L’azienda ha condotto un audit delle informazioni per mappare i flussi di dati.
Argomento: 1.1 - Mappatura dei trattamenti
L’organizzazione ha approvato e diffuso una policy per la sicurezza delle informazioni che fornisce linee guida e supporto in tale materia, conformemente con le esigenze del business e con le normative rilevanti. Tale policy viene rivista periodicamente.
Argomento: 1.2 – Policy per la sicurezza delle informazioni
L’azienda ha definito e assegnato le responsabilità in materia di sicurezza delle informazioni e ha stabilito un quadro di lavoro per coordinare e riesaminare periodicamente l’attuazione delle misure per la sicurezza delle informazioni
Argomento: 1.3 – Responsabilità per la sicurezza delle informazioni
L’azienda ha stipulato accordi scritti con tutti i fornitori di servizi terzi e con i responsabili del trattamento che garantiscono la sicurezza dei dati cui gli stessi hanno accesso e che vengono trattati per conto dell’azienda
Argomento: 1.4 - Outsourcing
L’azienda effettua periodiche e regolari sessioni di formazion e sensibilizzazione in sicurezza informatica per tutto il personale, compresi i dipendenti temporanei o a collaborazione, gli stagisti ecc… per garantire che agiscano con consapevolezza ed adempiano alle proprie responsabilità
Argomento: 2.1 - Formazione e sensibilizzazione
L’azienda prevede controlli per restringere l’accesso alle sedi e agli strumenti informatici per prevenire accessi non autorizzati, danni e compromissione dei dati personali
Argomento: 3.1 - Aree protette
L’azienda ha stabilito modalità di archiviazione sicura per proteggere gli archivi e gli strumenti informatici e prevenire perdite, furto o compromissione dei dati personali archiviati
Argomento 3.2 - Archiviazione sicura
L’azienda mette in atto azioni per la cancellazione sicura o la distruzione dei supporti di memoria informatici (sia quelli rimovibili che quelli incorporati nei dispositivi fissi o mobili) prima della loro eliminazione, cessione o riutilizzo.
Argomento 3.3 - Dismissione sicura
L’azienda ha effettuato e mantiene un inventario e una classificazione dell’hardware e dei software utilizzati ed ha assegnato internamente le responsabilità per la loro protezione
Argomento 4.1 - Gestione degli asset
L’azienda mette in atto procedure per garantire la sicurezza del lavoro da remoto (da casa o in mobilità)
Argomento 4.2 - Procedure per il lavoro da casa e in mobilità
L’hardware (sia esistente che nuovo) viene configurato secondo configurazioni di sicurezza predefinite per ridurre le vulnerabilità e attivare solo le funzionalità strettamente necessarie
Argomento 4.3 - Configurazioni sicure
L’azienda mette in atto controlli per la gestione e l’uso delle memorie rimovibili finalizzati a evitare la diffusione non autorizzata, la modifica, la cancellazione o la distruzione dei dati personali in esse contenuti
Argomento 4.4 - Memorie rimovibili
L’accesso alle risorse informatiche è assegnato personalmente a soggetti espressamente autorizzati e l’azienda configura gli accessi per fornire a questi le risorse strettamente necessarie alle loro attività
Argomento 4.5 - Controllo degli accessi
L’azienda utilizza procedure e regole adeguate per la gestione delle password di accesso alle risorse informatiche e mette in atto delle attività per rilevare accessi o utilizzo anomalo di tali risorse
Argomento 4.6 - Sicurezza delle password
Sono stati attivati delle specifiche difese anti-malware per proteggere i computer dalle infezioni malware
Argomento 4.7 - Protezioni dai malware
L’azienda effettua backup regolari delle informazioni digitalizzate per garantire la possibilità di ripristino delle informazioni stesse in caso di disastro
Argomento 4.8 - Backup e ripristino
L’azienda effettua un monitoraggio delle attività degli utenti e dei sistemi per identificare e prevenire le violazioni dei dati
Argomento 4.9 - Monitoraggio delle attività
Sono previste attività (automatiche, dove possibile) per mantenere aggiornati i software utilizzati (compresi i firmware e i sistemi operativi) per prevenire lo sfruttamento di vulnerabilità tecniche
Argomento 4.10 - Gestione aggiornamenti (patch management)
L’azienda utilizza firewall a protezione del perimetro della rete e dei computer per prevenire attacchi esterni e sfruttamento di vulnerabilità
Argomento 4.11 - Firewall e difese perimetrali
L’azienda ha definito delle procedure per identificare, notificare, gestire e risolvere le violazioni dei dati personali e pianifica regolari attività di formazione per garantire che il proprio personale sia in grado di riconoscere le violazioni di dati e agisca di conseguenza in modo corretto
5.1 - Gestione degli incidenti
L’azienda ha definito delle specifiche istruzioni per la notifica delle violazioni dei dati all’autorità di controllo e agli interessati
5.1 - Gestione degli incidenti
L’azienda ha definito una procedura per analizzare la cause di una violazione dei dati e per implementare misure per mitigare rischi futuri
5.1 - Gestione degli incidenti
