NEWS Luglio 2014 Privacy e Sistema di Gestione per la Sicurezza delle Informazioni ISO 27001 Sicurezza dei dati Sensibili e delle Informazioni Il voler Attuare ed Implementare, il D.Lgs. 196/03 in vista del nuovo Regolamento Europeo sulla Privacy (vedi news di Maggio), ci permette di integrare, sia quanto già previsto dall’attuale decreto con la realizzazione del DPS, sia quanto previsto sulla Sicurezza delle Informazioni dalla norma Iso 27001 adottandola. Realizzando così un Sistema di Gestione sulla Sicurezza dei dati personali, sensibili, e delle informazioni, non dimenticando che la norma Iso 27001 è certificabile. Di seguito quanto previsto dal DPS e dalla norma Iso 27001 Documento programmatico sulla Sicurezza (DPS) di cui all’art. 19 del D. Lgs. 196/03, allegato B – da effettuarsi in caso di trattamento di dati sensibili e/o giudiziari con strumenti elettronici. Il documento sarà redatto ai sensi dell’art. 34 del Disciplinare Tecnico (allegato B) del Codice in materia di protezione dei dati personali: - Premessa - Normativa di riferimento; - Definizioni e responsabilità; - Titolare, responsabili; - Elenco dei trattamenti di dati personali; - Distribuzione dei compiti e delle responsabilità; - Analisi dei rischi che incombono sui dati; - Misure in essere e da adottare; - Criteri e modalità di ripristino della disponibilità dei dati; - Pianificazione degli interventi formativi previsti; - Trattamento dei dati affidati alle’esterno; - Cifratura dei dati o separazione dei dati identificativi. Allegato: Minacce potenziali; Allegato: vulnerabilità potenziali; Allegato: contromisure, controlli e obiettivi del controllo. Sistema di Gestione per la Sicurezza delle Informazioni in conformità alla norma UNI CEI ISO/IEC 27001:2014 "Tecnologie informatiche –Tecniche per la Sicurezza – Sistemi di Gestione per la Sicurezza delle informazioni – Requisiti". L'informazione, sotto qualsiasi forma o supporto, è l'oggetto della UNI CEI ISO/IEC 27001 e deve esserne garantita la riservatezza, la confidenzialità, la disponibilità e l'integrità. Il Sistema realizzato da Gruppo Quasar Consulenza Integrata è un vero e proprio Sistema di Gestione e comprende: la definizione esatta dell'oggetto di certificazione, la documentazione richiesta dalla norma, lo svolgimento di Audit Interni e le prove di intrusione nel sistema informatico. Per la realizzazione, implementazione e mantenimento di un Sistema di Gestione per la Sicurezza delle informazioni in conformità alla norma UNI CEI ISO/IEC 27001:2014 è necessario individuare un Pag. 1 di 2 GRUPPO QUASAR CONSULENZA INTEGRATA S.R.L. Sede legale ed amministrativa: Via Dardanelli, 15 00195 - ROMA - Tel. 06.51962151 E-mail: [email protected] Partita IVA e Codice Fiscale 11663201009 - Capitale Sociale € 10.000,00 i.v. responsabile per la sicurezza informatica ed un amministratore di Sistema Aziendale che abbia le adeguate competenze HW e SW. Sistema di Gestione per la Sicurezza delle Informazioni in conformità alla norma UNI CEI ISO/IEC 27001:2014. In questa fase la Consulenza verrà realizzata redigendo: - La definizione dello scopo e del campo di applicazione per la certificazione ISO/IEC 27001 - La Valutazione dei rischi - La Dichiarazione di Applicabilità (S.O.A.) come da appendice A della norma ISO/IEC 27001 che prevede 114 controlli - La Politica di Sicurezza Informatica - La Policy di Sicurezza Informatica - Le lettere di nomina - L'elenco apparecchiature HW e SW - Elenco Applicativi e relative licenze - Integrazione del Manuale Qualità con gli aspetti della ISO/IEC 27001 - Integrazione delle procedure qualità con gli aspetti della ISO/IEC 27001 - Procedure di back up, ripristino dati, disaster recovery - Procedure di business continuity, gestione degli incidenti informatici con il supporto, per quanto di competenza, dell'Amministratore del Sistema. Audit Interno e Penetration Test In questa fase è necessario effettuare un "test di penetrazione" dei sistemi informatici e delle difese predisposte dalla Società, test che deve essere effettuato da "fornitore esterno competente". A completamento del "test di penetrazione" è previsto un Audit interno sul sistema di sicurezza informatica per verificare la conformità alla norma UNI CEI ISO/IEC 27001:2014. Riesame della Direzione In questa fase è prevista l'acquisizione di informazioni al fine di redigere il documento di Riesame della Direzione. Assistenza durante l'effettuazione della visita di certificazione da parte dell'Organismo prescelto Assistenza durante l'effettuazione della visita di Certificazione da parte dell'ente scelto durante stage 1 e stage 2. Risultato previsto: certificazione secondo la norma UNI CEI ISO 27001:2014. Firma Area Consulenza Integrata ML Modello Lettera Ed. 3 rev. 0 del 13.05.14 GRUPPO QUASAR CONSULENZA INTEGRATA S.R.L. Sede legale ed amministrativa: Via Dardanelli, 15 00195 - ROMA - Tel. 06.51962151 E-mail: [email protected] Partita IVA e Codice Fiscale 11663201009 - Capitale Sociale € 10.000,00 i.v. Pag. 2 di 2