際際滷

際際滷Share a Scribd company logo

Il processo di certificazione dei sistemi di gestione

Fabio Rosito
Fabio Rosito

Alberto Rencurosi ci presenta il processo connesso alla certificazione delle organizzazioni in merito ai sistemi di gestione, in particolare, sulla sicurezza delle informazioni.

1 of 13
Downloaded 26 times
Il processo di certificazione di un sistema di gestione per la sicurezza delle informazioni Alberto Rencurosi 13.dicembre.2021 La sicurezza delle informazioni
息 SQS 2 Alberto Rencurosi Laurea in Ingegneria Meccanica Area manager Nord-Ovest Italia e membro di direzione allargata SQS (associazione svizzera per sistemi di qualit e management) Responsabile SQS Italia per gli accreditamenti e per il settore energia, sicurezza delle informazioni ed anticorruzione. Auditor qualificato per ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 22301, ISO 50001 e UNI 11352 RSPP e formatore SQS Italian Branch Piazzale Biancamano, 2 - 20121 Milano (MI) HQ SQS - Bernstrasse 103, 3052 Zollikofen, Svizzera T +39.333.8642096 Alberto.Rencurosi@sqs.ch
息 SQS 3 Il processo di certificazione Domanda di Certificazione Quotazione Iscrizione Stage 1 Stage 2
息 SQS 4 Domanda di Certificazione Complexity Assessment ISO 27001:2013 Il processo di certificazione
息 SQS 5 Quotazione Attivit di riesame della domanda e definizione dei tempi di audit Il processo di certificazione
息 SQS 6 STAGE 1 1. Gli obiettivi della fase 1 sono quelli di: a) riesaminare le informazioni documentate del sistema di gestione del cliente; b) valutare le condizioni specifiche del sito del cliente al fine di stabilire il grado di preparazione per la fase 2; c) riesaminare lo stato e la comprensione del cliente circa i requisiti della norma, d) raccogliere le informazioni necessarie riguardanti il campo di applicazione del sistema di gestione, e) riesaminare l'assegnazione di risorse per la fase 2 e concordare con il cliente i dettagli della fase stessa; f) mettere a fuoco la pianificazione della fase 2, g) valutare se gli audit interni ed i riesami di direzione siano in corso di pianificazione ed esecuzione e che il livello di attuazione del sistema di gestione fornisca l'evidenza che il cliente 竪 pronto per la fase 2. 2. Le conclusioni documentate relative al soddisfacimento degli obiettivi della fase 1 e alla possibilit di procedere alla fase 2 devono essere comunicate al cliente, compresa l'identificazione di ogni area di potenziale criticit che, in fase 2, potrebbe essere classificata come non conformit. 3. Nel determinare l'intervallo fra le fasi 1 e 2 si devono considerare le esigenze del cliente per la risoluzione delle aree di potenziale criticit identificate durante la fase 1. Fonte: ISO 17021-1:2015 Il processo di certificazione
息 SQS 7 STAGE 2 Lo scopo della fase 2 竪 di valutare l'attuazione, compresa l'efficacia, del sistema di gestione La fase 2 deve aver luogo presso il sito del cliente e deve almeno comprendere le attivit riportate nel seguito: a) le informazioni e le evidenze circa la conformit a tutti i requisiti della norma di sistema di gestione applicabile o di altri documenti normativi; b) il monitoraggio, la misurazione, il reporting e il riesame delle prestazioni, a fronte degli obiettivi e traguardi fondamentali di prestazione (coerentemente alle attese della norma di sistema di gestione applicabile); c) la capacit del sistema di gestione del cliente e le relative prestazioni, con riferimento al rispetto dei requisiti cogenti applicabili; d) controllo operativo dei processi del cliente; e) gli audit interni e il riesame di direzione; f) la responsabilit della direzione per le politiche del cliente. Fonte: ISO 17021-1:2015 Il processo di certificazione
息 SQS 8 Delibera Commissione Emissione Certificato Il processo di certificazione
息 SQS 9 Il piano di trattamento dei rischi relativo alla sicurezza delle informazioni non risulta in linea con quanto definito nellanalisi dei rischi, dopo confronto con elenco controlli in Annex A (es. applicazione policy uso password, raccolta di Log, gestione degli assets libera, nomine AdS, ecc.). ISO 27001:2013 則6.1.3 Il piano di trattamento dei rischi relativo alla sicurezza delle informazioni non risulta sistematicamente in linea con quanto definito nellanalisi dei rischi, dopo confronto con elenco controlli in annex A (es. Policy uso password, controllo accessi, controlli crittografici, ecc..). ISO 27001:2013 則6.1.3 La consapevolezza delle risorse non risulta sistematicamente dimostrata durante laudit (es. pc non 束in sleep損 con postazione non presidiata, password visibili sulla scrivania, ecc.) - ISO 27001:2013 則 7.3 .alcune criticit riscontrate negli audit
息 SQS 10 La classificazione dei documenti presenti in azienda non risulta sistematicamente applicata ed efficace. - ISO 27001:2013 則 7.5 La gestione della continuit operativa non risultano sistematicamente documentate nelle metodiche e negli esiti. ISO 27001:2013 6.1.3 ( A.17.1) La gestione della continuit operativa, cos狸 come le attivit di penetration tests non risultato sistematicamente documentate nelle metodiche e negli esiti. ISO 27001:2013 則 6.1.3 (A.17.1) La politica per la sicurezza delle informazioni non contempla tutti gli elementi previsti dalla norma di riferimento (es. tutti gli obiettivi per la sicurezza delle informazioni) ISO 27001:2013 則 5.2 La procedura per la gestione degli assets in caso di assunzione, cambio mansione e dimissioni, cos狸 come la procedura per la gestione degli accessi, non risulta sufficientemente dettagliata e formalizzata nel merito delle attivit da porre in essere - ISO 27001:2013 (A.8.1) .alcune criticit riscontrate negli audit
息 SQS 11 Numero certificati ISO nel Mondo Fonte: Survey ISO - 2020 Total valid certificates Total number of sites ISO 9001 916.842 1.299.837 ISO 14001 348.473 568.798 ISO 45001 190.481 251.191 ISO/IEC 27001 44.499 84.181 ISO 22000 33.741 39.894 ISO 13485 25.656 34.954 ISO 50001 19.731 45.092 ISO 20000-1 7.846 9.927 ISO 22301 2.205 4.662 ISO 37001 2.065 5.946 ISO 39001 972 2.341
息 SQS 12 Fonte: Survey ISO - 2020 China 12403 Japan 5645 UK & N. Ireland 3327 India 2226 Italy 1827 Netherlands 1326 Germany 1281 USA 1058 Spain 997 Taiwan 895 Turkey 881 Israel 837 Romania 729 Poland 710 Australia 562 Numero certificati ISO 27001
息 SQS 13 Associazione Svizzera per Sistemi di Qualit e di Management (SQS) Bernstrasse 103 Case Postale 686 3052 Zollikofen Schweiz T +41 31 910 35 35 F +41 31 910 35 45 www.sqs.ch Ing. Alberto Rencurosi T +39.333.8642096 alberto.rencurosi@sqs.ch

Recommended

ISO 27001 - Intervento di Salvatore Fabbricatore
ISO 27001 - Intervento di Salvatore FabbricatoreISO 27001 - Intervento di Salvatore Fabbricatore
ISO 27001 - Intervento di Salvatore Fabbricatore
Fabio Rosito
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuity
Business Resiliente
Tecnometal Srl
Tecnometal SrlTecnometal Srl
Tecnometal Srl
Roberto Rosset
Nuova ASP - General Catalogue_Enclosure 2011
Nuova ASP - General Catalogue_Enclosure 2011Nuova ASP - General Catalogue_Enclosure 2011
Nuova ASP - General Catalogue_Enclosure 2011
Davide Baccino
Nuova ASP - General Catalogue_Equipment for Mining 2011
Nuova ASP - General Catalogue_Equipment for Mining 2011Nuova ASP - General Catalogue_Equipment for Mining 2011
Nuova ASP - General Catalogue_Equipment for Mining 2011
Davide Baccino
Sistemi gestionali per l'attivit subacquea industriale
Sistemi gestionali per l'attivit subacquea industrialeSistemi gestionali per l'attivit subacquea industriale
Sistemi gestionali per l'attivit subacquea industriale
Pasquale Longobardi
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATOCAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
CAPITOLATI ARREDI ACQUISTI A NORMA PER PUBBLICO E PRIVATO
postaSimo
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
Sylvio Verrecchia - IT Security Engineer
Linea guida 20121 rev.4
Linea guida 20121 rev.4Linea guida 20121 rev.4
Linea guida 20121 rev.4
Certification Europe Italia
Mod io01c Audit Report fase 1 ISO9001
Mod io01c Audit Report fase 1 ISO9001Mod io01c Audit Report fase 1 ISO9001
Mod io01c Audit Report fase 1 ISO9001
SabrinaLaura
Mod io01d A2 ISO9001_rev01
Mod io01d A2 ISO9001_rev01Mod io01d A2 ISO9001_rev01
Mod io01d A2 ISO9001_rev01
SabrinaLaura
Mod. io01e audit report fase 2 iso9001 ea28 rev
Mod. io01e audit report fase 2 iso9001 ea28 revMod. io01e audit report fase 2 iso9001 ea28 rev
Mod. io01e audit report fase 2 iso9001 ea28 rev
SabrinaLaura
Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1 Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1
SabrinaLaura
Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1
SabrinaLaura
Io01 audit iso9001 rev.01
Io01 audit iso9001 rev.01Io01 audit iso9001 rev.01
Io01 audit iso9001 rev.01
SabrinaLaura
Check list ISO9001
Check list ISO9001Check list ISO9001
Check list ISO9001
SabrinaLaura
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf
03A quadro normativo di riferimento
03A quadro normativo di riferimento03A quadro normativo di riferimento
03A quadro normativo di riferimento
Maurilio Savoldi
Riva uniiso20121 31marzo2014
Riva uniiso20121 31marzo2014Riva uniiso20121 31marzo2014
Riva uniiso20121 31marzo2014
UNI - Ente Italiano di Normazione
Il sistema integrato secondo la PAS 99
Il sistema integrato secondo la PAS 99 Il sistema integrato secondo la PAS 99
Il sistema integrato secondo la PAS 99
AICQ Comitato Qualit del Software e Servizi ICT
La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...
La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...
La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...
UNI - Ente Italiano di Normazione
Giuseppe Prencipe - Bologna 29 aprile 2014
Giuseppe Prencipe - Bologna 29 aprile 2014Giuseppe Prencipe - Bologna 29 aprile 2014
Giuseppe Prencipe - Bologna 29 aprile 2014
Barbieri & Associati Dottori Commercialisti - Bologna
Bologna 6 marzo 2014 - Andrea Mazzoni
Bologna 6 marzo 2014 - Andrea MazzoniBologna 6 marzo 2014 - Andrea Mazzoni
Bologna 6 marzo 2014 - Andrea Mazzoni
Barbieri & Associati Dottori Commercialisti - Bologna
Iso 16949 vs Iso 9001
Iso 16949 vs Iso 9001Iso 16949 vs Iso 9001
Iso 16949 vs Iso 9001
BCC-Consulting FM
Iso 9001 2000 Sezione Vi.3 Vii.6
Iso 9001 2000 Sezione Vi.3 Vii.6Iso 9001 2000 Sezione Vi.3 Vii.6
Iso 9001 2000 Sezione Vi.3 Vii.6
Matteo Casadio Strozzi
Iso 9001 2000 Sezione VII.3 VII.6
Iso 9001 2000 Sezione VII.3 VII.6Iso 9001 2000 Sezione VII.3 VII.6
Iso 9001 2000 Sezione VII.3 VII.6
Matteo Casadio Strozzi
Lgio01c linea guida iso9001 ea29a 35
Lgio01c linea guida iso9001 ea29a 35Lgio01c linea guida iso9001 ea29a 35
Lgio01c linea guida iso9001 ea29a 35
SabrinaLaura
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
Fabio Rosito
Le novit della CEI 11-27
Le novit della CEI 11-27Le novit della CEI 11-27
Le novit della CEI 11-27
Fabio Rosito

More Related Content

Similar to Il processo di certificazione dei sistemi di gestione (20)

Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
Sylvio Verrecchia - IT Security Engineer
Linea guida 20121 rev.4
Linea guida 20121 rev.4Linea guida 20121 rev.4
Linea guida 20121 rev.4
Certification Europe Italia
Mod io01c Audit Report fase 1 ISO9001
Mod io01c Audit Report fase 1 ISO9001Mod io01c Audit Report fase 1 ISO9001
Mod io01c Audit Report fase 1 ISO9001
SabrinaLaura
Mod io01d A2 ISO9001_rev01
Mod io01d A2 ISO9001_rev01Mod io01d A2 ISO9001_rev01
Mod io01d A2 ISO9001_rev01
SabrinaLaura
Mod. io01e audit report fase 2 iso9001 ea28 rev
Mod. io01e audit report fase 2 iso9001 ea28 revMod. io01e audit report fase 2 iso9001 ea28 rev
Mod. io01e audit report fase 2 iso9001 ea28 rev
SabrinaLaura
Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1 Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1
SabrinaLaura
Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1
SabrinaLaura
Io01 audit iso9001 rev.01
Io01 audit iso9001 rev.01Io01 audit iso9001 rev.01
Io01 audit iso9001 rev.01
SabrinaLaura
Check list ISO9001
Check list ISO9001Check list ISO9001
Check list ISO9001
SabrinaLaura
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf
03A quadro normativo di riferimento
03A quadro normativo di riferimento03A quadro normativo di riferimento
03A quadro normativo di riferimento
Maurilio Savoldi
Riva uniiso20121 31marzo2014
Riva uniiso20121 31marzo2014Riva uniiso20121 31marzo2014
Riva uniiso20121 31marzo2014
UNI - Ente Italiano di Normazione
Il sistema integrato secondo la PAS 99
Il sistema integrato secondo la PAS 99 Il sistema integrato secondo la PAS 99
Il sistema integrato secondo la PAS 99
AICQ Comitato Qualit del Software e Servizi ICT
La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...
La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...
La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...
UNI - Ente Italiano di Normazione
Giuseppe Prencipe - Bologna 29 aprile 2014
Giuseppe Prencipe - Bologna 29 aprile 2014Giuseppe Prencipe - Bologna 29 aprile 2014
Giuseppe Prencipe - Bologna 29 aprile 2014
Barbieri & Associati Dottori Commercialisti - Bologna
Bologna 6 marzo 2014 - Andrea Mazzoni
Bologna 6 marzo 2014 - Andrea MazzoniBologna 6 marzo 2014 - Andrea Mazzoni
Bologna 6 marzo 2014 - Andrea Mazzoni
Barbieri & Associati Dottori Commercialisti - Bologna
Iso 16949 vs Iso 9001
Iso 16949 vs Iso 9001Iso 16949 vs Iso 9001
Iso 16949 vs Iso 9001
BCC-Consulting FM
Iso 9001 2000 Sezione Vi.3 Vii.6
Iso 9001 2000 Sezione Vi.3 Vii.6Iso 9001 2000 Sezione Vi.3 Vii.6
Iso 9001 2000 Sezione Vi.3 Vii.6
Matteo Casadio Strozzi
Iso 9001 2000 Sezione VII.3 VII.6
Iso 9001 2000 Sezione VII.3 VII.6Iso 9001 2000 Sezione VII.3 VII.6
Iso 9001 2000 Sezione VII.3 VII.6
Matteo Casadio Strozzi
Lgio01c linea guida iso9001 ea29a 35
Lgio01c linea guida iso9001 ea29a 35Lgio01c linea guida iso9001 ea29a 35
Lgio01c linea guida iso9001 ea29a 35
SabrinaLaura
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
Sylvio Verrecchia - IT Security Engineer
Linea guida 20121 rev.4
Linea guida 20121 rev.4Linea guida 20121 rev.4
Linea guida 20121 rev.4
Certification Europe Italia
Mod io01c Audit Report fase 1 ISO9001
Mod io01c Audit Report fase 1 ISO9001Mod io01c Audit Report fase 1 ISO9001
Mod io01c Audit Report fase 1 ISO9001
SabrinaLaura
Mod io01d A2 ISO9001_rev01
Mod io01d A2 ISO9001_rev01Mod io01d A2 ISO9001_rev01
Mod io01d A2 ISO9001_rev01
SabrinaLaura
Mod. io01e audit report fase 2 iso9001 ea28 rev
Mod. io01e audit report fase 2 iso9001 ea28 revMod. io01e audit report fase 2 iso9001 ea28 rev
Mod. io01e audit report fase 2 iso9001 ea28 rev
SabrinaLaura
Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1 Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1
SabrinaLaura
Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1Lgio01a linea guida iso9001 audit fase 1
Lgio01a linea guida iso9001 audit fase 1
SabrinaLaura
Io01 audit iso9001 rev.01
Io01 audit iso9001 rev.01Io01 audit iso9001 rev.01
Io01 audit iso9001 rev.01
SabrinaLaura
Check list ISO9001
Check list ISO9001Check list ISO9001
Check list ISO9001
SabrinaLaura
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf
03A quadro normativo di riferimento
03A quadro normativo di riferimento03A quadro normativo di riferimento
03A quadro normativo di riferimento
Maurilio Savoldi
Riva uniiso20121 31marzo2014
Riva uniiso20121 31marzo2014Riva uniiso20121 31marzo2014
Riva uniiso20121 31marzo2014
UNI - Ente Italiano di Normazione
Il sistema integrato secondo la PAS 99
Il sistema integrato secondo la PAS 99 Il sistema integrato secondo la PAS 99
Il sistema integrato secondo la PAS 99
AICQ Comitato Qualit del Software e Servizi ICT
La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...
La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...
La verifica e validazione secondo la ISO/IEC 17029 e il caso specifico dei GH...
UNI - Ente Italiano di Normazione
Giuseppe Prencipe - Bologna 29 aprile 2014
Giuseppe Prencipe - Bologna 29 aprile 2014Giuseppe Prencipe - Bologna 29 aprile 2014
Giuseppe Prencipe - Bologna 29 aprile 2014
Barbieri & Associati Dottori Commercialisti - Bologna
Bologna 6 marzo 2014 - Andrea Mazzoni
Bologna 6 marzo 2014 - Andrea MazzoniBologna 6 marzo 2014 - Andrea Mazzoni
Bologna 6 marzo 2014 - Andrea Mazzoni
Barbieri & Associati Dottori Commercialisti - Bologna
Iso 16949 vs Iso 9001
Iso 16949 vs Iso 9001Iso 16949 vs Iso 9001
Iso 16949 vs Iso 9001
BCC-Consulting FM
Iso 9001 2000 Sezione Vi.3 Vii.6
Iso 9001 2000 Sezione Vi.3 Vii.6Iso 9001 2000 Sezione Vi.3 Vii.6
Iso 9001 2000 Sezione Vi.3 Vii.6
Matteo Casadio Strozzi
Iso 9001 2000 Sezione VII.3 VII.6
Iso 9001 2000 Sezione VII.3 VII.6Iso 9001 2000 Sezione VII.3 VII.6
Iso 9001 2000 Sezione VII.3 VII.6
Matteo Casadio Strozzi
Lgio01c linea guida iso9001 ea29a 35
Lgio01c linea guida iso9001 ea29a 35Lgio01c linea guida iso9001 ea29a 35
Lgio01c linea guida iso9001 ea29a 35
SabrinaLaura

More from Fabio Rosito (20)

La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
Fabio Rosito
Le novit della CEI 11-27
Le novit della CEI 11-27Le novit della CEI 11-27
Le novit della CEI 11-27
Fabio Rosito
Il valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazioneIl valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazione
Fabio Rosito
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Fabio Rosito
AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021
Fabio Rosito
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Fabio Rosito
AimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumoreAimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumore
Fabio Rosito
Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021
Fabio Rosito
Ergonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva MacchineErgonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva Macchine
Fabio Rosito
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Fabio Rosito
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratoriD.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
Fabio Rosito
PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014
Fabio Rosito
La misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumoreLa misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumore
Fabio Rosito
Il rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratoriIl rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratori
Fabio Rosito
La valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMCLa valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMC
Fabio Rosito
AimSafe conviene?
AimSafe conviene?AimSafe conviene?
AimSafe conviene?
Fabio Rosito
MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014
Fabio Rosito
La normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratoriLa normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratori
Fabio Rosito
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Fabio Rosito
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativoDieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Fabio Rosito
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
La valutazione del rischio chimico con algoritmo Mo.Va.Ris.Ch.
Fabio Rosito
Le novit della CEI 11-27
Le novit della CEI 11-27Le novit della CEI 11-27
Le novit della CEI 11-27
Fabio Rosito
Il valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazioneIl valore aggiunto degli enti di certificazione
Il valore aggiunto degli enti di certificazione
Fabio Rosito
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Enzo Medico - Asso.Forma - 際際滷 webinar 12/05/2021
Fabio Rosito
AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021AimSafe - Meet'on'air - 11 maggio 2021
AimSafe - Meet'on'air - 11 maggio 2021
Fabio Rosito
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Webinar AIAS Piemonte e VdA 20/04/2021 - I bandi di finanza agevolata per le ...
Fabio Rosito
AimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumoreAimSafe Meet'on'Air - La valutazione del rumore
AimSafe Meet'on'Air - La valutazione del rumore
Fabio Rosito
Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021Webinar AIAS Piemonte - 31 mazro 2021
Webinar AIAS Piemonte - 31 mazro 2021
Fabio Rosito
Ergonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva MacchineErgonomia legata alla direttiva Macchine
Ergonomia legata alla direttiva Macchine
Fabio Rosito
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Il DVR nei sistemi di gestione per la sicurezza e nei modelli di organizzazio...
Fabio Rosito
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratoriD.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
D.Lgs. 231/01 e reati in materia di sicurezza e salute dei lavoratori
Fabio Rosito
PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014PMOG Procedure semplificate D.M. 13/02/2014
PMOG Procedure semplificate D.M. 13/02/2014
Fabio Rosito
La misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumoreLa misurazione e valutazione del rischio rumore
La misurazione e valutazione del rischio rumore
Fabio Rosito
Il rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratoriIl rischio rumore: formazione per lavoratori
Il rischio rumore: formazione per lavoratori
Fabio Rosito
La valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMCLa valutazione rapida dei rischi da MMC
La valutazione rapida dei rischi da MMC
Fabio Rosito
AimSafe conviene?
AimSafe conviene?AimSafe conviene?
AimSafe conviene?
Fabio Rosito
MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014MOG 231 con le procedure semplificate D.M. 13/02/2014
MOG 231 con le procedure semplificate D.M. 13/02/2014
Fabio Rosito
La normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratoriLa normativa in materia di sicurezza e salute dei lavoratori
La normativa in materia di sicurezza e salute dei lavoratori
Fabio Rosito
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Il Modello Organizzativo e di Gestione 231 applicato alla sicurezza e salute ...
Fabio Rosito
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativoDieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Dieci anni D.Lgs. 81/2008: l'evoluzione dell'obbligo formativo
Fabio Rosito

Il processo di certificazione dei sistemi di gestione

  • 1. Il processo di certificazione di un sistema di gestione per la sicurezza delle informazioni Alberto Rencurosi 13.dicembre.2021 La sicurezza delle informazioni
  • 2. 息 SQS 2 Alberto Rencurosi Laurea in Ingegneria Meccanica Area manager Nord-Ovest Italia e membro di direzione allargata SQS (associazione svizzera per sistemi di qualit e management) Responsabile SQS Italia per gli accreditamenti e per il settore energia, sicurezza delle informazioni ed anticorruzione. Auditor qualificato per ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 22301, ISO 50001 e UNI 11352 RSPP e formatore SQS Italian Branch Piazzale Biancamano, 2 - 20121 Milano (MI) HQ SQS - Bernstrasse 103, 3052 Zollikofen, Svizzera T +39.333.8642096 Alberto.Rencurosi@sqs.ch
  • 3. 息 SQS 3 Il processo di certificazione Domanda di Certificazione Quotazione Iscrizione Stage 1 Stage 2
  • 4. 息 SQS 4 Domanda di Certificazione Complexity Assessment ISO 27001:2013 Il processo di certificazione
  • 5. 息 SQS 5 Quotazione Attivit di riesame della domanda e definizione dei tempi di audit Il processo di certificazione
  • 6. 息 SQS 6 STAGE 1 1. Gli obiettivi della fase 1 sono quelli di: a) riesaminare le informazioni documentate del sistema di gestione del cliente; b) valutare le condizioni specifiche del sito del cliente al fine di stabilire il grado di preparazione per la fase 2; c) riesaminare lo stato e la comprensione del cliente circa i requisiti della norma, d) raccogliere le informazioni necessarie riguardanti il campo di applicazione del sistema di gestione, e) riesaminare l'assegnazione di risorse per la fase 2 e concordare con il cliente i dettagli della fase stessa; f) mettere a fuoco la pianificazione della fase 2, g) valutare se gli audit interni ed i riesami di direzione siano in corso di pianificazione ed esecuzione e che il livello di attuazione del sistema di gestione fornisca l'evidenza che il cliente 竪 pronto per la fase 2. 2. Le conclusioni documentate relative al soddisfacimento degli obiettivi della fase 1 e alla possibilit di procedere alla fase 2 devono essere comunicate al cliente, compresa l'identificazione di ogni area di potenziale criticit che, in fase 2, potrebbe essere classificata come non conformit. 3. Nel determinare l'intervallo fra le fasi 1 e 2 si devono considerare le esigenze del cliente per la risoluzione delle aree di potenziale criticit identificate durante la fase 1. Fonte: ISO 17021-1:2015 Il processo di certificazione
  • 7. 息 SQS 7 STAGE 2 Lo scopo della fase 2 竪 di valutare l'attuazione, compresa l'efficacia, del sistema di gestione La fase 2 deve aver luogo presso il sito del cliente e deve almeno comprendere le attivit riportate nel seguito: a) le informazioni e le evidenze circa la conformit a tutti i requisiti della norma di sistema di gestione applicabile o di altri documenti normativi; b) il monitoraggio, la misurazione, il reporting e il riesame delle prestazioni, a fronte degli obiettivi e traguardi fondamentali di prestazione (coerentemente alle attese della norma di sistema di gestione applicabile); c) la capacit del sistema di gestione del cliente e le relative prestazioni, con riferimento al rispetto dei requisiti cogenti applicabili; d) controllo operativo dei processi del cliente; e) gli audit interni e il riesame di direzione; f) la responsabilit della direzione per le politiche del cliente. Fonte: ISO 17021-1:2015 Il processo di certificazione
  • 9. 息 SQS 9 Il piano di trattamento dei rischi relativo alla sicurezza delle informazioni non risulta in linea con quanto definito nellanalisi dei rischi, dopo confronto con elenco controlli in Annex A (es. applicazione policy uso password, raccolta di Log, gestione degli assets libera, nomine AdS, ecc.). ISO 27001:2013 則6.1.3 Il piano di trattamento dei rischi relativo alla sicurezza delle informazioni non risulta sistematicamente in linea con quanto definito nellanalisi dei rischi, dopo confronto con elenco controlli in annex A (es. Policy uso password, controllo accessi, controlli crittografici, ecc..). ISO 27001:2013 則6.1.3 La consapevolezza delle risorse non risulta sistematicamente dimostrata durante laudit (es. pc non 束in sleep損 con postazione non presidiata, password visibili sulla scrivania, ecc.) - ISO 27001:2013 則 7.3 .alcune criticit riscontrate negli audit
  • 10. 息 SQS 10 La classificazione dei documenti presenti in azienda non risulta sistematicamente applicata ed efficace. - ISO 27001:2013 則 7.5 La gestione della continuit operativa non risultano sistematicamente documentate nelle metodiche e negli esiti. ISO 27001:2013 6.1.3 ( A.17.1) La gestione della continuit operativa, cos狸 come le attivit di penetration tests non risultato sistematicamente documentate nelle metodiche e negli esiti. ISO 27001:2013 則 6.1.3 (A.17.1) La politica per la sicurezza delle informazioni non contempla tutti gli elementi previsti dalla norma di riferimento (es. tutti gli obiettivi per la sicurezza delle informazioni) ISO 27001:2013 則 5.2 La procedura per la gestione degli assets in caso di assunzione, cambio mansione e dimissioni, cos狸 come la procedura per la gestione degli accessi, non risulta sufficientemente dettagliata e formalizzata nel merito delle attivit da porre in essere - ISO 27001:2013 (A.8.1) .alcune criticit riscontrate negli audit
  • 11. 息 SQS 11 Numero certificati ISO nel Mondo Fonte: Survey ISO - 2020 Total valid certificates Total number of sites ISO 9001 916.842 1.299.837 ISO 14001 348.473 568.798 ISO 45001 190.481 251.191 ISO/IEC 27001 44.499 84.181 ISO 22000 33.741 39.894 ISO 13485 25.656 34.954 ISO 50001 19.731 45.092 ISO 20000-1 7.846 9.927 ISO 22301 2.205 4.662 ISO 37001 2.065 5.946 ISO 39001 972 2.341
  • 12. 息 SQS 12 Fonte: Survey ISO - 2020 China 12403 Japan 5645 UK & N. Ireland 3327 India 2226 Italy 1827 Netherlands 1326 Germany 1281 USA 1058 Spain 997 Taiwan 895 Turkey 881 Israel 837 Romania 729 Poland 710 Australia 562 Numero certificati ISO 27001
  • 13. 息 SQS 13 Associazione Svizzera per Sistemi di Qualit e di Management (SQS) Bernstrasse 103 Case Postale 686 3052 Zollikofen Schweiz T +41 31 910 35 35 F +41 31 910 35 45 www.sqs.ch Ing. Alberto Rencurosi T +39.333.8642096 alberto.rencurosi@sqs.ch
AboutCopyright
息 2025 際際滷