NEWS

La gestione dei supporti di memorizzazione: le indicazioni dalla Linea Guida ISO/IEC 27002:2022

 
La ISO/IEC 27001:2022 affronta il tema della gestione dei supporti contenenti dati attraverso numerosi controlli (8.3.1, 8.3.2, 8.3.3 e 11.2.5). Il tema che ha rilevanti implicazioni sulla protezione dei dati personali. Indicazioni, di carattere operativo che, possono essere considerate misure di accountability, sono contenute nella ISO/IEC 27002:2022 e specificatamente nel controllo 7.10 “Storage Media” - Supporti di memorizzazione. Ovviamente le indicazioni relative alla gestione dei supporti non si limita a quelli elettronici (es. HD, dischi esterni, nastri di back-up, supporti contenenti dati biometrici), ma deve essere estesa anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. 
Monica Perego
 (Nella foto: Monica Perego, docente al Corso ISO/IEC 27701:2019 e Sistemi di Gestione Privacy)
 
Questo articolo affronta il tema della gestione di tali supporti, approfondendo le indicazioni contenute nella Linea Guida ISO/IEC 27002:2022.
 
Il controllo 7.10 della ISO/IEC 27001:2013 -  Il controllo 7.10 “Storage media” - Supporti di memorizzazione, prevede, in sintesi, che i supporti di memorizzazione siano gestiti nel corso di tutto il loro ciclo di vita - acquisizione, utilizzo, trasporto e smaltimento - in modo congruente con il livello di classificazione delle informazioni che vi sono contenute.
 
Per il rispetto della normativa sulla protezione dei dati i supporti di memorizzazione devono essere gestiti nel corso di tutto il loro ciclo di vita
 
Lo scopo del controllo è quello di garantire solo la divulgazione, la modifica, la rimozione o la distruzione sulla base delle autorizzazioni delle informazioni sull'archiviazione su tali supporti. Il controllo presenta le seguenti caratteristiche:
 
 
La Linea Guida ISO/IEC 27002 fornisce indicazioni sia per quanto riguarda la gestione dei supporti rimovibili contenenti dati che per il loro riutilizzo sicuro o distruzione. In questo articolo svilupperemo la prima parte. 
 
Emerge infatti, a riguardo, un interessante elenco di elementi da considerare, di seguito analizzati con una serie di note integrative.
 
 
Linee guida per la gestione dei supporti di memorizzazione rimovibili - I punti di attenzione individuati si applicano sia ai supporti elettronici che cartacei e, più in generale, anche ad ogni altro tipo di supporto:
 
 
Integrazioni -  La ISO/IEC 27001:2022 specifica inoltre che:
 
- le indicazioni fornite nel controllo, includono anche documenti cartacei; 
- quando si trasferiscono supporti fisici che contengono dati bisogna applicare le misure previste dal controllo 5.14 “Information transfer” – Trasferimento di informazioni;
- quando le informazioni riservate sui supporti di memorizzazione non sono crittografate, devono essere valutate misure rafforzate per la loro gestione.
 
Conclusione - Le implicazioni connesse alla gestione dei supporti contenenti dati (non solo personali) implicano la definizione di misure di accountability. Ancora una volta la ISO/IEC 27001 attraverso la linea guida ISO/IEC 27002:2022 fornisce preziose indicazioni, che devono essere applicate in relazione al contesto come indica l’art. 32 del GDPR; per mitigare i rischi di perdita di riservatezza, disponibilità ed integrità.
 
Nota: per le parti della ISO/IEC 27002, libera traduzione ed integrazioni a cura dell’autrice
 

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy - Twitter: monica_perego

Prev Le relazioni tra Gdpr e la Norma ISO/IEC 27001
Next La funzione di 'anonimizzazione' dell’indirizzo IP non risolve i problemi di privacy di Google Analytics

Seminario 'Le nuove sfide della privacy in ambito di lavoro nell’era digitale'

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy