Fassung 2 / Edizione n°2 vom / del 15.12.2011
Seite / Pag. 64/64
Deve essere regolamentato l’eventuale utilizzo della firma digitale nei documenti, disciplinandone responsabilità, livelli
autorizzativi, regole di adozione di sistemi di certificazione, eventuale utilizzo ed invio dei documenti, modalità di archiviazione
e distruzione degli stessi.
22.7. REGOLE GENERALI
Devono essere individuate le modalità di:
−
generazione e protezione dei log delle attività sui sistemi
−
rilevazione degli incidenti di sicurezza, almeno nel contesto delle attività relative a dati sensibili
−
risposta ad incidenti relativi alla sicurezza logica, nonché di escalation, reporting e comunicazione degli stessi ai soggetti
interessati.
Devono essere effettuate attività di back up per ogni rete di telecomunicazione, sistema hardware o applicazione software,
definendo la frequenza dell’attività, le modalità, il numero di copie ed il periodo di conservazione dei dati. A fronte di eventi
disastrosi la Società, al fine di garantire la continuità dei sistemi informativi e dei processi ritenuti critici, deve definire un piano
di Business Continuity ed uno di Disaster Recovery le cui soluzioni devono essere periodicamente aggiornate e testate.
Tutta la documentazione riguardante ogni singola attività tra quelle sopra riportate, deve essere periodicamente aggiornata ed
adeguatamente archiviata e conservata allo scopo di garantire la tracciabilità delle fasi svolte nell’ambito dell’attività in oggetto.
L’accesso ai documenti già archiviati è consentito solo al personale autorizzato in base alle procedure operative, nonché al
Consiglio di Sorveglianza, alla Società di revisione, all’Organismo di Vigilanza.