Le Check List di controllo (audit)

Ogni sistema di gestione si fonda sul processo messo in atto per valutare e stabilire quanto siano stati soddisfatti i criteri di riferimento (conformità) indicati da norme, provvedimenti, disposizioni, determine, standard, linee-guida, best practices.

I percorsi di autovalutazione di seguito elencati nascono per sostituire le attività svolte in sede, riducendo così i tempi, l’impiego di risorse, i costi dell’audit.

Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) di somministrazione delle check list di cui sono composti i percorsi, accessibile a questo link, consente all’organizzazione di stabilire quanto siano stati soddisfatti i criteri di riferimento.

I risultati dell’audit rappresentano per l’organizzazione il vantaggio di individuare, tra le misure previste o consigliate, quelle non adottate.

La fotografia della situazione in essere permette all’organizzazione di dare una dimensione al gap tra le misure attese e quelle indicate.

Gli ambiti di controllo disponibili tramite le check list di controllo riguardano:

  • Le azioni peraderire al GDPR
    • percorso CC “Verifica delle azioni di aderenza al GDPR (compliance)”
    • percorso CA “Disegno del profilo di rischio-privacy legato alle attività
    • percorso CF “Fornitori responsabili: autovalutazione delle garanzie”
  • Le misure di cyber security
    • percorso D “Controlli di cybersecurity del Framework Nazionale”
    • percorso DD “Controlli essenziali di cybersecurity”
    • percorso DE “Controlli ENISA di cybersecurity per le PMI”
    • percorso DAA “Misure di sicurezza ICT AgID per le pubbliche amministrazioni: livello ALTO”
    • percorso DAS “Misure di sicurezza ICT AgID per le pubbliche amministrazioni: livello STANDARD”
    • percorso DAM “Misure di sicurezza ICT AgID per le pubbliche amministrazioni: livello MINIMO”
  • Il rispetto dei requisiti di trasparenza e intervenibilità di un processo, servizio implementato o erogato dall’organizzazione:
    • percorso L “Privacy by design-default: obiettivi di trasparenza e intervenibilità”
  • Il rispetto dei requisiti di software engineering e data protection di una soluzione software utilizzata dall’organizzazione:
    • percorso M “Privacy by design-default: software engineering, non-collegabilità ed altri obiettivi”
  • Il rispetto dei requisiti di software engineering e data protection di una soluzione software utilizzata da terzi (distribuita) e le azioni di sicurezza IT di competenza sia della software house e che dell’organizzazione che lo utilizza:
    • percorso MS “Software utilizzato da terzi (distribuito): privacy by design-default e sicurezza IT dei soggetti”
  • Il rispetto dei requisiti di sicurezza IT di un dispositivo medico equipaggiato con software:
    • percorso MDP “Sicurezza IT dei DM: misure del Provider”
    • percorso MDO “Sicurezza IT dei DM: misure dell’Operatore”
  • Le misure di sicurezza di elevato livello e adottate per proteggere gli ambiti di sicurezza per gli Operatori di Servizi Essenziali (Direttiva UE 2016/1148 o NIS 1, Direttiva UE 2022/2555 o NIS 2):
    • percorso NIS MDS per verificare le “misure di sicurezza di elevato livello” adottate nel tempo
    • percorso NIS MAS per verificare le misure di sicurezza adottate per “proteggere gli ambiti di sicurezza”.