SICUREZZA SULLA PRIVACY: AUDIT
Il Consorzio Qualità Italia, attraverso i suoi consorziati, può supportare le aziende interessate ad avere una ragionevole fiducia affinché i propri sistemi ICT implementino non solo tutte le misure di sicurezza tecniche "minime" previste dalla normativa sulla privacy, ma che tali misure siano anche "adeguate", quindi siano supportate da misure organizzative e procedurali che tengano conto dei provvedimenti emanati dal Garante per la Protezione dei dati personali.
Il servizio offerto consiste nell'effettuazione di un audit sulla sicurezza del sistema informativo rispetto ad un insieme di requisiti derivati dall'allegato B al D.LGS 196/2003 e dai principali provvedimenti del Garante.
Metodologia utilizzata
Le attività di verifica degli aspetti gestionali/organizzativi si basano sia sulla ricerca di evidenze relative alla presenza di documentazione (es. DPS, lettere di incarico per il trattamento dei dati personali, nomine degli amministratori, etc.), sia sull'applicazione di opportune procedure / istruzioni operative da parte del personale preposto. La verifica degli aspetti più tecnici invece è effettuata attraverso attività di test e di verifica della corretta configurazione o aggiornamento degli strumenti per la protezione dei dati personali.
A seguito del completamento delle attività di audit verrà rilascio un report da cui emergeranno i risultati delle verifiche effettuate. Nel caso in cui tutte le verifiche abbiano esito positivo verrà rilasciato da parte di un ODC, su richiesta dell'organizzazione cliente, anche l'attestazione della conformità del sistema ICT rispetto ai requisiti espressi e condivisi con il cliente sulla base della checklist da essi derivati.
Benefici per il cliente
Il report emesso e/o l'eventuale attestazione può essere utilizzata da un'organizzazione come strumento per dare evidenza, pubblicizzare e documentare alla propria clientela che una terza parte esterna ed indipendente all'organizzazione ha verificato il soddisfacimento di un insieme di requisiti sulla protezione dei dati personali/sensibili.
Inoltre un'organizzazione che si affida ad un ente terzo per la conduzione di un audit di sicurezza sulla privacy può ridurre i "costi della non sicurezza" dovuti a:
- danni economici diretti a seguito di perdita o indisponibilità dei dati personali gestiti
- danni economici indiretti a causa della perdita di immagine verso i propri clienti
- danni economici indiretti a seguito di eventuali problemi legali/contrattuali
L'organizzazione richiedente può ottenere inoltre un supporto tecnico-specialistico per l'effettuazione di un audit di seconda parte presso un'eventuale outsourcer a cui sia affidata la gestione di dati personali/sensibili, qualora previsto contrattualmente, come auspicabile e richiesto dallo standard di riferimento per i sistemi di gestione per la sicurezza delle informazioni ISO/IEC 27001.