D.P.C.M. 13.01.2004

1. Il certificatore deve definire un piano per la sicurezza nel quale devono essere contenuti almeno i seguenti elementi:

a) struttura generale, modalità operativa e struttura logistica;

b) descrizione dell'infrastruttura di sicurezza per ciascun immobile rilevante ai fini della sicurezza;

c) allocazione dei servizi e degli uffici negli immobili;

d) elenco del personale e sua allocazione negli uffici;

e) attribuzione delle responsabilità;

f) algoritmi crittografici o altri sistemi utilizzati;

g) descrizione delle procedure utilizzate nell'attività di certificazione;

h) descrizione dei dispositivi installati;

i) descrizione dei flussi di dati;

l) procedura di gestione delle copie di sicurezza dei dati;

m) procedura di gestione dei disastri;

n) analisi dei rischi;

o) descrizione delle contromisure;

p) specificazione dei controlli.

2. Fatto salvo quanto disposto al comma 3, il piano per la sicurezza, sottoscritto dal legale rappresentante del certificatore, deve essere consegnato al dipartimento in busta sigillata.

3. Le informazioni di cui al comma 1, lettere b), c) e d) devono essere consegnate al dipartimento in una busta sigillata, che verrà aperta solo in caso di contestazioni, diversa da quella nella quale è contenuto il piano per la sicurezza.

4. Il piano per la sicurezza deve attenersi quanto meno alle misure minime di sicurezza per il trattamento dei dati personali emanate ai sensi dell'art. 33, del decreto legislativo 30 giugno 2003, n. 196.