Discover millions of ebooks, audiobooks, and so much more with a free trial

Only $11.99/month after trial. Cancel anytime.

GDPR. Privacy Risk Management.
GDPR. Privacy Risk Management.
GDPR. Privacy Risk Management.
Ebook394 pages2 hours

GDPR. Privacy Risk Management.

Rating: 0 out of 5 stars

()

Read preview

About this ebook

La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale ed è regolamentata in Europa dal GDPR e, in Italia, attraverso il D. Lgs 101 del 10/08/18, ha abrogato gli articoli del codice per la protezione dei dati personali del D. Lgs. n. 196/2003, con esso incompatibili. Il GDPR promuove la responsabilizzazione (accountability) del titolare del trattamento e l’adozione di politiche e approcci che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. La norma ISO/IEC 27701 è stata emessa per aiutare le organizzazioni a far fronte alla difficoltà che riscontrano per soddisfare il requisito dell’art. 35 del GDPR relativo alla valutazione d’impatto dei trattamenti previsti sulla protezione dei dati personali. La norma specifica i requisiti in una forma che si estende alla ISO/IEC 27001, ISO/IEC 27002, ISO 27018 e la serie ISO/IEC 29000 per la gestione della privacy. Il presente libro riprende passo passo i concetti delle norme, sviluppa le prescrizioni e gli approcci ed entra in dettaglio nei concetti approfondendo con esempi pratici e dettagliati il processo di Privacy Risk Management. Il libro è strutturato in modo tale da introdurre il lettore progressivamente nell’argomento. Il valore del libro si percepisce in quanto pratico e operativo. La spiegazione teorica dei requisiti e dei concetti delle norme esposti nei vari capitoli si concretizzano con l’esempio pratico del Caso di Studio studiato appositamente per trasferire il know-how e l’esperienza necessaria ai Titolari e Responsabili di trattamento, ai Risk e Security Manager e a tutti quelli che sono interessati alla privacy e sono costretti ad applicare il processo di Privacy Risk Management nella propria organizzazione per tutelare i diritti e le libertà degli interessati.
LanguageItaliano
PublisherYoucanprint
Release dateMar 27, 2020
ISBN9788831658096
GDPR. Privacy Risk Management.

Related to GDPR. Privacy Risk Management.

Related ebooks

Law For You

View More

Related articles

Reviews for GDPR. Privacy Risk Management.

Rating: 0 out of 5 stars
0 ratings

0 ratings0 reviews

What did you think?

Tap to rate

Review must be at least 10 words

    Book preview

    GDPR. Privacy Risk Management. - Ioanis Tsiouras

    file:///C:/Users/Utente/Documents/Libri/GDPR/9788831658096.epub

    Indice

    1 Introduzione

    1.1 Guida all’uso del volume

    1.2 Il valore del libro

    2 Il quadro normativo

    2.1 Le norme di riferimento

    2.1.1 ISO/IEC 27001 e ISO/IEC 27002

    2.1.2 ISO/IEC 29100

    2.1.3 ISO/IEC 27701

    2.2 Sicurezza delle informazioni e Privacy

    2.3 Le norme per l’information security risk management e privacy impact assessment (PIA)

    3 Il rischio

    3.1 Il concetto del rischio

    3.2 Un approccio ingegneristico

    3.3 Gli elementi coinvolti nel rischio

    3.4 Metodologie per l’analisi dei rischi

    3.5 Risk-based Thinking

    3.6 L’approccio per processi e il Risk-based Thinking

    4 Privacy information governance

    4.1 Il modello della Privacy Information Governance

    4.2 I principi che guidano la privacy

    4.2.1 Principi per la privacy

    4.2.2 Privacy by design

    4.2.3 Privacy by default

    4.3 Framework per la privacy

    4.4 Il processo di Privacy Risk Management

    4.4.1 I riferimenti normativi

    4.4.2 Impostazione del processo

    5 Sviluppo del processo Privacy Risk Management

    5.1 Il modello del processo

    5.1.1 Requisiti normativi

    5.1.2 Le fasi del processo

    5.2 Stabilire il contesto dell’organizzazione

    5.2.1 Considerazioni generali

    5.2.1.1 Requisiti normativi

    5.2.1.2 Attori e ruoli per la privacy

    5.2.1.3 Costituzione del Gruppo Privacy Risk Management

    5.2.1.4 Attività dell’analisi del contesto

    5.2.2 Analisi del contesto esterno

    5.2.3.1 Applicazione del modello Defence-in-Depth

    5.2.3.1.1 Il dominio fisico organizzativo

    5.2.3.1.1.1 Informazioni generali sull’azienda

    5.2.3.1.1.2 Organigramma aziendale

    5.2.3.1.1.3 Descrizione fisica della sede

    5.2.3.1.2 Il dominio informatico

    5.2.3.2 Determinazione e descrizione degli Scenari d’Uso e dei Processi

    5.2.4 Analisi delle esigenze e delle aspettative degli stakeholder

    5.2.5 Definizione del campo di applicazione del processo di Privacy Risk Management

    5.2.6 Criteri per la gestione dei rischi

    5.2.6.1 Requisiti normativi

    5.2.6.2 Impostazione dei criteri

    5.2.6.3 Criteri di valutazione degli Impatti (Imp)

    5.2.6.4 Criteri di valutazione (stima) delle Probabilità (Pi)

    5.2.6.4.1 Approccio 1: valutazione (stima) della Probabilità (Pi) dell’incidente

    5.2.6.4.2 Approccio 2: valutazione (stima) della Probabilità (Pi) dell’incidente come combinazione delle Probabilità Pm e Pv

    5.2.6.4.3 La scala per la stima delle Probabilità di una causa (minaccia Pm o vulnerabilità Pv) o di un incidente Pi

    5.2.6.5 Criteri di valutazione dei rischi

    5.3 Privacy Risk Assessment

    5.3.1 Considerazioni generali

    5.3.2 Identificazione dei rischi

    5.3.2.1 Requisiti normativi

    5.3.2.2 Dove ricercare i rischi?

    5.3.2.3 Identificazione delle informazioni e dei dati personali

    5.3.2.3.1 Categorie delle informazioni e dei dati personali

    5.3.2.3.2 Tipologie di trattamento

    5.3.2.4 Identificazione dei dati e delle risorse informative

    5.3.2.5 Identificazione degli Impatti

    5.3.2.5.1 Approccio per l’identificazione degli impatti sui dati personali

    5.3.2.5.2 Requisiti del GDPR in riferimento a DPIA

    5.3.2.5.2.1 Articolo 35, par. 3: valutazione d’impatto sulla protezione dei dati

    5.3.2.5.2.2 Articolo 35, par. 4: Elenco delle tipologie di trattamenti soggetti a DPIA

    5.3.2.5.3 Riferimenti a soggetti vulnerabili

    5.3.2.6 Identificazione delle minacce

    5.3.2.7 Identificazione delle vulnerabilità

    5.3.2.8 Elenco dei potenziali incidenti

    5.3.3 Analisi dei rischi (risk analysis)

    5.3.3.1 Requisiti normativi

    5.3.3.2 Attività dell’Analisi dei rischi

    5.3.3.3 Valutazione (stima) degli Impatti (Imp)

    5.3.3.4 Valutazione (stima) delle Probabilità (Pi) degli incidenti

    5.3.4 Valutazione (ponderazione) dei rischi (risk evaluation)

    5.3.4.1 Requisiti normativi

    5.3.4.2 Attività di valutazione (ponderazione) dei rischi

    5.3.4.3 Determinazione dei Rischi Parziali (Ri)

    5.3.4.4 Calcolo del Rischio Aggregato (RAgg)

    5.3.4.5 Mappa dei Rischi Parziali (Ri)

    5.3.4.6 Priorità di trattamento dei Rischi Parziali (Ri)

    5.4 Punto decisionale 1

    5.5 Trattamento dei rischi

    5.5.1 Requisiti normativi

    5.5.2 Attività per il trattamento dei rischi

    5.5.3 Le opzioni per il trattamento dei rischi

    5.5.3.1 Modificare i rischi

    5.5.3.2 Accettare i rischi

    5.5.3.3 Evitare i rischi

    5.5.3.4 Condividere o trasferire i rischi

    5.5.4 Identificazione delle misure/controlli

    5.5.4.1 Identificazione delle misure/controlli da implementare

    5.5.4.2 Identificazione delle misure/controlli esistenti

    5.5.4.3 Dichiarazione di Applicabilità (SoA)

    5.5.5 Calcolo dei Rischi Residui (RR) e del Rischio Residuo Aggregato (RAgg)

    5.5.6 Piano di Trattamento dei rischi

    5.6 Punto decisionale 2

    5.7 Accettazione dei Rischi Residui

    5.8 Implementazione delle misure/controlli del Piano di Trattamento dei Rischi

    5.9 Comunicazione e consultazione

    5.10 Monitoraggio e riesame

    6 Caso di studio: azienda Abc s.r.l.

    6.1 Introduzione al caso di studio

    6.2 Stabilire il contesto di ABC S.r.l.

    6.2.1 Analisi del contesto esterno dell’azienda

    6.2.2 Analisi del contesto interno dell’azienda

    6.2.2.1 Il dominio fisico organizzativo

    6.2.2.1.1 Informazioni generali sull’azienda

    6.2.2.1.2 Descrizione fisica della sede

    6.2.2.1.3 Organigramma di ABC S.r.l.

    6.2.2.2 Il dominio informatico di ABC S.r.l.

    6.2.2.3 Determinazione degli Scenari d’Uso e dei processi di ABC S.r.l.

    6.2.2.4 Campo di applicazione del processo di Privacy Risk Management

    6.2.2.5 Il processo di Elaborazione Paghe

    6.2.2.6 Architettura della catena del servizio SaaS

    6.2.2.7 Determinazione dello Scenario d’Uso e del Processo

    6.2.3 Analisi delle esigenze e delle aspettative degli stakeholder

    6.2.4 Criteri per la gestione dei rischi

    6.3 Privacy Risk Assessment

    6.3.1 Identificazione dei rischi

    6.3.1.1 Identificazione dei dati personali

    6.3.1.2 Identificazione degli asset

    6.3.1.3 Identificazione degli impatti

    6.3.1.4 Identificazione delle minacce, delle vulnerabilità e degli incidenti

    6.3.1.4.1 Raccolta e archiviazione dei dati e interazione con il Browser Client

    6.3.1.4.2 Interazione tra Browser Client e Web Server

    6.3.1.4.3 Interazioni tra Web Server e SQL Database e viceversa

    6.4 Analisi dei rischi (risk analysis)

    6.4.1 Valutazione (stima) degli impatti (Imp)

    6.4.1.1 Valutazione (stima) della perdita della Riservatezza

    6.4.1.2 Valutazione (stima) della perdita dell’Integrità

    6.4.1.3 Valutazione (stima) della perdita della Disponibilità

    6.4.2 Valutazione (stima) delle Probabilità (Pi) degli incidenti

    6.4.3 Valutazione (ponderazione) dei rischi (risk evaluation)

    6.4.3.1 Determinazione dei Rischi Parziali (Ri)

    6.4.3.2 Calcolo del Rischio Aggregato (RAgg)

    6.4.3.3 Mappa dei Rischi Parziali (Ri)

    6.4.3.4 Priorità di trattamento dei Rischi Parziali (Ri)

    6.5 Punto decisionale 1

    6.6 Trattamento dei rischi

    6.6.1 Identificazione delle misure/controlli

    6.6.1.1 Identificazione delle misure/controlli da implementare

    6.6.1.2 Identificazione delle misure/controlli esistenti

    6.6.1.3 Dichiarazione di Applicabilità (SoA)

    6.6.2 Calcolo dei Rischi Residui (RR) e del Rischio Residuo Aggregato (RAgg)

    6.6.3 Piano di Trattamento dei rischi

    6.7 Punto decisionale 2

    6.8 Accettazione dei Rischi Residui

    6.9 Implementazione delle misure/controlli del Piano di Trattamento dei Rischi

    7 Bibliografia

    APPENDICE 1 - Scenari d’Incidenti: Vulnerabilità, Minacce E Incidenti

    App1.1 Introduzione

    App1.2 Tipologia di area: Organizzazione e sede fisica

    App1.3 Tipologia di area: Hardware

    App1.4 Tipologia di area: Controllo Accessi

    App1.5 Tipologia di area: Networking

    App1.6 Tipologia di area: Personale

    App1.7 Tipologia di area: Documenti cartacei

    App1.8 Tipologia di area: Software

    App1.8.1 Elenco di scenari di incidenti per il SW

    App1.8.2 OWASP Top 10 Vulnerabilities

    App1.8.3 Modelli di categorizzazione delle minacce

    App1.8.4 Il modello STRIDE di Microsoft (fonte AgID8)

    App1.8.5 Valutazione delle minacce e delle vulnerabilità

    App1.8.6 Vulnerability Assessment: Metodi per la gestione delle vulnerabilità tecniche

    APPENDICE 2 - Strumenti e tecniche per il Privacy Risk Management

    APPENDICE 3 – indice delle figure

    APPENDICE 4 – indice delle tabelle

    Ioan­nis Tsiou­ras

    GD­PR

    Pri­va­cy Ri­sk Ma­na­ge­ment

    Li­nea Gui­da

    per la va­lu­ta­zio­ne dell’im­pat­to e dei ri­schi re­la­ti­vi al­la si­cu­rez­za del­le in­for­ma­zio­ni e dei da­ti per­so­na­li in con­for­mi­tà al­la ISO/IEC 27701 con l’esten­sio­ne al­le ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27018

    La me­to­do­lo­gia sod­di­sfa i re­qui­si­ti del­la nor­ma

    ISO/IEC 27001 e i re­qui­si­ti del GD­PR

    You­can­print

    Ti­to­lo | GD­PR - Pri­va­cy Ri­sk Ma­na­ge­ment

    Au­to­re | Ioan­nis Tsiou­ras

    Co­per­ti­na a cu­ra dell’au­to­re

    Linkedin: linkedin.com/in/ioannistsiouras/

    Fa­ce­book: fa­ce­book.com/Ioan­nis Tsiou­ras

    Twit­ter: twit­ter.com/iTsiou­ras

    Ioan­nis Tsiou­ras, 2020

    ISBN | 9788831658096

    © 2020 - Tut­ti i di­rit­ti ri­ser­va­ti all’Au­to­re

    Que­sta ope­ra è pub­bli­ca­ta di­ret­ta­men­te dall'Au­to­re tra­mi­te la piat­ta­for­ma di sel­fpu­bli­shing You­can­print e l'Au­to­re de­tie­ne ogni di­rit­to del­la stes­sa in ma­nie­ra esclu­si­va. Nes­su­na par­te di que­sto li­bro può es­se­re per­tan­to ri­pro­dot­ta sen­za il pre­ven­ti­vo as­sen­so dell'Au­to­re.

    You­can­print

    Via Mar­co Bia­gi 6 - 73100 Lec­ce

    www.you­can­print.it

    in­fo@you­can­print.it

    A So­fia, Mat­tia

    e Nau­si­caà

    Ioan­nis Tsiou­ras na­sce in Gre­cia, do­ve com­pie gli stu­di clas­si­ci e scien­ti­fi­ci nel­la scuo­la dell’ob­bli­go e in se­gui­to si lau­rea in In­ge­gne­ria in Ita­lia, do­ve vi­ve da più di qua­rant’an­ni. Nell’am­bi­to pro­fes­sio­na­le le sue espe­rien­ze tro­va­no con­sen­si in­ter­na­zio­na­li at­tra­ver­so la pub­bli­ca­zio­ne di li­bri e ar­ti­co­li in ri­vi­ste na­zio­na­li e in­ter­na­zio­na­li e co­me mem­bro esper­to sull’ec­cel­len­za nel bu­si­ness e sul Ri­sk Ma­na­ge­ment in co­mi­ta­ti ita­lia­ni ed eu­ro­pei. È au­to­re di ar­ti­co­li e dei se­guen­ti li­bri edi­ti da di­ver­se ca­se edi­tri­ci:

    Risk Management – La norma ISO 31000:2018. La metodologia per applicare efficacemente il risk management in tutti i contesti, Youcanprint Self-Publishing, 2018.

    Pensiero basato sul rischio – Risk-based thinking, ebook, Youcanprint Self-Publishing, 2016.

    La sicurezza delle informazioni - Dal Sistema di Gestione alla sicurezza dei sistemi informatici. Le norme BS 7799-2 e ISO/IEC 15408 (Common Criteria), FrancoAngeli, Milano, 2004.

    La progettazione del sistema di gestione nelle organizzazioni ad alta intensità informativa - Dalla ISO 9000 alla modellazione del business, FrancoAngeli, Milano, 2005.

    Guida alla certificazione ISO 9000 per le organizzazioni utenti e le aziende di informatica, FrancoAngeli, Milano,1998.

    Governo e Miglioramento dei Processi, FrancoAngeli, Milano, 1998.

    1. introduzione

    La pro­te­zio­ne del­le per­so­ne fi­si­che con ri­guar­do al trat­ta­men­to dei da­ti di ca­rat­te­re per­so­na­le è un di­rit­to fon­da­men­ta­le ed è sta­bi­li­to nel­la Car­ta dei di­rit­ti fon­da­men­ta­li dell’Unio­ne Eu­ro­pea (Car­ta) e dal Trat­ta­to sul Fun­zio­na­men­to dell’Unio­ne Eu­ro­pea (TFEU).

    Sul­la ba­se dei do­cu­men­ti so­pra ci­ta­ti e sul­la ba­se di al­tre nor­me e leg­gi al li­vel­lo eu­ro­peo, il Par­la­men­to eu­ro­peo e il Con­si­glio dell’Unio­ne Eu­ro­pea ha emes­so il 4 mag­gio 2016 il Re­go­la­men­to Ge­ne­ra­le sul­la Pro­te­zio­ne dei Da­ti che è sta­to pub­bli­ca­to in Gaz­zet­ta Uf­fi­cia­le Eu­ro­pea con il ti­to­lo Re­go­la­men­to UE n. 2016/679 (in se­gui­to an­che il "GD­PR¹"), il qua­le è en­tra­to in vi­go­re il 25 mag­gio 2018.

    Il GD­PR, quin­di, ha l’obiet­ti­vo di ar­mo­niz­za­re la tu­te­la dei di­rit­ti e del­le li­ber­tà fon­da­men­ta­li del­le per­so­ne fi­si­che nel­le at­ti­vi­tà di trat­ta­men­to dei da­ti e as­si­cu­ra­re la li­be­ra cir­co­la­zio­ne dei da­ti per­so­na­li tra Sta­ti Mem­bri.

    Il GD­PR si in­se­ri­sce all'in­ter­no di quel­lo che, in­sie­me al­la Di­ret­ti­va 2016/680, è sta­to de­fi­ni­to il Pac­chet­to eu­ro­peo pro­te­zio­ne da­ti.

    Gli Sta­ti mem­bri, seb­be­ne il GD­PR non ab­bia bi­so­gno di re­ce­pi­men­to, han­no avu­to due an­ni per ade­gua­re le pro­prie nor­ma­ti­ve in­ter­ne e per sen­si­bi­liz­za­re le azien­de al­le no­vi­tà in­tro­dot­te e all’ade­gua­men­to dei pro­pri trat­ta­men­ti.

    Il GD­PR, dal­la sua en­tra­ta in vi­go­re, ha so­sti­tui­to i con­te­nu­ti del­la di­ret­ti­va sul­la pro­te­zio­ne dei da­ti (Di­ret­ti­va 95/46/CE) e, in Ita­lia, at­tra­ver­so il D. Lgs 101 del 10 ago­sto 2018, ha abro­ga­to gli ar­ti­co­li del co­di­ce per la pro­te­zio­ne dei da­ti per­so­na­li del D. Lgs. n. 196/2003, con es­so in­com­pa­ti­bi­li.

    Il Re­go­la­men­to pro­muo­ve la re­spon­sa­bi­liz­za­zio­ne (ac­coun­ta­bi­li­ty) del ti­to­la­re del trat­ta­men­to e l’ado­zio­ne di po­li­ti­che e ap­proc­ci che ten­ga­no con­to co­stan­te­men­te del ri­schio che un de­ter­mi­na­to trat­ta­men­to di da­ti per­so­na­li può com­por­ta­re per i di­rit­ti e le li­ber­tà de­gli in­te­res­sa­ti.

    Il con­cet­to del­la pro­te­zio­ne pre­ven­ti­va dei da­ti è uno dei re­qui­si­ti prin­ci­pa­li del re­go­la­men­to. In­fat­ti, il Con­si­de­ran­do 83 spe­ci­fi­ca che "per man­te­ne­re la si­cu­rez­za e pre­ve­ni­re trat­ta­men­ti in vio­la­zio­ne al re­go­la­men­to, il ti­to­la­re del trat­ta­men­to o il re­spon­sa­bi­le del trat­ta­men­to do­vreb­be va­lu­ta­re i ri­schi ine­ren­ti al trat­ta­men­to e at­tua­re mi­su­re per li­mi­ta­re ta­li ri­schi."

    È im­por­tan­te per­ciò sot­to­li­nea­re che, poi­ché il con­cet­to del ri­schio è un re­qui­si­to cen­tra­le nel GD­PR, do­vreb­be es­se­re gui­da­to dall’ap­proc­cio ri­sk-ba­sed thin­king (pen­sie­ro ba­sa­to sul ri­schio) e ge­sti­to con la pro­spet­ti­va del ri­sk-ba­sed ap­proa­ch (ap­proc­cio ba­sa­to sul ri­schio), cioè: tan­to più ele­va­to è il li­vel­lo di ri­schio (per i di­rit­ti e le li­ber­tà de­gli in­te­res­sa­ti), tan­to più strin­gen­ti de­vo­no es­se­re le mi­su­re e i con­trol­li che il ti­to­la­re del trat­ta­men­to de­ve con­si­de­ra­re. Il ri­sk-ba­sed ap­proa­ch rap­pre­sen­ta una ri­spo­sta chia­ra e coor­di­na­ta per l’iden­ti­fi­ca­zio­ne dei ri­schi da una de­ter­mi­na­ta se­rie di cir­co­stan­ze. Im­pli­ca un pro­ces­so di va­lu­ta­zio­ne con­ti­nua dei ri­schi, man ma­no che nuo­ve in­for­ma­zio­ni di­ven­ta­no di­spo­ni­bi­li; per­ciò il ti­to­la­re e il re­spon­sa­bi­le del trat­ta­men­to de­vo­no es­se­re coa­diu­va­ti da per­so­ne com­pe­ten­ti e de­vo­no coin­vol­ge­re per­so­ne esper­te nell’ana­li­si dei da­ti e dei trat­ta­men­ti.

    La pro­te­zio­ne dei da­ti fin dal­la pro­get­ta­zio­ne (pri­va­cy by de­si­gn) è l’im­po­sta­zio­ne proat­ti­va per la tu­te­la dei di­rit­ti de­gli in­te­res­sa­ti. Se­con­do que­sto con­cet­to la pro­ba­bi­li­tà e la gra­vi­tà del ri­schio con­nes­so al trat­ta­men­to do­vreb­be­ro es­se­re de­ter­mi­na­te con ri­guar­do al­la na­tu­ra, all’am­bi­to di ap­pli­ca­zio­ne, al con­te­sto e al­le fi­na­li­tà del trat­ta­men­to stes­so. Il ri­schio do­vreb­be es­se­re con­si­de­ra­to in ba­se a una va­lu­ta­zio­ne og­get­ti­va (Con­si­de­ran­do 76).

    Oc­cor­re te­ne­re pre­sen­te che la pro­ba­bi­li­tà di una vio­la­zio­ne e quel­la dell’im­pat­to sui di­rit­ti del­le per­so­ne fi­si­che pos­so­no es­se­re de­fi­ni­ti so­la­men­te at­tra­ver­so sti­me ca­rat­te­riz­za­te, tra l’al­tro, da un gra­do di in­cer­tez­za, pron­te a com­pro­met­te­re la va­lu­ta­zio­ne og­get­ti­va del ri­schio.

    L’espe­rien­za, l’os­ser­va­zio­ne, l’ap­pro­fon­di­men­to, il coin­vol­gi­men­to del­le per­so­ne esper­te, ma an­che l’ado­zio­ne di ap­proc­ci e me­to­do­lo­gie va­li­da­te e pub­bli­ca­te dal­le nor­me in­ter­na­zio­na­li aiu­ta­no ad au­men­ta­re la co­no­scen­za de­gli even­ti du­ran­te i trat­ta­men­ti dei da­ti e a va­lu­ta­re i ri­schi in mo­do più og­get­ti­vo pos­si­bi­le.

    Per af­fron­ta­re l’ar­go­men­to in mo­do si­ste­ma­ti­co ed ef­fi­ca­ce e in mo­do più og­get­ti­vo pos­si­bi­le, il nor­ma­to­re ISO (In­ter­na­tio­nal Or­ga­ni­za­tion for Stan­dar­di­za­tion), a sup­por­to del­la si­cu­rez­za del­le in­for­ma­zio­ni e pri­va­cy, ha emes­so una se­rie di nor­me co­me la ISO/IEC 29100, la ISO/IEC 29151, la ISO/IEC 27001, la ISO 27002, la ISO/IEC 27005, la ISO 27018, la ISO/IEC 27701 e al­tre. Al­cu­ne so­no nor­me di re­qui­si­ti, al­tre in­ve­ce so­no li­nee gui­da.

    La nor­ma ISO/IEC 27701, in pri­mis, in­te­gra gli ap­proc­ci, i re­qui­si­ti e i con­trol­li di tut­te le nor­me che trat­ta­no la pri­va­cy e la si­cu­rez­za del­le in­for­ma­zio­ni. Lo sco­po di que­sta in­te­gra­zio­ne è quel­lo di met­te­re a di­spo­si­zio­ne dei ti­to­la­ri del trat­ta­men­to

    Enjoying the preview?
    Page 1 of 1