Background Image
Previous Page  48 / 103 Next Page
Information
Show Menu
Previous Page 48 / 103 Next Page
Page Background

Zanetti S.p.A.

Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001

____________________________________________________________________________________

48

B.3. Protocolli specifici di prevenzione

Per le operazioni riguardanti la

gestione degli accessi e utilizzo di sistemi informatici o telematici e

delle relative smart card (incluso l’accesso e l’utilizzo di sistemi della PA, quali portale Camera di

Commercio, applicativo Agenzia delle Dogane, ecc.)

, si applica quanto previsto al paragrafo A.4 della

presente Parte Speciale, con riferimento alla corrispondente attività sensibile. Inoltre, i protocolli prevedono

che:

siano definiti (ad es. all’interno del DPS) i criteri e le modalità per la creazione delle password di

accesso alla rete, alle applicazioni, al patrimonio informativo aziendale e ai sistemi critici o sensibili

(ad es. lunghezza minima della password, regole di complessità, scadenza);

siano definiti formalmente (ad es. all’interno del DPS) i requisiti di autenticazione ai sistemi per

l’accesso ai dati e per l’assegnazione dell’accesso remoto agli stessi da parte di soggetti terzi,

quali consulenti e fornitori;

le applicazioni tengano traccia delle modifiche ai dati compiute dagli utenti;

siano definiti (ad es. all’interno del DPS) i criteri e le modalità per l’assegnazione, la modifica e la

cancellazione dei profili utente;

sia predisposta una matrice autorizzativa – applicazioni/profili/richiedente – allineata con i ruoli

organizzativi in essere e coerente con i principi di segregazione dei ruoli;

siano eseguite verifiche periodiche dei profili utente al fine di verificare che siano coerenti con le

responsabilità assegnate e coerente con i principi di segregazione dei principi di segregazione dei

ruoli;

siano definiti (ad es. all’interno del DPS) i criteri e le modalità per le attività di

back up

che

prevedano, per ogni applicazione hardware, la frequenza dell’attività, le modalità, il numero di

copie ed il periodo di conservazione dei dati;

sia definito un piano di

disaster recovery

;

siano definite, in funzione della rilevanza, le credenziali fisiche di accesso ai siti ove risiedono i

sistemi informativi e le infrastrutture IT.

B.4. Flussi informativi verso l’OdV

I Responsabili delle attività sensibili trasmettono all’OdV le informazioni indicate nelle procedure o negli altri

Strumenti di attuazione del Modello applicabili, con la periodicità e le modalità previste dagli stessi.

1 43 44 45 46 47 48 49 50 51 52 53 54 103  FlippingBook