L’adeguatezza delle misure di sicurezza deve essere valutata, e poi rivalutata con cadenza almeno semestrale attraverso le regole che sono riportate in questo manuale ma soprattutto, tenendo conto delle conoscenze acquisite in base al progresso tecnico, alla natura dei dati trattati e alle specifiche caratteristiche del trattamento, comunque la valutazione sulle misure di sicurezza va effettuata anche a fronte di una novità che impatta sull’area sottoposta a trattamento.
Di pari passo si provvede a verificare anche la correttezza del registro del trattamento con la stessa cadenza, ben sapendo che a fronte di un cambiamento nella politica dei rischi molto probabilmente corrisponderà una variazione anche nel registro del trattamento.
Per evitare fraintendimenti o peggio ancora delle stime del rischio sopravalutate o sotto valutate la check-list prodotta sui rischi viene elaborata attraverso incontri specifici con le persone individuate e ritenute idonee a partecipare a questo studio.
Trattando qui di protezione si ritiene opportuno non rendere pubblica questa lista su tale manuale, che ricordiamo deve rimanere ad uso interno, la consultazione può essere richiesta al titolare o al responsabile/DPO che deve valutarne la fattibilità a fronte della motivazione.
Il titolare e tutte le funzioni predisposte, hanno proceduto a verificare il rispetto delle misure di sicurezza e delle procedure, identificando attraverso al gestione del rischio gli asset da proteggere:
· rete di comunicazione elettronica;
· server;
· elaboratori elettronici;
· software utilizzati
· informazioni di natura sensibile;
· la lista dei dati sottoposti a protezione
· accessi fisici