Upload
gino-rizzo
View
223
Download
0
Embed Size (px)
Citation preview
Azienda Ospedaliera San Giovanni AddolorataAzienda Ospedaliera San Giovanni AddolorataPrivacy: Misure Minime di SicurezzaPrivacy: Misure Minime di Sicurezza
Gianpiero GuerrieriGianpiero GuerrieriDirigente Analista I.C.T.Dirigente Analista I.C.T.E-mail: [email protected]: [email protected] [email protected]@hsangiovanni.roma.it
Roma, 13 Dicembre 2007Roma, 13 Dicembre 2007
ALLEGATO BDISCIPLINARE TECNICO
IN MATERIA DI MISURE MINIME DI SICUREZZA(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Attuazione nell’A.O. San Giovanni Addolorata
Il trattamento di dati Il trattamento di dati personali con strumenti personali con strumenti elettronici è consentito agli elettronici è consentito agli incaricati dotati di incaricati dotati di credenziali di autenticazione credenziali di autenticazione che consentano il che consentano il superamento di una superamento di una procedura di autenticazione procedura di autenticazione relativa a uno specifico relativa a uno specifico trattamento o a un insieme trattamento o a un insieme di trattamentidi trattamenti. .
(D.Lgs 196/03 All. B reg. 1-3)(D.Lgs 196/03 All. B reg. 1-3)
Sistema di Autenticazione Informatica
Assicurare la segretezzaAssicurare la segretezza
Il Responsabile del trattamento dei dati individua e Il Responsabile del trattamento dei dati individua e nomina i suoi incaricati per il trattamento dei dati. nomina i suoi incaricati per il trattamento dei dati. (D.Lgs 196/03 Art. 30)(D.Lgs 196/03 Art. 30)
Sistema di Autorizzazione
La Direzione ICT crea le credenziali sui La Direzione ICT crea le credenziali sui sistemi come da richiesta del sistemi come da richiesta del Responsabile del trattamento dei datiResponsabile del trattamento dei dati
L’incaricato riceve le credenziali di accesso nella L’incaricato riceve le credenziali di accesso nella sua casella di posta elettronica aziendale con le sua casella di posta elettronica aziendale con le Norme ad Uso degli Incaricati al Trattamento dei Norme ad Uso degli Incaricati al Trattamento dei Dati con Strumenti ElettroniciDati con Strumenti Elettronici. . (D.Lgs 196/03 All. B reg. 4 e 9)(D.Lgs 196/03 All. B reg. 4 e 9)
Collaborazione Responsabili del Collaborazione Responsabili del trattamento dei dati – I.C.T. trattamento dei dati – I.C.T. (D.Lgs 196/03 All. B reg. 7 e 8)(D.Lgs 196/03 All. B reg. 7 e 8)
Tutte le credenziali gestite Tutte le credenziali gestite dall’I.C.T. sono inserite in un unico dall’I.C.T. sono inserite in un unico databasedatabase
Verifica Periodica delle Credenziali di Accesso
Periodicamente, e Periodicamente, e comunque almeno comunque almeno
annualmente, è verificata la annualmente, è verificata la sussistenza delle condizioni sussistenza delle condizioni
per la conservazione dei per la conservazione dei profili di autorizzazione.profili di autorizzazione.
(D.Lgs 196/03 All. B reg. 14)(D.Lgs 196/03 All. B reg. 14)
Altre Misure di Sicurezza
I dati personali sono protetti contro il rischio di intrusione e I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.elettronici da aggiornare con cadenza almeno semestrale. (D.Lgs 196/03 All. B reg. 16)(D.Lgs 196/03 All. B reg. 16)
Gli aggiornamenti periodici dei programmi per elaboratore Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.l’aggiornamento è almeno semestrale.
(D.Lgs 196/03 All. B reg. 17)(D.Lgs 196/03 All. B reg. 17)
Sono impartite istruzioni organizzative e tecniche che Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno prevedono il salvataggio dei dati con frequenza almeno settimanale.settimanale. (D.Lgs 196/03 All. B reg. 18)(D.Lgs 196/03 All. B reg. 18)
Server alta Server alta affidabilitàaffidabilità
Sistema AntincendioSistema Antincendioa normaa norma
Gruppi di Gruppi di continuitàcontinuitàadeguatiadeguati
Protezione Fisica dei Dati
Controllo degli Controllo degli accessiaccessi
L’I.C.T. e la Centralizzazione dei Dati: Passato
Integrazioni al DPS Integrazioni al DPS per ogni per ogni trattamento trattamento effettuato con effettuato con strumenti strumenti informaticiinformaticiUna procedura di Una procedura di salvataggio dei salvataggio dei dati per ogni dati per ogni trattamento trattamento effettuato con effettuato con strumenti strumenti informaticiinformaticiDati sensibili e Dati sensibili e personali distribuiti personali distribuiti sui singoli PCsui singoli PC
Basi dati distribuite Basi dati distribuite su tutto il territorio su tutto il territorio dell’Azienda che dell’Azienda che necessitano di una necessitano di una protezione fisicaprotezione fisica
L’I.C.T. e la Centralizzazione dei Dati: Presente
Semplificazione di Semplificazione di gestione e gestione e aggiornamento del aggiornamento del DPS AziendaleDPS Aziendale
Un’unica Un’unica procedura di procedura di salvataggio dei salvataggio dei dati per tutti i dati per tutti i trattamenti trattamenti effettuati con effettuati con strumenti strumenti informaticiinformaticiRiduzione di dati Riduzione di dati sensibili distribuiti sensibili distribuiti sui singoli PC sui singoli PC grazie all’utilizzo di grazie all’utilizzo di terminaliterminaliBasi dati Basi dati centralizzate in centralizzate in un’unica sala un’unica sala macchine protetta macchine protetta fisicamente da fisicamente da intrusioni e incendiintrusioni e incendi
L’I.C.T. e la Centralizzazione dei Dati: Futuro
Adesione totale alle Adesione totale alle Misure Minime di Misure Minime di SicurezzaSicurezza
Miglioramento Miglioramento dei livelli di dei livelli di servizioservizio
Riduzione Riduzione dell’obsolescenza dei PC dell’obsolescenza dei PC e aumento del e aumento del patrimonio informatico patrimonio informatico aziendaleaziendale
Documento Programmatico sulla Sicurezza (D.Lgs 196/03 All. B reg. 19)(D.Lgs 196/03 All. B reg. 19)
Reg.19.1– Elenco dei trattamenti dei dati personaliReg.19.1– Elenco dei trattamenti dei dati personali
Reg.19.2 – Distribuzione dei compiti e delle responsabilitàReg.19.2 – Distribuzione dei compiti e delle responsabilità
Reg.19.3 – Analisi dei rischi che incombono sui datiReg.19.3 – Analisi dei rischi che incombono sui dati
Reg.19.4 – Misure da adottare per l’integrità, la disponibilità e la sicurezza Reg.19.4 – Misure da adottare per l’integrità, la disponibilità e la sicurezza
fisica dei datifisica dei dati
Reg.19.5 – Ripristino disponibilità in seguito a distruzione o Reg.19.5 – Ripristino disponibilità in seguito a distruzione o
danneggiamento dei datidanneggiamento dei dati
Reg.19.6 – Previsione degli interventi formativi degli incaricatiReg.19.6 – Previsione degli interventi formativi degli incaricati
Reg.19.7 – Descrizione criteri da adottare in caso di trattamenti affidati Reg.19.7 – Descrizione criteri da adottare in caso di trattamenti affidati
all’esternoall’esterno
Reg.19.8 – Definizione dei criteri di cifratura o separazione dei dati sensibili Reg.19.8 – Definizione dei criteri di cifratura o separazione dei dati sensibili
da quelli personalida quelli personali
Riferimenti Bibliografici in Area IntranetSELS Piattaforma di E-Learning in Intranet per la Formazione a Distanza
D.Lgs. del 30 giugno 2003, n.196 (Testo Unico Privacy)Codice in materia di protezione dei dati personali 09/06/2006
Linee Guida Dignità degli UtentiLinee guida per la tutela della dignità degli utenti dei servizi sanitari dell’Azienda Ospedaliera10/10/2006
Modulo Consenso PrivacyModulo di autorizzazione al trattamento dei dati personali. Questo modulo deve essere adottato
da tutti gli uffici che effettuano operazioni di accettazione con l'utenza (pazienti, assistiti, etc.) 20/11/2007
Norme ad Uso degli Incaricati per il Trattamento dei Dati con Strumenti ElettroniciLo scopo del documento è di fornire un insieme di istruzioni operative agli incaricati del
trattamento dei dati che fanno uso di strumenti elettronici al fine di ottemperare a quanto previsto nell’articolo 34 del Decreto Legislativo 196/03 in tema di Misure Minime di Sicurezza da adottare per la protezione dei dati.
Azienda Ospedaliera San Giovanni AddolorataAzienda Ospedaliera San Giovanni AddolorataPrivacy: Misure Minime di SicurezzaPrivacy: Misure Minime di Sicurezza
Grazie per la Cortese l‘AttenzioneGrazie per la Cortese l‘Attenzione
Gianpiero GuerrieriGianpiero GuerrieriDirigente Analista I.C.T.Dirigente Analista I.C.T.E-mail: [email protected]: [email protected]
Roma, 13 Dicembre 2007Roma, 13 Dicembre 2007