Dipartimento federale delle finanze DFF
Organo direzione informatica della Confederazione ODIC
Sicurezza TIC
Versione 2.0
Analisi del bisogno di protezione
del 19 dicembre 2013 (Stato 1° marzo 2015)
Visto il numero 3.2 delle Istruzioni del 14 agosto 2013 del Consiglio federale sulla sicurezza
TIC nell’Amministrazione federale, l’ODIC emana le seguenti direttive.
Analisi del bisogno di protezione
1 Analisi del bisogno di protezione
In occasione dell’analisi del bisogno di protezione occorre osservare imperativamente almeno quanto segue:
1.1 Dati riferiti all’oggetto da proteggere














Nome del progetto / Dipartimento / Ufficio
Numero del progetto / ID del progetto
Nome dell’oggetto da proteggere
Descrizione del progetto
Classificazione del bisogno di protezione
Responsabile del processo operativo (nome, unità organizzativa, telefono, e-mail)
Committente (nome, unità organizzativa, telefono, e-mail)
Responsabile dell’applicazione (nome, unità organizzativa, telefono, e-mail)
Capoprogetto (nome, unità organizzativa, telefono, e-mail)
Responsabile della sicurezza informatica e della protezione dei dati (nome, unità organizzativa, telefono, e-mail)
Incaricato della sicurezza informatica (nome, unità organizzativa, telefono, e-mail)
Consulente della protezione dei dati (nome, unità organizzativa, telefono, e-mail)
Documento compilato da (nome, unità organizzativa, telefono, e-mail)

Verifica del responsabile della sicurezza dei dati (data, nome, unità organizzativa, telefono, e-mail)
Approvazione del committente e del responsabile del processo operativo (data, nome,
unità organizzativa, telefono, e-mail)


Controlli delle modifiche
Distribuzione
Ulteriori dati possono essere richiesti in singoli casi.
2/3
Analisi del bisogno di protezione
1.2 Analisi del bisogno di protezione
In occasione dell’analisi del bisogno di protezione occorre valutare imperativamente almeno
quanto segue:
Valutazione
concernente
Confidenzialità
Domanda
Vengono elaborati dati degni di protezione (irrilevanti ai sensi della LPD
/ OPrI)?
Che genere di dati personali vengono elaborati (ai sensi della legge
sulla protezione dei dati, LPD)?
I dati / le informazioni devono essere classificati (secondo l’ordinanza sulla protezione delle informazioni, OPrl)?
Disponibilità
Durata massima consentita di
inattività
Orari di servizio
Integrità
Tracciabilità
Necessità di prevenzione delle catastrofi (business continuity management)?
Deve poter essere garantita l’autenticità, la correttezza e/o l’integrità dei
dati?
Devono essere dimostrati determinati processi lavorativi?
Risposte
Nessun requisito elevato relativo al
bisogno di protezione (irrilevante ai
sensi della LPD / OPrI)
Requisito elevato relativo al bisogno
di protezione (irrilevante ai sensi
della LPD / OPrI
Nessun bisogno di protezione
Bisogno di protezione ridotto
Bisogno di protezione medio
Bisogno di protezione elevato
Bisogno di protezione molto elevato
Non classificato
Classificazione: AD USO INTERNO
Classificazione: CONFIDENZIALE
Classificazione: SEGRETO
Più di un giorno
Massimo un giorno
Meno di un giorno
Orari di servizio standard
Orari di servizio prolungati
Orari di servizio 7x24
No
Sì
Nessun requisito particolare
Requisiti particolari
Nessun requisito particolare
Requisiti particolari
Ulteriori criteri di valutazione possono essere richiesti in singoli casi.
3/3