Ci sono molti approcci per l’implementazione delle regole interne per essere conformi ai dettami del Regolamento Europeo per la Protezione dei dati n. 679/2016.
Si prende in esame quelli che possono essere i vantaggi derivanti da un’integrazione completa con i sistemi di gestione per la Qualità conformi alle ISO9001:2015 e per la Sicurezza delle Informazioni conformi alle ISO27001:2017.
I due standard hanno la stessa struttura HLS per cui i riferimenti sono identici e possiamo procedere più facilmente alle integrazioni come di seguito:
Come si può riscontrare facilmente tutti gli aspetti direzionali sono comuni ma possiamo mettere a sinergia anche l’analisi dei rischi come il panel di indicatori di performance e gli audit, anche se ovviamente avremo necessità di competenze specifiche in ambito Security.
Considerando anche la gestione delle Non Conformità e gli Incidenti in ambito Security che sono assolutamente gestibili nella stessa maniera considerando di procedere con:
1) Rilevazione anomalia
2) Descrizione dell’anomalia
3) Route cause analysis
4) Trattamento per correggere gli effetti immediati dell’anomalia
5) Azioni correttive per eliminare le cause dell’anomalia
6) Verifica efficacia delle azioni correttive
È evidente che la soluzione di integrare ogni aspetto suddetto diventa molto più facile una volta messe in relazione le giuste attività e dovremo comunque considerare di gestire indipendentemente alcuni aspetti fondamentali della ISO27001 come lo Statement of Applicability ed il Piano di Continuità Operativa (Business Continuity Plan).
Come si incastra il dettame del Regolamento Europeo 679/2016 “GDPR” in questo contesto?
Nel caso in cui si sia proceduto come su esposto, potremo progettare la seguente architettura:
Si tratta solo di un elenco non esaustivo di molti dei capisaldi del GDPR che possono essere ricondotti in sinergia con gli standard ISO9001 e ISO27001.
La struttura potrebbe essere modellata considerando quanto già in essere con l’applicazione delle norme per cui avremmo:
Basandosi su questo modello si possono trovare soluzioni per sfruttare quanto già in essere e si considerano molte attività presenti. Nel disegno successivo si evidenzia, a titolo di esempio, i requisiti del GDPR che possono essere assolti dall’applicazione pratica degli standard:
Se vuoi scambiare idee, esigenze ed approfondire puoi attivare di 30 minuti gratuiti di Consulenza al seguente link https://www.cartesiostudio.com/ripresa-impresa-subito o scrivermi a info@cartesiostudio.com
Comments