Valutazione del Rischio GDPR

Applicazione per l'automatizzazione della metodologia di valutazione del rischio basata sulla metodologia di ENISA

Informazioni sulla Valutazione

Finalità del Trattamento

Descrivi la finalità del trattamento per cui stai valutando il rischio:

Fase 1: Valutazione dell'Impatto

Seleziona il livello di impatto potenziale per ciascuna categoria:

Riservatezza (Confidentiality)

Impatto in caso di accesso non autorizzato o divulgazione dei dati

Basso

Divulgazione limitata a dati poco sensibili

Medio

Divulgazione di dati personali ordinari

Alto

Divulgazione di dati sensibili o categorie particolari

Molto alto

Divulgazione di dati altamente sensibili con grave pregiudizio

Integrità (Integrity)

Impatto in caso di alterazione, modifica non autorizzata o corruzione dei dati

Basso

Alterazione minore facilmente correggibile

Medio

Alterazione che richiede tempo/risorse per la correzione

Alto

Alterazione che compromette processi decisionali o operativi

Molto alto

Alterazione irreversibile con conseguenze critiche

Disponibilità (Availability)

Impatto in caso di indisponibilità dei dati o dei sistemi

Basso

Interruzione breve con impatto minimo

Medio

Interruzione che causa disagi operativi

Alto

Interruzione prolungata con danni finanziari/operativi

Molto alto

Interruzione critica che mette a rischio la continuità aziendale

Impatto Complessivo: -

L'impatto complessivo è il più alto tra i tre valori selezionati

Fase 2: Valutazione della Probabilità di Minacce

Rispondi alle seguenti domande per ciascuna delle quattro aree di valutazione. Ogni risposta affermativa indica la presenza di un rischio.

A. Risorse di rete e tecnologiche

1. Vi sono parti del trattamento svolte attraverso Internet?
2. È possibile accedere a un Sistema interno di trattamento dati attraverso Internet (per esempio, riguardo a certi utenti o gruppi di utenti)?
3. Il Sistema di trattamento dati personali è interconnesso a un altro Sistema o Servizio IT interno o esterno al Vostro ente?
4. È facile per soggetti non autorizzati accedere all'ambiente di trattamento dati?
5. Il Sistema di trattamento dati personali è progettato, implementato o manutenuto senza seguire le migliori pratiche del settore?

B. Processi e procedure

6. Ruoli e procedure relative al trattamento di dati personali sono definiti in modo incerto o insufficiente?
7. L'utilizzo accettabile delle risorse di rete, di Sistema e fisiche all'interno dell'ente è definito in modo incerto o insufficiente?
8. Ai dipendenti è consentito portare con sé e utilizzare i propri dispositivi collegandoli al Sistema di trattamento dati personali?
9. Ai dipendenti è consentito trasferire, memorizzare o comunque trattare dati personali al di fuori del perimetro dell'ente?
10. Le attività di trattamento dati personali possono essere svolte senza che ciò comporti la creazione di file di registrazione eventi (log files)?

C. Soggetti e persone coinvolti

11. Il trattamento di dati personali è svolto da un numero indefinito di dipendenti?
12. Vi sono parti del trattamento svolte da un agente o da un soggetto terzo (responsabile del trattamento)?
13. Gli obblighi dei soggetti/delle persone coinvolti nel trattamento di dati personali sono fissati in modo incerto o insufficiente?
14. Il personale che partecipa al trattamento di dati personali non ha conoscenze in materia di sicurezza delle informazioni?
15. I soggetti/le persone che partecipano al trattamento di dati personali omettono di conservare in modo sicuro e/o distruggere i dati personali?

D. Settore di attività e scala del trattamento

16. Ritenete che il Vostro settore di attività sia passibile di attacchi cibernetici (cyberattacks)?
17. L'ente ha subito attacchi cibernetici o altre tipologie di violazioni della sicurezza negli ultimi due anni?
18. Sono stati ricevuti notifiche e/o reclami relativamente alla sicurezza dei sistemi IT (utilizzati per il trattamento di dati personali) nell'ultimo anno?
19. Un trattamento riguarda volumi consistenti di dati personali e/o un numero consistente di persone fisiche?
20. Esistono migliori pratiche in materia di sicurezza specifiche del settore di attività dell'ente che non siano state implementate in misura adeguata?