Art. 9
Proprietari dei sistemi
In vigore dal 10 gen 2017
Proprietari dei sistemi
1. Il proprietario del sistema è responsabile della sicurezza informatica del CSI e riferisce al capo del servizio della Commissione.
2. In relazione alla sicurezza informatica, il proprietario del sistema:
a)
assicura la conformità del CIS alla politica in materia di sicurezza informatica;
b)
assicura che il CIS sia accuratamente registrato nel relativo inventario;
c)
valuta i rischi per la sicurezza informatica e determina le esigenze in materia di sicurezza informatica per ogni CIS, in collaborazione con i proprietari dei dati e in consultazione con la direzione generale dell'Informatica;
d)
elabora un piano di sicurezza che comprende, se del caso, precisazioni sui rischi stimati e eventuali ulteriori misure di sicurezza necessarie;
e)
attua misure di sicurezza informatica adeguate, proporzionali ai rischi individuati, e segue le raccomandazioni approvate dall'ISSB;
f)
individua le dipendenze in relazione ad altri CIS o servizi informatici condivisi e attua adeguate misure di sicurezza sulla base dei livelli di sicurezza proposti dai CIS o dai servizi informatici condivisi in questione:
g)
gestisce e monitora i rischi in materia di sicurezza informatica;
h)
riferisce periodicamente al capo del servizio della Commissione sul profilo di rischio per la sicurezza informatica dei CIS e riferisce alla direzione generale dell'Informatica in merito ai rischi connessi, alle attività di gestione dei rischi e alle misure di sicurezza adottate;
i)
consulta il LISO dei servizi competenti della Commissione in merito agli aspetti della sicurezza informatica;
j)
pubblica istruzioni per gli utenti sull'uso del CIS e dei dati associati nonché sulle responsabilità degli utenti relative al CIS;
k)
chiede l'autorizzazione della direzione generale Risorse umane e sicurezza, in qualità di autorità Crypto, per qualsiasi CIS che utilizzi le tecnologie di crittografia;
l)
consulta l'autorità di sicurezza della Commissione in anticipo in merito a qualsiasi sistema per il trattamento delle informazioni classificate dell'UE;
m)
garantisce che copie di backup di tutte le chiavi di decriptazione siano conservate in un conto bloccato di garanzia. Il recupero dei dati crittati è effettuato solo se autorizzato in conformità del quadro definito dalla direzione generale Risorse umane e sicurezza;
n)
rispetta le istruzioni dei controllori dei dati pertinenti in materia di protezione dei dati personali e di applicazione delle norme sulla protezione dei dati in materia di sicurezza del trattamento;
o)
informa la direzione generale dell'Informatica delle eccezioni alla politica di sicurezza informatica della Commissione, allegando le giustificazioni pertinenti;
p)
trasmette eventuali controversie non risolvibili tra il proprietario dei dati e il proprietario del sistema al capo del servizio della Commissione, comunica gli incidenti di sicurezza informatica alle pertinenti parti interessate in modo tempestivo, in funzione delle circostanze, a seconda della gravità dei casi di cui all';
q)
per i sistemi esternalizzati, assicura che adeguati sistemi di sicurezza informatica siano inclusi nei contratti di esternalizzazione e che gli incidenti di sicurezza informatica che si verificano nei CIS esternalizzati siano segnalati ai sensi dell';
r)
per i CIS che forniscono servizi informatici condivisi, garantisce che un determinato livello di sicurezza, chiaramente documentato, sia attuato e che misure di sicurezza siano attuate per i CIS in questione al fine di raggiungere il livello di sicurezza.
3. I proprietari dei sistemi possono formalmente delegare alcuni o tutti i loro compiti in materia di sicurezza informatica, ma restano responsabili della sicurezza informatica dei loro CIS.
I processi relativi a queste responsabilità e attività sono ulteriormente dettagliati nelle norme di attuazione.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:dec:2017:46:oj#art-9