Percorsi di autovalutazione digitale

Le check list ASG679© sono raggruppate in “percorsi di autovalutazione” per consentire di analizzare in profondità i diversi aspetti di determinati “perimetri aziendali” o di specifici “oggetti”, ovvero sono pensati per rispondere a specifici obiettivi di analisi.

L’utilizzo sistematico dei percorsi messi a disposizione produce per l’organizzazione risultati equivalenti all’output di servizi professionali di audit: in fase di attivazione delle check list il nostro Team Privacy offre tutta l’assistenza necessaria per individuare il percorso e le check list utili a raggiungere gli obiettivi aziendali.

Elenco dei percorsi di autovalutazione

PERCORSO A – Disegno del profilo di rischio legato all’attività svolta dall’organizzazione e al suo sistema informativo.

Il percorso, composto da due check list, si rivolge alle organizzazioni di tutti i settori.

  • A.1 – Azienda (tutti i settori): disegno del profilo di rischio
  • A.2 – Azienda (tutti i settori): rischi legati al sistema IT

PERCORSO BSS – Disegno del profilo di rischio legato all’attività svolta dall’organizzazione e al suo sistema informativo.

Il percorso è composto da due check list, si rivolge alle strutture private della sanità.

  • B.1 – Struttura della sanità privata: disegno del profilo di rischio
  • B.2 – Settore sanità: rischi legati al sistema IT

PERCORSO BSP – Disegno del profilo di rischio legato all’attività svolta dall’organizzazione e al suo sistema informativo.

Il percorso è composto da due check list, si rivolge alle strutture pubbliche della sanità.

  • B.3 – Azienda della sanità pubblica: disegno del profilo di rischio
  • B.4 – Settore sanità: rischi legati al sistema IT

PERCORSO CC – Verifica delle azioni di aderenza al GDPR.

Il percorso, composto da dieci check list, analizza le azioni di aderenza al GDPR messe in atto dall’organizzazione.

  • CC1 – Registri delle attività di trattamento
  • CC2 – Nomina del Data Protection Officer
  • CC3 – Organizzazione nel ruolo di responsabile
  • CC4 – Rapporti con i fornitori-responsabili
  • CC5 – Fornitori responsabili: autovalutazione delle garanzie
  • CC6 – Rapporti con gli interessati
  • CC7 – Rapporti con il personale dell’organizzazione
  • CC8 – Sistema di Gestione della Privacy
  • CC9 – Monitoraggio livello di compliance
  • CC11 – Incidenti e data breach
  • CC10 – Verifica ispettiva I fase

PERCORSO CA – Disegno del profilo di rischio-privacy legato alle attività.

Il percorso, composto da dieci check list, analizza alcune attività nelle quali possono essere trattati dati personali.

  • CA1 – Siti Web (compilabile per ogni sito Web aziendale)
  • CA2 – Assessment utilizzo dei cookies (compilabile per ogni sito Web aziendale)
  • CA3 – Sistemi di video sorveglianza (compilabile per ogni sistema di VDS utilizzato)
  • CA4 – Localizzazione di mezzi e/o persone
  • CA5 – Localizzazione automezzi
  • CA6 – Promozione tramite posta ordinaria
  • CA7 – Promozione tramite news letter
  • CA8 – Promozione tramite call center
  • CA9 – Promozione tramite messaggistica
  • CA10 – Promozione tramite agenzia esterna all’organizzazione

PERCORSO CF – Fornitori responsabili: autovalutazione delle garanzie prestate all’organizzazione dai fornitori esterni che trattano dati personali per conto del titolare.

Funzionamento

L’azienda che è registrata nel nostro sistema, chiede al fornitore di aderire alle Check list.

Il fornitore inserisce la P.IVA e la Ragione Sociale propria e dell’azienda con la quale ha rapporti e si registra nel sistema, quindi compila la Check list C20 nella quale sono presenti domande sul livello di garanzie offerte. 

Qualora l’azienda fornitore si avvalga di sub-fornitori può richiedere agli stesse di registrarsi ed auto-valutarsi

Riferimento normativo

L’art. 28 del GDPR al paragrafo 1 richiede alle aziende: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.”

PERCORSO D – Esame delle misure tecniche e organizzative messe in atto a difesa del sistema informativo.

Il percorso, composto da undici check list, si basa sul Framework Nazionale sulla Cybersecurity e la Data Protection.

  • D.1 – Verifica azioni di aderenza al GDPR (DP)
  • D.2 – Controlli essenziali di cybersecurity (CE)
  • D.3 – Identificare il contesto (Identify)
  • D.4 – Controllo di accesso (Protect)
  • D.5 – Formazione e sensibilizzazione (Protect)
  • D.6 – Protezione delle informazioni (Protect)
  • D.7 – Sicurezza dei dati (Protect)
  • D.8 – Manutenzione (Protect)
  • D.9 – Tecnologie di protezione (Protect)
  • D.10 – Individuare le minacce (Detect)
  • D.11 – Rispondere e recuperare (Respond & Recover)

PERCORSO DD – Esame delle misure tecniche e organizzative essenziali messe in atto per garantire la sicurezza informatica.

Il percorso, composto da sei check list, ha l’obiettivo di individuare le “misure essenziali” messe in atto dall’organizzazione per garantire la sicurezza informatica relativa a: 1) l’infrastruttura ICT (intesa come insieme di rete LAN, rete WLAN, computer, server, ambiente-ospite), 2) gli applicativi software utilizzati a supporto delle attività aziendali.

  • DD.1 – Continuità operativa dell’infrastruttura IT (compilabile per ogni CED di cui si avvale l’organizzazione).
  • DD.2 – Protezione degli asset IT (compilabile per l’insieme dei sistemi utilizzati).
  • DD.3 – Protezione dell’accesso logico agli applicativi software (compilabile per ogni applicativo software utilizzato).
  • DD.4 – Controllo delle operazioni informatiche compiute dagli utenti (compilabile per ogni applicativo software utilizzato).
  • DD.5 – Disponibilità dei dati (compilabile per ogni applicativo software utilizzato dall’organizzazione; oppure una sola volta se le misure sono utilizzate per tutti i dati trattati da tutti gli applicativi software utilizzati dall’organizzazione).
  • DD.6 – Protezione dei dati (compilabile per ogni applicativo software utilizzato).

PERCORSO E – Verifica delle modalità operative delle figure professionali di gestione dell’IT.

Il percorso è composto da due check list.

  • E.1 – Valutazione della operatività del Responsabile IT
  • E.2 – Valutazione della operatività dell’Amministratore di Sistema

PERCORSO F – Verifica delle modalità operative del personale (a cura dei responsabili operativi).

Il percorso è composto da quattro check list (F.1-2-3 compilabili per ogni funzione aziendale).

  • F.1 – Valutazione del rispetto della privacy nei comportamenti
  • F.2 – Valutazione delle modalità di utilizzo dell’IT
  • F.3 – Valutazione delle modalità di utilizzo dei documenti
  • F.4 – Valutazione delle azioni aziendali a supporto (Linee Guida)

PERCORSO G – Unità Operative delle organizzazioni sanitarie: profili di rischio e controlli.

Il percorso è composto da quattro check list, ognuna delle quali è indicato sia compilata per ogni unità operativa dello stesso tipo presente nella struttura sanitaria (compilabili per ogni unità operativa).

  • G.1 – Unità Operative di ricovero: disegno del profilo di rischio
  • G.2 – Unità Operative ambulatoriali: disegno del profilo di rischio
  • G.3 – Unità Operative consultoriali: disegno del profilo di rischio
  • G.4 – Unità Operative di diagnostica per immagini: disegno del profilo di rischio

PERCORSO L – Processi, progetti, servizi aziendali: analisi privacy by design-default, obiettivi di trasparenza e intervenibilità.

Il percorso è composto da quattro check list (compilabili per ogni processo/ progetto/ servizio).

  • L.1 – Rispetto dei principi e obiettivo di “intervenibilità”
  • L.2 – Soddisfazione dei diritti e obiettivo di “intervenibilità”
  • L.3 – Rispetto dei principi e obiettivo di “trasparenza”
  • L.4 – Soddisfazione dei diritti e obiettivo di “trasparenza”

PERCORSO M – Processi, progetti, servizi aziendali: analisi privacy by design e privacy engineering del software, non-collegabilità dei dati, altri obiettivi

Il percorso è composto da tre check list (compilabili per ogni processo/ progetto/ servizio).

  • M.1 – Analisi Privacy Engineering del Software
  • M.2 – Rispetto dei principi e obiettivo di “non collegabilità”
  • M.3 – Altri obiettivi di privacy e data protection

PERCORSO MS – Soluzioni software utilizzate da terzi (distribuite): analisi privacy by design e privacy engineering.

Il percorso è composto da cinque check list (compilabili per ogni applicativo software).

  • M.1 – Analisi Privacy Engineering del Software
  • M.2 – Rispetto dei principi e obiettivo di “non collegabilità”
  • M.3 – Altri obiettivi di privacy e data protection
  • M.4 – Provider software: analisi della sicurezza IT (Software Delivering & Maintenance Security)
  • M.5 – Operatore software (utilizzatore): analisi della sicurezza IT (Software Utilization Security)

PERCORSO MD – Dispositivi Medici: analisi della sicurezza IT, basata analisi della sicurezza IT dei dispositivi medici.

Il percorso, composto da cinque check list, si basa sulle linee-guida MDCG (compilabili per ogni dispositivo medico).

  • M1      Analisi Privacy Engineering del Software
  • M2      Rispetto dei principi e obiettivo di “non collegabilità”
  • M3      Altri obiettivi di privacy e data protection
  • M6      Provider di DM: analisi della sicurezza IT di sua competenza
  • M7      Operatore di DM (utilizzatore): analisi della sicurezza IT di sua competenza

PERCORSO H – Ambulatori odontoiatrici: profili di rischio e controlli (sede unica/centrale).

Il percorso è composto da sei check list dedicate ad altrettante aree tematiche (compilabili per ogni ambulatorio).

  • H1       Amb.ri odontoiatrici: disegno del profilo di rischio
  • H2       Amb.ri odontoiatrici: valutazione dell’aderenza al GDPR
  • H3       Amb.ri odontoiatrici: rischi legati al sistema IT
  • H4       Amb.ri odontoiatrici: rischi legati al personale impiegato
  • H5       Amb.ri odontoiatrici: rischi legati all’utilizzo dei supporti informativi
  • H6       Amb.ri odontoiatrici: rischi legati all’utilizzo dei sistemi di videosorveglianza

PERCORSO HP – Ambulatori odontoiatrici di un gruppo: profili di rischio e controlli (sedi periferiche).

Il percorso è composto da sei check list dedicate ad altrettante aree tematiche. È prevista la customizzazione in base alle esigenze del gruppo.

  • H7       Amb.ri odontoiatrici di un gruppo: disegno del profilo di rischio
  • H8       Amb.ri odontoiatrici di un gruppo: valutazione dell’aderenza al GDPR
  • H9       Amb.ri odontoiatrici di un gruppo: rischi legati al sistema IT
  • H4       Amb.ri odontoiatrici di un gruppo: rischi legati al personale impiegato
  • H5       Amb.ri odontoiatrici di un gruppo: rischi legati all’utilizzo dei supporti informativi
  • H6       Amb.ri odontoiatrici di un gruppo: rischi legati all’utilizzo dei sistemi di videosorveglianza

PERCORSO NP – Farmacie di un gruppo: profili di rischio e controlli.

Il percorso è composto da quattro check list dedicate ad altrettante aree tematiche. È prevista la customizzazione in base alle esigenze del gruppo.

  • NP.1 – Farmacie di un gruppo: disegno del profilo di rischio
  • NP.2 – Farmacie di un gruppo: valutazione dell’aderenza al GDPR
  • NP.3 – Farmacie di un gruppo: rischi legati al sistema IT
  • NP.4 – Farmacie di un gruppo: rischi legati al servizio di VDS

PERCORSO Q – Studi Medici Legali: profili di rischio e controlli.

Il percorso è composto da tre check list dedicate ad altrettante aree tematiche. È prevista la customizzazione in base alle esigenze del gruppo.

  • Q.1 – Rischi-privacy
  • Q.2 – Rispetto delle istruzioni operative
  • Q.3 – Rischio video sorveglianza

ECOSISTEMA DI AUDIT SULLA DIRETTIVA NIS

Sono stati predisposti 4 percorsi per analizzare specifici aspetti della Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016 recante le misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, attuata con il Decreto Legislativo del 18 maggio 2018, n.  65.

  • Il primo percorso (NIS ICP) contiene 9 check list per contestualizzare l’incidente con impatto.
  • Il secondo percorso (NIS MDS) contiene 14 check list per verificare le misure di sicurezza adottate nel tempo, appartenenti alle 3 diverse categorie individuate negli allegati B e C del DPCM 81/2021.
  • Il terzo percorso (NIS MAS) contiene 18 check list per verificare le misure di sicurezza adottate per proteggere gli ambiti di sicurezza individuati all’art. 1 comma 3b del DL 105/2009.
  • Inoltre, per facilitare la verifica della redazione dei documenti previsti dalle misure delle categorie A e B, è stato elaborato un quarto percorso (NIS DOC) che contiene 8 check list, che si riferiscono ai cinque obiettivi in cui è articolato il Framework nazionale per la cybersecurity e la data protection.

Prova la demo delle Check List

Abbiamo realizzato una versione demo delle nostre Check List per consentire agli utenti di testare il funzionamento del nostro sistema di autovalutazione. Compila le domande e riceverai un Report; se sei rimasto soddisfatto contattaci per costruire il set di valutazione più adatto alla tua azienda.

Richiedi maggiori informazioni!

Compila correttamente la form e invia subito la tua richiesta.