Security Profess. Services. Il PSN offre molti strumenti nativi, all’interno delle diverse tipologie di cloud scelte per gestire la sicurezza dei dati. Il PSN nell’accettare la Lettera di Nomina (Allegato E-Nomina a Responsabile esterno del trattamento dei dati) si conforma a rispettare integralmente quanto in essa riportato ed in particolare quanto previsto nel paragrafo 6, punti e),f),i) e dei paragrafi 7 ed 8) nell’ambito della Matrice di Shared Responsability di seguito riportato e comunque presente anche all’interno della Concessione: A tali misure infrastrutturali e di processo di cui alla matrice soprastante, si affiancano i Security Professional Service presenti nel presente Progetto con piena facoltà dell’Amministrazione di decidere se utilizzarli o meno. Il Polo può comunque supportare, ed implementare, concordandole con l’Amministrazione, tutte le misure necessarie atte a garantire la sicurezza dei dati Cliente trasferiti sul PSN, relativamente al nuovo sistema gestionale di laboratorio e microbiologia delle Aziende all’AIC N. 3. A tali misure infrastrutturali e di processo si affiancano le attività di gestione e miglioramento continuo anch’esse presenti nel Progetto. I servizi sono necessari per: ● Garantire la conformità ai requisiti normativi e cogenti. ● Valutare e applicare le best practice di cloud security. ● Mitigare il rischio cyber. ● Xxxxxxxx rischi e vulnerabilità prima e dopo il processo di migrazione. ● Prevedere, progettare ed implementare i controlli di sicurezza ● Supportare l’Amministrazione nella gestione della cybersicurezza. Di seguito vengono illustrati i diversi step delle fasi di gestione della sicurezza implementabili tramite i servizi professionali in oggetto Come già detto nel capitolo 5.5.1., alcuni servizi professionali di sicurezza sono attivati nelle fasi di cui si compone il progetto di migrazione come riportato in figura ed in particolare: ● Fase di Analisi/Discovery: o ICT Info gathering/Cyber Assessment, utilizzando il set di controlli definiti nell’ambito FNSC (Framework Nazionale di Sicurezza Cibernetica), integrato con le domande sul trattamento dei dati personali, definite dal GDPR (par.5.6.2.1.);
