Ogni sistema di gestione si fonda sul processo messo in atto per valutare e stabilire quanto siano stati soddisfatti i criteri di riferimento (conformità) indicati da norme, provvedimenti, disposizioni, determine, standard, linee-guida, best practices.
I Percorsi di autovalutazione di seguito elencati nascono per sostituire le attività svolte in sede, riducendo così i tempi, l’impiego di risorse, i costi dell’audit.
Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) di somministrazione delle check list di cui sono composti i Percorsi consente all’organizzazione di stabilire quanto siano stati soddisfatti i criteri di riferimento.
I risultati dell’audit rappresentano per l’organizzazione il vantaggio di individuare, tra le misure previste o consigliate, quelle non adottate.
La fotografia della situazione in essere permette all’organizzazione di dare una dimensione al gap tra le misure attese e quelle indicate.
Gli ambiti di controllo disponibili tramite le check list di controllo riguardano:
- Le azioni per aderire al GDPR: Percorso CC “Verifica delle azioni di aderenza al GDPR (compliance)”, percorso CA “Disegno del profilo di rischio-privacy legato alle attività, Percorso CF “Fornitori responsabili: autovalutazione delle garanzie”. Percorso AFR “Autovalutazione fornitori responsabili”.
- Le misure di cyber security: Percorso D “Controlli di cybersecurity del Framework Nazionale”, Percorso DD “Controlli essenziali di cybersecurity”, Percorso DE “Controlli ENISA di cybersecurity per le PMI”, Percorso DAA “Misure di sicurezza ICT AgID per le pubbliche amministrazioni: livello ALTO”, Percorso DAS “Misure di sicurezza ICT AgID per le pubbliche amministrazioni: livello STANDARD”, Percorso DAM “Misure di sicurezza ICT AgID per le pubbliche amministrazioni: livello MINIMO”.
- Il rispetto dei requisiti di trasparenza e intervenibilità di un processo, servizio implementato o erogato dall’organizzazione: Percorso L “Privacy by design-default: obiettivi di trasparenza e intervenibilità”.
- Il rispetto dei requisiti di software engineering e data protection
- di una soluzione software utilizzata dall’organizzazione: Percorso M “Privacy by design-default: software engineering, non-collegabilità ed altri obiettivi”;
- di una soluzione software utilizzata da terzi (distribuita) e le azioni di sicurezza IT di competenza sia della software house e che dell’organizzazione che lo utilizza: Percorso MS “Software utilizzato da terzi (distribuito): privacy by design-default e sicurezza IT dei soggetti”.
- Il rispetto dei requisiti di sicurezza IT di un dispositivo medicoequipaggiato con software: Percorso MDP “Sicurezza IT dei DM: misure del Provider”, Percorso MDO “Sicurezza IT dei DM: misure dell’Operatore”.
- Le misure per garantire la continuità operativa degli Operatori dei Servizi Importanti ed Essenziali (Direttiva UE 2016/1148 o NIS 1, Direttiva UE 2022/2555 o NIS 2): nove Percorsi relativi alla direttiva europea NIS2: NIS2_SOG Individuazione dei soggetti essenziali e importanti, profilo del servizio erogato; NIS2_MIS Misure tecniche, operative e organizzative di sicurezza delle risorse IT (Information Technologies), profilo del servizio erogato. NIS2_SCS Sicurezza della catena di approvvigionamento. NIS2_TINC Individuazione del tipo di incidente rilevato. NIS2_AINC Analisi dell’incidente, risorse IT impattate ed effetti. NIS2_GINC Notifica, risposta e gestione dell’incidente. NIS2_OT Misure tecniche, operative e organizzative di sicurezza delle risorse OT (Operational Technologies), profilo del servizio erogato. NIS2_SOGG Individuazione dei soggetti critici e del PNSC. quattro Percorsi relativi alla direttiva europea NIS1: NIS_MDS per verificare le “misure di sicurezza di elevato livello” adottate nel tempo; NIS_MAS per verificare le misure di sicurezza adottate per “proteggere gli ambiti di sicurezza”; NIS_ICP per verificare il tipo di incidente con impatto occorso; NIS_DOC per verificare se sono stati redatti i documenti previsti.