Le check list di autovalutazione sono raggruppate in “percorsi” per consentire alle organizzazioni di analizzare in profondità i diversi aspetti di determinati “perimetri aziendali” o di specifici “oggetti”, ovvero sono pensati per rispondere a specifici obiettivi di analisi.
L’utilizzo sistematico delle check list somministrate dalla nostra piattaforma digitale produce per l’organizzazione risultati equivalenti all’output di servizi professionali di audit.
Il nostro Team Privacy offre tutta l’assistenza necessaria per individuare il percorso e le check list utili a raggiungere gli obiettivi aziendali.
Elenco dei percorsi di assessment
Percorsi sui profili di rischio (assessment) | ||
Percorso | Check list contenute | Finalità |
PERCORSO A – Azienda (tutti i settori): disegno del profilo di rischio legato all’attività e al sistema informativo. | A.1 – Azienda (tutti i settori): disegno del profilo di rischio A.2 – Azienda (tutti i settori): rischi legati al sistema IT | Disegnare il profilo di rischio generale, dell’organizzazione e del sistema informativo utilizzato, in base alle dimensioni ed alla complessità. |
PERCORSO BSS – Struttura della sanità privata: disegno del profilo di rischio legato all’attività e al sistema informativo. | B.1 – Struttura della sanità privata: disegno del profilo di rischio B.2 – Settore sanità: rischi legati al sistema IT | Disegnare il profilo di rischio generale, dell’organizzazione e del sistema informativo utilizzato, in base alle dimensioni ed alla complessità. |
PERCORSO BSP – Azienda della sanità pubblica: disegno del profilo di rischio legato all’attività e al sistema informativo. | B.3 – Azienda della sanità pubblica: disegno del profilo di rischio B.4 – Settore sanità: rischi legati al sistema IT | Disegnare il profilo di rischio generale, dell’organizzazione e del sistema informativo utilizzato, in base alle dimensioni ed alla complessità. |
PERCORSO E – Modalità operative delle figure professionali dell’IT. | E.1 – Valutazione della operatività del Responsabile IT E.2 – Valutazione della operatività dell’Amministratore di Sistema | Individuare eventuali criticità nelle modalità con cui operano le due figure-chiave dell’IT aziendale. |
PERCORSO F – Modalità operative del personale.
| F.1 – Valutazione del rispetto della privacy nei comportamenti F.2 – Valutazione delle modalità di utilizzo dell’IT F.3 – Valutazione delle modalità di utilizzo dei documenti F.4 – Valutazione delle azioni aziendali a supporto (Linee Guida) | Individuare eventuali criticità nelle modalità con cui il personale opera all’interno dell’organizzazione. NOTE Le check list F.1-2-3 sono compilabili per ogni funzione aziendale (o unità operativa) presente nell’organizzazione; la check list F4 vale per l’intera azienda, in quanto individua le misure messe a disposizione del personale dell’organizzazione. |
PERCORSO G – Unità Operative delle organizzazioni sanitarie: profili di rischio e controlli. | G.1 – Unità Operative di ricovero: disegno del profilo di rischio G.2 – Unità Operative ambulatoriali: disegno del profilo di rischio G.3 – Unità Operative consultoriali: disegno del profilo di rischio G.4 – Unità Operative di diagnostica per immagini: disegno del profilo di rischio G.5 – Unità Operative di analisi cliniche: disegno del profilo di rischio | Disegnare il profilo di rischio delle singole unità operative in base alle dimensioni ed alla complessità. NOTE Va compilata la corrispondente check list per ogni unità operativa dello stesso tipo presente nella struttura sanitaria. |
PERCORSO H – Ambulatori odontoiatrici: profili di rischio e controlli (sede unica/centrale). | H1 – Amb.ri odontoiatrici: disegno del profilo di rischio H2 – Amb.ri odontoiatrici: valutazione dell’aderenza al GDPR H3 – Amb.ri odontoiatrici: rischi legati al sistema IT H4 – Amb.ri odontoiatrici: rischi legati al personale impiegato H5 – Amb.ri odontoiatrici: rischi legati all’utilizzo dei supporti informativi H6 – Amb.ri odontoiatrici: rischi legati all’utilizzo dei sistemi di videosorveglianza | Disegnare il profilo di rischio e la compliance degli ambulatori odontoiatrici.
|
Percorsi per il controllo delle sedi operative dei gruppi | ||
Percorso | Check list contenute | Finalità |
PERCORSO HC – Lab. Analisi cliniche di un gruppo: profili di rischio e controlli. PERCORSO HP – Ambulatori odontoiatrici di un gruppo: profili di rischio e controlli (sedi periferiche). PERCORSO NP – Farmacie di un gruppo: profili di rischio e controlli. PERCORSO Q – Studi Medici Legali: profili di rischio e controlli. | A seconda del settore sono utilizzate: Profilo di rischio generale Valutazione dell’aderenza al GDPR Adeguatezza dei comportamenti del personale in merito alla privacy Modalità di utilizzo degli strumenti informatici da parte del personale Modalità di utilizzo dei documenti cartacei da parte del personale Formalizzazione dei corretti comportamenti richiesti al personale Rischi legati al sistema IT Sistemi di videosorveglianza Rischi legati all’utilizzo dei supporti informativi (solo odonto) | Disegnare il profilo di rischio delle singole sedi operative di gruppi aziendali, in base alle dimensioni ed alla complessità. |
Elenco dei percorsi di audit
Percorsi sui controlli (audit) – PRIVACY | ||
Percorso | Check list contenute | Finalità |
PERCORSO CC – Verifica delle azioni di aderenza al GDPR. | CC1 – Registri delle attività di trattamento CC2 – Nomina del Data Protection Officer CC3 – Organizzazione nel ruolo di responsabile CC4 – Rapporti con i fornitori-responsabili CC5 – Fornitori responsabili: autovalutazione delle garanzie CC6 – Rapporti con gli interessati CC7 – Rapporti con il personale dell’organizzazione CC8 – Sistema di Gestione della Privacy CC9 – Monitoraggio livello di compliance CC10 – Verifica ispettiva I fase CC11 – Incidenti e data breach | Analizzare le azioni di aderenza al GDPR messe in atto dall’organizzazione. |
PERCORSO CA – Disegno del profilo di rischio-privacy legato alle attività.
| CA1 – Siti Web (compilabile per ogni sito Web aziendale) CA2 – Assessment utilizzo dei cookies (compilabile per ogni sito Web aziendale) CA3 – Sistemi di video sorveglianza (compilabile per ogni sistema di VDS utilizzato) CA4 – Localizzazione di mezzi e/o persone CA5 – Localizzazione automezzi CA6 – Promozione tramite posta ordinaria CA7 – Promozione tramite news letter CA8 – Promozione tramite call center CA9 – Promozione tramite messaggistica CA10 – Promozione tramite agenzia esterna all’organizzazione | È composto da dieci check list per analizzare alcune attività nelle quali possono essere trattati dati personali. |
PERCORSO CF – Fornitori responsabili: autovalutazione delle garanzie. | CF – Autovalutazione garanzie fornitore e sub-fornitore | Rilevazione dei fattori che hanno carattere generale e che consentono una prima valutazione sul livello di garanzie offerte dal fornitore. |
Percorsi sui controlli (audit) – CYBERSECURITY | ||
Percorso | Check list contenute | Finalità |
PERCORSO D – Controlli di cybersecurity del Framework Nazionale. | D.1 – Verifica azioni di aderenza al GDPR (DP) D.2 – Controlli essenziali di cybersecurity (CE) D.3 – Identificare il contesto (Identify) D.4 – Controllo di accesso (Protect) D.5 – Formazione e sensibilizzazione (Protect) D.6 – Protezione delle informazioni (Protect) D.7 – Sicurezza dei dati (Protect) D.8 – Manutenzione (Protect) D.9 – Tecnologie di protezione (Protect) D.10 – Individuare le minacce (Detect) D.11 – Rispondere e recuperare (Respond & Recover) | Individuare quali misure – tra quelle previste dal Framework Nazionale sulla Cybersecurity e la Data Protection – sono state adottate dall’organizzazione.
|
PERCORSO DD – Controlli essenziali di cybersecurity. | DD.1 – Continuità operativa dell’infrastruttura IT (compilabile per ogni CED di cui si avvale l’organizzazione). DD.2 – Protezione degli asset IT (compilabile per l’insieme dei sistemi utilizzati). DD.3 – Protezione dell’accesso logico agli applicativi software (compilabile per ogni applicativo software utilizzato). DD.4 – Controllo delle operazioni informatiche compiute dagli utenti (compilabile per ogni applicativo software utilizzato). DD.5 – Disponibilità dei dati (compilabile per ogni applicativo software utilizzato dall’organizzazione; oppure una sola volta se le misure sono utilizzate per tutti i dati trattati da tutti gli applicativi software utilizzati dall’organizzazione). DD.6 – Protezione dei dati (compilabile per ogni applicativo software utilizzato). | Individuate le misure essenziali che sono state adottate dall’organizzazione a difesa dell’infrastruttura ICT e degli applicativi software utilizzati a supporto delle attività aziendali.
|
PERCORSO DE – Controlli ENISA di cybersecurity per le PMI. | SME.1 – prima parte. SME.2 – seconda parte. SME.3 – terza parte.
| Individuare quali misure – tra quelle proposte da ENISA (European Network and Information Security Agency), l’Agenzia dell’Unione europea per la cibersicurezza e la certificazione ai fini della sicurezza dei prodotti, dei servizi e dei processi ICT – sono state adottate dalla PMI a supporto delle seguenti 12 azioni pratiche di alto livello per proteggere meglio i rispettivi sistemi e attività. |
PERCORSI DA – Controlli AgID di cybersecurity per la PA. | Permettono alle PP.AA. di Individuare quali misure tra quelle previste dalle Linee-guida dell’AgID (Agenzia per l’Italia Digitale), pubblicate il 26 aprile 2016 in riferimento alla Direttiva PCM del 1° agosto 2015, sono state adottate dalla Pubblica Amministrazione. | |
Percorso DAM. | ABSC-M – composto da 6 check list (CSC 1-2, 3-4, 5, 8, 10-13) | Verificare il rispetto dei controlli obbligatori di livello Minimo. |
Percorso DAS. | ABSC-S – composto da 6 check list (CSC 1-2, 3, 4, 5, 8, 10-13) | Verificare il rispetto dei controlli di livello Standard che fungono da base di riferimento nella maggior parte dei casi. |
Percorso DAA. | ABSC-A – composto da 5 check list (CSC 1-2, 3-4, 5, 8, 10-13) | Verificare il rispetto dei controlli di livello Alto che sono un obiettivo a cui tendere. |
Percorsi sui controlli (audit) – PRIVACY BY DESIGN-DEFAULT | ||
Percorso | Check list contenute | Finalità |
PERCORSO L – Privacy by design-default: obiettivi di trasparenza e intervenibilità. | L.1 – Rispetto dei principi e obiettivo di “intervenibilità” L.2 – Soddisfazione dei diritti e obiettivo di “intervenibilità” L.3 – Rispetto dei principi e obiettivo di “trasparenza” L.4 – Soddisfazione dei diritti e obiettivo di “trasparenza” | Supporto della valutazione del rispetto dei requisiti di trasparenza e intervenibilità di un processo, servizio implementato o erogato dall’organizzazione. |
PERCORSO M – Privacy by design-default: e privacy engineering del software, non-collegabilità dei dati, altri obiettivi. | M.1 – Analisi Privacy Engineering del Software M.2 – Rispetto dei principi e obiettivo di “non collegabilità” M.3 – Altri obiettivi di privacy e data protection
| Supporto della valutazione del rispetto dei requisiti di software engineering e data protection di una soluzione software utilizzata dall’organizzazione.
|
PERCORSO MS – Software utilizzato da terzi (distribuito): privacy by design-default e sicurezza IT. | M.1 – Analisi Privacy Engineering del Software M.2 – Rispetto dei principi e obiettivo di “non collegabilità” M.3 – Altri obiettivi di privacy e data protection M.4 – Provider software: analisi della sicurezza IT (Software Delivering & Maintenance Security) M.5 – Operatore software (utilizzatore): analisi della sicurezza IT (Software Utilization Security)
| Supporto della valutazione del rispetto dei requisiti di software engineering e data protection, e delle azioni di sicurezza IT di competenza sia della software house e che dell’organizzazione che lo utilizza.
|
Percorsi sui controlli (audit) – Dispositivi Medici | ||
Percorso | Check list contenute | Finalità |
PERCORSO MDP – Sicurezza IT dei DM: misure del Provider. | M1 – Analisi Privacy Engineering del Software (compilabile per ogni software/SaMD) M2 – Rispetto dei principi e obiettivo di “non collegabilità” (compilabile per ogni software/SaMD) M3 – Altri obiettivi di privacy e data protection (compilabile per ogni software/SaMD) M6 – Provider: gestione e valutazione del rischio M7 – Provider: capacità di sicurezza del DM M8 – Provider: attività di sorveglianza e vigilanza M9 – Provider: misure per l’ambiente operativo M14 – Provider e Operatore: documentazione e istruzioni M15 – Provider e Operatore: integrazione del DM | Individuare quali misure – tra quelle proposte dalle linee-guida MDCG-2019-16 – sono state messe in atto dal Provider. Le check list M1, M2 e M3 sono dedicate all’analisi by design del software che fa parte del DM. |
PERCORSO MDO – Sicurezza IT dei DM: misure dell’Operatore. | M10 – Operatore: generalità M11 – Operatore: requisiti minimi per l’ambiente operativo M12 – Operatore: misure per l’ambiente operativo M13 – Operatore: attività di sorveglianza e vigilanza M14 – Provider e Operatore: documentazione e istruzioni M15 – Provider e Operatore: integrazione del DM | Individuare quali misure – tra quelle proposte dalle linee-guida MDCG-2019-16 – sono state messe in atto dall’Operatore. Le check list M14 e M15 list individuano misure comuni ai due soggetti. |
Percorsi sui controlli (audit) – NIS 2 | ||
Percorso | Check list contenute | Finalità |
PERCORSI NIS – PER GLI OPERATORI DI SERVIZI ESSENZIALI (Direttiva europea NIS 2)
| Per i soggetti che operano nei settori che rientrano nell’ambito di applicazione della direttiva europea 2022/2555 o NIS 2 (Network and Information Security). | |
Percorso NIS ICP | Composto da 9 check list. | Contestualizzare l’incidente con impatto. |
Percorso NIS MDS | Composto da 14 check list. | Verificare le misure di sicurezza di elevato livello adottate nel tempo, appartenenti alle 3 diverse categorie individuate negli allegati B e C del DPCM 81/2021. |
Percorso NIS MAS | Composto da 18 check list. | Verificare le misure di sicurezza adottate per proteggere gli ambiti di sicurezza individuati all’art. 1 comma 3b del DL 105/2009. |
Percorso NIS DOC | Composto da 8 check list. | Facilitare la verifica della redazione dei documenti previsti dalle misure delle categorie A e B, suddivise in base ai cinque obiettivi in cui è articolato il Framework nazionale per la cybersecurity e la data protection. |
Prova la demo delle Check List
Abbiamo realizzato una versione demo delle nostre Check List per consentire agli utenti di testare il funzionamento del nostro sistema di autovalutazione. Compila le domande e riceverai un Report; se sei rimasto soddisfatto contattaci per costruire il set di valutazione più adatto alla tua azienda.