L’esercente dispone di un approccio a livello aziendale e di una struttura organizzativa appropriata per pianificare, attuare, sorvegliare e migliorare la gestione delle funzioni e delle attività orientate alla sicurezza dell’informazione (gestione della sicurezza dell’informazione).
L’esercente fissa obiettivi adeguati concernenti disponibilità, integrità, confidenzialità, verificabilità, autenticità, tracciabilità e non ripudiabilità di informazioni, e in particolare dei dati relativi a operazioni computate o gestite attraverso l’infrastruttura del mercato finanziario (obiettivi di sicurezza dell’informazione)
L’esercente adotta provvedimenti organizzativi e tecnici per conseguire gli obiettivi di sicurezza dell’informazione sia in regime di esercizio normale sia nel corso di lavori di sviluppo e di manutenzione e in periodi di accresciuto volume di transazioni. In particolare esso adotta misure precauzionali al fine di:
identificare, analizzare e valutare minacce interne ed esterne alla sicurezza dell’informazione e attuare, se necessario, opportune misure protettive;
garantire la sicurezza fisica delle istallazioni per l’elaborazione dei dati;
garantire il funzionamento sicuro e continuativo delle istallazioni per l’elaborazione dei dati;
controllare, registrare e valutare l’accesso a informazioni e alle istallazioni per l’elaborazione dei dati;
proteggere i dati dal pericolo di smarrimento, fuga, accesso non autorizzato, nonché da altri rischi connessi con l’elaborazione dei dati, come negligenza, frode, amministrazione carente e stoccaggio inadeguato;
garantire la memorizzazione e la trasmissione sicura di dati sensibili;
garantire il trattamento corretto e completo delle operazioni;
registrare e verificare le operazioni in tutte le fasi importanti del trattamento, e in particolare all’ingresso nel sistema di elaborazione dei dati e all’uscita da quest’ultimo.
registrare e sorvegliare gli interventi al sistema di elaborazione dei dati, come modifiche del software o dei parametri;
1 registrare, valutare prontamente e in forma standardizzata e correggere eventuali errori nel trattamento delle operazioni e disfunzioni nel sistema di elaborazione dei dati, nonché evitare che si ripresentino.
L’esercente verifica regolarmente l’appropriatezza e il conseguimento degli obiettivi di sicurezza dell’informazione di cui al capoverso 2.
Footnotes
Nuovo testo giusta il n. I dell’O della BNS del 26 nov. 2015, in vigore dal 1° gen. 2016 (RU 2015 5307). ↩
0 commentaries
No commentaries are available for this article yet.