際際滷

際際滷Share a Scribd company logo

03A quadro normativo di riferimento

Maurilio Savoldi
Maurilio Savoldi

SUPSI 10 dicembre 2019 - slide presentate da Gaetano Spera I sistemi di gestione certificati a garanzia del cliente

1 of 25
Downloaded 10 times
SUPSI 10.12.2019 1
SOMMARIO 2 Gli enti di Normazione Basi normative
SIAMO VERAMENTE APERTI AL CAMBIAMENTO? 3
IL VALORE AGGIUNTO DEI CONTROLLI AFFIDATI AD ENTE TERZO Imparzialit nella gestione tecnico-operativa del processo di verifica e controllo e delle relative attivit di campionamento e quindi luniformit di trattamento dei soggetti interessati ai controlli Indipendenza nellattivit di verifica e controllo e quindi lassenza di conflitti di interesse Competenza culturale, tecnica e professionale del personale addetto allattivit di verifica e controllo 4
IMPARZIALIT ED INDIPENDENZA I riferimenti normativi : la norma UNI CEI ISO/IEC UNI CEI EN ISO/IEC 17021- 1:2015 Valutazione della conformit - Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione - Parte 1: Requisiti 竪 stata assunta come riferimento per la definizione del sistema di regole per la gestione delle verifiche e dei controlli la norma UNI CEI ISO/IEC 17020:2012 Criteri generali per il funzionamento dei vari tipi di organismi che effettuano attivit di ispezione 竪 stata assunta come riferimento per la definizione del sistema di regole per la gestione delle verifiche e dei controlli la norma UNI EN ISO 19011:2018 Guidelines for auditing management systems 竪 assunta come riferimento per le tecniche di conduzione delle attivit di verifica e la formazione dei valutatori 5
6
7
ACCREDITAMENTO DEL PERSONALE Requisiti specifici applicabili per l'accreditamento degli Organismi di certificazione del personale: Tali requisiti sono fissati dalla norma ISO/IEC 17024 Valutazione della conformit - Requisiti generali per organismi che eseguono la certificazione di persone. La norma 竪 stata elaborata come quadro di riferimento accettato a livello internazionale per le organizzazioni che certificano le persone. La funzione dell'Organismo di certificazione di persone consiste nell'effettuare esami che utilizzino criteri oggettivi per valutare la competenza e per attribuire i punteggi. La norma internazionale 竪 utilizzata come documento contenente criteri per l'accreditamento 8
LINEA DI ACCREDITAMENTO SAS, accreditamento organismi di certificazione; qui si trova una banca dati delle certificazioni e degli organismi di certificazione accreditati in Svizzera. EA - European Accreditation, network europeo per l'accreditamento IAF - International Accreditation Forum, network internazionale per l'accreditamento SAI - Social Accountability International, accreditamento della certificazione etica Accordi MLA Mutuo Riconoscimento 9
ACCORDI DI MUTUO RICONOSCIMENTO 10
11 ISO/IEC 17011 CONFORMITY ASSESSMENT -- GENERAL REQUIREMENTS FOR ACCREDITATION BODIES ACCREDITING CONFORMITY ASSESSMENT BODIES
ORGANISMI DI NORMAZIONE Organismo che svolge attivit normativa, riconosciuto a livello nazionale o internazionale, la cui principale funzione, in applicazione del proprio statuto, 竪 la preparazione, lapprovazione o il recepimento di norme pubblicamente disponibili 12 Mondo ISO Europa CEN Italia UNI Svizzera SNV
UN VIDEO CHE FA RIFLETTERE 13 https://www.wired.com/video/watch/hackers- wireless-jeep-attack-stranded-me-on-a-highway/
BASE NORMATIVA ISO/IEC 20000 SGS.IT (Sistemi di Gestione per i Servizi IT) 竪 lo standard di riferimento, nato nel 2005, per la Gestione dei Servizi Informatici, a livello internazionale. Tutte le aziende che si conformano a tale standard certificano di possedere una serie di requisiti nell'erogazione e nella fruizione dei servizi IT. ISO/IEC 20000 竪 quindi il primo standard per l'IT Service Management, riconosciuto e certificabile su scala mondiale: 竪 diviso in due sezioni: 20000-1 Specification, arrivata alla versione 2011, basata sui processi necessari per ottenere la certificazione 20000-2 Code of Practice, dedicata alle best practices. 14
LA FAMIGLIA 27001 15
ISO/IEC 17021-1:2015 La norma ISO/IEC 17021-1:2015 竪 invece la norma di riferimento per laccreditamento degli OdC. Uno dei requisiti specifici 竪 la pianificazione dellaudit di prima certificazione in una Fase 1 e una Fase 2, con caratteristiche ben distinte. Il punto 7.1 Competenza del personale rimanda allAppendice A (per auditor di norme di Sistema di Gestione e altro personale che effettua il riesame dei rapporti di audit e prende decisioni in materia di certificazione. Anche qui troviamo la descrizione delle competenze richieste in modo generale, senza riferimenti ad uno Schema specifico, vi 竪 un richiamo per嘆 alle norme della serie ISO/IEC o ISO/IEC TS 17021-X per le competenze specifiche di Schema (vedi Tabella 1 Competenze), e nella nota definisce il concetto di Area tecnica: I criteri di competenza devono essere determinati con riferimento ai requisiti di ogni tipo di norma o specifica di sistema di gestione, per ogni area tecnica e per ogni funzione nel processo di certificazione. . Nei casi in cui, per una specifica norma o schema di certificazione (per esempio, ISO/IEC TS 17021-2, ISO/IEC TS 17021-3) siano stati stabiliti criteri specifici di competenza aggiuntivi, questi devono essere applicati. 16
17 ISO/IEC 17021-1:2015 4 PRINCIPI 5 REQUISITI GENERALI 6 REQUISITI STRUTTURALI 7 REQUISITI PER LE RISORSE 8 REQUISITI RELATIVI ALLE INFORMAZIONI 9 REQUISITI DI PROCESSO 9.1 Attivit di pre-certificazione 9.1.1 Domanda (di certificazione) 9.1.2 Riesame della domanda 9.1.3 Programma di audit 9.1.4 Determinazione del tempo complessivo dellaudit 9.1.5 Campionamento multi-sito 9.1.6 Norme di sistemi di gestione multiple 9.2 Pianificazione degli audit 9.2.1 Determinazione degli obiettivi, del campo di applicazione e dei criteri di audit 9.2.2 Selezione e assegnazione del gruppo di audit 9.2.3 Piano di audit 9.3 Certificazione iniziale 9.4 Conduzione degli audit 9.4.1 Generalit 9.4.2 Conduzione della riunione iniziale 9.4.3 Comunicazione nel corso dellaudit 9.4.4 Ottenimento e verifica delle informazioni 9.4.5 Identificazione e registrazione delle risultanze dellaudit 9.4.6 Elaborazione delle conclusioni dellaudit 9.4.7 Conduzione della riunione di chiusura 9.4.8 Rapporto di audit 9.4.9 Analisi delle cause delle non conformit 9.4.10 Efficacia delle correzioni e delle azioni correttive
18 I titoli in grassetto sono comuni. I titoli in rosso sono tipici della ISO/IEC 17021-1:2015 (Audit di 3 parte). I titoli in verde sono una guida in appendice alla ISO 19011:2018 utile per Auditor di 1 , 2 e 3 parte.
19 ISO/IEC 17021-1:2015 APPENDICE A CONOSCENZE E ABILIT RICHIESTE ISO 19011:2018 APPENDICE B POSSIBILI METODI DI VALUTAZIONE APPENDICE C ESEMPIO DI UNO SCHEMA DI PROCESSO PER DETERMINARE E MANTENERE LA COMPETENZA 7 COMPETENZA E VALUTAZIONE DEGLI AUDITOR APPENDICE D COMPORTAMENTI PERSONALI ATTESI APPENDICE E PROCESSO DI AUDIT E CERTIFICAZIONE APPENDICE A GUIDA AGGIUNTIVA PER GLI AUDITOR PER LA PIANIFICAZIONE E LA CONDUZIONE DEGLI AUDIT A.1 Applicazione dei metodi di audit A.2 Approccio per processi nellattivit di audit A.3 Giudizio professionale A.4 Risultati di prestazione A.5 Verifica delle informazioni A.6 Campionamento A.7 Audit di conformit (compliance) nell'ambito di un sistema di gestione A.8 Audit del contesto A.9 Audit della leadership e dell'impegno A.10 Audit dei rischi e opportunit A.11 Ciclo di vita A.12 Audit della catena di fornitura A.13 Preparazione dei documenti di lavoro relativi allaudit A.14 Selezione delle fonti di informazione A.15 Visita del sito dell'organizzazione oggetto dell'audit A.16 Audit di attivit e siti virtuali A.17 Conduzione delle interviste A.18 Risultanze dell'audit
PRINCIPI DELLATTIVIT DI AUDIT RISERVATEZZA: 束sicurezza delle informazioni損 Gli auditor dovrebbero agire con discrezione nellutilizzo e nella protezione delle informazioni acquisite nel corso dei loro compiti. Le informazioni relative allaudit non dovrebbero essere utilizzate impropriamente per vantaggi personali da parte dellauditor o del committente dellaudit, o in modo che possa danneggiare gli interessi legittimi dellorganizzazione oggetto dellaudit. Questo concetto comprende il corretto trattamento delle informazioni sensibili o riservate. Gli altri principi dellattivit di audit sono: INTEGRIT, PRESENTAZIONE IMPARZIALE, PROFESSIONALIT, INDIPENDENZA, APPROCCIO BASATO SULLEVIDENZA
21 CARATTERISTICHE PERSONALI DELLAUDITOR
GDPR/27001
LART. 42 ASSOLTO DALLIMPLEMENTAZIONE DELLA ISO/IEC 27001. 23 - ISDP10003: Data Protection Certification - EuroPriSe ("European Privacy Seal") 竪 un certificato del settore privato tedesco per prodotti IT conformi alla privacy e servizi basati sull'IT basati sulla legge europea sulla protezione dei dati.
LA NORMA 17065 La norma ISO/IEC 17065 rappresenta la naturale evoluzione del precedente documento normativo ISO Guide 65 (diffusa in Europa come EN 45011) regolante i requisiti per gli Organismi di certificazione di prodotti, processi e servizi. 24
Grazie Gaetano Spera www.svgroupcert.ch Mobile: +41 079 190 1212 25

More Related Content

03A quadro normativo di riferimento

  • 2. SOMMARIO 2 Gli enti di Normazione Basi normative
  • 3. SIAMO VERAMENTE APERTI AL CAMBIAMENTO? 3
  • 4. IL VALORE AGGIUNTO DEI CONTROLLI AFFIDATI AD ENTE TERZO Imparzialit nella gestione tecnico-operativa del processo di verifica e controllo e delle relative attivit di campionamento e quindi luniformit di trattamento dei soggetti interessati ai controlli Indipendenza nellattivit di verifica e controllo e quindi lassenza di conflitti di interesse Competenza culturale, tecnica e professionale del personale addetto allattivit di verifica e controllo 4
  • 5. IMPARZIALIT ED INDIPENDENZA I riferimenti normativi : la norma UNI CEI ISO/IEC UNI CEI EN ISO/IEC 17021- 1:2015 Valutazione della conformit - Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione - Parte 1: Requisiti 竪 stata assunta come riferimento per la definizione del sistema di regole per la gestione delle verifiche e dei controlli la norma UNI CEI ISO/IEC 17020:2012 Criteri generali per il funzionamento dei vari tipi di organismi che effettuano attivit di ispezione 竪 stata assunta come riferimento per la definizione del sistema di regole per la gestione delle verifiche e dei controlli la norma UNI EN ISO 19011:2018 Guidelines for auditing management systems 竪 assunta come riferimento per le tecniche di conduzione delle attivit di verifica e la formazione dei valutatori 5
  • 6. 6
  • 7. 7
  • 8. ACCREDITAMENTO DEL PERSONALE Requisiti specifici applicabili per l'accreditamento degli Organismi di certificazione del personale: Tali requisiti sono fissati dalla norma ISO/IEC 17024 Valutazione della conformit - Requisiti generali per organismi che eseguono la certificazione di persone. La norma 竪 stata elaborata come quadro di riferimento accettato a livello internazionale per le organizzazioni che certificano le persone. La funzione dell'Organismo di certificazione di persone consiste nell'effettuare esami che utilizzino criteri oggettivi per valutare la competenza e per attribuire i punteggi. La norma internazionale 竪 utilizzata come documento contenente criteri per l'accreditamento 8
  • 9. LINEA DI ACCREDITAMENTO SAS, accreditamento organismi di certificazione; qui si trova una banca dati delle certificazioni e degli organismi di certificazione accreditati in Svizzera. EA - European Accreditation, network europeo per l'accreditamento IAF - International Accreditation Forum, network internazionale per l'accreditamento SAI - Social Accountability International, accreditamento della certificazione etica Accordi MLA Mutuo Riconoscimento 9
  • 10. ACCORDI DI MUTUO RICONOSCIMENTO 10
  • 11. 11 ISO/IEC 17011 CONFORMITY ASSESSMENT -- GENERAL REQUIREMENTS FOR ACCREDITATION BODIES ACCREDITING CONFORMITY ASSESSMENT BODIES
  • 12. ORGANISMI DI NORMAZIONE Organismo che svolge attivit normativa, riconosciuto a livello nazionale o internazionale, la cui principale funzione, in applicazione del proprio statuto, 竪 la preparazione, lapprovazione o il recepimento di norme pubblicamente disponibili 12 Mondo ISO Europa CEN Italia UNI Svizzera SNV
  • 13. UN VIDEO CHE FA RIFLETTERE 13 https://www.wired.com/video/watch/hackers- wireless-jeep-attack-stranded-me-on-a-highway/
  • 14. BASE NORMATIVA ISO/IEC 20000 SGS.IT (Sistemi di Gestione per i Servizi IT) 竪 lo standard di riferimento, nato nel 2005, per la Gestione dei Servizi Informatici, a livello internazionale. Tutte le aziende che si conformano a tale standard certificano di possedere una serie di requisiti nell'erogazione e nella fruizione dei servizi IT. ISO/IEC 20000 竪 quindi il primo standard per l'IT Service Management, riconosciuto e certificabile su scala mondiale: 竪 diviso in due sezioni: 20000-1 Specification, arrivata alla versione 2011, basata sui processi necessari per ottenere la certificazione 20000-2 Code of Practice, dedicata alle best practices. 14
  • 16. ISO/IEC 17021-1:2015 La norma ISO/IEC 17021-1:2015 竪 invece la norma di riferimento per laccreditamento degli OdC. Uno dei requisiti specifici 竪 la pianificazione dellaudit di prima certificazione in una Fase 1 e una Fase 2, con caratteristiche ben distinte. Il punto 7.1 Competenza del personale rimanda allAppendice A (per auditor di norme di Sistema di Gestione e altro personale che effettua il riesame dei rapporti di audit e prende decisioni in materia di certificazione. Anche qui troviamo la descrizione delle competenze richieste in modo generale, senza riferimenti ad uno Schema specifico, vi 竪 un richiamo per嘆 alle norme della serie ISO/IEC o ISO/IEC TS 17021-X per le competenze specifiche di Schema (vedi Tabella 1 Competenze), e nella nota definisce il concetto di Area tecnica: I criteri di competenza devono essere determinati con riferimento ai requisiti di ogni tipo di norma o specifica di sistema di gestione, per ogni area tecnica e per ogni funzione nel processo di certificazione. . Nei casi in cui, per una specifica norma o schema di certificazione (per esempio, ISO/IEC TS 17021-2, ISO/IEC TS 17021-3) siano stati stabiliti criteri specifici di competenza aggiuntivi, questi devono essere applicati. 16
  • 17. 17 ISO/IEC 17021-1:2015 4 PRINCIPI 5 REQUISITI GENERALI 6 REQUISITI STRUTTURALI 7 REQUISITI PER LE RISORSE 8 REQUISITI RELATIVI ALLE INFORMAZIONI 9 REQUISITI DI PROCESSO 9.1 Attivit di pre-certificazione 9.1.1 Domanda (di certificazione) 9.1.2 Riesame della domanda 9.1.3 Programma di audit 9.1.4 Determinazione del tempo complessivo dellaudit 9.1.5 Campionamento multi-sito 9.1.6 Norme di sistemi di gestione multiple 9.2 Pianificazione degli audit 9.2.1 Determinazione degli obiettivi, del campo di applicazione e dei criteri di audit 9.2.2 Selezione e assegnazione del gruppo di audit 9.2.3 Piano di audit 9.3 Certificazione iniziale 9.4 Conduzione degli audit 9.4.1 Generalit 9.4.2 Conduzione della riunione iniziale 9.4.3 Comunicazione nel corso dellaudit 9.4.4 Ottenimento e verifica delle informazioni 9.4.5 Identificazione e registrazione delle risultanze dellaudit 9.4.6 Elaborazione delle conclusioni dellaudit 9.4.7 Conduzione della riunione di chiusura 9.4.8 Rapporto di audit 9.4.9 Analisi delle cause delle non conformit 9.4.10 Efficacia delle correzioni e delle azioni correttive
  • 18. 18 I titoli in grassetto sono comuni. I titoli in rosso sono tipici della ISO/IEC 17021-1:2015 (Audit di 3 parte). I titoli in verde sono una guida in appendice alla ISO 19011:2018 utile per Auditor di 1 , 2 e 3 parte.
  • 19. 19 ISO/IEC 17021-1:2015 APPENDICE A CONOSCENZE E ABILIT RICHIESTE ISO 19011:2018 APPENDICE B POSSIBILI METODI DI VALUTAZIONE APPENDICE C ESEMPIO DI UNO SCHEMA DI PROCESSO PER DETERMINARE E MANTENERE LA COMPETENZA 7 COMPETENZA E VALUTAZIONE DEGLI AUDITOR APPENDICE D COMPORTAMENTI PERSONALI ATTESI APPENDICE E PROCESSO DI AUDIT E CERTIFICAZIONE APPENDICE A GUIDA AGGIUNTIVA PER GLI AUDITOR PER LA PIANIFICAZIONE E LA CONDUZIONE DEGLI AUDIT A.1 Applicazione dei metodi di audit A.2 Approccio per processi nellattivit di audit A.3 Giudizio professionale A.4 Risultati di prestazione A.5 Verifica delle informazioni A.6 Campionamento A.7 Audit di conformit (compliance) nell'ambito di un sistema di gestione A.8 Audit del contesto A.9 Audit della leadership e dell'impegno A.10 Audit dei rischi e opportunit A.11 Ciclo di vita A.12 Audit della catena di fornitura A.13 Preparazione dei documenti di lavoro relativi allaudit A.14 Selezione delle fonti di informazione A.15 Visita del sito dell'organizzazione oggetto dell'audit A.16 Audit di attivit e siti virtuali A.17 Conduzione delle interviste A.18 Risultanze dell'audit
  • 20. PRINCIPI DELLATTIVIT DI AUDIT RISERVATEZZA: 束sicurezza delle informazioni損 Gli auditor dovrebbero agire con discrezione nellutilizzo e nella protezione delle informazioni acquisite nel corso dei loro compiti. Le informazioni relative allaudit non dovrebbero essere utilizzate impropriamente per vantaggi personali da parte dellauditor o del committente dellaudit, o in modo che possa danneggiare gli interessi legittimi dellorganizzazione oggetto dellaudit. Questo concetto comprende il corretto trattamento delle informazioni sensibili o riservate. Gli altri principi dellattivit di audit sono: INTEGRIT, PRESENTAZIONE IMPARZIALE, PROFESSIONALIT, INDIPENDENZA, APPROCCIO BASATO SULLEVIDENZA
  • 23. LART. 42 ASSOLTO DALLIMPLEMENTAZIONE DELLA ISO/IEC 27001. 23 - ISDP10003: Data Protection Certification - EuroPriSe ("European Privacy Seal") 竪 un certificato del settore privato tedesco per prodotti IT conformi alla privacy e servizi basati sull'IT basati sulla legge europea sulla protezione dei dati.
  • 24. LA NORMA 17065 La norma ISO/IEC 17065 rappresenta la naturale evoluzione del precedente documento normativo ISO Guide 65 (diffusa in Europa come EN 45011) regolante i requisiti per gli Organismi di certificazione di prodotti, processi e servizi. 24
AboutCopyright
息 2025 際際滷