NEWS

La gestione dei supporti di memorizzazione: le indicazioni dalla Linea Guida ISO/IEC 27002:2022

 
La ISO/IEC 27001:2022 affronta il tema della gestione dei supporti contenenti dati attraverso numerosi controlli (8.3.1, 8.3.2, 8.3.3 e 11.2.5). Il tema che ha rilevanti implicazioni sulla protezione dei dati personali. Indicazioni, di carattere operativo che, possono essere considerate misure di accountability, sono contenute nella ISO/IEC 27002:2022 e specificatamente nel controllo 7.10 “Storage Media” - Supporti di memorizzazione. Ovviamente le indicazioni relative alla gestione dei supporti non si limita a quelli elettronici (es. HD, dischi esterni, nastri di back-up, supporti contenenti dati biometrici), ma deve essere estesa anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati. 
Monica Perego
 (Nella foto: Monica Perego, docente al Corso ISO/IEC 27701:2019 e Sistemi di Gestione Privacy)
 
Questo articolo affronta il tema della gestione di tali supporti, approfondendo le indicazioni contenute nella Linea Guida ISO/IEC 27002:2022.
 
Il controllo 7.10 della ISO/IEC 27001:2013 -  Il controllo 7.10 “Storage media” - Supporti di memorizzazione, prevede, in sintesi, che i supporti di memorizzazione siano gestiti nel corso di tutto il loro ciclo di vita - acquisizione, utilizzo, trasporto e smaltimento - in modo congruente con il livello di classificazione delle informazioni che vi sono contenute.
 
Per il rispetto della normativa sulla protezione dei dati i supporti di memorizzazione devono essere gestiti nel corso di tutto il loro ciclo di vita
 
Lo scopo del controllo è quello di garantire solo la divulgazione, la modifica, la rimozione o la distruzione sulla base delle autorizzazioni delle informazioni sull'archiviazione su tali supporti. Il controllo presenta le seguenti caratteristiche:
 
 
La Linea Guida ISO/IEC 27002 fornisce indicazioni sia per quanto riguarda la gestione dei supporti rimovibili contenenti dati che per il loro riutilizzo sicuro o distruzione. In questo articolo svilupperemo la prima parte. 
 
Emerge infatti, a riguardo, un interessante elenco di elementi da considerare, di seguito analizzati con una serie di note integrative.
 
 
Linee guida per la gestione dei supporti di memorizzazione rimovibili - I punti di attenzione individuati si applicano sia ai supporti elettronici che cartacei e, più in generale, anche ad ogni altro tipo di supporto:
 
 
Integrazioni -  La ISO/IEC 27001:2022 specifica inoltre che:
 
- le indicazioni fornite nel controllo, includono anche documenti cartacei; 
- quando si trasferiscono supporti fisici che contengono dati bisogna applicare le misure previste dal controllo 5.14 “Information transfer” – Trasferimento di informazioni;
- quando le informazioni riservate sui supporti di memorizzazione non sono crittografate, devono essere valutate misure rafforzate per la loro gestione.
 
Conclusione - Le implicazioni connesse alla gestione dei supporti contenenti dati (non solo personali) implicano la definizione di misure di accountability. Ancora una volta la ISO/IEC 27001 attraverso la linea guida ISO/IEC 27002:2022 fornisce preziose indicazioni, che devono essere applicate in relazione al contesto come indica l’art. 32 del GDPR; per mitigare i rischi di perdita di riservatezza, disponibilità ed integrità.
 
Nota: per le parti della ISO/IEC 27002, libera traduzione ed integrazioni a cura dell’autrice
 

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Garante Privacy, in 10 anni dimezzate le richieste di informazioni e raddoppiati reclami e segnalazioni
Next La funzione di 'anonimizzazione' dell’indirizzo IP non risolve i problemi di privacy di Google Analytics

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy