I SISTEMI DI GESTIONE PER LA PRIVACY E I SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

Il 1° gennaio 2004 è entrato in vigore il Decreto Legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali" che sostituisce la Legge n. 675/1996.

Le nuove disposizioni legislative prevedono l’applicazione – da parte di tutte le organizzazioni - di procedure più estese rispetto al passato per la tutela dei dati personali, soprattutto quelli gestiti su supporto elettronico.

Il D.Lgs 196/2003 prevede inoltre alcuni adempimenti formali quali: la nomina del Titolare e di un Responsabile del trattamento dei dati personali - di capacità tecniche adeguate - la definizione documentata dei compiti assegnati al responsabile del trattamento, la designazione scritta degli incaricati al trattamento dei dati personali, la redazione di istruzioni scritte per definire le modalità di trattamento dei dati personali da parte degli incaricati nominati, la predisposizione e l’aggiornamento annuale del Documento Programmatico sulla Sicurezza, la raccolta del consenso degli interessati, ove previsto anche in forma scritta, ecc..

Tuttavia le più importanti novità introdotte dal D.Lgs 196/2003 sono senz’altro le misure minime di sicurezza che ogni organizzazione che tratti dati personali attraverso sistemi informatici deve adottare.

Il nostro servizio consulenziale Vi consentirà di adeguare le Vostre procedure organizzative ed i Vostri Sistemi Informatici per poter affrontare con serenità gli adempimenti legislativi, senza temere le pesanti sanzioni previste.

La nostra proposta si articola nelle seguenti fasi:

1. Check-up dell'organizzazione sulle procedure e sui sistemi informativi esistenti.

2. Presentazione della proposta economica e sintesi delle principali azioni da intraprendere.

3. Supporto alla Direzione per le decisioni da adottare e per l’applicazione delle azioni concordate.

4. Predisposizione del Documento Programmatico sulla Sicurezza, dei mansionari e delle istruzioni scritte necessarie.

5. Formazione del personale.

6. Verifica dell’adeguatezza delle misure di sicurezza intraprese.

Per chi poi fosse interessato ad estendere le misure di sicurezza attuate per proteggere i dati personali e sensibili a tutti i dati aziendali, effettuando una valutazione più completa del rischio ed una gestione dello stesso in modo pianificato e documentato, potrebbe essere interessante valutare l’introduzione di un vero e proprio Sistema di Gestione per la Sicurezza delle Informazioni.

I SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

La gestione della sicurezza delle informazioni è un tema particolarmente importante ed innovativo. In tutti i livelli, c’è la necessità di provvedere alle minacce ed ai rischi che provengono dall’utilizzo di strumenti informatici per la gestione delle informazioni.

La norma ISO 27001, che trae le sue origini dalla BS 7799-2:200, e definisce un Sistema di Gestione della Sicurezza delle Informazioni (SGSI). Questa norma, è stata sviluppata, in modo da rendere agevole l’interazione con gli standard relativi ai sistemi di gestione della qualità e quelli relativi all’ambiente: ISO 9001 e ISO 14001.

L’Iso ha riservato, la numerazione ISO-IEC 27000 alle normative relative ai Sistemi di Gestione della Sicurezza delle Informazioni, questo termine è indicato in inglese come Information Security Management System, con l’acronimo di ISMS.

Le norme, che fanno parte della famiglia ISO 27000 sono le seguenti:

ISO 27000 ISMS fundamentals and vocabulary: che è in fase di lavorazione;

ISO 27001 Information security management system – Requirements;

ISO 27002 Code of practice for information security management (ex ISO 17799:2005);

ISO 27003 ISMS implementation guidance;

ISO 27004 Information security management measurement;

ISO 27005 Information security risk management;

ISO 27006 Requirements for the accreditation of bodies operating certification of ISMS.

In futuro verranno presentate le seguenti estensioni:

ISO 27010-27019 per la normazione della sicurezza delle informazioni in settori specifici (aerospaziale, automobilistico, finanza, industria, sanità ecc.);

ISO 27030-27044 per la normazione di aspetti tecnici della sicurezza delle informazioni (IT Network Security, Intrusion Detection Systems, Disaster Recovery, Business Continuity, Cyber Security, Outsourcing, Trusted Third Party ecc.).