Pubblicata la nuova norma ISO 27001:2022

Dopo una falsa partenza, in cui l’aggiornamento è stato proposto come un emendamento piuttosto che una nuova versione, la nuova ISO27001 2022 è stata pubblicata dall’ISO ed è disponibile tramite il loro sito Web alla somma di 118 franchi svizzeri. Sono passati nove anni, un mese, da quando è uscita la versione precedente, quindi cosa c’è di nuovo in questa edizione, e dove andiamo da qui?

È giusto dire che questo aggiornamento è stato guidato quasi esclusivamente da due forze; il desiderio di far corrispondere i requisiti del sistema di gestione con l’ultima struttura e formulazione dell’allegato SL e la necessità di allineare l’allegato A della norma con la versione 2022 della guida ISO27002.

Prendiamo a turno questi due fattori ed esploriamo cosa è cambiato.

Il sistema di gestione

ISO27001 è stato uno dei primi standard ad adottare la struttura di alto livello dell’Annex SL nel 2013 e da allora la struttura è stata leggermente modificata da ISO con il rilascio di aggiornamenti a ISO9001 e altri dal 2015 in poi. Ma i cambiamenti sono piccoli ed è improbabile che la maggior parte delle organizzazioni certificate abbiano notti insonni.

La formulazione cambia

In primo luogo, ci sono alcune modifiche di formulazione nelle seguenti clausole:

  • 4.2 Comprendere i bisogni e le aspettative delle parti interessate
    • Viene aggiunto un terzo punto per specificare “quale di questi requisiti sarà affrontato attraverso il sistema di gestione della sicurezza delle informazioni”.
  • 4.4 Sistema di gestione della sicurezza delle informazioni
    • Viene aggiunta la frase “compresi i processi necessari e le loro interazioni”, che richiede una maggiore definizione dei processi dell’ISMS.
  • 5.3 Ruoli, responsabilità e poteri organizzativi
    • La frase “all’interno dell’organizzazione” è aggiunta alla fine della prima frase.
  • 6.1.3 Trattamento dei rischi per la sicurezza delle informazioni
    • Le note vengono sostituite.
  • 6.2 Obiettivi di sicurezza delle informazioni e pianificazione per raggiungerli
    • All’elenco viene aggiunta la necessità di monitorare gli obiettivi.
  • 7.4 Comunicazione
    • L’attuale formulazione sui processi di comunicazione è stata sostituita con un semplice “come comunicare”.
  • 8.1 Pianificazione e controllo operativo
    • È stata aggiunta la necessità di stabilire criteri per i processi dell’ISMS.

Modifiche alle intestazioni

C’è una nuova sotto-clausola 6.3 Pianificazione delle modifiche che si occupa delle modifiche al sistema di gestione e richiede che tutte le modifiche siano considerate dal punto di vista del loro scopo e delle conseguenze, dell’integrità dell’ISMS, delle risorse disponibili e di eventuali modifiche alle responsabilità e alle autorità sono coinvolti. Ciò richiederà un semplice processo di pianificazione, con l’evidenza che queste aree sono state prese in considerazione.

All’interno della clausola 9 ( Valutazione della performance ) le sottoclausole 9.2 ( Audit interno ) e 9.3 ( Riesame della direzione ) sono state ulteriormente suddivise in 9.2.1 Generale , 9.2.2 Programma di audit interno , 9.3.1 Generale , 9.3.2 Input del riesame della direzione e 9.3.3 Risultati rispettivamente del riesame della direzione. I due sottotitoli nella clausola 10 sono stati scambiati. Ciò serve principalmente a facilitare la leggibilità ea corrispondere all’ultima definizione dell’allegato SL (noto anche come “Struttura armonizzata”).

Il nuovo insieme di controlli dell’allegato A

Si è già scritto molto sulle modifiche all’allegato A, poiché sappiamo esattamente cosa cambierà da tempo, da quando la revisione del documento guida ISO27002 è stata pubblicata all’inizio del 2022.

Come previsto, ora ci sono un totale di novantatre controlli, raggruppati in quattro temi:

  • A.5 Controlli organizzativi
  • A.6 Controlli sulle persone
  • A.7 Controlli fisici
  • A.8 Controlli tecnologici

Dato che la versione del 2013 aveva centoquattordici controlli, si potrebbe pensare che il numero di controlli si sia ridotto di ventuno. Ma no, l’affermazione chiara è che non solo tutti i controlli precedenti sono incorporati nel nuovo set, ce ne sono in effetti undici nuovi:

  • A.5.7 Intelligence sulle minacce
  • A.5.23 Sicurezza delle informazioni per l’utilizzo dei servizi cloud
  • A.5.30 Prontezza ICT per la continuità aziendale
  • A.7.4 Monitoraggio della sicurezza fisica
  • A.8.9 Gestione della configurazione
  • A.8.10 Cancellazione delle informazioni
  • A.8.11 Mascheramento dei dati
  • A.8.12 Prevenzione della fuga di dati
  • A.8.16 Attività di monitoraggio
  • A.8.23 Filtraggio Web
  • A.8.28 Codifica sicura

Alcuni di questi potrebbero essere giustamente visti come chiarimenti di controlli precedenti (come il monitoraggio della sicurezza fisica e la codifica sicura ), alcuni apportano contenuti che in precedenza rientravano in altri standard (ad esempio, Sicurezza delle informazioni per l’uso dei servizi cloud , da ISO27017) e alcuni sono davvero nuovi: non ricordo che ci fosse alcun riferimento all’intelligence sulle minacce nel vecchio set di controllo.

Oltre agli undici nuovi, ve ne sono ventiquattro che sono stati fusi e cinquantotto rivisti, per un totale di novantatré.

Pubblicata la check list audit UNI / PdR 125

Check list audit UNI/PdR 125 Parità di genere – formato Excel

Struttura check list audit

5 – INDICATORI DI PERFORMANCE (KPI) PER LE ORGANIZZAZIONI
5.2 AREA CULTURA E STRATEGIA
5.3 AREA GOVERNANCE
5.4 AREA PROCESSI HR
5.5 AREA OPPORTUNITÀ DI CRESCITA ED INCLUSIONE DELLE DONNE IN AZIENDA
5.6 AREA EQUITÀ REMUNERATIVA PER GENERE
5.7 AREA TUTELA DELLA GENITORIALITÀ E CONCILIAZIONE VITA-LAVORO
6 POLITICHE DI PARITÀ DI GENERE, PIANIFICAZIONE, ATTUAZIONE E MONITORAGGIO, E SISTEMA DI GESTIONE”
6.1 POLITICHE DI PARITÀ DI GENERE
6.2 PIANIFICAZIONE
6.3 ATTUAZIONE DELLE AZIONI DEL PIANO STRATEGICO E MONITORAGGIO
6.3.2 TEMI OGGETTO DEL PIANO STRATEGICO
6.3.2.1 SELEZIONE ED ASSUNZIONE (RECRUITMENT)
6.3.2.2 GESTIONE DELLA CARRIERA
6.3.2.3 EQUITÀ SALARIALE
6.3.2.4 GENITORIALITÀ, CURA
6.3.2.5 CONCILIAZIONE DEI TEMPI VITA-LAVORO (WORK-LIFE BALANCE)
6.3.2.6 ATTIVITÀ DI PREVENZIONE DI OGNI FORMA DI ABUSO FISICO, VERBALE, DIGITALE (MOLESTIA) SUI LUOGHI DI LAVORO
6.4 SISTEMA DI GESTIONE
6.4.2 DOCUMENTAZIONE DEL SISTEMA
6.4.3 MONITORAGGIO DEGLI INDICATORI
6.4.4 COMUNICAZIONE INTERNA ED ESTERNA
6.4.5.1 VERIFICA DI CONFORMITÀ ALLA PRESENTE UNI/PdR: TIPOLOGIE DI EVIDENZE QUANTITATIVE E QUALITATIVE
6.4.6 GESTIONE DELLE SITUAZIONI NON CONFORMI
6.4.7 REVISIONE PERIODICA
6.4.8 MIGLIORAMENTO

SCOPRI L’OFFERTA IN CORSO

SPECIALE – CERTIFICAZIONE UNI /PdR 125 – PARITA’ DI GENERE – Risorse utili

RISORSE UTILI PER LA CERTIFICAZIONE UNI /PdR 125 – PARITA’ DI GENERE

Come ottenere la certificazione UNI/PdR 125 – Parità di genere

Per ottenere la certificazione, è necessario innanzitutto implementare un efficace sistema di gestione per la parità di genere, conforme alla linea guida UNI/PdR 125:2022. 

L’implementazione del sistema di gestione prevede la realizzazione del sistema documentale costituito da: manuale, procedure e modulistica. Ma non solo

La prassi di riferimento definisce le linee guida per l’implementazione di un sistema di gestione per la parità di genere, anche tramite la definizione di un insieme di KPI (Key Performance Indicator – Indicatori chiave di prestazione) rispetto ai risultati delle politiche di parità di genere nell’ organizzazione.

All’interno della norma sono state individuate 6 aree principali, e relativi indicatori, che determinano il livello di maturità raggiunto dall’ organizzazione in materia di Parità di Genere:

  • Cultura e strategia,
  • Governance,
  • Processi HR,
  • Opportunità di crescita ed inclusione delle donne in azienda,
  • Equità remunerativa per genere,
  • Tutela della genitorialità e conciliazione vita-lavoro.

  • Ogni Area è contraddistinta da un peso % (fatto 100 il totale del peso delle differenti Aree) che contribuisce alla misurazione del livello as-is dell’organizzazione e rispetto al quale sono misurati gli stati di avanzamento costanti nel tempo.
  • Per ciascuna Area di valutazione sono stati identificati degli specifici KPI attraverso i quali misurare il grado di maturità dell’organizzazione attraverso un monitoraggio annuale e una verifica ogni due anni, per dare evidenza del miglioramento ottenuto grazie alla varietà degli interventi messi in atto o del remediation plan attivato.


  • Ogni singolo indicatore è associato a un punteggio il cui raggiungimento o meno viene ponderato per il peso dell’Area di appartenenza.
  • È previsto il raggiungimento dello score minimo di sintesi complessivo del 60% per determinare l’accesso alla certificazione da parte dell’organizzazione. In tal modo, l’attribuzione di una verifica di conformità in base allo score finale consente agli stakeholder di riconoscere la validità e l’efficacia dei processi implementati internamente, con ricadute positive in termini reputazionali del brand ed economici.
  • La certificazione viene rilasciata al momento della rilevazione degli indicatori, se esistono già i requisiti relativi al conseguimento del punteggio minimo stabilito attraverso i KPI. Ogni due anni tale certificazione viene rivalutata e rinnovata se sui gap rilevati sono stati messi in atto piani di mitigazione e miglioramento.
  • Il modello di calcolo è da considerarsi dinamico, cioè l’algoritmo si aggiorna ogni anno con una nuova media sulla base dei dati ricevuti per l’anno precedente per ogni categoria (codice ATECO).

  • La linea guida UNI/PdR 125:2022 richiama la UNI ISO 30415:2021 “Gestione delle risorse umane: Diversità e inclusione”. 

La certificazione dell’applicazione delle UNI/PdR 125:2022 da parte dell’Organizzazione avviene attraverso il seguente iter:

  • Raccolta di informazioni iniziale attraverso la compilazione di un questionario informativo
  • Condivisione offerta tecnico economica
  • Audit documentale ed in sito (stage + stage 2)
  • Revisione indipendente del comitato tecnico
  • Emissione Dichiarazione finale

Il certificato rilasciato avrà validità pari a 3 anni, durante i quali l’Organizzazione sarà sottoposta a audit di sorveglianza annuale a 12 e 24 mesi.

Che cosa è la certificazione parità di genere

La certificazione della parità di genere è stata istituita dal 1/1/2022 dalla legge n. 162/2021, per eliminare il divario di retribuzione tra uomini e donne.

La certificazione di parità, è una delle misure che il Governo ha inserito nel Pnrr, nella missione 5, «Inclusione e coesione», tra le politiche per il lavoro, destinando a questa finalità 10 milioni di euro. Per le aziende virtuose sconto dell’1% sui contributi fino a 50mila euro all’anno.

Tale certificazione fa riferimento alla UNI /PdR 125 – Parità di genere.

Quando è obbligatoria
E’ previsto l’obbligo per le aziende con più di 50 dipendenti di redigere un rapporto sulla situazione del personale maschile e femminile in ognuna delle professioni e in relazione allo stato di assunzioni. Questo rapporto deve essere compilato e trasmesso dalle aziende alle rappresentanze sindacali aziendali entro il 31 dicembre, ogni 2 anni.

Sanzioni
Nel caso non si ottemperi a tale obbligo sono previste sanzioni e verifiche ad opera dell’Ispettorato Nazionale del Lavoro.

Pubblicato il software calcolo score certificazione UNI / PdR 125 – Parità di genere

Software calcolo score certificazione UNI / PdR 125 – Parità di genere consente di calcolare senza errori e velocemente lo score per determinare l’accesso alla certificazione o al rinnovo secondo il punto 5 dell’UNI /PdR 125.

L’ UNI/ Pdr 125 indica che  l’efficacia delle azioni intraprese dall’organizzazione al fine di creare un ambiente di lavoro inclusivo delle diversità, venga misurato rispetto a un insieme di indicatori caratterizzati dall’essere percorribili, pertinenti e confrontabili e in grado di guidare il cambiamento e di rappresentare il continuo miglioramento messo in atto dalle organizzazioni stesse.
Scarica la sezione 5 – Indicatori di performance (KPI) per le organizzazioni

Il software consente di realizzare questo calcolo in maniera veloce e sicura, senza errori!

ACCEDI ALLA VIDEO DEMO DAL SEGUENTE LINK

Nuova certificazione qualità per avvocati e commercialisti

Gli studi di avvocati e commercialisti potranno certificare la loro competenza sulla base della nuova norma UNI 11871:2022.



Il nuovo standard di riferimento nasce sulla base della già esistente Prassi di Riferimento UNI 33:2017 Studi Legali – Principi organizzativi e gestione dei rischi connessi all’esercizio della professione e testimonia la volontà di supportare l’organizzazione ed il funzionamento degli studi da parte dell’Infrastruttura della Qualità ossia la normazione tecnica, le valutazioni di conformità e l’accreditamento.

Avvocati e commercialisti potranno farsi certificare dagli organismi accreditati per rilasciare la certificazione sulla base della nuova norma.

La certificazione, voluta fortemente da ASLA Associazione Studi Legali Associati è volontaria e adottabile da tutte le realtà, a prescindere dalla dimensione e rappresenta un nuovo strumento che può influire in maniera importante sulla gestione del lavoro e nel rapporto con i clienti, che avranno un criterio in più per scegliere i professionisti da cui farsi assistere.

Tutti i certificati di accreditamento, rilasciati sulla base della Prassi 33:2017, migreranno alla nuova norma UNI 11871:2022, sulla base di modalità e tempistiche indicate in una Circolare che verrà diffusa da Accredia. Le certificazioni rilasciate sulla base della PdR 33:2017 rimarranno valide.

Come nel caso delle altre certificazioni rilasciate sotto accreditamento, anche questa permetterà di avere un’attestazione di qualità rilasciata da un organismo terzo e competente.

Fonte: Accredia

Nuovi domini specifici per consulenti sistemi di gestione ed enti di certificazione

Disponibili su www.yournameonline.eu nuovi domini specifici per consulenti sistemi di gestione ed enti di certificazione:
_consulenteiso.it
_entecertificazione.it
_auditparitadigenere.it
_consulenteparitadigenere.it

Vantaggi

👉

1) incremento contatti web specifici per servizi di consulenza norme ISO, parità di genere e servizi di certificazione

👉

2) maggiori possibilità di intercettare coloro che sul web ricercano un consulente per realizzare i sistemi di gestione ISO, un ente di certificazione, servizi di consulenza e di audit per certificazione parità di genere.

Come utilizzare questi domini
1. redirect al proprio sito con un incremento di traffico qualificato alla ricerca di un consulente ISO, parità di genere, ente di certificazione
2. Per creare un sito ex novo in cui descrivere la propria attività di consulenza ISO, certificazione parità di genere, servizi di certificazione e pubblicare aggiornamenti normativi in modo da sviluppare la propria notorietà, autorevolezza e credibilità professionale.
Per info
Edirama Tel. 051353838 – info@edirama.org