Percorsi di autovalutazione digitale

Le check list di autovalutazione sono raggruppate in “percorsi” per consentire alle organizzazioni di analizzare in profondità i diversi aspetti di determinati “perimetri aziendali” o di specifici “oggetti”, ovvero sono pensati per rispondere a specifici obiettivi di analisi.

L’utilizzo sistematico delle check list somministrate dalla nostra piattaforma digitale produce per l’organizzazione risultati equivalenti all’output di servizi professionali di audit.

Il nostro Team Privacy offre tutta l’assistenza necessaria per individuare il percorso e le check list utili a raggiungere gli obiettivi aziendali.

Elenco dei percorsi di assessment

Percorsi sui profili di rischio (assessment)

Percorso

Check list contenute

Finalità

PERCORSO A – Azienda (tutti i settori): disegno del profilo di rischio legato all’attività e al sistema informativo.

A.1 – Azienda (tutti i settori): disegno del profilo di rischio

A.2 – Azienda (tutti i settori): rischi legati al sistema IT

Disegnare il profilo di rischio generale, dell’organizzazione e del sistema informativo utilizzato, in base alle dimensioni ed alla complessità.

PERCORSO BSS – Struttura della sanità privata: disegno del profilo di rischio legato all’attività e al sistema informativo.

B.1 – Struttura della sanità privata: disegno del profilo di rischio

B.2 – Settore sanità: rischi legati al sistema IT

Disegnare il profilo di rischio generale, dell’organizzazione e del sistema informativo utilizzato, in base alle dimensioni ed alla complessità.

PERCORSO BSP – Azienda della sanità pubblica: disegno del profilo di rischio legato all’attività e al sistema informativo.

B.3 – Azienda della sanità pubblica: disegno del profilo di rischio

B.4 – Settore sanità: rischi legati al sistema IT

Disegnare il profilo di rischio generale, dell’organizzazione e del sistema informativo utilizzato, in base alle dimensioni ed alla complessità.

PERCORSO E – Modalità operative delle figure professionali dell’IT.

E.1 – Valutazione della operatività del Responsabile IT

E.2 – Valutazione della operatività dell’Amministratore di Sistema

Individuare eventuali criticità nelle modalità con cui operano le due figure-chiave dell’IT aziendale.

PERCORSO F – Modalità operative del personale.

 

F.1 – Valutazione del rispetto della privacy nei comportamenti

F.2 – Valutazione delle modalità di utilizzo dell’IT

F.3 – Valutazione delle modalità di utilizzo dei documenti

F.4 – Valutazione delle azioni aziendali a supporto (Linee Guida)

Individuare eventuali criticità nelle modalità con cui il personale opera all’interno dell’organizzazione.

NOTE

Le check list F.1-2-3 sono compilabili per ogni funzione aziendale (o unità operativa) presente nell’organizzazione; la check list F4 vale per l’intera azienda, in quanto individua le misure messe a disposizione del personale dell’organizzazione.

PERCORSO G – Unità Operative delle organizzazioni sanitarie: profili di rischio e controlli.

G.1 – Unità Operative di ricovero: disegno del profilo di rischio

G.2 – Unità Operative ambulatoriali: disegno del profilo di rischio

G.3 – Unità Operative consultoriali: disegno del profilo di rischio

G.4 – Unità Operative di diagnostica per immagini: disegno del profilo di rischio

G.5 – Unità Operative di analisi cliniche: disegno del profilo di rischio

Disegnare il profilo di rischio delle singole unità operative in base alle dimensioni ed alla complessità.

NOTE

Va compilata la corrispondente check list per ogni unità operativa dello stesso tipo presente nella struttura sanitaria.

PERCORSO H – Ambulatori odontoiatrici: profili di rischio e controlli (sede unica/centrale).

H1 – Amb.ri odontoiatrici: disegno del profilo di rischio

H2 – Amb.ri odontoiatrici: valutazione dell’aderenza al GDPR

H3 – Amb.ri odontoiatrici: rischi legati al sistema IT

H4 – Amb.ri odontoiatrici: rischi legati al personale impiegato

H5 – Amb.ri odontoiatrici: rischi legati all’utilizzo dei supporti informativi

H6 – Amb.ri odontoiatrici: rischi legati all’utilizzo dei sistemi di videosorveglianza

Disegnare il profilo di rischio e la compliance degli ambulatori odontoiatrici.

 

Percorsi per il controllo delle sedi operative dei gruppi

Percorso

Check list contenute

Finalità

PERCORSO HC – Lab. Analisi cliniche di un gruppo: profili di rischio e controlli.

PERCORSO HP – Ambulatori odontoiatrici di un gruppo: profili di rischio e controlli (sedi periferiche).

PERCORSO NP – Farmacie di un gruppo: profili di rischio e controlli.

PERCORSO Q – Studi Medici Legali: profili di rischio e controlli.

A seconda del settore sono utilizzate:

Profilo di rischio generale

Valutazione dell’aderenza al GDPR

Adeguatezza dei comportamenti del personale in merito alla privacy

Modalità di utilizzo degli strumenti informatici da parte del personale

Modalità di utilizzo dei documenti cartacei da parte del personale

Formalizzazione dei corretti comportamenti richiesti al personale

Rischi legati al sistema IT

Sistemi di videosorveglianza

Rischi legati all’utilizzo dei supporti informativi (solo odonto)

Disegnare il profilo di rischio delle singole sedi operative di gruppi aziendali, in base alle dimensioni ed alla complessità.

Elenco dei percorsi di audit

Percorsi sui controlli (audit) – PRIVACY

Percorso

Check list contenute

Finalità

PERCORSO CC – Verifica delle azioni di aderenza al GDPR.

CC1 – Registri delle attività di trattamento

CC2 – Nomina del Data Protection Officer

CC3 – Organizzazione nel ruolo di responsabile

CC4 – Rapporti con i fornitori-responsabili

CC5 – Fornitori responsabili: autovalutazione delle garanzie

CC6 – Rapporti con gli interessati

CC7 – Rapporti con il personale dell’organizzazione

CC8 – Sistema di Gestione della Privacy

CC9 – Monitoraggio livello di compliance

CC10 – Verifica ispettiva I fase

CC11 – Incidenti e data breach

Analizzare le azioni di aderenza al GDPR messe in atto dall’organizzazione.

PERCORSO CA – Disegno del profilo di rischio-privacy legato alle attività.

 

CA1 – Siti Web (compilabile per ogni sito Web aziendale)

CA2 – Assessment utilizzo dei cookies (compilabile per ogni sito Web aziendale)

CA3 – Sistemi di video sorveglianza (compilabile per ogni sistema di VDS utilizzato)

CA4 – Localizzazione di mezzi e/o persone

CA5 – Localizzazione automezzi

CA6 – Promozione tramite posta ordinaria

CA7 – Promozione tramite news letter

CA8 – Promozione tramite call center

CA9 – Promozione tramite messaggistica

CA10 – Promozione tramite agenzia esterna all’organizzazione

È composto da dieci check list per analizzare alcune attività nelle quali possono essere trattati dati personali.

PERCORSO CF – Fornitori responsabili: autovalutazione delle garanzie.

CF – Autovalutazione garanzie fornitore e sub-fornitore

Rilevazione dei fattori che hanno carattere generale e che consentono una prima valutazione sul livello di garanzie offerte dal fornitore.

Percorsi sui controlli (audit) – CYBERSECURITY

Percorso

Check list contenute

Finalità

PERCORSO D – Controlli di cybersecurity del Framework Nazionale.

D.1 – Verifica azioni di aderenza al GDPR (DP)

D.2 – Controlli essenziali di cybersecurity (CE)

D.3 – Identificare il contesto (Identify)

D.4 – Controllo di accesso (Protect)

D.5 – Formazione e sensibilizzazione (Protect)

D.6 – Protezione delle informazioni (Protect)

D.7 – Sicurezza dei dati (Protect)

D.8 – Manutenzione (Protect)

D.9 – Tecnologie di protezione (Protect)

D.10 – Individuare le minacce (Detect)

D.11 – Rispondere e recuperare (Respond & Recover)

Individuare quali misure – tra quelle previste dal Framework Nazionale sulla Cybersecurity e la Data Protection – sono state adottate dall’organizzazione.

 

PERCORSO DD – Controlli essenziali di cybersecurity.

DD.1 – Continuità operativa dell’infrastruttura IT (compilabile per ogni CED di cui si avvale l’organizzazione).

DD.2 – Protezione degli asset IT (compilabile per l’insieme dei sistemi utilizzati).

DD.3 – Protezione dell’accesso logico agli applicativi software (compilabile per ogni applicativo software utilizzato).

DD.4 – Controllo delle operazioni informatiche compiute dagli utenti (compilabile per ogni applicativo software utilizzato).

DD.5 – Disponibilità dei dati (compilabile per ogni applicativo software utilizzato dall’organizzazione; oppure una sola volta se le misure sono utilizzate per tutti i dati trattati da tutti gli applicativi software utilizzati dall’organizzazione).

DD.6 – Protezione dei dati (compilabile per ogni applicativo software utilizzato).

Individuate le misure essenziali che sono state adottate dall’organizzazione a difesa dell’infrastruttura ICT e degli applicativi software utilizzati a supporto delle attività aziendali.

 

PERCORSO DE – Controlli ENISA di cybersecurity per le PMI.

SME.1 – prima parte.

SME.2 – seconda parte.

SME.3 – terza parte.

 

Individuare quali misure – tra quelle proposte da ENISA (European Network and Information Security Agency), l’Agenzia dell’Unione europea per la cibersicurezza e la certificazione ai fini della sicurezza dei prodotti, dei servizi e dei processi ICT – sono state adottate dalla PMI a supporto delle seguenti 12 azioni pratiche di alto livello per proteggere meglio i rispettivi sistemi e attività.

PERCORSI DA – Controlli AgID di cybersecurity per la PA.

Permettono alle PP.AA. di Individuare quali misure tra quelle previste dalle Linee-guida dell’AgID (Agenzia per l’Italia Digitale), pubblicate il 26 aprile 2016 in riferimento alla Direttiva PCM del 1° agosto 2015, sono state adottate dalla Pubblica Amministrazione.

Percorso DAM.

ABSC-M – composto da 6 check list (CSC 1-2, 3-4, 5, 8, 10-13)

Verificare il rispetto dei controlli obbligatori di livello Minimo.

Percorso DAS.

ABSC-S – composto da 6 check list (CSC 1-2, 3, 4, 5, 8, 10-13)

Verificare il rispetto dei controlli di livello Standard che fungono da base di riferimento nella maggior parte dei casi.

Percorso DAA.

ABSC-A – composto da 5 check list (CSC 1-2, 3-4, 5, 8, 10-13)

Verificare il rispetto dei controlli di livello Alto che sono un obiettivo a cui tendere.

Percorsi sui controlli (audit) – PRIVACY BY DESIGN-DEFAULT

Percorso

Check list contenute

Finalità

PERCORSO L – Privacy by design-default: obiettivi di trasparenza e intervenibilità.

L.1 – Rispetto dei principi e obiettivo di “intervenibilità”

L.2 – Soddisfazione dei diritti e obiettivo di “intervenibilità”

L.3 – Rispetto dei principi e obiettivo di “trasparenza”

L.4 – Soddisfazione dei diritti e obiettivo di “trasparenza”

Supporto della valutazione del rispetto dei requisiti di trasparenza e intervenibilità di un processo, servizio implementato o erogato dall’organizzazione.

PERCORSO M – Privacy by design-default: e privacy engineering del software, non-collegabilità dei dati, altri obiettivi.

M.1 – Analisi Privacy Engineering del Software

M.2 – Rispetto dei principi e obiettivo di “non collegabilità”

M.3 – Altri obiettivi di privacy e data protection

 

Supporto della valutazione del rispetto dei requisiti di software engineering e data protection di una soluzione software utilizzata dall’organizzazione.

 

PERCORSO MS – Software utilizzato da terzi (distribuito): privacy by design-default e sicurezza IT.

M.1 – Analisi Privacy Engineering del Software

M.2 – Rispetto dei principi e obiettivo di “non collegabilità”

M.3 – Altri obiettivi di privacy e data protection

M.4 – Provider software: analisi della sicurezza IT (Software Delivering & Maintenance Security)

M.5 – Operatore software (utilizzatore): analisi della sicurezza IT (Software Utilization Security)

 

Supporto della valutazione del rispetto dei requisiti di software engineering e data protection, e delle azioni di sicurezza IT di competenza sia della software house e che dell’organizzazione che lo utilizza.

 

Percorsi sui controlli (audit) – Dispositivi Medici

Percorso

Check list contenute

Finalità

PERCORSO MDP – Sicurezza IT dei DM: misure del Provider.

M1 – Analisi Privacy Engineering del Software (compilabile per ogni software/SaMD)

M2 – Rispetto dei principi e obiettivo di “non collegabilità” (compilabile per ogni software/SaMD)

M3 – Altri obiettivi di privacy e data protection (compilabile per ogni software/SaMD)

M6 – Provider: gestione e valutazione del rischio

M7 – Provider: capacità di sicurezza del DM

M8 – Provider: attività di sorveglianza e vigilanza

M9 – Provider: misure per l’ambiente operativo

M14 – Provider e Operatore: documentazione e istruzioni

M15 – Provider e Operatore: integrazione del DM

Individuare quali misure – tra quelle proposte dalle linee-guida MDCG-2019-16 – sono state messe in atto dal Provider. Le check list M1, M2 e M3 sono dedicate all’analisi by design del software che fa parte del DM.

PERCORSO MDO – Sicurezza IT dei DM: misure dell’Operatore.

M10 – Operatore: generalità

M11 – Operatore: requisiti minimi per l’ambiente operativo

M12 – Operatore: misure per l’ambiente operativo

M13 – Operatore: attività di sorveglianza e vigilanza

M14 – Provider e Operatore: documentazione e istruzioni

M15 – Provider e Operatore: integrazione del DM

Individuare quali misure – tra quelle proposte dalle linee-guida MDCG-2019-16 – sono state messe in atto dall’Operatore. Le check list M14 e M15 list individuano misure comuni ai due soggetti.

Percorsi sui controlli (audit) – NIS 2

Percorso

Check list contenute

Finalità

PERCORSI NIS – PER GLI OPERATORI DI SERVIZI ESSENZIALI (Direttiva europea NIS 2)


 

Per i soggetti che operano nei settori che rientrano nell’ambito di applicazione della direttiva europea 2022/2555 o NIS 2 (Network and Information Security).

Percorso NIS ICP

Composto da 9 check list.

Contestualizzare l’incidente con impatto.

Percorso NIS MDS

Composto da 14 check list.

Verificare le misure di sicurezza di elevato livello adottate nel tempo, appartenenti alle 3 diverse categorie individuate negli allegati B e C del DPCM 81/2021.

Percorso NIS MAS

Composto da 18 check list.

Verificare le misure di sicurezza adottate per proteggere gli ambiti di sicurezza individuati all’art. 1 comma 3b del DL 105/2009.

Percorso NIS DOC

Composto da 8 check list.

Facilitare la verifica della redazione dei documenti previsti dalle misure delle categorie A e B, suddivise in base ai cinque obiettivi in cui è articolato il Framework nazionale per la cybersecurity e la data protection.

Prova la demo delle Check List

Abbiamo realizzato una versione demo delle nostre Check List per consentire agli utenti di testare il funzionamento del nostro sistema di autovalutazione. Compila le domande e riceverai un Report; se sei rimasto soddisfatto contattaci per costruire il set di valutazione più adatto alla tua azienda.

Richiedi maggiori informazioni!

Compila correttamente la form e invia subito la tua richiesta.