.4 Assegnazione interna dei ruoli
Metodo di controllo: Verificare che ci sia un'assegnazione dei ruoli per la corretta
ripartizione delle responsabilità.
A.1.1.5 Riesame della direzione
Metodo di controllo: Verificare che le procedure per la compliance del trattamento dei dati
personali, sia coerentemente valutato nel riesame della direzione.
A.2 - SOGGETTI PRIVACY IMPLICATI NEI TRATTAMENTI
A2.1 Titolare del trattamento
Assicurare il rispetto delle norme vigenti da parte del Titolare
A2.1.1 Titolarità del trattamento
Metodo di controllo: Verificare che sia chiaramente compresa e definita la titolarità dei
trattamenti all’interno dell'organizzazione.
A2.1.2 Titolare del trattamento che non è stabilito nell’Unione Europea
Metodo di controllo: Verificare l'eventuale nomina scritta di un "Rappresentante" del
Titolare o del Responsabile, stabilito in uno degli stati membri dove si trovano gli Interessati.
A2.2 Contitolare del trattamento
Metodo di controllo: Stabilire e assicurare la corretta ripartizione delle responsabilità
A2.2.1 ConTitolare del trattamento
Metodo di controllo: Il Titolare del trattamento se stabilisce finalità e mezzi del trattamento
congiuntamente con altri Titolari, deve redigere un documento dove vengono chiaramente
ripartite le responsabilità e le competenze.
A2.2.2 Esercizio dei dritti e comunicazioni all'interessato nella Contitolarità del
trattamento
Metodo di controllo: Quando sono presenti accordi di Contitolarità il Titolare deve
assicurarsi che l'Interessato possa esercitare i suoi diritti.
A2.2.3 Comunicazione dell'accordo di contitolarità all’interessato
Metodo di controllo: L’Interessato deve essere messo a conoscenza del contenuto
essenziale dell'accordo fra Contitolari.
A2.3 Responsabile del trattamento
Assicurare il rispetto delle prescrizioni del Titolare
A2.3.1 Garanzie richieste al Responsabile
Metodo di controllo: Deve essere verificata la competenza e la conoscenza. specialistica del
Responsabile
A2.3.2 Certificazione del Responsabile
Metodo di controllo: Verificare se il Responsabile applica codici di condotta o adotta
meccanismi certificazione al fine di comprovare la sua conoscenza e compliance alle norme
vigenti.
A2.3.3 Contratto con i esterni
Metodo di controllo: Verificare che all’interno del contratto o in appositi allegati sia
chiaramente riportato:
Materia disciplinata
Durata del trattamento
Natura del trattamento
Finalità da trattamento
Tipo di dati personali
Categorie degli interessati
Misure di sicurezza adottate
Istruzioni operative
A2.3.4 Completamento dei trattamenti da parte di Responsabili esterni
Metodo di controllo: Verificare che, per ogni singolo trattamento, il Responsabile esterno
designato si attenga alle indicazioni del Titolare circa la restituzione e/o la cancellazione dei
dati personali trattati.
A2.3.5 Audit programmati ai Responsabili esterni
Metodo di controllo: Verificare che, nella nomina o nel contratto con il Responsabile siano
previsti audit programmati (audit di seconda parte).
A2.3.6 Nomina e Qualità dei Sub Responsabili
Metodo di controllo: Qualora il Responsabile del trattamento, ricorra ad altro Responsabile (o
eventuale sub-responsabile) del trattamento, verificare che il Titolare abbia predisposto adeguate
misure di autorizzazione e monitoraggio.
A2.3.7 Verifica dei Sub-Responsabili
Metodo di controllo: Verificare che il Responsabile applichi processi di monitoraggio ai sub-
Responsabili
A2.4 Responsabile della protezione dei dati (RPD/DPO Art. 37, 38 e 39 Regolamento)
Verificare la correttezza delle valutazioni effettuate dal Titolare o dal Responsabile in merito alla
designazione, alla scelta e ai compiti del Responsabile della Protezione dei dati (D. P. O.)
A2.4.1 Designazione del Responsabile della protezione (RPD/DPO)
Metodo di controllo: Verificare che, in merito alla designazione e all'operato dell'RPD
(DPO), siano stati rispettati gli adempimenti normativi.
A2.4.2 Designazione di un unico RPD (DPO) per un gruppo imprenditoriale
Metodo di controllo: ln caso di scelta da parte di un grupo imprenditoriale di nominare un
RPD (DPO), verificare se tale scelta sia compatible con l'agevole disponibilità di intervento in
ciascuno stabilimento.
A2.4.3 Designazione di un unico RPD (DPO) da parte di più organismi o autorità
pubbliche
Metodo di controllo: Nel caso in cui più organismi pubblici ricorrano alla nomina di un unico
RPD (DPO), verificare che la scelta sia documentata e circostanziata nel rispetto della
valutazione della struttura organizzativa e dimensionale.
A2.4.4 Dati di Contatto dell'RPD (DPO)
Metodo di controllo: Verificare che nella informativa, i dati di contatto dell'RPD (DPO) siano
chiari e ben declinati.
A2.4.5 Qualifiche professionali dell'RPD (DPO)
Metodo di controllo: Verificare che la scelta dell'RPD (DPO), tenga conto delle conoscenze
specialistiche della normativa e delle prassi in materia di protezione dei dati.
A2.4.6 Indipendenza del Responsabile della protezione dei dati (DPO)
Metodo di controllo: Verificare che il Responsabile della protezione dei dati (DPO),
dipendente o consulente del Titolare, sia messo in condizioni di alle funzioni e ai compiti
assegnategli in modo indipendente, senza condizionamento alcuno.
A3 - PRINCIPI APPLICABILI AL TRATTAMENTO E TUTELA DEI
DIRITTI
A.3.1 Responsabilizzazione (Accountability)
Obiettivo: Assicurare la corretta applicazione dei principi di trattamento e qualità dei dati
A.3.1.1 Finalità del trattamento
Metodo di controllo: Verificare che i dati vengano utilizzati solo per finalità determinate,
esplicite e legittime. Verificare inoltre che il trattamento di dati personali avvenga in modo
trasparente nei confronti dell’Interessato.
A.3.1.2 Compatibilità della Finalità
Metodo di controllo: Successivi utilizzi dei dati personali devono essere sempre compatibili
con la finalità dichiarata.
A.3.1.3 Pertinenza del trattamento
Metodo di controllo: Verificare che i dati trattati siano funzionali alla finalità dichiarata e
perseguita.
A.3.1.4 Qualità ed esattezza dei dati
Metodo di controllo: Verificare la presenza di procedure per la valutazione, rettifica 0
cancellazione dei dati inesatti o non più funzionali rispetto alle finalità.
A.3.1.5 Dati personali acquisiti da soggetti terzi
Metodo di controllo: Il fornitore deve garantire il rispetto delle norme vigenti in relazione al
trattamento di dati personali. Il fornitore può comprovare la propria compliance al
Regolamento anche mediante adesione a codici di condotta o meccanismi di certificazione.
A.3.1.6 Misura della qualità dei dati
Metodo di controllo: Deve essere identificata una metrica per la misura della qualità dei
dati personali per ogni trattamento, sulla base delle caratteristiche del modello di qualità
dei dati [cfr. ISO 25012]
A.3.1.7 Limitazione dei dati personali raccolti
Metodo di controllo: Il Titolare deve documentare l'impostazione per la minimizzazione dei
dati raccolti, limitandone la quantità in relazione alla finalità.
A.3.1.8 Conservazione dei dati personali
Metodo di controllo: Verificare che i dati personali degli interessati siano conservati in una
forma che consenta la loro identificazione per un periodo non superiore a quello necessario
per reindirizzare le finalità per cui sono trattati.
A.3.1.9 Riesame dei processi per la valutazione della qualità ed esattezza dei dati
Metodo di controllo: Deve essere riesaminata almeno annualmente la politica di gestione
della esattezza dei dati, anche in sede di riesame della direzione
A.3.2 Requisiti di liceità del trattamento dei dati personali
Obiettivo: Valutare la base giuridica del trattamento
A.3.2.1 Base giuridica e principi del trattamento
Metodo di controllo: valutare la base su cui il Titolare del trattamento ha fondato la liceità
del trattamento di dati personali e verificare che ogni trattamento sia fondato su una
specifica base giuridica.
A.3.2.2 Consenso al trattamento
Metodo di controllo: Se la base giuridica del trattamento è basata sul consenso, verificare
che la organizzazione abbia pianificato una corretta politica di acquisizione dei consensi.
A.3.2.3 Revocabilità del consenso
Metodo di controllo: Verificare che quando l’interessato abbia prestato il consenso per un
trattamento, possa revocarlo agevolmente in qualsiasi momento
A.3.2.4 Consenso differenziato
Metodo di controllo: Se la base giuridica del trattamento è basata sul consenso, verificare
che sia stato richiesto uno specifico consenso ni finalità.
A.3.2.5 Consenso dei minori
Metodo di controllo: Nel caso vegano trattati dati personali di minori, verificare che il
consenso sia prestato o autorizzato dal Titolare della potestà genitoriale sul minore, in
considerazione delle tecnologie disponibili
A.3.2.6 Tracciabilità dei consensi
Metodo di controllo: Quando il consenso costituisce la base giuridica del trattamento, deve
essere predisposta una procedura al fine di verificare che l’interessato abbia prestato il suo
consenso o lo abbia revocato
A.3.3 Informativa
Obiettivo: Valutare la conformità e le regole di rilascio all'interessato
A.3.3.1 Consegna e contenuto della informativa direttamente
Metodo di controllo: Verificare che siano soddisfatte le condizioni previste per informare i
soggetti interessati
A.3.3.2 Informazioni acquisite da altra fonte
Metodo di controllo: Verificare che, qualora i dati siano stati ottenuti da altra fonte e non
direttamente dall'interessato, il Titolare abbia provveduto ad adempiere all'obbligo di
informare l’interessato.
A.3.3.3 Requisiti della informativa
Metodo di controllo: Verificare che la informativa rispetti i requisii previsti dalle norme
vigenti. Deve essere garantita la corretta informazione agli interessati.
A.3.3.4 Esenzione dalla informativa
Metodo di controllo: Verificare se il caso di specie rientri nelle ipotesi di deroga di fornire
informativa all'interessato.
A.3.4 Diritti dell'interessato
Valutare il corretto rispetto dell'esercizio dei diritti dell’interessato
A.3.4.1 Esercizio dei diritti dell’interessato
Metodo di controllo: Verificare che siano state predisposte adeguate procedure per
raccogliere e catalogare le richieste di esercizio dei diritti anche al fine di una agevole
fruizione degli stessi ai fini della rettifica delle informazioni.
A.3.4.2 Necessità di Riscontro
Metodo di controllo: Verificare che sia fornito all’interessato un riscontro nei termini di
legge; l’organizzazione deve dotarsi di adeguate procedure allo scopo.
A.3.4.3 Diritto alla cancellazione (Oblio)
Metodo di controllo: Verificare che il Titolare abbia attuato politiche idonee ad attuare la
cancellazione o l’opposizione al trattamento dei dati personali qualora l'interessato eserciti i
propri diritti, revocando il consenso oppure se vengono meno i presupposti di finalità,
conservazione o il trattamento dei dati è in violazione del regolamento.
A.3.4.4 Diritto alla portabilità
Metodo di controllo: Se i dati sono trattati con mezzi automatizzati, sono trattati in virtù
del consenso dell’interessato o in base a contratto e Sono stati da questo forniti al Titolare,
verificare che il Titolare abbia predisposto idonee procedure per consentire all'interessato di
ricevere i propri dati personali o di ottenerne il trasferimento ad altro titolare, in un formato
strutturato, di uso comune e da dispositivo automatico.
A.3.5 Limitazione del trattamento
Assicurare la applicazione corretta di diritti particolari
A.3.5.1 Diritto di opposizione alla profilazione del trattamento
Metodo di controllo: Verificare che l'interessato possa scegliere di non essere sottoposto a
una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione,
fatte salve le eccezioni previste dal regolamento.
A.3.5.2 limitazione trattamento
Metodo di controllo: Obiettivi e metodo di controllo Il Titolare deve porsi nella condizione di
recepire le istanze di limitazione del trattamento presentate dal soggetto interessato sui
dati che lo riguardano, sussistendone i presupposti di legge.
Verificare, pertanto, resistenza di procedure specifiche che ne consentano r attuazione
nonché la formazione del personale
A4- ADEGUAMENTO IN FASE PROATTIVA Dl TRATTAMENTO
(privacy by design e by default)
A4.1 Tutela dei diritti sin dalla progettazione
Dimostrazione della compliance del titolare attraverso l’adozione di politiche interne a tutela dei dati
personali sin dalla progettazione e per impostazione predefinita
A4.1.1 Attuazione delle politiche di tutela dei dati sin dalle politiche interne e
attuando misure sin dalla progettazione
Metodo di controllo: Verificare che il Titolare abbia adottato politiche interne e attuato
misure che tutelino i dati personali sin dalla fase di progettazione dei prodotti e dei servizi
ed all'atto del trattamento.
A4.1.2 Monitoraggio delle politiche di privacy design e by default
Metodo di controllo: Verificare che il Titolare sia dotato di un sistema di monitoraggio delle
politiche adottate, affinché le stesse possano adeguarsi ai mutamenti e all'insorgere di
nuovi rischi.
A4.1.3 Rischi per i diritti e le Ibertà degli interessati
Metodo di controllo: Verificare che il Titolare abbia previsto in fase di progettazione dei
prodotti o servizi, a seguito di una valutazione d’impatto, le adeguate misure a mitigare il
rischio.
A4.1.4 Impostazione predefinita, necessaria, dati trattati tutelino i dati personali sin
dalla fase di progettazione dei prodotti e dei servizi ed all'atto del trattamento.
Metodo di controllo: Verificare che il Titolare del trattamento abbia strutturato le relative
operazioni in modo da rendere minimo il trattamento dei dati personali.
A4.1.5 Gestione del rischio e delle politiche di protezione dei datl dal momento della
determinazione dei mezzi
Metodo di controllo: Verificare che il Titolare o Responsabile gestiscano la selezione dei
fornitori di prodotto o servizio, attraverso la verifica dei di protezione dei dati fin dalla
progettazione e default.
A4.1.6 Certificazione
Metodo di controllo: Verificare la presenza di eventuali certificazioni utilizzate per
dimostrare la compliance al punto in oggetto (art. 25. 1 e 2).
A.5 - OBBLIGHI GENERALI E SICUREZZA DEI DATI PERSONALI
A.5.1 — Mappatura e Registri del trattamento
Censire e descrivere le caratteristiche fondamentali dell'attività del Titolare o del
responsabile del trattamento alo di disporre di un quadro aggiornato dei trattamenti in
essere all'interno dell'organizzazione.
A.5.1.1 Mappatura delle categorie di attività dei dati personali
Metodo di controllo: Verificare che sia stata predisposta una mappatura sistematica dei
trattamenti dei dati personali. La mappatura dovrà avere un livello di dettaglio tale da
consentire la verifica di compliance alle prescrizioni del Regolamento.
A.5.1.2 Predisposizione del registro dei trattamenti
Metodo di controllo: Verificare che l'organizzazione abbia effettuato le corrette valutazioni
circa la tenuta del registro del trattamento. Tale adempimento non deve rappresentare un
semplice atto formale.
A.5.1.3 Mancata redazione del registro
Metodo di controllo: Verificare che se ne ricorrano i presupposti, che rendono non
obbligatorio il registro delle operazioni ci trattamento e che il Titolare 0 il responsabile
abbia documentato con atto scritto le sue motivazioni.
A.5.1.4 Informazioni contenute nel Registro del Titolare
Metodo di controllo: Verificare che nel registro del Titolare, siano presenti le seguenti
informazioni:
A. nome e generalità del Titolare
B. dati di contatto del Titolare e/o del/i Contitolare/i e del RPD/DPO (se nominato)
C. finalità
D. descrizione delle categorie di interessati
E. descrizione delle categorie di dati personali
F. categorie di destinatari
G. trasferimento pressi paesi terzi,
H. compreso l’identificazione e le adeguate garanzie
I. trasferimento presso un'organizzazione internazionale
J. termine ultimo per la cancellazione per le diverse categorie di dati
K. descrizione misure di sicurezza
A.5.1.5 Valutazione del Responsabile
Metodo di controllo: Verificare che nel registro del Responsabile, siano presenti le seguenti
informazioni:
A. Il nome e i dati di contatto del responsabile/i di ogni Titolare del trattamento per
conto del quale agisce il responsabile del trattamento
B. Le categorie di trattamenti effettuate per conto di ogni Titolare
C. I trasferimenti di dati verso un paese terzo
D. L’identificazione del paese terzo e le adeguate garanzie
E. Descrizione delle misure di sicurezza adottate
A.5.1.5 Conservazione e accesso ai registri
Metodo di controllo: Verificare che le modalità di accesso ai registri in formato elettronico o
di conservazione per quelli in formato cartaceo, siano dotate di controllo di accesso o
verifica.
A.5.2 Sicurezza del trattamento
Assicurare la gestione di sicurezza dei dati personali e prevenire intrusioni nei sistemi e gli
spazi della organizzazione
A.5.2.1 Misure di sicurezza
Metodo di controllo: Verificare che a seguito della valutazione dei rischi, il Titolare e il
Responsabile del trattamento, abbiano adottato misure adeguate e compatibili per
impedire qualsiasi forma illegittima di trattamento, garantendo l'Integrità, la
confidenzialità, la disponibilità e resilienza dei sistemi che trattano i dati.
A.5.2.2 Prevenzione della perdita di dati personali
Metodo di controllo: Verificare i meccanismi e le procedure adottate per prevenire la
perdita di dati personali.
A.5.2.3 Amministratori di Sistema
Metodo di controllo: Verificare le misure e le cautele adottate dal Titolare e dal
Responsabile del trattamento nel controllare le attività svolte dagli Amministratori di
Sistema (ADS).
A.5.2.4 Data Breaches
Metodo di controllo: Verificare resistenza di una procedura interna per corretta gestione
delle violazioni di dati personali, la adozione di misure preventive e di rimedio, la
valutazione della obbligatorietà della notificazione della violazione dei dati personali alle
autorità di supervisione competente nei tempi e nei modi previsti dal Regolamento e la
comunicazione ai tutti interessati quando previsto
A.5.3 — Misure organizzative la protezione dei
Stabilire se il Titolare ha adottato tutte le politiche interne per garantire la applicazione dei
principi di protezione dei dati personali.
A.5.3.1 Impegni del Titolare del trattamento per la sicurezza dei dati personali
Metodo di controllo: Verificare che il Titolare e Responsabile del trattamento dimostrino di
supportare attivamente il processo di gestione della sicurezza del trattamento dei dati
personali, anche attraverso la somministrazione di programmi di formazione
dell'organizzazione interna.
A.5.3.2 Coordinamento per le politiche della sicurezza
Metodo di controllo: Il Titolare ed il Responsabile del trattamento deve strutturare un
modello organizzativo con figure e ruoli, operativi e di coordinamento nell'ambito della
sicurezza. Devono essere effettuate riunioni di coordinamento per [attuazione delle
procedure di stabilite, con cadenza regolare. almeno annuale.
A.5.3.3 Valutazione del rischio
Metodo di controllo: Il Titolare del trattamento deve essere redatto un documento di
valutazione del rischio del trattamento che riporti re-identificazione, l'analisi, la
ponderazione, il trattamento del rischio stesso
A.5.3.4 Identificazione del rischio
Metodo di controllo: Nell'identificazione dei rischi, deve essere valutato se il rischio
incombe Su uno o più trattamenti o su parti di esso e, se del caso, descrivere quali.
A.5.3.5 Modello la rappresentazione della valutazione dei rischi
Metodo di controllo: Il modello analitico di rappresentazione dei rischi deve prevedere dei
criteri di misurazione. Verificare la coerenza del modello e dei criteri di rischio sulla della
tipologia di organizzazione e dei trattamenti svolti.
A.5.3.6 Ponderazione del rischio
Metodo di controllo: A seguito di un processo di analisi, il Titolare deve confrontare il livello
di rischio programmato rispetto a quello al fine di garantire un livello di sicurezza adeguato
al rischio.
A.5.3.7 Trattamento del rischio
Metodo di controllo: Nel caso in cui i criteri utilizzati evidenzino un rischio non elevato, il
Titolare deve attuare misure di che riducano il livello di rischio.
A.5.3.8 Consapevolezza del rischio da parte del personale del'organizzazione
Metodo di controllo: Il Titolare del trattamento deve assicurarsi che tutto il personale tutto
il personale della organizzazione abbia una corretta percezione del rischio legato al
trattamento dei dati personali.
A.5.3.9 Rischio residuo
Metodo di controllo: Il Titolare del trattamento deve documentare, monitorare,
riesaminare il rischio residuo che dopo che sono state implementate le misure di
mitigazione risulti ancora presente.
A.5.3.10 Riesame del rischio residuo
Metodo di controllo: Il Titolare del trattamento deve pianificare, in modo regolare, un
processo di sorveglianza dei rischi.
A.5.4 — Misure tecniche per la protezione dei dati personali
Assicurare la corretta applicazione di misure tecniche adeguate per verificare e valutare se
le politiche adottate dal Titolare la sicurezza del trattamento.
A.5.4.1 Protezione del trattamento
Metodo di controllo: Il trattamento deve essere progettato per ere ai requisiti di contesto e
finalità.
A.5.4.2 Pseudonimizzazione dei dati
Metodo di controllo: Verificare, ove applicabile, che il Titolare o il responsabile del
trattamento, abbiano previsto la pseudonimizzazione dei dati personali e che la tabella di
transcodifica degli stessi sia conservata separatamente, adottando misure adeguate ai
rischi.
A.5.4.3 Cifratura dei dati
Metodo di controllo: Verificare, ove applicabile, che il Titolare o il Responsabile abbia
pianificato, descritto e adottato algoritmi di cifratura per garantire un livello di sicurezza
adeguato al rischio.
A.5.4.4 Limitazione di accesso ai dati personali
Metodo di controllo: Verificare che i dati personali oggetto del trattamento non siano, per
impostazione predefinita, accessibili un numero indefinito di persone. Verificare che
l’interessato possa avere un controllo sul trattamento dei propri dati.
A.5.4.5 Standard a presidio della Riservatezza Integrità e disponibilità
Metodo di controllo: Per il rispetto dei presupposti di integrità, riservatezza, e disponibilità
delle informazioni verificare che l’organizzazione si basi su standard o best- practices
internazionali per il loro presidio.
A6 - VALUTAZIONE D'IMPATTO
A.6.1 Necessità e metodologie per lo svolgimento della Valutazione d'Impatto (DPIA)
Assicurare il rispetto del Regolamento qualora i trattamenti possano presentare un rischio
elevato per i diritti e le libertà persone fisiche.
A.6.1,1 Svolgimento della Valutazione d'impatto
Metodo di controllo: Verificare che Titolare del trattamento efficacemente analizzato e
documentato la scelta di effettuare o, di non effettuare, una valutazione d’impatto dei
trattamenti.
A.6.1.2 Supporto del Responsabile della protezione dei dati
Metodo di controllo: Verificare che al momento dello svolgimento della Valutazione
d’impatto (DPIA), il Titolare si sia consultato con il DPO qualora designato. Tale
consultazione e conseguenti decisioni devono avere un'evidenza scritta.
A.6.1.3 Opinioni degli interessati 0 dei loro rappresentanti
Metodo di controllo: Verificare che il Titolare, ove ne ricorrano i presupposti, consultato o
meno, gli interessati o i loro rappresentanti.
A.6.1.4 Esaustività della forma
Metodo di controllo: Verificare che nel documento di DPIA relativo al trattamento sia
descritto in maniera chiara ed esaustiva almeno il contenuto minimo richiesto dal
regolamento.
A.6.1.5 Consequenzialità e integrazione documentale fra Valutazione del rischio e
DPIA
Metodo di controllo: Verificare che la Valutazione d'Impatto venga effettuata oltre che nei
casi previsti del Regolamento, ogni volta che da una valutazione oggettiva e misurabile
evidenzi un rischio elevato per ogni trattamento o sui trattamenti simili.
A.6.1.6 Riesame programmato e costante della DPIA
Metodo di controllo: Verificare che il Titolare proceda a riesami regolari e costanti della
DPIA, per valutare se i trattamenti siano effettuati conformemente, o allorquando
insorgono variazioni del rischio dalle attività relative al trattamento.
A. 7 TRASFERIMENTO DEI DATI PERSONALI VERSO PAESI TERZI E
CLOUD COMPUTING
A.7.1 Valutare la compliance delle modalità adottate per trasferire i dati fuori dalla UE
A.7.1.1 Trasferimento di dati personali verso un Paese terzo
Metodo di controllo: Nel caso di trasferimento dei dati verso paesi extra EU, verificare che il
Titolare abbia rispettato le condizioni previste dal Regolamento, conducendo
preliminarmente tutte le valutazioni necessarie e che le stesse siano documentate.
A.7.1.2 Trasferimento in base a garanzie adeguate
Metodo di controllo: Quando un trasferimento di dati personali avviene fuori dall'unione
europea e tale trasferimento avviene in base a garanzie adeguate, accertare che
l'applicazione effettiva delle garanzie, sia verificata e monitorata.
A.7.1.3 Trasferimento in base alle Norme vincolanti d'impresa (BCR)
Metodo di controllo: Verificare che l'organizzazione sia dotata di adeguati meccanismi di
vigilanza sul rispetto - suo e degli altri membri del medesimo gruppo imprenditoriale non
stabiliti nel territorio dell'Unione - dei vincoli assunti mediante le Norme Vincolanti
d'Impresa sottoscritte da tutti i membri interessati del gruppo di imprese, compresi i loro
dipendenti.
A.7.1.4 Ruolo del DPO nelle Norme vincolanti d'Impresa
Metodo di controllo: Verificare i compiti e il ruolo attribuito al DPO nelle norme vincolanti di
impresa.
A.7.1.5 Clausole contrattuali ad hoc
Metodo di controllo: Al di fuori del ricorso a modelli contrattuali approvati dalla
Commissione UE oppure ad accordi amministrativi stipulati fra autorità pubbliche, nel caso
in cui il Titolare del trattamento desidera utilizzare clausole, verificare che tali clausole siano
oggetto di approvazione da parte della competente autorità di supervisione (es. BCR)
A.7.1.6 Deroghe particolari
Metodo di controllo: ln caso di trasferimenti di dati personali in paesi extra UE, agli artt. 45,
46 e 47, verificare se le condizioni dal Titolare siano correttamente impostate e applicare e
se è presente una procedura adeguata
A.7.2 Obiettivo: Gestione dei dati personali su Cloud computing
Gestione dei dati personali su Cloud Computing
A.7.2.1 Ponderazione dei rischi e dei benefici dell’utilizzo del cloud
Metodo di controllo: Verificare che il Titolare abbia effettuato una approfondita
comparazione fra rischi e benefici per il suo impiego. La valutazione deve limitare le
tipologie di dati da conservare in cloud in relazione al rischio.
A.7.2.2 Affidabilità del fornitore di Cloud computing
Metodo di controllo: Verificare che il Titolare abbia constatato le garanzie di capacità e
affidabilità del fornitore, unitamente alle misure per garantire la confidenzialità dei dati e la
continuità attiva.
A.7.2.3 Residenza fisica dei server
Metodo di controllo: Verificare che il Titolare sia a conoscenza di dove risiedano fisicamente
i server e che constatato che il trasferimento dei dati fra diversi paesi sia tutelato dalle
misure di salvaguardia dal Regolamento.
A.7.2.4 Clausole contrattuali
Metodo di controllo: Valutare se e il Titolare abbia verificato la idoneità delle condizioni
contrattuali per l'erogazione dei servizi di cloud computing, in particolare riguardo la
previsione di garanzie in materia di dati personali.
A.7.2.5 Tempi di persistenza dei dati
Metodo di controllo: Verificare il termine ultimo, alla scadenza del contratto, oltre il quale il
fornitore cancella definitivamente i dati.
A.7.2.6 Sicurezza del servizio utilizzato
Metodo di controllo: Verificare che il Titolare, prima di adottare il servizio di cloud
computing, abbia valutato le misure di sicurezza adottate da fornitore del servizio.
A.7.2.7 Personale preposto all’uso del cloud computing
Metodo di controllo: Verificare che il personale aziendale preposto all’utilizzo del cloud sia
stato sottoposto a specifiche attività formative, documentate.
ANNESSO CHK-ICT-SPPD OBIETTIVI E METODO Dl CONTROLLO ICT DEL
SISTEMA PRIVACY E PROTEZIONE DEI DATI
Committente
……………………………………………………..
Data Center
……………………………………………………..
Auditor
……………………………………………………..
Data audit
……………………………………………………..
ANNESSO CHK-ICT-SPPD OBIETTIVI E METODO Dl CONTROLLO ICT DEL
SISTEMA PRIVACY E PROTEZIONE DEI DATI
RIF: MSPPD: Check-list operativa per audit alle infrastrutture e i sistemi ICT
La Sicurezza Informatica aziendale è condotta a diversi livelli di implementazione la cui verifica completa è basata su una base di consensus derivata dalle Guide Lines delle famiglie ISO-27000 e ISO-20000 rispettivamente per l’audit di Sistemi di Gestione della Sicurezza delle Informazioni (ISMS) e di Qualità e Sicurezza dei Servizi Informatici (SSMS)
AUDIT ICT (SISTEMA TQM integrazione ISO-27001/ISO-20000)
REV. PASS N.C.
1. HARDWARE: check list di controllo e/o configurazioni
2. SOFTWARE: check list di controllo e/o configurazioni
3. NETWORK: check list di controllo e/o configurazioni
4. AUTOMAZIONE: check list di controllo e/o configurazioni
5. FATTORI UMANI: check list di controllo e/o configurazioni
❑
❑
❑
❑
❑
❑
❑
❑
❑
❑
❑
❑
❑
❑
❑
1. HARDWARE: check list di controllo e/o configurazioni
Controlli sugli Apparati Badge di identificazione
Privilegi per l'accesso fisico
Protezione fisica dei dispositivi Data Centers
Controlli ambientali Cavi e armadi di cablaggio
Utilizzo e distruzione di dispositivi elettronici Stampe
2. SOFTWARE: check list di controllo e/o configurazioni
Applicazione e sistemi operativi Assegnazione Privilegi Utilizzo Applicazioni Circolazione dati e modifiche Sistemi di autenticazione Policy di Autenticazione Passwords Autenticazione Avanzata Biometria
3. NETWORK: check list di controllo e/o configurazioni
Connettivitá costante Connessione di un apparato alla rete Dispositivi non autorizzati Gestione della rete Monitoraggio di rete Connettivitá Cloud e Piattaforme di condivisione Connettivitá e mobilitá Laptop e smartphone VPN e Modem Cifratura Sicurezza preventiva, firewall etc
4. AUTOMAZIONE: check list di controllo e/o configurazioni
Strategie di backup Dispositivi periferici Sensori remoti e sistemi di controllo
5. FATTORI UMANI: check list di controllo e/o configurazioni
Gestione degli incidenti (dipendenti / incaricati e soggetti autorizzati) Amministrazione della sicurezza Azioni amministrative Audit e review esterne Senior Management Azioni individuali dei dipendenti Attività di reporting da parte dei soggetti autorizzati Monitoraggio delle attività dei dipendenti Formazione dei dipendenti in materia di cyber security Responsabilità personale in tema di sicurezza
Sez.1.AUDIT HARDWARE
Controllo degli apparati
1.1 In azienda esiste un inventario accurato delle apparecchiature elettroniche presenti in
ciascuna stanza delle sue varie sedi?
1.2 L'inventario include un dettaglio di tutti i dispositivi autorizzati per l'utilizzo all'interno
dell'azienda (es. hard disk, pendrive, ecc.)?
1.3 Avvengono periodicamente dei controlli ispettivi a sorpresa per verificare che gli
apparati elettronici siano effettivamente presenti nei luoghi riportati nell'apposito
inventario?
1.4 Se vi sono discrepanze tra l'inventario dei dispositivi elettronici e quelli effettivamente
individuati avviene rapidamente una investigazione del motivo?
1.5 Ogni volta che un dipendente responsabile di un certo apparato ne autorizza lo
spostamento, esiste una procedura rapida ed efficiente per aggiornare tale inventario?
1.6 L'inventario dei dispositivi elettronici per ciascuna sede viene aggiornato ogni volta che
un nuovo dispositivo viene aggiunto o rimosso?
1.7 C'è in azienda una politica esplicita che definisce quali tipologie di apparati possano
essere trasportate fuori dai confini aziendali, nonché le autorizzazioni necessarie a tale
tipo di movimentazione?
1.8 Se un dispositivo di memorizzazione contenente dati sensibili deve essere portato fuori
dall'azienda ci sono procedure di cifratura sui dati?
1.9 C'è una policy che vieta ai dipendenti di pubblicare foto/video di attività che si svolgono
all'interno di aree che includono informazioni sensibili?
1.10 I dipendenti possono portare dispositivi elettronici personali all'interno dell'azienda o
vi è un esplicito divieto?
1.11 Se un dipendente viene identificato mentre porta al di fuori dell'azienda dispositivi di
memorizzazione non autorizzati, ci sono policy che autorizzano l'azienda all'analisi del
dispositivo stesso?
1.12 Se un dispositivo viene smarrito ci sono procedure che permettono di identificarne
rapidamente il contenuto e se tale contenuto è cifrato o meno?
1.13 Sono disponibili dispositivi sostitutivi per le funzionalità più rilevanti (server, desktop,
laptop) in caso di smarrimento o danneggiamento fisico?
1.14 Tali dispositivi sono già configurati e pronti per essere resi opera
Badge di identificazione
1.15 I dipendenti devono indossare un badge identificativo con foto durante le attività
lavorative?
1.16 Ai visitatori esterni viene fornito un badge identificativo temporaneo, eventualmente
con foto?
Privilegi per l'accesso fisico
1.17 Vi sono delle chiare disposizioni formali portate a conoscenza di tutto il personale per
ciò che riguarda le autorizzazioni necessarie per l'accesso al CED, e queste disposizioni
vengono fatte rigorosamente rispettare?
1.18 Sono presenti controlli per identificare chi entra ed esce dagli ambienti in cui operano i
sistemi informativi?
1.19 Sono presenti sistemi di logging degli accessi (data di entrata e data di uscita) da
determinati ambienti?
1.20 I permessi relativi agli accessi a determinate aree fisiche dell'azienda devono essere
rinnovati alla loro scadenza o sono automaticamente validi fino alla loro disattivazione?
1.21 E' identificato chi sono i soggetti che possono apportare modifiche alla lista dei
soggetti autorizzati ad accedere a una specifica area?
1.22 Al momento dell'aggiunta di un nuovo soggetto nella lista delle persone autorizzate, è
prevista una verifica con il soggetto che lo ha autorizzato?
1.23 Avviene un controllo a intervalli predefinito delle liste di accesso per verificare i
soggetti che possono essere rimossi?
1.24 I privilegi di accesso fisico e i relativi badge vengono immediatamente modificati nel
momento in cui un dipendente cambia il suo ruolo di lavoro in azienda?
1.25 I privilegi di accesso fisico e i relativi badge vengono immediatamente disattivati nel
momento in cui un dipendete viene licenziato, lascia l'azienda o va in pensione?
1.26 I privilegi di accesso fisico e i relativi badge concessi a fornitori esterni vengono
immediatamente disattivati nel momento in cui termina il rapporto di collaborazione?
1.27 Avviene una attività di audit dei log di accesso dei dipendenti alle aree contenenti dati
sensibili, per verificare che tali accessi siano compatibili con il ruolo del dipendente
stesso?
1.28 Se vi è una discrepanza che emerge in fase di audit sono previste delle modalità di
investigazione?
1.29 Se vengono utilizzate delle videocamere, specialmente quelle di tipo wireless (senza
fili), a scopo di monitoraggio, esse risultano protette contro tentativi di interferenza,
visioni non autorizzate, e alterazione delle immagini registrate?
Protezione fisica dei dispositivi
1.30 Sono previste delle barriere fisiche per impedire l'utilizzo di porte sui dispositivi (es.
USB e lettori CD)?
1.31 Gli armadi contenenti i dispositivi di rete e cavi di rete sono sempre chiusi a chiave?
1.32 Le porte non utilizzate sugli switch di rete, in particolare le SPAN ports, sono
disattivate per prevenire accessi non autorizzati?
1.33 L'accesso con privelgi di root a router o switch è disattivato di default per impedire
l'accesso non autorizzato?
1.34 L'accesso fisico alle console di gestione di dispositivi di sicurezza della rete (es.
firewall, IPS, IDS) è ristretto unicamente agli utenti autorizzati?
1.35 Sono presenti fax e sono gli stessi protetti dall'accesso da parte di soggetti non
autorizzati?
1.36 I dispositivi elettronici sono etichettati con un codice a barra o altro identificativo?
1.37 Se un apparato elettronico deve comunque lasciare i confini dell'azienda, esiste una
procedura efficiente che permetta di seguirne gli spostamenti?
1.38 Se un apparato informatico è molto sensibile dal punto di vista della sicurezza, esso
risulta corredato di chip a tecnologia RFID (identificazione a radiofrequenza), così da
permetterne la localizzazione in tempo pressoché reale?
1.39 Quando le persone escono dalla sede dell'azienda vengono sottoposte a qualche forma
di scansione per verificare la presenza di dispositivi elettronici?
1.40 Esiste un sistema informatico per verificare che ciascun dispositivo connesso alla rete e
al quale è assegnato un determinato indirizzo IP si trovi proprio in quel posto?
1.41 Se una porta di accesso è attivata, in quanto in uso, ci sono procedure per monitorarne
l'accesso non autorizzato?
1.42 Se i dipendenti notano un utilizzo non autorizzato di dispositivi elettronici all'interno
dell'azienda esiste un canale di facile utilizzo e privato per fare un reporting? Vi sono
eventuali incentivi per chi lo fa?
Data Centers
1.43 L'accesso al centro di elaborazione dati (CED) aziendale viene controllato in modo
continuo, con porte di ingresso tenute sempre chiuse?
1.44 L'accesso al CED è controllato da tecnologie tipo badge a scansione, smartcard, tessere
di prossimità, biometria o serrature a combinazione individuale?
1.45 E' necessario inserire altre forme di credenziali di accesso (es. password, PIN, ecc.) per
accedere al CED?
1.46 Tali sistemi sono sottoposti ad audit o review costanti?
1.47 Esiste un controllo sui fornitori che hanno accesso al CED?
1.48 Esiste un inventario e uno schema dettagliato dei dispositivi presenti nei data center?
1.49 L'accesso al CED è inibito a soggetti terzi che non ne hanno necessità (es. impresa di
pulizia) oppure tali accessi sono monitorati/effettuati alla presenza di soggetti preposti
al controllo?
1.50 Lo stesso inventario viene aggiornato ogni volta che un dispositivo o il modo in cui lo
stesso è collegato viene cambiato?
1.51 Viene impiegata la videosorveglianza per controllare gli spazi di ingresso al CED o ad
altre aree che ospitano apparecchiature di elaborazione dati?
1.52 Se il CED è videosorvegliato, il monitoraggio avviene da un sito remoto?
1.53 Se il CED è videosorvegliato, il video stesso viene registrato su un supporto permanente
e resistente alla contraffazione?
1.54 In caso di videosorveglianza dei centri elaborazione dati, le registrazioni video restano
a disposizione per un tempo sufficiente per acconsentire indagini su una violazione di
sicurezza a distanza di diversi mesi?
1.55 Chi si occupa delle informazioni fornite all'esterno (es. sito web) è istruito per non
pubblicare specifiche relative ai data centers?
1.56 I centri critici di elaborazione dati e di telecomunicazione sono sufficientemente
lontani da altri complessi permanenti che si possano rivelare fonti pericolose di
incendio, di esplosioni o di perdita di liquidi tossici?
1.57 I centri critici di elaborazione dati e di telecomunicazione sono posti a distanza
sufficiente da posteggi pubblici, strade ed altre aree dove sarebbe facile deporre
sostanze esplosive?
1.58 Le apparecchiature informatiche e di telecomunicazione più critiche sono a distanza di
sicurezza da finestre non blindate, che potrebbero costituire bersaglio di bombe, armi
da fuoco o armi a microonde?
1.59 I componenti degli apparati elettronici o di altra natura che devono essere trasferiti
all'interno del centro elaborazione dati, vengono ispezionati con la necessaria
attenzione per controllare la presenza di eventuali manomissioni?
1.60 In caso di incendio all'interno del CED sono previste idonee misure di gestione
dell'incidente?
1.61 I dispositivi elettronici presenti all'interno del CED sono protetti con lucchetti o altre
misure di sicurezza fisica?
1.62 Il CED è dotato di allarme che monitori la presenza di personale non autorizzato
all'interno?
1.63 Sui sistemi più sensibili sono presenti allarmi o altri sistemi anti-intrusione?
1.64 Se i dipendenti notano un accesso non autorizzato nel CED dell'azienda esiste un canale
di facile utilizzo e privato per fare un reporting? Vi sono eventuali incentivi per chi lo
fa?
1.65 Esiste un piano per spostare le attività più critiche del CED dell'azienda a altri
computer/sistemi aziendali nel caso in cui il CED primario dovesse essere evacuato o
spento?
1.66 Il sito secondario individuato è sufficientemente lontano da quello primario affinché
non sia afflitto dallo stesso problema?
Controlli ambientali
1.67 Esistono sistemi di controllo ambientale - riscaldamento e raffreddamento - in grado di
mantenere costante la temperatura operativa delle apparecchiature elettroniche?
1.68 Tali apparecchiature sono protette dalla presenza d'acqua e da eccessiva umidità?
1.69 Se i controlli ambientali possono essere azionati da postazioni remote, tali controlli
sono adeguatamente protetti da accessi non autorizzati?
1.70 Esistono controlli ambientali che proteggono i sistemi da altri fattori che non siano
temperatura ed umidità, ad esempio fumo, polvere, gas chimici?
1.71 Nei locali del CED e negli armadi da cablaggio, vi sono sensori di controllo ambientale,
in particolare di rilevazione della temperatura, di fumo e d'acqua?
1.72 Le aree che ospitano apparati elettronici sono dotate di un sistema antincendio
adeguato alla tipologia degli apparati presenti?
1.73 Tali sistemi sono configurati per generare un allarme nel caso in cui l'ambiente non
fosse più sicuro per i soggetti che sono all'interno?
1.74 Esiste un documento prontamente consultabile che elenchi la posizione e i tipi di
controlli ambientali in essere, quali rilevatori di incendio, termostati, rilevatori di
acqua, ecc.?
1.75 Esiste un documento prontamente consultabile che elenchi le condizioni ambientali
richieste affinchè i dispositivi elettronici possano operare correttamente?
1.76 I fornitori che gestiscono la sicurezza ambientali dell'azienda sono ammoniti dal non
pubblicizzare il fatto che l'azienda sia propria cliente?
Cavi e armadi di cablaggio
1.77 Esiste un piano dettagliato dell'intero cablaggio dati aziendale?
1.78 Esiste un piano dettagliato dell'intero cablaggio elettronico aziendale?
1.79 La documentazione relativa ai cablaggi è protetta da accessi non utilizzati?
1.80 Esiste una etichettatura puntuale di tutti i cablaggi, anche all'interno degli armadi, per
facilitare una riconfigurazione?
1.81 Tale etichettatura è studiata in modo tale che non sia immediatamente comprensibile
ad un occhio esterno?
1.82 Esiste un piano per il fabbisogno energetico sia nei momenti di attività normale sia nei
momenti di picco?
1.83 Esistono sistemi di allarme che identifichino che un determinato cavo è stato tagliato?
1.84 Sono presenti sistemi anti-intrusione di qualche tipo negli armadi di cablaggio?
1.85 Esiste un piano di sorgente di corrente di back-up per tutti i sistemi critici?
1.86 Sono presenti gruppi di continuità nelle vicinanze di sistemi di videosorveglianza?
1.87 Se sono installati degli UPS, risultano protetti da accessi remoti non autorizzati?
1.88 I generatori di riserva vengono protetti tramite dispositivi di sicurezza fisica quali
serrature, allarmi, o recinti con filo spinato?
1.89 I dispositivi di alimentazione di riserva sono collocati in luoghi non esposti a fenomeni
di inondazione?
1.90 E' predisposto un meccanismo di protezione contro i picchi anomali di tensione
provocati da fulmini o da mezzi artificiali?
1.91 Sono effettuati regolarmente dei test relativi alla tenuta del sistema di energia
secondaria?
Utilizzo e distruzione di dispositivi elettronici
1.92 Esistono procedure per il wiping o la distruzione sicura di qualsiasi dispositivo
elettronico di memorizzazione?
1.93 Esistono procedure sufficientemente rigorose per effettuare la distruzione o la
cancellazione irreversibile dei supporti di memoria, quali dischi fissi, nastri, dischi flash
o zip, al termine della loro vita utile in azienda?
1.94 Esistono procedure sufficientemente rigorose per la cancellazione irreversibile dei
supporti di memoria che vengono consegnati ad altri in caso di sostituzione in garanzia,
di vendita al pubblico, o di donazioni ad enti di volontariato?
1.95 Viene seguita una rigorosa catena di custodia per la distruzione dei dispositivi di
memorizzazione?
1.96 Ci sono procedure relativamente all'utilizzo di dispositivi esterni di memorizzazione?
1.97 I dispositivi da distruggere sono conservati in un ambiente idoneo e controllato prima
della distruzione?
1.98 I CD contenenti dati sensibili aziendali vengono fisicamente distrutti?
1.99 Viene verificata l'effettiva cancellazione sicura dei dati, ad esempio tramite un
soggetto terzo?
1.100 Quando un dipendente lascia l'azienda, i dispositivi che utilizzava sono riutilizzati?
1.101 In caso affermativo, si procede ad effettuarne una copia forense?
1.102 In caso negativo, si procede a conservare il dispositivo (o il relativo contenitore di
dati) per
eventuali successive attività investigative?
1.103 Se un documento contiene informazioni altamente sensibili viene mantenuto un
record di ogni volta che viene stampato o copiato?
1.104 Ci sono procedure per restringere l'accesso a stampe contenenti dati particolarmente
sensibili?
1.105 Esistono contenitori sicuri dove inserire i documenti cartacei che devono essere
distrutti in modo sicuro?
1.106 I dipendenti sono formati per una distruzione dei documenti cartacei contenenti dati
sensibili?
sez.2. AUDIT SOFTWARE
Applicazione e sistemi operativi
2.1 In azienda esiste un inventario accurato dei software di sitema e applicativi installati?
2.2 Esiste una policy inerente quali software i dipendendi possano/non possano usare?
2.3 Esiste un inventario di quali applicazioni richiedano accessi amministrativi e quali utenti
posseggano tali privilegi?
2.4 Esiste una procedura per la documentazione e il tracking delle applicazioni
2.5 Esiste una lista comprensiva di tutti gli script/applicazioni che utilizzano credenziali
embedded?
2.6 Esiste il patch management tracking, cioè log delle patch richieste, delle patch pronte,
date di ricezione e date di applicazione?
2.7 Viene effettuato un approfondito test di vulnerabilità sulle applicazioni prima che esse
vengano messe in produzione?
2.8 Le impostazioni di sicurezza di default (impostate dal vendor) di un software, vengono
modificate?
2.9 Le password per gli account di servizio (es backup server, etc) sono complesse per
numero di caratteri e loro tipologia?
2.10 La sequenza di boot dei computer aziendali è impostata per fare il boot solo dal disco
del sistema operativo (no CD, no USB)?
2.11 "Gli account ""Amministratore"" sono stati rinominati?"
2.12 Gli account di servizio sono stati rinominati?
2.13 I sistemi aziendali vengono regolarmente controllati alla ricerca di malware e hacking
tool?
2.14 Gli innalzamenti di privilegio vengono loggati e controllati?
2.15 Le richeste di privilegi amministrativi (es: Domain Administrator) sono loggati e
immediatamente controllati?
2.16 Dopo patch/upgrade le configurazioni e le impostazioni del software vengono verificate
(automaticamente)?
2.17 Esiste una procedura per verificare che patch e update sono state installate nei tempi e
modi corretti?
2.18 L'azienda effettua vulnerability testing dopo il deploy di applicazioni/sistemi?
2.19 "L'azienda mantiene la cosiddetta ""golden image"" di riferimento per ogni OS a suite di
applicativi?"
2.20 Viene effettuato un approfondito test da esperti sulle golden image?
2.21 Le golden image sono mantenute in un repository sicuro, accessibile solo da
determinati indirizzi e utenti?
2.22 Vengono calcolati e mantenuti hash (anche multipli) delle golden image?
2.23 Esistono procedure dettagliate per l'aggiornamento (path/upgrade) delle golden image?
2.24 Le procedure di path/upgrade prevedono una fase di test prima di essere applicate in
produzione?
2.25 I tempi di applicazione delle patch/upgrade sono scelti in modo da ridurre eventuali
malfunzionamenti?
Assegnazione Privilegi
2.26 L'accesso alle applicazioni critiche è permesso solo a quegli utenti che lo necessitano?
2.27 Viene chiesto agli utenti una lista delle applicazioni cui loro richiedono accesso?
2.28 La lista delle richieste d'uso delle applicazioni è controllata ed il controllo loggato?
2.29 In caso di prolungata assenza d'uso di una applicazione, all'utente viene rimosso
l'accesso?
2.30 Nel caso l'utente cambi mansione, la lista delle sue applicazioni viene rivista?
2.31 Esiste una procedura di controllo (es: annuale) dei privilegi assegnati agli utenti?
2.32 I privilegi di root/domain admin sono ristretti ai soli utenti che li necessitano?
2.33 I privilegi locali di amministrazione sono disabilitati sui sistemi degli utenti?
Utilizzo Applicazioni
2.34 In caso di nuove vulnerabilità software/hardware, le persone in carico di decidere le
misure prima del rilascio delle patch vengono informate?
2.35 I messaggi di errore sono stati impostati per non rivelare informazioni sul design e
configurazione interna dell'applicazione?
2.36 In produzione, è stato verificato che le feature di debug (o anche semilavorati) siano
state eliminate?
Patch e Update (domande condivise con altre sezioni)
Circolazione dati e modifiche
2.37 "La disseminazione delle informazioni in azienda segue il principio del ""need to
know""?"
2.38 L'azienda ha formalmente assegnato una classificazione ai propri documenti?
2.39 La classificazione delle informazioni, e ciò che ne deriva, è stata comunicata in modo
chiaro ai dipendenti?
2.40 La classificazione delle informazioni viene (es: annualmente) rivista?
2.41 L'accesso ai dati sensibili ristretto ai solo utenti che ne hanno necessità?
2.42 Le informazioni classificate al massimo livello sono mantenute in uno storage cifrato
quando non in uso?
2.43 Agli utenti che accedono a dati sensibili vengono richieste ulteriori forme di
autenticazione (es: password, 2FA)?
2.44 Esistono informazioni finte mescolate con le vere in modo che un attaccante non sappia
distinguerle?
2.45 Il database o contenitore di informazioni classificate è configurato in modo che tali
informazioni non possano essere sovrascritte, ma corrette con revisioni loggate e
archiviate?
2.46 I file di log che devono essere preservati, sono opportunamente trattati (diverse copie
a prova di contraffazione)?
2.47 Nella circolazione di documenti aziendali al di fuori dell'azienda viene usato un
formato di file resistente alle modifiche?
2.48 Nella circolazione di documenti aziendali al di fuori dell'azienda esse vengono firmate
digitalmente?
2.49 Vengono utilizzate firme digitali nello scambio di email interne?
2.50 E' in uso un meccanismo per il controllo e log di tutti i cambiamenti ai database critici?
2.51 Gli upload verso l'esterno di dati sensibili sono monitorati?
2.52 Gli upload verso l'esterno di dati cifrati sono monitorati?
2.53 L'azienda controlla accesso ai dati (almeno quelli sensibili) inusuali?
2.54 L'azienda controlla modifiche ai dati (almeno quelli sensibili) inusuali?
2.55 L'azienda previene fortuiti upload/download di dati sensibili da parte degli utenti fra i
sistemi?
2.56 L'azienda previene la stampa di email/allegati/etc da parte degli utenti non
autorizzati?
2.57 Ai dipendenti viene impedito di salvare dati sensibili su dispositivi come DVD, USB,
salvo specifiche autorizzazioni?
2.58 Esiste un limite alla quantità di dati che può essere acceduta/scaricata da un sistema
ad un altro?
2.59 Se gli utenti possono memorizzare localmente informazioni sensibili, tale azione è
monitorata?
2.60 L'azienda applica watermark ai documenti particolarmente sensibili?
2.61 L'azienda applica beacon ai documenti particolarmente sensibili?
Sistemi di autenticazione
2.62 Esiste policy per l'immediata deattivazione delle password (e altri sistemi di
autenticazione) quando un dipendente fuoriesce dall'azienda?
2.63 Le username login degli utenti sono differenti dal loro nome e indirizzo email?
2.64 Esiste una policy per il cambio password ogni x giorni?
2.65 Alla richiesta di cambio password, gli utenti possono inserire password giá utilizzate in
precedenza?
2.66 I computer/software applicativi vanno in lock dopo un determinato periodo di
inattivitá da parte dell'utente?
2.67 Esiste una policy che richieda il logging di tutti i tentativi di accesso (positivi e
negativi) per le applicazioni/sistemi critici?
2.68 I log di accesso a sistemi critici sono mantenuti su dischi non riscrivibili o comunque
resistenti a manipolazioni?
2.69 Esiste un sistema di allarme automatico in caso di multipli accessi falliti, anche se
questi ultimi sono sparsi nel tempo e fra gli utenti?
2.70 Accessi autorizzati ma temporalmente inusuali vengono analizzati?
2.71 Esiste un sistema di allarme in caso di sottrazione di un file contenente password di
accesso a sistemi?
2.72 Se un amministratore cambia delle password, tali cambiamenti sono loggati e
analizzati in tempo utile?
2.73 Esiste un sistema di allarme in caso di uso di 2FA (es: smart card) che é stato revocato?
2.74 Esiste un sistema di allarme in caso di uso di un account disabilitato?
2.75 Esiste una procedura per il cambio rapido e sicuro di password all'interno
dell'organizzazione (in caso di compromissione)?
2.76 In caso un utente necessiti di recuperare o cambiare una password, vengono utilizzate
domande segrete di cui egli é il solo a conoscerne la risposta?
2.77 In caso un utente necessiti di recuperare o cambiare una password, viene inviato un
link all'email aziendale dell'utente?
2.78 Esiste una procedura rapida e sicura per la deattivazione di token di sicurezza (in caso
di compromissione/smarrimento)?
2.79 L'azienda ha la possibilitá, se necessario, di accedere in modo controllato ad
applicazione e dati protetti dalla password e/o token di un utente?
Policy di Autenticazione
2.80 I sistemi aziendali sono tutti protetti con sistemi di autenticazione di base, come
username e password?
2.81 I tentativi di login sono limitati ad un massimo di x/minuto (piuttosto che in numero
senza limite temporale)?
2.82 Il tempo minimo fra due possibili tentativi di login viene gradualmente aumentato in
caso di fallimenti?
2.83 Se un account o sistema viene acceduto dopo molteplici tentativi falliti, esso viene
immediatamente monitorato per possibile uso improprio?
2.84 Esiste una procedura sicura ed automatica per eliminare gli accessi di un dipendente
una volta fuoriuscito dall'azienda?
Passwords
2.85 Le password devono rispettare criteri minimi di lunghezza e complessitá?
2.86 Vengono eseguiti dei check durante la creazione delle password per verificare se essere
rispettino i criteri minimi impostati?
2.87 Viene impedito l'uso di password note e/o appartenenti alle comuni liste online?
2.88 Esistono policy che richiedano procedure sicure per la generazione e la trasmissione di
password?
2.89 Le password sono sempre e comunque memorizzate in forma cifrata?
Autenticazione Avanzata
2.90 Le informazioni e i sistemi critici richiedono 2FA?
2.91 Le informazioni e i sistemi critici richiedono autenticazione doppia (due utenze)?
Biometria
2.92 Vengono utilizzati sistemi biometrici per l'autenticazione?
sez.3. AUDIT NETWORKS
Connettivitá costante
3.1 Reti per attività che richiedono livelli di sicurezza differenti sono separate fra di loro?
3.2 L'azienda mantiene una lista di tutti i dispositivi in uso, compresi i loro indirizzi MAC?
3.3 L'azienda mantiene una lista di tutti i protocolli e porte usate dagli applicativi installati
sui propri sistemi?
3.4 L'azienda mantiene una lista di tutti i nomi di sistema e loro indirizzi IP?
3.5 Esiste una dettagliata topologia della rete aziendale?
3.6 Il dettaglio della topologia di rete contiene i protocolli ed i percorsi dei servizi?
3.7 I documenti sulla topologia di rete vengono puntualmente verificati e aggiornati?
3.8 I documenti sulla topologia di rete sono accuratamente protetti da accessi non
autorizzati?
3.9 I dispositivi di rete (router, switch, etc.) dispongono di ACL per il loro accesso?
3.10 I cambiamenti di configurazione dei dispositivi di rete richiedono almeno una seconda
revisione prima di essere applicati?
3.11 I cambiamenti di configurazione dei dispositivi di rete vengono opportunamente
loggati?
3.12 Se viene rilevata un'attivitá sospetta da parte di un MAC, tale attivitá viene monitorata
e investigata?
3.13 I sistemi critici hanno connessioni ridondanti per HA?
3.14 Reti critiche hanno ridondanza a livello di switch?
Connessione di un apparato alla rete
3.15 Prima di connettere/inserire un apparato nella rete, esso deve superare dei test di
sicurezza?
3.16 Le impostazioni di default di un apparato vengono modificate prima di connetterlo in
rete (es: username e password)?
3.17 Vengono eseguiti vulnerability scan e/o pentesting sui dispositivi critici prima di
connetterli alla rete e successivamente?
3.18 E' fatto divieto ai dipendenti di inserire propri dispostivi in rete (flash drive, ipod,
kindle, smartphone, camera, etc)?
Dispositivi non autorizzati
3.19 La rete é costantemente monitorata per rilevare dispositivi non nella lista di quelli
autorizzati?
3.20 L'azienda monitora lo spoofing degli indirizzi MAC (confrontando ad esempio OS, porte,
posizionamento, etc.)?
3.21 La rete wifi é monitorata per rilevare l'accesso di dispositivi non autorizzati?
3.22 I modem dial up sono monitorati per rilevare accessi non autorizzati dall'esterno?
Gestione della rete
3.23 L'accesso alla rete, come per i sistemi, richiede autenticazione?
3.24 Sono in uso precise e rigorose regole per l'accesso alla rete aziendale via wireless?
3.25 L'accesso wifi é limitato ai soli dispositivi autorizzati?
3.26 L'uso di dispositivi di rete interni é rigorsamente specificato/impedito?
3.27 La connettivitá con i partner avviene tramite vpn?
3.28 Esiste un processo per approvare l'accesso alle VPN?
3.29 La rete é segmentata e le comunicazioni inter-segmento rigorosamente configurate?
3.30 Esiste una policy che limiti l'uso di protocolli insicuri (ftp, telenet, snmp)?
3.31 Le richieste SNMP sono limitate ai soli sistemi autorizzati?
3.32 Esistono policy che impediscano o limitino l'uso di tool per la gestione remota di
sistemi (logmein, teamviewer, etc.)?
3.33 Esiste un meccanismo automatico che avverta gli amministratori quando un dispositivo
critico é spento o ha eseguito un reboot?
3.34 Esiste una meccanismo di controllo che rilevi cambi di configurazione sui sistemi di
rete?
3.35 Esiste una meccanismo di controllo che rilevi cambi di configurazione sui sistemi
server?
3.36 In caso di cambio di configurazione, ne viene verificato l'impatto sulla sicurezza?
3.37 Le modifiche alle configurazione di server e sistemi di rete sono loggate?
Monitoraggio di rete
3.38 Il traffico di rete é monitorato per stabilire i normali pattern d'uso?
3.39 Il traffico di rete fra segmenti con differente livelli di sicurezza é monitorato?
3.40 Pattern di traffico inusuali vengono prontamente rilevati e analizzati?
3.41 I server DND sono monitorati per evitare modifiche che re-indirizzino il traffico?
3.42 Il traffico di rete é regolarmente monitorato alla ricerca di possibili covert channel?
Connettivitá Cloud e Piattaforme di condivisione
3.43 Sono chiare all'azienda le necessitá di sicurezza specifiche per l'uso di cloud computing?
3.44 L'azienda é a conoscenza che mantenere dati nel cloud senza cifratura puó essere
particolarmente rischioso?
3.45 Esiste una policy aziendale su quali documenti, sulla base dei dati sensibili, possano
essere gestiti tramite Google Docs, Dropbox, etc.?
3.46 L'accesso degli amministratori dei sistemi in cloud richiede 2FA?
3.47 Le macchine virtuali che eseguono servizi critici sono separate da quelle che eseguono
servizi meno critici?
3.48 Le comunicazioni con i server cloud sono tutte cifrate?
3.49 I database / file server nel cloud sono monitorati per rilevare trasferimenti di grandi
moli di dati?
3.50 I log di accesso ai sistemi cloud sono trasferiti su altri server, anche garantendone la
non modificabilitá da parte degli amministratori?
3.51 Le chiavi di cifratura e/o i certificati per la cifratura dei dati cloud sono memorizzate
e gestite in modo sicuro?
3.52 L'azienda ha preparato un set di procedure per essere pronta a trasferire velocemente
le operazioni nel cloud fuori dal cloud?
3.53 Esiste una policy che impedisca agli utenti la memorizzazione nelle piattaforme di
condivisione cloud (Dropbox etc) di dati sensibili?
3.54 Esiste una policy che limiti il tempo in cui un determinato tipo di informazione possa
essere memorizzato nel cloud?
3.55 Esiste una procedura per verificare che documenti aziendali non esistano o siano stati
rimossi dal cloud?
Connettivitá e mobilitá
3.56 I dispositivi mobili (laptop, smartphone) degli utenti sono standardizzati in modo da
rispettare i requisiti minimi di sicurezza aziendale?
3.57 Le utenze dei dispositivi mobili sono impedite dal possedere diritti di amministrazione?
3.58 In caso di BYOD, l'azienda impedisce la memorizzazione su tali dispositivi di dati
aziendali sensibili?
3.59 Nei dispositivi mobili viene utilizzata FDE?
3.60 Microfoni e telecamere dei dispositivi mobili sono disabilitati in aree o riunioni
sensibili?
3.61 Viene impedito il boot da dispositivi esterni (CD, USB) sui laptop?
3.62 Le email aziendali contenenti dati sensibili sono cifrate?
3.63 Se i dispositivi rimovibili sono in uso nell'azienda, il loro uso viene monitorato?
3.64 Le attivitá dei dispositivi mobili di terzi (fornitori) temporaneamente connessi
all'azienda sono monitorate?
3.65 Le comunicazioni VoIP sono cifrate?
3.66 Le comunicazioni VoIP sono monitorate per rilevare trasmissione dati?
3.67 Le connessioni remote sono monitorate con particolare attenzione?
3.68 L'azienda mette a disposizione un servizio che permetta agli utenti di segnalare
possibili malware/malfunzionamenti sospetti?
Laptop, Notebook, tablet, smartphone e BYOD
3.69 Tutti i dispositivi aziendali sono protetti da antivirus?
3.70 Gli agenti antivirus sono gestiti centralmente?
3.71 Gli smartphone aziendali sono gestiti centralmente?
3.72 I dispositivi utente hanno installato un software di protezione che blocchi l'accesso a IP
o hostname noti come malevoli?
3.73 I dispositivi infrarosso, bluetooth e wireless sono disabilitati sui laptop, salvo diverse
necessitá?
3.74 Viene effettuato un controllo sulle login da laptop di utenti remoti, che siano
consistenti con la posizione geografica dell'utente?
3.75 Viene effettuato un controllo sulle login da smartphone di utenti remoti, che siano
consistenti con la posizione geografica dell'utente?
3.76 Le comunicazione VoIP sono cifrate, specie per le chiamate sensibili?
3.77 I sistemi aziendali e di terze parti vengono analizzati per ricecare malware o
vulnerabilitá (missing patch) prima di concedere l'accesso alla rete interna?
VPN e Modem
3.78 L'accesso VPN richiede 2FA?
3.79 L'accesso a VPN per sistemi critici, richiede 2FA, token e/o sistemi di autenticazione
biometrica?
3.80 Una volta autenticati alla VPN, i sistemi vengono sottoposti a check di sicurezza prima
di acconsentire l'accesso alla rete interna?
3.81 In caso di Web VPN, le informazioni di sessione vengono eliminate dal computer
remoto?
3.82 L'azienda utilizza modem per la gestione remota di sistemi?
3.83 I modem sono provvisti di feature di sicurezza per verificare se un utente é
autorizzato?
Web e E-Commerce
3.84 I portali web sono implementati da specialisti anche per la parte sicurezza?
3.85 I banner dei server che ospitano le pagine web pubbliche sono stati rimossi?
3.86 Le pagine/script di test sono stati rimossi dai siti in produzione?
3.87 L'azienda ha acquistato tutti i domini che potrebbero essere interpretati come propri?
3.88 Le informazioni sensibili dei clienti (es: carte di pagamento) sono gestite da sistemi
differenti da quelli web che gestiscono le transazioni?
3.89 Eventuali social media account (Twitter) utilizzando 2FA?
3.90 L'azienda ricerca costantemente siti fasulli che pretendono di essere un sito
dell'azienda?
3.91 L'azienda fornisce pubblicamente un contatto (email, telefono) che puó essere usato
per segnalare problemi di sicurezza?
3.92 Esiste una procedura per un'azione rapida di rimozione di notizie fasulle dai social
media?
3.93 Esiste una procedura per un'azione rapida di rimozione di siti fasulli?
3.94 In caso di problemi di sicurezza web, esistono procedure per la gestione e la messa in
sicurezza?
3.95 Le transazioni economiche sono gestite da terzi?
3.96 Le transazioni economiche sono gestite in modo sicuro?
Cifratura
3.97 Esiste una policy che definisca quali comunicazioni debbano essere cifrate e come?
3.98 L'azienda mantiene una lista dei certificati utilizzati nei propri sistemi e applicazioni?
3.99 Le VPN utilizzano certificati digitali?
Sicurezza preventiva e controllo difesa perimetrale (IDS/IPS, Proxy e firewalls)
3.100 Viene utilizzato IPv6?
3.101 Viene disabilitato, se non in uso, il protocollo IPv6?
3.102 Se disabilitato, esistono meccanismi di rilevamento di traffico IPv6?
3.103 Il firewall é utilizzato solo sul perimetro o anche internamente per separare reti a
diverso livello di sicurezza?
3.104 L'azienda utilizza anche Host Firewall?
3.105 Esiste un processo scritto e approvato per il cambio delle regole del firewall?
3.106 L'accessp all'interfaccia di management di un dispositivo di sicurezza é limitata a soli
determinati indirizzi IP?
3.107 Ogni modifica alla regole di un dispositivo di sicurezza é loggato?
3.108 I log dei firewall vengono periodicamente analizzati?
3.109 L'azienda utilizza IPS/IDS?
3.110 L'azienda analizza malware e/o esempi di attacchi reali ad altri aziende?
3.111 L'azienda utilizza un sistema di content filtering?
sez.4. AUDIT AUTOMAZIONE
Sensori remoti e sistemi di controllo
4.1 In azienda è disponibile uno schema completo che identifichi accuratamente tutti i
percorsi di comunicazione tramite i quali sono connessi i sistemi di controllo?
4.2 Tutti i documenti che riportano le corrispondenze tra percorsi logici di accesso e sistemi
di controllo sono rigorosamente protetti contro accessi non autorizzati?
4.3 Tutti i sistemi di controllo che non hanno l'esigenza di una connessione Internet sono
effettivamente isolati da Internet?
4.4 I sistemi di controllo vengono isolati dalla rete aziendale quando non vi sia giustificato
motivo di connetterli?
4.5 Se un determinato sistema di controllo non può essere isolato dalla rete aziendale, è
perlomeno protetto da firewall e sistemi IDS altamente selettivi?
4.6 Si pone attenzione affinché ad eventuali estranei non sia concessa la presa in visione di
diagrammi e schemi contenenti chiari riferimenti ai processi fisici ed ai sistemi che li
gestiscono?
4.7 I sensori remoti sono stati progettati o aggiornati in modo da rendere difficile per un
malintenzionato alterarne le misurazioni tramite un'operazione di manomissione fisica?
4.8 Vi sono insiemi di sensori secondari che controllano i processi critici tramite una tecnica
alternativa di misurazione, così che una lettura falsa effettuata dal set primario di
sensori possa essere rapidamente messa in evidenza?
4.9 Esistono piani e procedure operative per gestire i casi in cui i collegamenti wireless
considerati critici vengano messi fuori uso?
4.10 I nuovi dispositivi terminali remoti o altri dispositivi di controllo che vengono installati
sulla rete aziendale sono corredati della funzione di cambio della password o di altri
meccanismi di autenticazione riprogrammabili?
4.11 Tutti i componenti della rete sono sincronizzati sulla medesima ora, fuso orario e data?
4.12 Gli aggiornamenti ai sistemi operativi dei dispositivi terminali remoti sono trasmessi in
modalità sicura da fonte autorizzata?
4.13 Le interrogazioni sullo stato dei dispositivi terminali remoti sono trasmesse in modalità
sicura da fonte autorizzata?
Dispositivi periferici
4.14 Prima di acquistare un prodotto se ne valutano le caratteristiche in termini di
sicurezza?
4.15 Il supporto di sistemi di cifratura è un parametro che viene tenuto in considerazione
quando si acquistano dispositivi periferici?
4.16 Sono presenti procedure per l'update sicuro dei firmware dei dispositivi hardware
installati in azienda?
4.17 E' presente una lista di tutti i dispositivi periferici come stampanti, scanner che sono
condivisi tra diversi utenti e che contempli la lista dei computer/utenti che vi hanno
accesso?
4.18 E' presente una lista di tutti i computer che hanno accesso ad Internet?
4.19 Le password di default dei dispositivi wireless e bluetooth sono modificate prima che
questi vengano messi in funzione?
4.20 La connettività bluetooth e wirelesse dei dispositivi perifireci quali stampanti e
scanner viene disabilitata se non utilizzata?
4.21 Quando un dispositivo deve essere collegato solo occasionalmente alla rete Internet,
sono presenti procedure per il controllo dell'effettiva disconnessione fisica dalla rete?
4.22 Le comunicazioni che intercorrono tra dispositivi periferici e i computer sono
generalmente cifrate?
4.23 Tutti i dispositivi periferici sono dotati di password distinte?
4.24 Se un dispositivo periferico come una stampante o uno scanner può contenere una
grossa quantità di dati, vi è un blocco per impedire che lo stesso possa comunicare tali
grosse quantità verso l'esterno?
4.25 Se un dispositivo locale connesso ad Internet trasmette o riceve dati ad un orario
inatteso, per frequenza e/o volume, viene attivata una qualche forma di warning?
4.26 Se vi è indicazione di una elevata quantità di traffico generato da un dispositivo si
procede rapidamente con una attività ispettiva?
4.27 Il traffico generato da dispositivi periferici viene ispezionato per verificarne l'effettiva
cifratura?
4.28 Se un dispositivo contiene impostazioni personalizzate, le stesse vengono regolarmente
verificate per controllare che non siano state cambiate?
4.29 Se un dispositivo contiene impostazioni personalizzate, esiste una copia di backup di
tali impostazioni?
4.30 L'eventuale copia di backup è cifrata?
Strategie di backup
4.31 Esiste un piano completo di ciò che deve essere sottoposto a backup?
4.32 I dati vengono salvati con una cadenza che ne riflette il valore economico e la
frequenza di aggiornamento?
4.33 Sono oggetto di backup (cioè di creazione di copie di sicurezza) i sistemi operativi, i
programmi, e le informazioni di configurazione, oltre naturalmente ai dati dell'azienda?
4.34 Esiste un piano specifico per il backup regolare dei laptop e dei dispositivi mobile degli
utenti?
4.35 Le configurazioni di switch e router sono regolarmente oggetto di backup?
4.36 Se è necessario trasferire i dispositivi di backup al di fuori dell'azienda vengono
mantenuti segreti il luogo di destinazione e il percorso?
4.37 Esiste una copia di backup dei dati che viene trasferita con regolarità in un luogo
isolato dalla rete aziendale?
4.38 I dati vengono salvati con una cadenza che ne riflette il valore economico e la
frequenza di aggiornamento?
4.39 I dati salvati sono memorizzati per un periodo sufficientemente lungo da poter
garantire la disponibilità di una copia integra di dati, nel caso che questi siano stati
fatti oggetto di alterazioni di difficile rilevazione per un periodo di tempo anche
prolungato?
4.40 La procedura di backup include la verifica della presenza di codice malevolo
(virus/trojan) prima/dopo il backup?
4.41 Sono presenti procedure rigorose per restringere l'accesso ai dispositivi di backup?
4.42 Se la copia di backup viene trasferita elettronicamente ad un sistema remoto, le
informazioni vengono trasmesse in forma crittografata o per il tramite di una rete
dedicata sicura?
4.43 Se i dati di backup sono trasportati fisicamente in una posizione secondari sono trattati
con misure di sicurezza?
4.44 Se le informazioni da copiare sono sensibili o di natura proprietaria, vengono criptate
durante il processo di backup, così che sui supporti di memorizzazione siano registrate
in forma crittografata?
4.45 Le chiavi crittografiche usate per il backup sono memorizzate in un luogo sicuro, e
distribuite in modo che una chiave compromessa non possa mettere a repentaglio la
totalità dei dati salvati?
4.46 Le chiavi crittografiche usate per il backup, insieme alla documentazione riportante la
data e il sistema dove sono state utilizzate, vengono memorizzate in formato sicuro, in
una località diversa dal luogo che ospita i supporti di backup? *
4.47 Se una perdita di informazioni salvate può mettere a repentaglio l'attività aziendale, è
previsto che altre copie di backup vengano mantenute presso più di una località remota?
4.48 I supporti di backup sono protetti da tentativi di furto durante la permanenza nel luogo
in cui sono custoditi, sia esso locale o remoto?
4.49 Quando i supporti di memoria di backup non servono più alla funzione di copia di
salvataggio, sono previste procedure per la distruzione o il riuso dei supporti, che siano
custoditi localmente o in località remota?
4.50 Sono pianificati ed effettuati con regolarità test per garantire che i backup siano
leggibili e non corrotti?
4.51 Sono effettuati test a campione per verificare che i dati non siano stati alterati?
4.52 Se le copie di backup sono trasportate fisicamente in località remota, vengono poste in
contenitori di sicurezza anti-manomissione, trasportate in mezzi sicuri, e monitorate
durante il transito? *
4.53 Tali dispositivi di protezione contengono sistemi GPS?
4.54 I file di log delle attività rilevanti ai fini della sicurezza vengono salvati regolarmente
e memorizzati in un formato che ne minimizzi le possibilità di manomissione?
4.55 I file di log degli accessi delle applicazioni vengono periodicamente salvati ed inviati in
luogo sicuro?
4.56 I file di log degli accessi delle applicazioni sono disponibili per periodi sufficientemente
lunghi da permettere di rintracciare le cause di una graduale corruzione di
informazioni?
4.57 Vengono eseguiti backup multipli, in maniera che se anche una copia venisse persa o
manomessa, il sistema possa comunque essere ripristinato da un'altra copia?
4.58 Esistono procedure per gestire dati di backup che non sono più integri, in particolare
durante una situazione di crisi?
4.59 Esistono procedure per gestire la perdita o il furto di nastri di backup non criptati che
contengono informazioni proprietarie o sensibili?
sez.5. AUDIT FATTORI UMANI
Gestione degli incidenti (dipendenti / incaricati e soggetti autorizzati)
Amministrazione della sicurezza
Azioni amministrative
Audit e review esterne
Senior Management
Azioni individuali dei dipendenti
Attività di reporting da parte dei soggetti autorizzati
Monitoraggio delle attività dei dipendenti
Formazione dei dipendenti in materia di cyber security
Responsabilità personale in tema di sicurezza
5.1 La salvaguardia della sicurezza dell'azienda Þ resa parte integrante in modo formale di
ciascuna mansione delle persone che vi lavorano?
5.2 Ai dipendenti viene fatto obbligo di sottoscrivere accordi sulla riservatezza e sulla
proprietà intellettuale?
5.3 Ogni componente del parco hardware informatico di cui l'azienda Þ proprietaria o
licenziataria risulta essere di esplicita responsabilità di un determinato dipendente?
5.4 Esistono etichettature permanenti o altri marchi di identificazione che rendono facile
per gli altri impiegati determinare chi possiede un dato componente informatico?
5.5 Al dipendente cui si assegna la responsabilità di un dato apparato informatico viene
richiesto anche di salvaguardarne la sicurezza in generale?
5.6 I dipendenti sono abituati a tenere i computer portatili e altri apparati informatici
trasportabili sotto osservazione diretta o riposti in locali sicuri quando vengono fatti
uscire dai confini dell'azienda?
5.7 Le politiche aziendali regolamentano l'uso corretto della posta elettronica, dell'accesso
ad internet e della messaggistica istantanea da parte dei dipendenti?
5.8 Le policy aziendali definiscono quali dati possono essere postati su social media dai
dipendenti e quali informazioni, invece, debbano rimanere riservate?
5.9 I dipendenti sono ritenuti personalmente responsabili di eventuali azioni compiute sul
sistema informativo aziendale che violano le politiche di sicurezza aziendali?
5.10 Ai dipendenti viene impedita la condivisione del proprio computer con altri dipendenti?
5.11 Ai dipendenti viene fatto divieto di scambiarsi le password tra colleghi?
Formazione dei dipendenti in materia di cyber security
5.12 A tutti i dipendenti viene fatta periodicamente formazione sulle politiche di sicurezza
adottate in azienda, e sui motivi per cui tali politiche debbano essere ritenute
importanti?
5.13 Ai dipendenti vengono indicate quali siano le categorie di informazioni gestite
dall'azienda che vanno considerate sensibili?
5.14 Ai dipendenti si insegna a diffidare di qualsiasi tipo di software arrivi per posta, anche
se appare confezionato e spedito da fornitori di fiducia?
5.15 Ai dipendenti si insegna a non cadere vittime di manipolazioni sociali tramite telefono
o Internet, che potrebbero convincerli a rivelare informazioni strettamente private
oppure indurli a digitare / chiamare determinate sequenze di numeri o caratteri?
5.16 Ai dipendenti si raccomanda periodicamente di non scaricare tipi di file che possano
contenere del codice eseguibile, di non aprire e-mail sospette, e di non installare
software personale sui sistemi dell'azienda?
5.17 Ai dipendenti vengono illustrati i rischi di sicurezza che possano correre se sono soliti
memorizzare informazioni private, quali i codici di identificazione personali, sui propri
telefoni cellulari?
5.18 Durante il training vengono realizzate anche esercitazioni pratiche?
5.19 I dipendenti sono sottoposti a test periodici per verificare la loro conoscenza sulle
procedure di sicurezza, nonchè la conoscenza sulle minacce di ultima generazione?
Monitoraggio delle attività dei dipendenti
5.20 Esiste un sistema per la raccolta di informazioni relative ai luoghi fisici e alle risorse
informatiche alle quali ciascun dipendente ha accesso?
5.21 Sono poste in essere attività di verifica dei log di accesso (fisici e elettronici) per
identificare comportamenti abituali di accesso che non sono motivati dal ruolo del
dipendente?
5.22 Sono effettuate ricerche su web per verificare che i dipendenti non abbiano pubblicato
informazioni che potrebbero causare problemi alla sicurezza informatica dell'azienda?
5.23 Esiste un sistema per il monitoraggio puntuale delle risorse e dei dati ai quali un
dipendente ha avuto accesso, in particolare quando ha comunicato di voler lasciare
l'azienda?
5.24 L'azienda fa una attività di analisi dei dati acceduti da un dipendente almeno nei 90
giorni antecedenti alla data in cui ha dato notizia di voler lasciare l'azienda stessa?
Attività di reporting da parte dei soggetti autorizzati
5.25 I dipendenti sono consapevoli che ogni volta che installano un nuovo software
applicativo in un computer aziendale, sono tenuti a fare reporting al personale di
cyber-security dell'azienda?
5.26 Esiste un modo semplice per i dipendenti per segnalare vulnerabilità di sicurezza,
tentativi di cyber-attacco, telefonate sospette, ecc. e i dipendenti sono premiati per
fare ci‗?
5.27 Le principali strategie di attacco sono descritte in modo abbastanza esaustivo ai
dipendenti, in modo tale che ci sia una buona probabilità di un riconoscimento fin da
subito di tali segnali?
5.28 Se un dipendente riceve un link a una risorsa Internet da un altro dipendente o da
chiunque altro, sono formati perchè verifichino sempre la URL per verificare che punti a
un dominio corretto/atteso?
Azioni individuali dei dipendenti
5.29 Esiste un divieto contrattuale per i dipendenti di postare su Internet informazioni
relative ai sistemi critici aziendali ai quali hanno accesso?
5.30 Esiste un divieto contrattuale per i dipendenti di postare su Internet informazioni che
possano permettere di individuare quali misure di sicurezza sono state implementate
dall'azienda?
5.31 I dipendenti sono adeguatamente formati rispetto ai rischi di sicurezza che derivano
dalla memorizzazione di informazioni personali (es. PIN, password) all'interno dei propri
smart phone?
5.32 I dipendenti sono istruiti a non fornire all'esterno informazioni rilevanti per la
sicurezza, anche informazioni che sembrano apparentemente innocue?
5.33 E' fatto divieto ai dipendenti di cedere i propri dispositivi di identificazione personale
per permettere l'accesso alla struttura ad altri impiegati?
5.34 I dipendenti sono formati sull'evitare l'utilizzo di password costruire su dati biografici e
fatti personali che potrebbero essere pubblicamente accessibili?
5.35 I dipendenti sono formati su come costruire password che non appartengono a dizionari
o basate su frasi?
5.36 I dipendenti sono formati sui rischi di conservare le password in posti non sicuri, come
ad esempio post-it nell'area di lavoro?
5.37 I dipendenti sono formati sui rischi che potrebbero derivare dal collegamento di
dispositivi personali (es. smartphone, tablet, digital camera) in computer aziendali,
anche solo per caricare la batteria?
5.38 Il personale addetto alla sicurezza Þ stato istruito sul fatto che impedire il
collegamento non autorizzato di dispositivi elettronici, incluse pendrive, ai computer
aziendali Þ tanto importante quanto prevenire che il furto o il danneggiamento del
dispositivo?
5.39 I dipendenti sono formati sul rischio che deriva dall'apertura di un allegato presente in
una e-mail generica, non apparentemente sensata o con comportamenti strani?
5.40 I dipendenti sono formati sul fatto di non installare software per scopi personali sui
computer aziendali?
5.41 I dipendenti sono formati sul fatto di diffidare dai software che arrivano via mail (es.
aggiornamenti) anche se la sorgente sembra essere trusted?
5.42 I dipendenti sono formati sul fatto che non dovrebbero collegare nessun dispositivo di
cui non conosce la provenienza solo per guardare cosa c'è dentro?
5.43 I dipendenti sono formati sul fatto di non scaricare da Internet tipi di file che
potrebbero contenere codice eseguibile?
5.44 I dipendenti sono formati sul fatto che anche software di massa potrebbero comunque
contenere malware?
5.45 I dipendenti sono formati sul non cadere vittime di manipolazioni sociali attraverso
telefono o via Internet che li potrebbe portare a rivelare informazioni legate alla
sicurezza?
5.46 I dipendenti sono formati sul non fornire telefonicamente sequenze di numero o di
caratteri (es. password) quando qualcuno glielo chiede?
5.47 Ci sono restrizioni formali per gli utenti rispetto all'acceso a sistemi critici quando si
trovano in posizioni strane?
5.48 I ruoli dei dipendenti sono distinti in modo tale che un singolo dipendente non possa
portare a termine una operazione critica senza la consapevolezza degli altri impiegati?
5.49 L'esecuzione di operazioni estremamente critiche richiede la partecipazione simultanea
di duo o più impiegati?
5.50 I dipendenti nell'area IT sono resi consapevoli di quanto sia pericoloso installare
collegamenti di rete (es. Wi-Fi) che siano non documentati e non autorizzati del
personale della sicurezza anche quando questa richiesta proviene da un capo?
5.51 L'azienda ammonisce tutti i dipendenti che lasciano l'azienda che devono rispettarne la
proprietà intellettuale?
5.52 L'azienda ha procedure per la raccolta di evidenze forensi per ogni tentativo da parte
di un dipendente di utilizzare un sistema aziendali per rubare dei dati o causare un
danno?
Senior Management
5.53 I manager senior dell'azienda sono regolarmente informati sullo stato di cyber security
dell'azienda e sulle possibili conseguenze delle minacce emergenti?
5.54 I manager senior dell'azienda sono resi edotti che un buon piano di cyber security parte
dal comprendere come sono utilizzati i sistemi informatici aziendali ai fini della
produzione del business?
5.55 I manager senior dell'azienda sono resi edotti del fatto che la migliore strada per la
gestione della maggior parte dei problemi di sicurezza non Þ quella di aggiungere più
misure di cyber-security, ma di fare piccoli cambiamenti nel modo in cui le attività sono
svolte?
5.56 I manager senior dell'azienda sono resi edotti del fatto che la gestione di problemi di
cyber-security è generalmente più semplice e molto meno costosa quando questi
possibili problemi sono presi in considerazione quando nuove operazioni di business sono
attivate?
5.57 L'azienda ha un Chief Information Security Officer?
5.58 Il CISO Þ tenuto a fare un reporting al CFO e al CEO senza la presenza di altri
dipendenti?
5.59 L'azienda utilizza le notizie relative a nuovi attacchi alla cybersecurity che sono stato
portati a termine contro altre organizzazioni per aggiornare i propri piani e programmi
di cyber-security?
5.60 L'azienda ha un canale attraverso il quale il personale dedicato alla cyber-security può
fornire consigli e avvisi riguardo alle implicazioni per la cyber-security nella strategia,
policy, procedure e rapporti verso l'esterno dell'azienda?
5.61 Il personale di cyber-security è correttamente premiato se fa emergere considerazioni
ai manager o ad altro personale esterno al team di cybersecurity, fino a che ha fatto in
modo corretto?
Audit e review esterne
5.62 Le policy di sicurezza di una azienda e la loro implementazione sono valutate
annualmente da un auditor esperto esterno?
5.63 Le policy di sicurezza dell'azienda e la loro implementazione sono attentamente
verificate rispetto alle leggi vigenti e agli standard dell'industria?
5.64 La review annuale delle policy di sicurezza dell'azienda e l'implementazione delle
stesse Þ abbastanza approfondita per scoprire nuove vulnerabilità?
5.65 Gli audit effettuati sono esaminati in modo analitico per identificare le aree dove Þ
necessario attivare delle contro misure?
5.66 I diversi audit effettuati negli anni sono comparati, in modo tale da permettere al
management di valutare se la sicurezza sta crescendo anzichè diminuendo?
Azioni amministrative
5.67 Il personale addetto alle pubbliche relazioni e commerciale Þ reso edotto sul fatto che
le loro attività potrebbero avere impatto sull'organizzazione aziendale della
cybersecurity?
5.68 L'azienda evita attività pubblicitarie e materiale pubblicitario che potrebbero portare
l'attenzione dei punti e dei sistemi critici aziendali?
5.69 L'azienda evita attività di marketing che possano sembrare provocazioni per la
comunità degli “ underground hackers”, rendendo l'azienda un possibile target?
5.70 Se l'azienda Þ un target potenzialmente di alto profilo, gli annunci di lavoro per
l'assunzione di personale nel ramo della cyber-security sono fatte in modo tale da
evitare l'identità dell'azienda?
5.71 Sono effettuati approfonditi background checks sui dipendenti che hanno un livello di
accesso elevato alle informazioni, anche se i loro salari e il titolo di lavoro potrebbero
non far intendere tale accesso?
5.72 Se un dipendente viene promosso a un livello più alto in termini di responsabilità e di
accesso alle informazioni, viene effettuato un nuovo background check su di lui?
5.73 Viene effettuato un background check del personale addetto al mantenimento degli
edifici dell'azienda (es. guardiani, pulizie, ecc.) che hanno un accesso fisico elevato alle
componenti dei sistemi?
5.74 Se avviene un cambio considerevole nel comportamento personale o economico di un
dipendente, esiste una procedura per effettuare un background check non intrusivo e
capire le ragioni?
5.75 Se un dipendente sta attraversando un periodo di grandi difficolta personali, esiste una
policy per ridurre temporaneamente le sue responsabilità rispetto ai sistemi critici
aziendali?
5.76 Gli impiegati addetti al monitoraggio dei sistemi critici sono ruotati al fine di rendere
il proprio lavoro meno noioso?
5.77 L'azienda provvede a premiare pubblicamente in meeting interni i dipendenti che
operano nei sistemi informativi per aver fatto un lavoro particolarmente di pregio o
rilevante per l'azienda stessa?
5.78 L'azienda fornisce un canale attraverso il quale gli impiegati possono nominare in modo
anonimo gli altri dipendenti per un riconoscimento speciale, basato sul fatto di aver
creato qualcosa di particolarmente innovativo rispetto ai sistemi informativi?
5.79 L'azienda fornisce un canale per i dipendenti per manifestare le proprie lamentele
senza che questo comporti punizioni e permettendo ai dipendenti di verificare che le
lamentele siano state correttamente considerate?
5.80 L'azienda gestisce il ridimensionamento di certi settori in una maniera che minimizzi i
sentimenti ostili da parte degli ex dipendenti?
5.81 Se un dipendente che ha un ruolo che gli permette accesso ai dati interessanti per la
concorrenza lascia l'azienda, viene effettuato un check per verificare segnali di utilizzo
di tali informazioni nel nuovo lavoro?
5.82 L'azienda fornisce ai dipendenti una procedure che gli permette di segnalare tentativi
da parte di soggetti esterni di estorcere la loro collaborazione nel superare i sistemi di
sicurezza dell'azienda?
5.83 L'azienda monitora le attività di ex dipendenti nelle nuove aziende dove questi si
trovano, soprattutto relativamente a quelli che avevano accesso a sistemi e procedure
critiche?
Amministrazione della sicurezza
5.84 Esiste un sistema affidabile per tenere traccia di tutti i log e le altre sorgenti di
informazioni di cui ha bisogno il team di security e per verificare che siano stati trattati
con uno schedule appropriato?
5.85 Esiste un sistema affidabile e costantemente aggiornato per il tracking di tutte le
vulnerabilità evidenziate dai dipendenti, scoperte dall’ audit, riportate dai vendors o
diffuse dai giornali?
5.86 Il sistema di tracking delle vulnerabilità permette al personale addetto alla sicurezza
di determinare rapidamente quali vulnerabilità devono ancora essere gestite, quali
siano attualmente in gestione e quali siano state già sistemate?
5.87 Alle vulnerabilità viene assegnato un livello di priorità elevato in modo tale che le
vulnerabilità più critiche siano gestite più rapidamente?
5.88 Il livello di priorità assegnato tiene in considerazione la natura delle operazioni di
business e produzione che utilizzano il sistema informatico in cui la vulnerabilità si
verifica?
5.89 Il sistema di tracking delle vulnerabilità Þ coordinato con il sistema di tracking delle
patch e degli aggiornamenti di sicurezza, in modo tale che non si perda produttività
nella gestione dello stesso problema più di una volta?
5.90 Esiste un “security manager” (ADS) che verifichi con continuità che tutte le
vulnerabilità siano state prese in considerazione per tempo e nel corretto ordine di
priorità?
5.91 Il CISO fa una review mensile dei programmi e delle procedure per la cybersecurity per
verificare che siano allineati con le attese?
5.92 Il team di security ha un tempo sufficiente per mettere in pratica misure di sicurezza e
rinnovare quelle vecchie, anziché dover spendere tutto il proprio tempo a mettere
patch alle vulnerabilità e rispondere agli attacchi?
Gestione degli incidenti (dipendenti / incaricati e soggetti autorizzati)
5.93 L'azienda ha piani dettagliati per la gestione degli incidenti di sicurezza, sia quando
stanno accadendo sia immediatamente dopo?
5.94 I piani dettagliati per la gestione degli incidenti di sicurezza, specificano chiaramente i
punti in cui i senior manager devono essere avvisati?
5.95 I dipendenti sanno chi avvertire, sia dentro che fuori dell'azienda, nell'eventualità di
un possibile attacco?
5.96 Sono effettuate con regolarità esercitazioni in cui sono coinvolti i dipendenti
responsabili della gestione degli incidenti, attraverso simulazioni realistiche?
5.97 Le persone chiave hanno avuto l'opportunità di mettere in pratica la propria capacità di
gestione delle emergenze in situazioni reali?
5.98 Gli incidenti reali o simulati sono seguiti da una discussione per identificare la lesson
learned?
5.99 L'azienda utilizza costantemente le news relative agli attacchi subiti da altre aziende
per aggiornare e rinforzare i piani di risposta agli attacchi che potrebbero arrivare?
5.100 I piani dettagliati per la gestione degli incidenti sono conservati come strettamente
confidenziali?
5.101 I risultati delle simulazioni di attacco sono trattati come elemento altamente
confidenziale?
5.102 I dipendenti sanno come interrompere o spegnere rapidamente i canali di
comunicazione che sono apparentemente utilizzati da un attacco informatico?
5.103 Se un particolare account Þ stato utilizzato durante un attacco, gli amministratori dei
sistemi sono in grado di forzare rapidamente un logout e disabilitare l'account nella
rete aziendale?
5.104 Se c’è ragione di credere che un attacco informatico possa essere imminente, c’è un
piano per disabilitare temporaneamente i sistemi vulnerabili e interrompere i canali di
comunicazione, al fine di limitare l'effetto dell'attacco?
5.105 Se si Þ verificato un attacco grave, esistono procedure che possono essere
rapidamente implementate per isolare o mettere in quarantena i sistemi che possono
essere stati contaminati, senza necessità di spegnerli?
5.106 Sono presenti delle procedure che possono essere rapidamente adottate per isolare o
mettere in quarantena i sistemi infetti se vi è una ragione per non fidarsi della
procedura informatica?
5.107 I cavi che devono essere disconnessi in caso di un cyber attacco sono chiaramente
etichettati?
5.108 I dipendenti sanno quali cavi devono essere staccati nel caso di un attacco e quali
eventi debbano triggerare questa risposta?
5.109 Se un attacco sta causando le cancellazioni o la cifrature dei dati su un computer
locale i dipendenti sono stati autorizzati a spegnere immediatamente il computer?