Checklist D.P.S.
0 likes947 views
Convert to study guideBETA
Transform any presentation into a summarized study guide, highlighting the most important points and key insights.
![RIFERIMENTI NORMATIVI ANALISI DEI RISCHI INCOMBENTI SUI DATI
- D.Lgs 30/06/2003 n.196: Codice in materia di protezione dei dati personali - Localizzazione fisica delle basi di dati
- G.U. n. 58 dd 10/03/2007: Trattamento di dati personali relativo allutilizzo di strumenti - Rischi per le basi di date cartacee: incendi, inondazioni, accessi non consentiti,
elettronici da parte dei lavoratori. - Rischi per le basi di dati elettroniche: Virus e malware, catastrofe, accessi non consentiti,
- D.Lgs 82/2005: Codice dellAmministrazione Digitale - .
- G.U. n. 30 05/02/08 (Provvedimento del Garante dd 17/01/2008): Sicurezza dei dati di
traffico telefonico e telematico
- Provvedimento del Garante dd 24/07/2008: Modifica al Provvedimento del 17/01/2008
MISURE DI ATTENUAZIONE DEI RISCHI
sulla conservazione dei dati di traffico Misure e accorfimentia tutale dellinteressato in
attuazione dellart. 132 del dLgs 30/06/2003 n. 196 - Misure adottate per garantire lintegrit e la disponibilit dei dati: sistemi di backup e
- Provvedimento del Garante 27/11/2008: Misure e accorgimenti prescritti ai titolari dei recovery, regole di accesso, misura pericolo di violazione dei perimetri
trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di - Meccanismi di Identificazione ed Autrnticazione: autenticazione fisica allaccesso in
Amministratore di Sistema. Aziendo e autenticazione per accesso alle basi di dati
- Comunicato del Garante 10/12/2009: Nomina Amministratore di Sistema. - Politiche adottate per la gestione delle parole chiave: complessit, timeout, ecc.
- DL "Disposizioni urgenti in materia di semplificazione e sviluppo" dd 03/02/2012, - Tecnologie per il contrasto di virus
n.5: Eliminato lobbligo di predisporre e aggiornare il DPS - Impianto ausiliario di alimentazione elettrica
- Criteri e Procedure per la Sicurezza nella Trasmissione dei dati
- Criteri per la protezione delle Aree e dei Locali
DEFINIZIONI E FIGURE ATTIVE DEL TRATTAMENTO - Tempi di Ripristino dei dati
- Titolare del Trattamento (art. 28 D.Lgs 96/03): esercita un potere decisionale del tutto - Interventi Formativi agli Incaricati del trattamento
autonomo sulle finalit e sulle modalit del trattamento - Controlli Periodici
- Responsabile del Trattamento (art. 29 D.Lgs 96/03): - ..
o promuovere lo sviluppo, la realizzazione ed il mantenimento dei programmi di
sicurezza contenuti nel presente Documento Programmatico sulla Sicurezza dei Dati
Personali; NOTE
o informare il Titolare del trattamento sulle non corrispondenze con le norme di
sicurezza e su eventuali incidenti; _______________________________________________________________________
o promuovere lo svolgimento di un continuo programma di addestramento degli
Incaricati del Trattamento e mantenere attivo un programma di controllo e
_______________________________________________________________________
l o r e n z o l e o n e l l i [at] h o t m a i l [dot] c o m
monitoraggio della corrispondenza con le regole di sicurezza.
- Incaricato del trattamento:
o svolgere le attivit previste dai trattamenti secondo le prescrizioni contenute nel
presente Documento Programmatico sulla Sicurezza e le direttive del Responsabile; _______________________________________________________________________
o non modificare i trattamenti esistenti o introdurre nuovi trattamenti senza lesplicita
autorizzazione del Responsabile del trattamento;
o rispettare e far rispettare le norme di sicurezza per la protezione dei dati personali; _______________________________________________________________________
o informare il Responsabile in caso di incidente di sicurezza che coinvolga dati personali.
- Dati Personali e Sensibili
- _______________________________________________________________________
DB AZIENDALI E REGOLE DI ACCESSO
DPS Checklist - Aprile 2013
_______________________________________________________________________
- DB Cartacei ed Elettronici presenti in Azienda
- Matrice di accesso ai DB
o Dipendente: nome, cognome, dipartimento, ruolo. _______________________________________________________________________
o Tipo di accesso: lettura, scrittura, controllo completo,
o Descrizione dei dati disponibili
o Dispositivi di accesso: PC Desktop, notebook, Smartphone, _______________________________________________________________________
o ..
- Regole generali di accesso ai DB:
o Accessi alle stanze contenenti DB cartacei _______________________________________________________________________
o Accessi ai DB elettronici (credenziali, tempi di accesso, ecc.)
-](https://image.slidesharecdn.com/dpschecklist-130331105648-phpapp01/85/Checklist-D-P-S-1-320.jpg)
![LETTERA DI INCARICO INTERVENTO DI FORMAZIONE PERIODICA in MERITO AI TEMI LEGATI ALLA SICUREZZA
DEI DATI (Art. 34 Comma 1 lettera G del DLGS 196/2003 e successive modifiche)
Il sottoscritto <Titolare del trattamento>, in qualit di Titolare del Trattamento dei dati
personali della societ <>, conformemente a quanto stabilito dal DPR n. 196 del 30 giugno In ottemperanza alla normativa vigente, si ricorda che la scrivente Azienda redige annualmente un
2003, affida a Signor Documento Programmatico sulla Sicurezza consultabile da chiunque ne faccia richiesta
allAmministratore di Sistema, i cui punti principali vengono sommariamente di seguito riassunto:
<Responsabiledel trattamento>
1. La funzione di Amministratore di Sistema e svolta da <.>
lincarico del Trattamento dei dati personali (Incaricato) in relazione alla Sua 2. La parola chiave di accesso alla rete Aziendale Windows viene cambiata ogni <n> mesi, la
mansione come sotto descritto nuova parola chiave deve essere indicata sullapposito modulo e viene custodita dal
Responsabile del trattamento.
3. Ogni volta che un utente lascia la sua postazione di lavoro deve rendere la propria
Nome archivio: Le banche dati cartacee ed elettroniche riguardanti . postazione di lavoro non fruibile per gli altri utenti (bloccando o spegnendo il PC oppure
Tipo di dati: Dati personali/personali sensibili . tramite lutilizzo di uno screen saver protetto da password)
4. E fatto divieto lutilizzo di qualsiasi strumento informatico non autorizzato (per esempio PC
per leffettuazione delle seguenti operazioni : e/o periferiche personali) allinterno della Rete Aziendale
5. E fatto divieto installare/utilizzare software non autorizzato allinterno della rete Aziendale
- inserimento modifica e cancellazione di elementi nellarchivio, 6. Il Personal Computer in dotazione cos狸 come ogni altro strumento informatico e uno
- consultazione, strumento di lavoro e come tale va utilizzato. Non e consentito qualsiasi altro uso degli
- selezione ed utilizzo ai fini dellemissione dei documenti di Sua competenza strumenti informatici.
Lincaricato del Trattamento dichiara di essere a conoscenza di quanto stabilito dal DPR n. 7. In generale, ogni volta che un utente venga a contatto con Dati Comuni e/o Dati Sensibili
196 del 30 giugno 2003 e di quanto indicato nel Documento programmatico sulla sicurezza, che non siano di propria competenza 竪 tenuto a darne comunicazione al Legale
redatto internamente allazienda e revisionato annualmente; si impegna altres狸 ad adottare tutte le Rappresentante e allAmministratore di Sistema.
misure necessarie allattuazione delle nore in essi descritte. 8. .
9.
Lincaricato del Trattamento non pu嘆 installare ed utilizzare programmi per elaboratore Il Responsabile del trattamento (<Nome e Cognome del responsabile>)
non autorizzati dallazienda n辿 privi di licenza che legittimino luso.
Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di NOME PER ESTESO: ________________________
lavoro da utilizzare esclusivamente per lesecuzione delle mansioni affidate.
FIRMA: ________________________
Lamministratore del sistema informativo aziendale Le comunicher un identificativo utente
l o r e n z o l e o n e l l i [at] h o t m a i l [dot] c o m
ed una password personali. Lei dovr conservare segreta la password. Per attivare una sessione di
lavoro, Lei dovr utilizzare esclusivamente il Suo Identificativo Utente. Nel caso in cui dovesse
venire meno la segretezza della Sua password, dovr darne immediatamente comunicazione
allamministratore di sistema che provveder ad assegnargliene una nuova e segreta. Nel caso Lei INFORMATIVA PER CLIENTI E FORNITORI
abbandoni il Suo posto di lavoro, dovr chiudere la sessione riportando il suo personal computer La informiamo che, per l'instaurazione e l'esecuzione dei rapporti contrattuali in corso, la nostra
nello stato di accettazione dellIdentificativo Utente. societ 竪 in possesso di dati a Lei relativi, acquisiti anche verbalmente direttamente o tramite terzi,
qualificati come personali dal D.Lgs. 196/2003 (Codice Privacy).
Lincaricato del Trattamento nel trattare documenti contenenti dati sensibili o giudiziari 竪 La legge in oggetto prevede innanzitutto che chi effettua trattamenti di dati personali 竪 tenuto ad
tenuto a custodirli fino alla restituzione in modo da evitare laccesso agli stessi dati a persone prive informare il soggetto interessato su quali dati vengano trattati e su taluni elementi qualificanti il
di autorizzazione. Lincaricato deve, inoltre, custodire gli archivi contenenti documenti con dati trattamento. Esso deve inoltre avvenire con correttezza liceit e trasparenza, tutelando la Sua
sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. Laccesso fuori dallorario riservatezza e i Suoi diritti.
di lavoro impone la registrazione e identificazione delle persone ammesse ai locali.
- AMBITO DI VALIDITA' DELL'INFORMATIVA .
I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere
DPS Checklist - Aprile 2013
- NATURA DEI DATI TRATTATI .
portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati terzi preventivamente
- MODALITA' DI RACCOLTA E ORGANIZZAZIONE DEI DATI
autorizzati in via generale dallazienda.
- FINALITA DEL TRATTAMENTO
- MODALITA' DEL TRATTAMENTO
- AFFIDAMENTO A TERZI DI ALCUNE OPERAZIONI DI TRATTAMENTO
Titolare del Trattamento Incaricato del Trattamento - SICUREZZA DEI DATI PERSONALI
__________________________ __________________________ - OBBLIGO O FACOLTA' DI CONFERIRE I DATI
- COMUNICAZIONE E DIFFUSIONE
- I SUOI DIRITTI
SI NO Autorizzo <.> al trattaento Dati di cui sopra.
Timbro e firma del Cliente/fornitore Data
_____________________________
_________](https://image.slidesharecdn.com/dpschecklist-130331105648-phpapp01/85/Checklist-D-P-S-2-320.jpg)
Checklist D.P.S.
- 1. RIFERIMENTI NORMATIVI ANALISI DEI RISCHI INCOMBENTI SUI DATI - D.Lgs 30/06/2003 n.196: Codice in materia di protezione dei dati personali - Localizzazione fisica delle basi di dati - G.U. n. 58 dd 10/03/2007: Trattamento di dati personali relativo allutilizzo di strumenti - Rischi per le basi di date cartacee: incendi, inondazioni, accessi non consentiti, elettronici da parte dei lavoratori. - Rischi per le basi di dati elettroniche: Virus e malware, catastrofe, accessi non consentiti, - D.Lgs 82/2005: Codice dellAmministrazione Digitale - . - G.U. n. 30 05/02/08 (Provvedimento del Garante dd 17/01/2008): Sicurezza dei dati di traffico telefonico e telematico - Provvedimento del Garante dd 24/07/2008: Modifica al Provvedimento del 17/01/2008 MISURE DI ATTENUAZIONE DEI RISCHI sulla conservazione dei dati di traffico Misure e accorfimentia tutale dellinteressato in attuazione dellart. 132 del dLgs 30/06/2003 n. 196 - Misure adottate per garantire lintegrit e la disponibilit dei dati: sistemi di backup e - Provvedimento del Garante 27/11/2008: Misure e accorgimenti prescritti ai titolari dei recovery, regole di accesso, misura pericolo di violazione dei perimetri trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di - Meccanismi di Identificazione ed Autrnticazione: autenticazione fisica allaccesso in Amministratore di Sistema. Aziendo e autenticazione per accesso alle basi di dati - Comunicato del Garante 10/12/2009: Nomina Amministratore di Sistema. - Politiche adottate per la gestione delle parole chiave: complessit, timeout, ecc. - DL "Disposizioni urgenti in materia di semplificazione e sviluppo" dd 03/02/2012, - Tecnologie per il contrasto di virus n.5: Eliminato lobbligo di predisporre e aggiornare il DPS - Impianto ausiliario di alimentazione elettrica - Criteri e Procedure per la Sicurezza nella Trasmissione dei dati - Criteri per la protezione delle Aree e dei Locali DEFINIZIONI E FIGURE ATTIVE DEL TRATTAMENTO - Tempi di Ripristino dei dati - Titolare del Trattamento (art. 28 D.Lgs 96/03): esercita un potere decisionale del tutto - Interventi Formativi agli Incaricati del trattamento autonomo sulle finalit e sulle modalit del trattamento - Controlli Periodici - Responsabile del Trattamento (art. 29 D.Lgs 96/03): - .. o promuovere lo sviluppo, la realizzazione ed il mantenimento dei programmi di sicurezza contenuti nel presente Documento Programmatico sulla Sicurezza dei Dati Personali; NOTE o informare il Titolare del trattamento sulle non corrispondenze con le norme di sicurezza e su eventuali incidenti; _______________________________________________________________________ o promuovere lo svolgimento di un continuo programma di addestramento degli Incaricati del Trattamento e mantenere attivo un programma di controllo e _______________________________________________________________________ l o r e n z o l e o n e l l i [at] h o t m a i l [dot] c o m monitoraggio della corrispondenza con le regole di sicurezza. - Incaricato del trattamento: o svolgere le attivit previste dai trattamenti secondo le prescrizioni contenute nel presente Documento Programmatico sulla Sicurezza e le direttive del Responsabile; _______________________________________________________________________ o non modificare i trattamenti esistenti o introdurre nuovi trattamenti senza lesplicita autorizzazione del Responsabile del trattamento; o rispettare e far rispettare le norme di sicurezza per la protezione dei dati personali; _______________________________________________________________________ o informare il Responsabile in caso di incidente di sicurezza che coinvolga dati personali. - Dati Personali e Sensibili - _______________________________________________________________________ DB AZIENDALI E REGOLE DI ACCESSO DPS Checklist - Aprile 2013 _______________________________________________________________________ - DB Cartacei ed Elettronici presenti in Azienda - Matrice di accesso ai DB o Dipendente: nome, cognome, dipartimento, ruolo. _______________________________________________________________________ o Tipo di accesso: lettura, scrittura, controllo completo, o Descrizione dei dati disponibili o Dispositivi di accesso: PC Desktop, notebook, Smartphone, _______________________________________________________________________ o .. - Regole generali di accesso ai DB: o Accessi alle stanze contenenti DB cartacei _______________________________________________________________________ o Accessi ai DB elettronici (credenziali, tempi di accesso, ecc.) -
- 2. LETTERA DI INCARICO INTERVENTO DI FORMAZIONE PERIODICA in MERITO AI TEMI LEGATI ALLA SICUREZZA DEI DATI (Art. 34 Comma 1 lettera G del DLGS 196/2003 e successive modifiche) Il sottoscritto <Titolare del trattamento>, in qualit di Titolare del Trattamento dei dati personali della societ <>, conformemente a quanto stabilito dal DPR n. 196 del 30 giugno In ottemperanza alla normativa vigente, si ricorda che la scrivente Azienda redige annualmente un 2003, affida a Signor Documento Programmatico sulla Sicurezza consultabile da chiunque ne faccia richiesta allAmministratore di Sistema, i cui punti principali vengono sommariamente di seguito riassunto: <Responsabiledel trattamento> 1. La funzione di Amministratore di Sistema e svolta da <.> lincarico del Trattamento dei dati personali (Incaricato) in relazione alla Sua 2. La parola chiave di accesso alla rete Aziendale Windows viene cambiata ogni <n> mesi, la mansione come sotto descritto nuova parola chiave deve essere indicata sullapposito modulo e viene custodita dal Responsabile del trattamento. 3. Ogni volta che un utente lascia la sua postazione di lavoro deve rendere la propria Nome archivio: Le banche dati cartacee ed elettroniche riguardanti . postazione di lavoro non fruibile per gli altri utenti (bloccando o spegnendo il PC oppure Tipo di dati: Dati personali/personali sensibili . tramite lutilizzo di uno screen saver protetto da password) 4. E fatto divieto lutilizzo di qualsiasi strumento informatico non autorizzato (per esempio PC per leffettuazione delle seguenti operazioni : e/o periferiche personali) allinterno della Rete Aziendale 5. E fatto divieto installare/utilizzare software non autorizzato allinterno della rete Aziendale - inserimento modifica e cancellazione di elementi nellarchivio, 6. Il Personal Computer in dotazione cos狸 come ogni altro strumento informatico e uno - consultazione, strumento di lavoro e come tale va utilizzato. Non e consentito qualsiasi altro uso degli - selezione ed utilizzo ai fini dellemissione dei documenti di Sua competenza strumenti informatici. Lincaricato del Trattamento dichiara di essere a conoscenza di quanto stabilito dal DPR n. 7. In generale, ogni volta che un utente venga a contatto con Dati Comuni e/o Dati Sensibili 196 del 30 giugno 2003 e di quanto indicato nel Documento programmatico sulla sicurezza, che non siano di propria competenza 竪 tenuto a darne comunicazione al Legale redatto internamente allazienda e revisionato annualmente; si impegna altres狸 ad adottare tutte le Rappresentante e allAmministratore di Sistema. misure necessarie allattuazione delle nore in essi descritte. 8. . 9. Lincaricato del Trattamento non pu嘆 installare ed utilizzare programmi per elaboratore Il Responsabile del trattamento (<Nome e Cognome del responsabile>) non autorizzati dallazienda n辿 privi di licenza che legittimino luso. Gli strumenti informatici e telematici messi a disposizione costituiscono degli strumenti di NOME PER ESTESO: ________________________ lavoro da utilizzare esclusivamente per lesecuzione delle mansioni affidate. FIRMA: ________________________ Lamministratore del sistema informativo aziendale Le comunicher un identificativo utente l o r e n z o l e o n e l l i [at] h o t m a i l [dot] c o m ed una password personali. Lei dovr conservare segreta la password. Per attivare una sessione di lavoro, Lei dovr utilizzare esclusivamente il Suo Identificativo Utente. Nel caso in cui dovesse venire meno la segretezza della Sua password, dovr darne immediatamente comunicazione allamministratore di sistema che provveder ad assegnargliene una nuova e segreta. Nel caso Lei INFORMATIVA PER CLIENTI E FORNITORI abbandoni il Suo posto di lavoro, dovr chiudere la sessione riportando il suo personal computer La informiamo che, per l'instaurazione e l'esecuzione dei rapporti contrattuali in corso, la nostra nello stato di accettazione dellIdentificativo Utente. societ 竪 in possesso di dati a Lei relativi, acquisiti anche verbalmente direttamente o tramite terzi, qualificati come personali dal D.Lgs. 196/2003 (Codice Privacy). Lincaricato del Trattamento nel trattare documenti contenenti dati sensibili o giudiziari 竪 La legge in oggetto prevede innanzitutto che chi effettua trattamenti di dati personali 竪 tenuto ad tenuto a custodirli fino alla restituzione in modo da evitare laccesso agli stessi dati a persone prive informare il soggetto interessato su quali dati vengano trattati e su taluni elementi qualificanti il di autorizzazione. Lincaricato deve, inoltre, custodire gli archivi contenenti documenti con dati trattamento. Esso deve inoltre avvenire con correttezza liceit e trasparenza, tutelando la Sua sensibili e giudiziari, ed evitare che personale non autorizzato vi acceda. Laccesso fuori dallorario riservatezza e i Suoi diritti. di lavoro impone la registrazione e identificazione delle persone ammesse ai locali. - AMBITO DI VALIDITA' DELL'INFORMATIVA . I documenti (o copia degli stessi) non possono, senza specifica autorizzazione, essere DPS Checklist - Aprile 2013 - NATURA DEI DATI TRATTATI . portati fuori dai luoghi di lavoro, salvo i casi di comunicazione dei dati terzi preventivamente - MODALITA' DI RACCOLTA E ORGANIZZAZIONE DEI DATI autorizzati in via generale dallazienda. - FINALITA DEL TRATTAMENTO - MODALITA' DEL TRATTAMENTO - AFFIDAMENTO A TERZI DI ALCUNE OPERAZIONI DI TRATTAMENTO Titolare del Trattamento Incaricato del Trattamento - SICUREZZA DEI DATI PERSONALI __________________________ __________________________ - OBBLIGO O FACOLTA' DI CONFERIRE I DATI - COMUNICAZIONE E DIFFUSIONE - I SUOI DIRITTI SI NO Autorizzo <.> al trattaento Dati di cui sopra. Timbro e firma del Cliente/fornitore Data _____________________________ _________