Michaël Hooreman, via LinkedIn, mi ha segnalato il documento "ICH Q9 Quality risk management - Scientific guideline" della European Medicines Agency: https://www.ema.europa.eu/en/ich-q9-quality-risk-management-scientific-guideline.
Il documento presenta approcci di valutazione del rischio che possono essere usati nell'ambito della qualità. A mio parere non solo, perché potrebbero essere benissimo applicati, con qualche aggiustamento, anche alla sicurezza delle informazioni e forse ad altri campi. In tutti i casi, visto che si tratta di approcci validi e diffusi, sarebbe opportuno che chi si occupa di sicurezza delle informazioni li conoscesse, per evitare di fossilizzarsi su un solo modello.
Utile anche per quanto riguarda la sola qualità per capire meglio gli ambiti di applicazione della valutazione del rischio. A mio parere, la ISO 9001, con l'ultima edizione basata sull'HLS, non è molto chiara sull'ambito di applicazione della gestione del rischio (problema riscontrabile su tutte le norme sui sistemi di gestione). Leggendo il testo con tanta attenzione, si trova che la gestione del rischio dovrebbe riguardare solo l'efficacia del sistema di gestione (e quindi trattare solo rischi gestionali), ma molti l'applicano per i rischi più operativi e questo non è necessariamente un male. Questo documento permette di approfondire, seppur sinteticamente, questi aspetti.