Gestione degli incidenti di sicurezza Clausole campione

Gestione degli incidenti di sicurezza. In fase di erogazione il Fornitore, al verificarsi di incidenti di sicurezza, dovrà garantire l’attuazione di un processo di gestione (Incident Management) al fine di evitare o minimizzare la compromissione dei dati e dei servizi dell’Amministrazione. Il processo di gestione degli incidenti di sicurezza di seguito descritto si applica in presenza di attivazione del servizio di SOC di cui al paragrafo 3.1.1. Tale processo, attraverso l’analisi e la comprensione dei meccanismi di attacco e delle modalità utilizzate per la gestione dell’incidente, dovrà consentire il miglioramento continuo della capacità di risposta agli incidenti di sicurezza informatica. Il processo di gestione degli incidenti di sicurezza dovrà inoltre consentire all’Amministrazione il rispetto degli obblighi di quanto indicato dal Regolamento GDPR n. 679/2016 in materia di violazione di dati personali e di quanto indicato dal DPCM n. 81/2021 “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza. Il processo di gestione degli incidenti di sicurezza dovrà garantire le seguenti fasi: ⮚ segnalazione, identificazione e analisi dell’incidente; ⮚ contenimento dei danni relativi all’incidente ed impedimento alla sua propagazione; ⮚ raccolta e trasmissione nel modo appropriato delle evidenze digitali di reato; ⮚ ripristino dei sistemi e delle applicazioni; ⮚ valutazione postuma dell’incidente volta al miglioramento continuo. Successivamente alla segnalazione all’Help-desk di un incidente di sicurezza da parte dell’Amministrazione e/o generate in automatico dagli strumenti di monitoraggio e controllo del Fornitore, lo stesso dovrà eseguire il seguente processo di gestione degli incidenti che si compone almeno delle seguenti fasi di seguito riportate.
Gestione degli incidenti di sicurezza. Ai sensi dell’art. 19(2) del Reg. eIDAS, il QTSP è tenuto a notificare all’organismo di vigilanza (AgID) e, ove applicabile, ad altri organismi interessati, quali l’ente nazionale competente per la sicurezza delle informazioni o l’autorità di protezione dei dati, tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi. Qualora sia probabile che la violazione della sicurezza o la perdita di integrità abbia effetti negativi su una persona fisica o giuridica a cui è stato prestato il servizio fiduciario, il prestatore di servizi fiduciari notifica senza indugio anche alla persona fisica o giuridica la violazione di sicurezza o la perdita di integrità. Di seguito sono riportati i livelli di severity codificati nelle LLGG ENISA ART.19 Incident Reporting:
Gestione degli incidenti di sicurezza. Gestione degli incidenti e dei miglioramenti della sicurezza delle informazioni
Gestione degli incidenti di sicurezza. Tutti gli amministratori devono reagire agli incidenti di sicurezza con prontezza e con spirito di cooperazione, segnalando al proprio responsabile e alla struttura competente in materia di Sistemi Informativi le violazioni di sicurezza interna o gli eventi che possono portare a credere che vi sia stata un’elusione delle misure di sicurezza previste. Gli amministratori, dopo una prima verifica dell’accaduto, devono registrare le operazioni svolte econtattare la struttura competente in materia di Sistemi Informativi. Per gestire correttamente gli incidenti è indispensabile avere un elenco aggiornato dei beni (assets)che permetta di identificare i sistemi/applicazioni e il relativo livello di criticità. Le macro-fasi di gestione dell’incidente sono le seguenti: • rilevazione incidente; • identificazione e analisi dell’incidente; • contenimento, raccolta evidenze, rimozione e ripristino; • chiusura dell’incidente. Le procedure dettagliate di gestione delle violazioni di sicurezza sono oggetto di apposito disciplinare tecnico sulla gestione dei data breach. È obbligo di ogni amministratore valutare i potenziali rischi di sicurezza derivanti dal design, l’installazione, l’utilizzo e la gestione dei sistemi informatici di competenza. Ogni progetto che prevede l’installazione, l’utilizzo, la modifica, l’eliminazione di uno o più sistemi informatici, deve quindi essere preceduto da un’adeguata analisi dei rischi che tenga conto del valore delle risorse da proteggere, delle potenziali minacce di sicurezza, dei meccanismi di sicurezza.
Gestione degli incidenti di sicurezza. In caso di incidente di sicurezza, fermi restando i termini di risposta e di intervento richiesti dalla legge in vigore o dall'istituzione notificante (ad esempio GARR-CERT, WLCG, IRT UNIMI, CSIRT INFN), l'iniziativa della prima risposta all’incidente verrà presa dall'istituzione titolare dell'accesso di rete attraverso il quale è avvenuto l'incidente. In caso questa non sia definibile o si tratti di violazioni conseguenti ad un accesso fisico allora l'intervento avverrà secondo la proprietà dell'apparato o del supporto interessato dall'incidente (UC-DIPFIS-UNIMI per il materiale inventariato da UNIMI, SC-INFN-MI per il materiale inventariato da INFN- MI). L’istituzione che prende in carico la prima risposta avrà cura di notificare senza ritardo il comitato congiunto di gestione di cui al successivo punto 7, i cui membri si occuperanno dell’ulteriore notifica alle strutture centrali deputate alla gestione della cybersecurity secondo le procedure e le modalità richieste dall’ente di appartenenza. Eccezioni motivate a questa regola (ad esempio per evitare la scadenza dei tempi di risposta) vanno notificate al comitato congiunto di gestione di cui al successivo punto 7, attendendo, salvo casi di emergenza, la risposta del suo coordinatore. Ogni violazione di sicurezza dei dati che comporti o possa comportare la distruzione, perdita, modifica, divulgazione o accessi non autorizzati ai dati personali trattati verrà comunicata senza ritardo, e comunque entro e non oltre le 24 ore dalla scoperta al titolare del trattamento dei dati e al DPO di entrambi gli enti contitolari, al fine di porre in essere gli adempimenti previsti dalla normativa in materia di protezione dei dati personali. Alla data di stesura del presente documento gli indirizzi di contatto sono: per UNIMI xxxxxxxxxx.xxxx@xxxxx.xx, per INFN xxx@xxxx.xx. Verrà inoltre notificata la mailing-list del comitato di gestione congiunto menzionata nel successivo punto 7.
Gestione degli incidenti di sicurezza. Pur in presenza delle più stringenti norme, un incidente di sicurezza non può mai essere escluso totalmente. Anche in questi casi, proprio perché più rari, ma di non facile gestione, è importante che la si sia in grado di operare secondo norme e procedure codificate di cui tutto il personale sia conoscenza. É stata definita una procedura apposita, emanata proprio con l’obiettivo di salvaguardare gli interessi dei Clienti e dell’azienda Intesa, che fa esplicito divieto agli operatori Intesa di: • procedere ad investigazioni di propria iniziativa, con il rischio di contaminare le prove; • contattare persone o unità organizzative sospettate di essere la causa dell’incidente senza l’autorizzazione del management; • provare a penetrare in modo inverso nei sistemi da cui si ritiene sia partito l’attacco, commettendo un’azione illegale; • fare il clean up del sistema senza l’autorizzazione del management, rischiando di cancellare prove fondamentali per le successive indagini. I risultati delle investigazioni sono comunque strettamente riservati e non devono essere date informazioni ad alcuno all’interno dell’azienda, al di fuori di quanto previsto dalla specifica normativa sugli incidenti di sicurezza. Le misure di sicurezza per la protezione dei dati personali sono conformi alle misure minime previste dal Regolamento (UE) n. 2016/679 (GDPR) e ss.mm.ii. In relazione al servizio erogato, il Gestore non tratta dati particolari ovverosia dati sensibili ovvero giudiziari, ai sensi del GDPR. Ai sensi dell’Art.13 del GDPR, il Richiedente viene previamente informato su quanto espresso nei seguenti punti:

Related to Gestione degli incidenti di sicurezza

  • Collegio Sindacale Il collegio sindacale dell’Emittente in carica alla Data del Documento di Ammissione è stato nominato dall’assemblea del 10 aprile 2018, e rimarrà in carica per un periodo di tre esercizi sino all’approvazione del bilancio di esercizio chiuso al 31 dicembre 2020. I componenti del collegio sindacale della Società alla Data del Documento di Ammissione sono indicati nella tabella che segue. Nome e Cognome Carica Data e luogo di nascita Xxxxxxxxxx Xxxxxx Presidente del Collegio Sindacale 3 luglio 0000 - Xxxxx (XX) Xxxxxxxxx Xxxxxx Sindaco effettivo 24 giugno 0000 - Xxxxxxxxxx (XX) Xxxxxx Xxxxxx Sindaco effettivo 18 gennaio 1969 - Xxxxx Xxxxx Xxxxx Sindaco supplente 22 ottobre 0000 - Xxxxxxxxx (XX) Xxxxxx Xxxxxx Xxxxxxx supplente 7 ottobre 0000 - Xxxxxxxxx (XX) I componenti del collegio sindacale sono domiciliati per la carica presso la sede della Società. Tutti i componenti del collegio sindacale sono in possesso dei requisiti di onorabilità e professionalità richiesti dall’art. 2399 Codice Civile. Si riporta un breve curriculum vitae dei membri del collegio sindacale della Società, dal quale emergono la competenza e l’esperienza maturate in materia di gestione aziendale.

  • Trattamento economico e normativo La retribuzione verrà corrisposta a ciascun lavoratore in proporzione alla quantità di lavoro effettivamente prestato. Ai fini dell’assicurazione generale obbligatoria IVS, dell’indennità di malattia e di ogni altra prestazione previdenziale ed assistenziale e delle relative contribuzioni, il calcolo viene effettuato il mese successivo a quello della prestazione con eventuale conguaglio a fine anno, con riferimento alla durata effettiva del lavoro prestato. Vengono assegnati in modo proporzionale al lavoro svolto ogni altra attribuzione e/o diritto contrattualmente previsto correlato direttamente alla durata della prestazione come le ferie, le mensilità aggiuntive e tutti gli altri elementi retributivi accessori. Al lavoratore assente per malattia o infortunio viene corrisposta la integrazione contrattuale retributiva commisurata alla media delle percentuali di prestazione lavorativa risultante dalle ultime quattro settimane lavorate. Al lavoratore coobbligato, che effettua una prestazione lavorativa supplementare e/o straordinaria, perché tenuto a sostituire altro lavoratore coobbligato, ma impossibilitato a causa di assenza viene attribuita la retribuzione aggiuntiva proporzionata alla quantità di lavoro svolto senza maggiorazione alcuna fino al raggiungimento dell’orario normale di lavoro settimanale.

  • Rinuncia al diritto di surroga La Società rinuncia, salvo il caso di dolo, al diritto di surrogazione derivante dall’art. 1916 del Codice Civile verso le persone delle quali l’Assicurato debba rispondere a norma di legge, gli utenti nonché i clienti dell’Assicurato, le associazioni, i patronati, altri enti pubblici ed enti in genere senza scopo di lucro nonché verso le Aziende da esso controllate o partecipate purché l’Assicurato non decida di esercitare tale diritto.

  • Offerte Il Cliente può selezionare le seguenti offerte disponibili.

  • Verifiche ed ispezioni 1. L'Ente e l’organo di revisione dell’Ente medesimo hanno diritto di procedere a verifiche di cassa ordinarie e straordinarie e dei valori dati in custodia come previsto dagli artt. 223 e 224 del D.Lgs. n. 267 del 2000 ed ogni qualvolta lo ritengano necessario ed opportuno. Il Tesoriere deve all'uopo esibire, ad ogni richiesta, i registri, i bollettari e tutte le carte contabili relative alla gestione della tesoreria.

  • DESCRIZIONE DEI LAVORI I lavori che formano l'oggetto dell'appalto possono riassumersi come appresso, salvo più precise indicazioni che all'atto esecutivo potranno essere impartite dalla Direzione dei Lavori.

  • Assunzione del personale 1. L’assunzione del personale viene effettuata dall’Azienda in conformità alle norme con- trattuali e di legge, con particolare riguardo alle disposizioni del D. Lgs. 30.6.2003, n. 196 sulla tutela della riservatezza personale.

  • Modifica del contratto durante il periodo di efficacia Il contratto potrà essere modificato senza che sia necessaria una nuova procedura di affidamento nei casi previsti dall’art. 106 del d. lgs. 50/2016. Le modifiche, nonché le varianti, devono essere autorizzate dal Responsabile Unico del Procedimento. Il Responsabile Unico del Procedimento su proposta dei Servizi utilizzatori dei beni oggetto del presente capitolato (Unità di Biochimica Clinica, Unità di Patologia Clinica, Unità di Ingegneria Clinica), autorizza direttamente modifiche del contratto al verificarsi di cause impreviste e imprevedibili o per l’intervenuta possibilità di utilizzare materiali, componenti e tecnologie non esistenti nel momento di inizio della procedura di selezione del contraente che possono determinare, senza aumento di costi, significativi miglioramenti nella qualità delle prestazioni da eseguire. Negli altri casi, sempreché trattasi di modifiche non sostanziali ma che comportano un aumento del valore iniziale del contratto, le modalità di rilascio dell’autorizzazione sono stabilite con un provvedimento ad hoc dell’amministrazione aggiudicatrice, in cui sono specificate le ragioni della necessità della modifica. La soglia di importo entro cui sono consentite modifiche è fissata nel limite dei due quinti del valore del contratto iniziale. I prezzi proposti potranno essere soggetti a revisione annuale, rimanendo fissi per iprimi dodici mesi di esecuzione della fornitura. Il procedimento di revisione in favore del fornitore sarà attivato esclusivamente su istanza di parte; la stessa dovrà essere motivata, recare un’analisi di mercato e di andamento dei prezzi dei fattori produttivi supportata da idonea documentazione a dimostrazione della effettiva necessità di adeguamento dei prezzi. La richiesta di revisione prezzi dovrà essere effettuata entro il termine perentorio decadenziale di tre mesi decorrenti dall’inizio di ciascun anno di fornitura. Qualora emerga dall’istruttoria l’effettiva necessità di revisione dei prezzi si terrà conto, per quantificare la variazione, di elaborazioni ufficiali di prezzi di riferimento da parte di soggetti pubblici e, in assenza di questi dell’indice dei prezzi al consumo perle famiglie di operai ed impiegati (FOI – nella versione che esclude il calcolo dei tabacchi), verificatesi nell’anno precedente. L’aggiornamento dei prezzi non può superare comunque il 100% della predetta variazione accertata dall’ISTAT. La revisione del prezzo in favore dell’A.O. sarà attivata d’ufficio in occasione di elaborazioni, attinenti ai beni oggetto del contratto, di indici concernenti il miglior prezzo di mercato desunto dal complesso delle aggiudicazioni di appalti di beni e servizi o di prezzi di riferimento o di definizioni di costi standard, da parte di soggetti pubblici. Qualora si raggiunga un aumento o una diminuzione dei prezzi contrattuali in misura non inferiore al 10% e tale da alterare significativamente l’originario equilibrio contrattuale, le parti possono esercitare il diritto di recesso senza indennizzo. Nel caso in cui si renda necessario, in corso d’esecuzione, un aumento o una diminuzione della fornitura, il soggetto aggiudicatario è obbligato ad assoggettarvisi sino alla concorrenza del quinto del prezzo di gara alle stesse condizioni del contratto. Oltre tale limite, il soggetto aggiudicatario ha diritto, se lo richiede, alla risoluzione del contratto. In questo caso la risoluzione si verifica di diritto quando il soggetto aggiudicatario dichiari all’A.O. che di tale diritto intende avvalersi. Se il soggetto aggiudicatario non intende avvalersi di tale diritto, è tenuto ad eseguire le maggiori o minori forniture richieste alle medesime condizioni contrattuali.

  • Prestazione lavorativa I rapporti di telelavoro possono essere instaurati ex novo oppure trasformati, rispetto ai rapporti in essere svolti nei locali fisici dell'impresa. Resta inteso che la telelavoratrice o il telelavoratore è in organico presso l’unità produttiva di origine, ovvero, in caso di instaurazione del rapporto ex novo, presso l’unità produttiva indicata nella lettera di assunzione. I rapporti di telelavoro saranno disciplinati secondo i seguenti principi:

  • COSTI DELLA SICUREZZA 1. Le Amministrazioni Contraenti, ai sensi dell’art. 26 del D. Lgs. 81/2008, provvederanno, prima dell’emissione dell’Ordinativo di Fornitura, ad integrare il “Documento di valutazione dei rischi standard da interferenze” allegato ai documenti di gara, riferendolo ai rischi specifici da interferenza presenti nei luoghi in cui verrà espletato l’appalto. In tale sede le Amministrazioni Contraenti indicheranno i costi relativi alla sicurezza (anche nel caso in cui essi siano pari a zero).