Data Protection – Analisi iniziale
Le attività di analisi iniziale per i processi che porteranno all’ottimizzazione del Data Protection consistono nello studio approfondito delle attività organizzative, operative e tecniche riconducibili alla gestione delle informazioni, sia che siano analogiche, cartacee o digitali, al fine di garantire alle stesse un elevato grado di riservatezza, integrità e disponibilità.
Infatti, i dati devono essere mantenuti riservati ed è importante bloccare ogni accesso non autorizzato. Devono essere mantenuti nell’ordine corretto e, di conseguenza, qualsiasi modifica non ordinata da parte di una persona non autorizzata deve essere immediatamente cancellata. Tutti i dati memorizzati devono essere accessibili in qualsiasi momento al responsabile protezione dati e al personale autorizzato.
Data Protection – Come fare la valutazione dei rischi sul trattamento dei dati
Le aree che verranno indagate dal responsabile della protezione dei dati per fare la valutazione dei rischi sul trattamento dei dati sono:
- Le risorse umane
- Le infrastrutture (ossia i siti fisici e tutte le attrezzature a supporto)
- La tecnologia (hardware, software, network)
L’analisi della valutazione dei rischi si svilupperà su due livelli:
Analisi iniziale – livello base:
Il DPO provvederà alla compilazione della heck list “Indagine conoscitiva aziendale ed ICT” per permettere ai tecnici specializzati di avere un quadro completo sulla natura e sulle caratteristiche dell’organizzazione sotto esame.
Analisi iniziale – livello avanzato:
Analisi svolta dal DPO mediante il supporto di opportune check list di controllo, che mira ad individuare la pertinenza e la presenza all’interno dell’organizzazione di tutte le misure previste e consigliate dalle seguenti norme e linee guida internazionali:
- ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection — Information security management systems – Requirements
- ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services.
- ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors
- ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
- ISO 22301:2019 – Security and resilience — Business continuity management systems — Requirements
- ISO 31000:2018 – Risk Management Principles and Guidelines