Ogni sistema di gestione si fonda sul processo messo in atto per valutare e stabilire quanto siano stati soddisfatti i criteri di riferimento (conformità) indicati da norme, provvedimenti, disposizioni, determine, standard, linee-guida, best practices.
I percorsi di autovalutazione di seguito elencati nascono per sostituire le attività svolte in sede, riducendo così i tempi, l’impiego di risorse, i costi dell’audit.
Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) di somministrazione delle check list di cui sono composti i percorsi, accessibile a questo link, consente all’organizzazione di stabilire quanto siano stati soddisfatti i criteri di riferimento.
I risultati dell’audit rappresentano per l’organizzazione il vantaggio di individuare, tra le misure previste o consigliate, quelle non adottate.
La fotografia della situazione in essere permette all’organizzazione di dare una dimensione al gap tra le misure attese e quelle indicate.
Gli ambiti di controllo disponibili tramite le check list di controllo riguardano:
- Le azioni peraderire al GDPR
- percorso CC “Verifica delle azioni di aderenza al GDPR (compliance)”
- percorso CA “Disegno del profilo di rischio-privacy legato alle attività
- percorso CF “Fornitori responsabili: autovalutazione delle garanzie”
- Le misure di cyber security
- percorso D “Controlli di cybersecurity del Framework Nazionale”
- percorso DD “Controlli essenziali di cybersecurity”
- percorso DE “Controlli ENISA di cybersecurity per le PMI”
- percorso DAA “Misure di sicurezza ICT AgID per le pubbliche amministrazioni: livello ALTO”
- percorso DAS “Misure di sicurezza ICT AgID per le pubbliche amministrazioni: livello STANDARD”
- percorso DAM “Misure di sicurezza ICT AgID per le pubbliche amministrazioni: livello MINIMO”
- Il rispetto dei requisiti di trasparenza e intervenibilità di un processo, servizio implementato o erogato dall’organizzazione:
- percorso L “Privacy by design-default: obiettivi di trasparenza e intervenibilità”
- Il rispetto dei requisiti di software engineering e data protection di una soluzione software utilizzata dall’organizzazione:
- percorso M “Privacy by design-default: software engineering, non-collegabilità ed altri obiettivi”
- Il rispetto dei requisiti di software engineering e data protection di una soluzione software utilizzata da terzi (distribuita) e le azioni di sicurezza IT di competenza sia della software house e che dell’organizzazione che lo utilizza:
- percorso MS “Software utilizzato da terzi (distribuito): privacy by design-default e sicurezza IT dei soggetti”
- Il rispetto dei requisiti di sicurezza IT di un dispositivo medico equipaggiato con software:
- percorso MDP “Sicurezza IT dei DM: misure del Provider”
- percorso MDO “Sicurezza IT dei DM: misure dell’Operatore”
- Le misure di sicurezza di elevato livello e adottate per proteggere gli ambiti di sicurezza per gli Operatori di Servizi Essenziali (Direttiva UE 2016/1148 o NIS 1, Direttiva UE 2022/2555 o NIS 2):
- percorso NIS MDS per verificare le “misure di sicurezza di elevato livello” adottate nel tempo
- percorso NIS MAS per verificare le misure di sicurezza adottate per “proteggere gli ambiti di sicurezza”.