Le misure di sicurezza sono volte a garantire – per l’intera durata del ciclo di vita dei documenti trattati dalla AOO – la disponibilità, integrità, riservatezza, autenticità, non ripudiabilità e validità temporale degli stessi. La loro adozione mira a garantire un livello di sicurezza adeguato al rischio in materia di protezione dei dati personali, rischio valutato in base a criteri oggettivi, avuto riguardo alla natura, al contesto ed alle finalità del trattamento
Per conseguire questo risultato la AOO conserva i documenti nel pieno rispetto delle misure organizzative e degli accorgimenti tecnici che – in base alle conoscenze acquisite ed al grado di progresso tecnologico disponibile in relazione alla tipologia di documento trattato – consentono di ridurre i rischi di perdita, distruzione, manomissione o accesso non autorizzato
Il ricorso agli accorgimenti tecnici previsti nella fase di formazione documentale, l’individuazione degli strumenti e delle corrette modalità di gestione dei flussi documentali e delle fasi di conservazione, la puntuale disciplina delle operazioni di registrazione di protocollo operate dal presente manuale – a questo proposito esplicitamente richiamate – concorrono, nel complesso, al conseguimento di un idoneo livello di sicurezza del sistema di gestione documentale
Ciò premesso, è possibile illustrare il sistema di sicurezza nelle sue componenti principali:
Componente organizzativa della sicurezza
La componente organizzativa si avvale di uno schema di accessi differenziati, corrispondente ai diversi profili operativi dei soggetti chiamati a contribuire al sistema di gestione documentale. Ove i software utilizzati nel processo lo consentano, le identità digitali degli operatori autorizzati sono gestite con strumenti di active directory
Il profilo di abilitazione è predeterminato e varia in funzione della UOR di appartenenza, al ruolo ed alle funzioni svolte dal soggetto, al diverso grado di riservatezza delle informazioni trattate. Il profilo di abilitazione determina il grado di autorizzazione dell’operatore riguardo alla creazione, modificazione, eliminazione o semplicemente visualizzazione di un documento della AOO
Le abilitazioni sono rilasciate dal responsabile del servizio archivio e protocollo, su specifica richiesta scritta del dirigente responsabile della UOR cui appartiene l’operatore interessato, secondo criteri di necessità e di minimizzazione. E’ cura del responsabile della UOR, una volta definito il profilo di abilitazione, informare il responsabile dei servizi informativi affinché possa provvedere alla conseguente configurazione del prodotto di protocollo informatico e gestione documentale
Il responsabile della UOR informa il responsabile del servizio archivio e protocollo ed il responsabile dei servizi informativi delle eventuali variazioni nell’assetto del personale che possano avere riflessi sull’organizzazione degli accessi al sistema di gestione documentale. Eventuali cessazioni dal servizio di personale sono rese note al responsabile del servizio archivio e protocollo ed il responsabile dei servizi informativi, a cura del responsabile del servizio competente nell’amministrazione delle risorse umane della AOO
A completare il quadro delle misure organizzative preposte alla sicurezza del sistema, nel contesto oggetto del presente manuale, possiamo annoverare le Regole di condotta dei soggetti autorizzati e il Piano di formazione in materia di sicurezza dei dati personali approvati dal Documento sulla protezione dei dati personali vigente presso la AOO
Componente logica della sicurezza
La componente logica della sicurezza garantisce integrità, riservatezza, disponibilità e non ripudio dei dati, delle informazioni e dei messaggi e si avvale, a questo scopo, del prodotto informatico di gestione documentale adottato dalla AOO
Il prodotto di protocollo informatico garantisce:
- la tendenziale immodificabilità del contenuto del sistema di gestione documentale e, nel caso in cui tale operazione sia ammessa, la tracciabilità delle operazioni effettuate
- l’accesso differenziato in base a profili di abilitazione preimpostati per utente o gruppo di utenti
- il controllo degli accessi effettuati tramite la registrazione di file di log, in conformità agli indirizzi del Garante della privacy
Componente fisica della sicurezza
Gli accessi fisici alle sedi presso le quali sono conservati i documenti, indipendentemente dalla loro tipologia, sono consentiti:
- al personale interno, previa identificazione tramite badge
- al personale esterno addetto alla manutenzione dei locali o delle strumentazioni, previa autorizzazione e identificazione
Nel caso in cui il personale esterno debba accedere, previa autorizzazione, agli impianti tecnologici, intesi quali apparati, reti di comunicazione o macchine server, il personale della UOR competente presiede alle attività di manutenzione e conserva, ove possibile, un file di log degli accessi effettuati
Componente infrastrutturale della sicurezza
Il sistema informatico di gestione documentale è il complesso delle risorse hardware e software – inteso come insieme delle risorse di calcolo, delle reti di comunicazione, degli apparati e delle procedure informatiche – utilizzate per la conduzione delle attività di formazione, gestione e conservazione documentale della AOO
Sono parte delle infrastruttura informatica stessa le singole postazioni di lavoro connesse al sistema informatico di gestione documentale, le quali:
- sono costituite da PC connessi alla rete, dotati di sitema operativo e di applicazioni costantemente aggiornate, cui sono inibite le prerogative di amministratore di sistema
- subordinano l’accesso al sistema al possesso di idonee credenziali (utente e password)
- sono dotate di protezione antivirus e antimalware aggiornati
- sono soggette a politiche di backup giornaliero e di recovery
- sono raggiungibili via internet esclusivamente tramite VPN, opportunamente configurata dal servizio tecnologico interno alla AOO