Il processo di certificazione dei sistemi di gestione
0 likes256 views
Il documento descrive il processo di certificazione per i sistemi di gestione della sicurezza delle informazioni secondo ISO 27001, con dettagli sulle fasi di certificazione, inclusi gli obiettivi delle fasi 1 e 2 e potenziali criticità riscontrate durante gli audit. Vengono evidenziate le responsabilità nella preparazione e nell'esecuzione delle fasi di audit, così come le criticità comuni riscontrate nelle aziende. Inoltre, il documento offre dati sui certificati ISO a livello globale.
Il processo di certificazione dei sistemi di gestione
- 1. Il processo di certificazione di un sistema di gestione per la sicurezza delle informazioni Alberto Rencurosi 13.dicembre.2021 La sicurezza delle informazioni
- 2. © SQS 2 Alberto Rencurosi Laurea in Ingegneria Meccanica Area manager Nord-Ovest Italia e membro di direzione allargata SQS (associazione svizzera per sistemi di qualità e management) Responsabile SQS Italia per gli accreditamenti e per il settore energia, sicurezza delle informazioni ed anticorruzione. Auditor qualificato per ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 22301, ISO 50001 e UNI 11352 RSPP e formatore SQS Italian Branch Piazzale Biancamano, 2 - 20121 Milano (MI) HQ SQS - Bernstrasse 103, 3052 Zollikofen, Svizzera T +39.333.8642096 Alberto.Rencurosi@sqs.ch
- 3. © SQS 3 Il processo di certificazione Domanda di Certificazione Quotazione Iscrizione Stage 1 Stage 2
- 4. © SQS 4 Domanda di Certificazione Complexity Assessment ISO 27001:2013 Il processo di certificazione
- 5. © SQS 5 Quotazione Attività di riesame della domanda e definizione dei tempi di audit Il processo di certificazione
- 6. © SQS 6 STAGE 1 1. Gli obiettivi della fase 1 sono quelli di: a) riesaminare le informazioni documentate del sistema di gestione del cliente; b) valutare le condizioni specifiche del sito del cliente al fine di stabilire il grado di preparazione per la fase 2; c) riesaminare lo stato e la comprensione del cliente circa i requisiti della norma, d) raccogliere le informazioni necessarie riguardanti il campo di applicazione del sistema di gestione, e) riesaminare l'assegnazione di risorse per la fase 2 e concordare con il cliente i dettagli della fase stessa; f) mettere a fuoco la pianificazione della fase 2, g) valutare se gli audit interni ed i riesami di direzione siano in corso di pianificazione ed esecuzione e che il livello di attuazione del sistema di gestione fornisca l'evidenza che il cliente è pronto per la fase 2. 2. Le conclusioni documentate relative al soddisfacimento degli obiettivi della fase 1 e alla possibilità di procedere alla fase 2 devono essere comunicate al cliente, compresa l'identificazione di ogni area di potenziale criticità che, in fase 2, potrebbe essere classificata come non conformità. 3. Nel determinare l'intervallo fra le fasi 1 e 2 si devono considerare le esigenze del cliente per la risoluzione delle aree di potenziale criticità identificate durante la fase 1. Fonte: ISO 17021-1:2015 Il processo di certificazione
- 7. © SQS 7 STAGE 2 Lo scopo della fase 2 è di valutare l'attuazione, compresa l'efficacia, del sistema di gestione La fase 2 deve aver luogo presso il sito del cliente e deve almeno comprendere le attività riportate nel seguito: a) le informazioni e le evidenze circa la conformità a tutti i requisiti della norma di sistema di gestione applicabile o di altri documenti normativi; b) il monitoraggio, la misurazione, il reporting e il riesame delle prestazioni, a fronte degli obiettivi e traguardi fondamentali di prestazione (coerentemente alle attese della norma di sistema di gestione applicabile); c) la capacità del sistema di gestione del cliente e le relative prestazioni, con riferimento al rispetto dei requisiti cogenti applicabili; d) controllo operativo dei processi del cliente; e) gli audit interni e il riesame di direzione; f) la responsabilità della direzione per le politiche del cliente. Fonte: ISO 17021-1:2015 Il processo di certificazione
- 8. © SQS 8 Delibera Commissione Emissione Certificato Il processo di certificazione
- 9. © SQS 9 Il piano di trattamento dei rischi relativo alla sicurezza delle informazioni non risulta in linea con quanto definito nell’analisi dei rischi, dopo confronto con elenco controlli in Annex A (es. applicazione policy uso password, raccolta di Log, gestione degli assets libera, nomine AdS, ecc.). ISO 27001:2013 §6.1.3 Il piano di trattamento dei rischi relativo alla sicurezza delle informazioni non risulta sistematicamente in linea con quanto definito nell’analisi dei rischi, dopo confronto con elenco controlli in annex A (es. Policy uso password, controllo accessi, controlli crittografici, ecc..). ISO 27001:2013 §6.1.3 La consapevolezza delle risorse non risulta sistematicamente dimostrata durante l’audit (es. pc non «in sleep» con postazione non presidiata, password visibili sulla scrivania, ecc.) - ISO 27001:2013 § 7.3 ….alcune criticità riscontrate negli audit
- 10. © SQS 10 La classificazione dei documenti presenti in azienda non risulta sistematicamente applicata ed efficace. - ISO 27001:2013 § 7.5 La gestione della continuità operativa non risultano sistematicamente documentate nelle metodiche e negli esiti. ISO 27001:2013 6.1.3 ( A.17.1) La gestione della continuità operativa, così come le attività di “penetration tests” non risultato sistematicamente documentate nelle metodiche e negli esiti. ISO 27001:2013 § 6.1.3 (A.17.1) La politica per la sicurezza delle informazioni non contempla tutti gli elementi previsti dalla norma di riferimento (es. tutti gli obiettivi per la sicurezza delle informazioni) ISO 27001:2013 § 5.2 La procedura per la gestione degli assets in caso di assunzione, cambio mansione e dimissioni, così come la procedura per la gestione degli accessi, non risulta sufficientemente dettagliata e formalizzata nel merito delle attività da porre in essere - ISO 27001:2013 (A.8.1) ….alcune criticità riscontrate negli audit
- 11. © SQS 11 Numero certificati ISO nel Mondo Fonte: Survey ISO - 2020 Total valid certificates Total number of sites ISO 9001 916.842 1.299.837 ISO 14001 348.473 568.798 ISO 45001 190.481 251.191 ISO/IEC 27001 44.499 84.181 ISO 22000 33.741 39.894 ISO 13485 25.656 34.954 ISO 50001 19.731 45.092 ISO 20000-1 7.846 9.927 ISO 22301 2.205 4.662 ISO 37001 2.065 5.946 ISO 39001 972 2.341
- 12. © SQS 12 Fonte: Survey ISO - 2020 China 12403 Japan 5645 UK & N. Ireland 3327 India 2226 Italy 1827 Netherlands 1326 Germany 1281 USA 1058 Spain 997 Taiwan 895 Turkey 881 Israel 837 Romania 729 Poland 710 Australia 562 Numero certificati ISO 27001
- 13. © SQS 13 Associazione Svizzera per Sistemi di Qualità e di Management (SQS) Bernstrasse 103 Case Postale 686 3052 Zollikofen Schweiz T +41 31 910 35 35 F +41 31 910 35 45 www.sqs.ch Ing. Alberto Rencurosi T +39.333.8642096 alberto.rencurosi@sqs.ch