RESPONSABILITA’ INDIVIDUALI DI SICUREZZA PER LE RISORSE DI TERZA PARTE
ALLEGATO al Prontuario di Sicurezza Informatica per i Fornitori
DIREZIONE CENTRALE PER L’ORGANIZZAZIONE DIGITALE Ufficio III
Dati interni – Dati non personali
Dati interni – Dati non personali Pag. 2 di 5
Indice del documento
1. GENERALITÀ ... 3
1.1. TABELLA DELLE VERSIONI... 3
1.2. RIFERIMENTI ... 3
2. RESPONSABILITÀ INDIVIDUALI ... 4
Dati interni – Dati non personali Pag. 3 di 5
1. GENERALITÀ
1.1. Tabella delle Versioni
Vers. Data Classif.
1Elabora Verifica Approva Note
v01
Dati interni – Dati non personali
Team security governanc e
Michele Mellone
Francesco Saverio Colasuonn o
Prima emissione
1.2. Riferimenti
Identificativo Descrizione
DCOD_Tmp_DocumentoWord
24/07/2018 ver. 1.3 Template di riferimento DCOD_SICU_LGD_CLASSIFICAZ
IONEDATI Schema di classificazione delle informazioni DCOD_SICU_LGD_ETICHETTATU
RAEGESTIONEDELLEINFORMAZIONI
Linee guida sulla corretta gestione delle informazioni in base alla loro etichettatura
1 Le regole di classificazione sono riportate nel documento contenente lo schema di classificazione delle informazioni (par. Riferimenti)
Dati interni – Dati non personali Pag. 4 di 5
2. RESPONSABILITÀ INDIVIDUALI
In qualità di risorsa di Terza Parte fornitrice di servizi IT, Lei:
1. deve attenersi scrupolosamente alla disciplina di sicurezza definita nell’SGSI di INAIL (vedi link intranet forniti);
2. deve attenersi ai codici di condotta o analogo regolamento sulle tematiche di sicurezza stabiliti da INAIL;
3. potrà essere destinatario di sessioni formative o campagne di awareness sulle medesime tematiche di sicurezza, erogate da INAIL (es. campagne CERT);
4. deve prendere visione dell’’Informativa Trattamento Dati Personali’;
5. qualora previsto nel suo mansionario, potrà essere nominato ‘incaricato’ al trattamento dati personali’ o designato come ‘amministratore di sistema’, come prescritto dal GDPR.
6. non deve lasciare incustoditi i dispositivi elettronici (laptop o mobile phone) utilizzati per l’espletamento delle attività presso INAIL;
7. nell’ambito della gestione dei documenti scambiati nella quotidiana operatività, deve attenersi scrupolosamente alle regole di classificazione definite da INAIL, rispettando peraltro le politiche di protezione eventualmente correlate alle medesime regole;
8. deve adottare accorgimenti circa il non lasciare in stato ‘aperta’ le sessioni di lavoro con il dispositivo elettronico, offline o online (con collegamento alla rete tramite credenziali nominali), quando non si trova in prossimità dello stesso dispositivo;
9. deve provvedere alla restituzione ad INAIL delle dotazioni informatiche eventualmente acquisite per l’esecuzione delle attività cui è coinvolgo, cancellando in modo sicuro, ove previsto o richiesto specificatamente da INAIL, i dati sugli eventuali supporti di memorizzazione ivi contenuti;
10. nell’utilizzo della posta elettronica e di internet, deve attenersi alle comuni logiche di sicurezza e protezione dei propri dispositivi e dei dati ivi residenti;
11. non deve violare con i propri dispositivi i criteri di web filtering nella navigazione imposti definiti da INAIL, a limitazione del rischio di incidente di sicurezza dello stesso dispositivo e, conseguentemente, dell’eventuale compromissione della rete dell’Istituto;
12. qualora previsto nel suo mansionario, deve attenersi ai processi ed alle procedure di sviluppo sicuro definiti da INAIL, per nuove implementazioni e upgrade di esistenti, attestando formalmente il recepimento de:
o i principi di sicurezza e di conformità normativa ivi espressi;
o i criteri per la costruzione di impianti di sicurezza applicativa ed infrastrutturale (patching, hardening, …) dei sistemi informatici INAIL sulla base alla tipologia di dati acceduti e trattati (i.e. PDSI e PDSA);
13. qualora previsto nel suo mansionario, deve attenersi ai processi ed alle procedure di esercizio e manutenzione dei sistemi informatici definiti da INAIL, nell’ottica di garantire sempre i più alti livelli di disponibilità e performance dei servizi erogati al cittadino e di quelli interni;
14. deve rigidamente rispettare le regole di accesso fisico alle strutture ed agli ambienti interni della DCOD (quali ad esempio le sale CED); in tal senso, Le è fatto tassativo divieto:
o di condividere con terzi badge di accesso fisico, nominali o provvisori;
o bypassare i tornelli, ovvero non consentendo la tracciatura dell’accesso.
Dati interni – Dati non personali Pag. 5 di 5
è tenuto a seguire scrupolosamente le procedure INAIL in caso di eventi anomali che possano comportare la compromissione della sicurezza dell’Istituto, segnalando la loro occorrenza accidentale o di natura intenzionale/dolosa da parte di altre persone.