Framework Nazionale per la Cybersecurity e la Data Protection

ProcessFrame supporta il Framework NIS, strumento a supporto delle strategie e dei processi volti alla protezione dei dati personali e alla sicurezza cyber. 

framework NIST

ProcessFrame consente alle organizzazioni di adattare il Framework Nazionale per la Cybersecurity e la Data Protection alle proprie esigenze, contestualizzandone l'utilizzo così come indicato dalla "Metodologia per il cybersecurity assessment con il Framework" . Successivamente possono essere registrati nel sistema gli esiti dei controlli con le relative variazioni nel tempo e gestite le azioni di miglioramento individuate.

Contestualizzazione del framework NIS

clicca per ingrandire

Il framework NIS è precaricato in ProcessFrame, La contestualizzazione avviene tramite:

  1. rimozione di categorie e/o sottocategorie non rilevanti
  2. Definizione di classe (Libera, Consigliata, Obbligatoria) e priorità (Alta,Media,Bassa)
  3. Indicazione del livello di maturità atteso sulla base dei 5 livelli definiti dal CMM1: Libero, Ripetibile, Definito, Gestibile, Ottimizzato

Creazione e gestione checklist di controllo

clicca per ingrandire

Per ogni elemento del framework presente nella contestualizzazione, è possibile definire nel sistema delle checklist (questionari di controllo) per identificare il livello di copertura dell'obiettivo di maturità identificato come target.

Le checklist possono essere pianificate e attribuite come responsabilità agli auditor incaricati di compilare i questionari. Per tutte le checklist che non hanno raggiunto il livello di copertura degli obiettivi desiderato è possibile ripianificare una nuova compilazione a valle delle azioni di miglioramento indicate, per verificarne l'efficacia.

Inoltre, nel caso di variazioni di tipo organizzativo e/o tecnologico rilevanti, o a maggior ragione nel caso che gli obiettivi di maturità e copertura venissero rivisti, è  possibile rivedere i questionari e pianificare nuove sessioni di controllo.

Azioni di mitigazione e miglioramento

L'identificazione di aree di miglioramento o di inadeguata copertura degli obiettivi di maturità richiesti prevede la registrazione a sistema di azioni di mitigazione o miglioramento, con l'indicazione di responsabili e scadenza.

Ove opportuno, queste azioni possono essere sottoposte ad un workflow approvativo, allo scopo di verificarne la priorità e la compatibilità con i piani di sviluppo dell'Azienda. Il sistema gestisce lo scadenziario delle azioni, e consente al management di monitora l'andamento delle stesse.

Torna su