FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

È difficile consigliare metodi o strumenti particolari per effettuare l’analisi rischi informazioni, in ambito ISO 27001  senza prendere in considera la tipologia dell’ organizzazione in termini di capacità interna nell’analisi dei rischi e nella gestione della sicurezza delle informazioni, delle sue dimensioni e complessità, del settore, dello stato del SGSI e così via.

Mentre la norma ISO/IEC 27005 offre consigli generali sulla scelta e l’utilizzo di metodi di analisi o valutazione del rischio delle informazioni, gli standard ISO 27000 non specificano alcun metodo , offrendo la flessibilità di selezionare un metodo, o più probabilmente diversi metodi e/o strumenti, che si adattano alle esigenze dell’organizzazione.

Esistono molti metodi e strumenti diversi di analisi del rischio delle informazioni (li vedremo prossimamente dei dettagli).

Possiamo suddividerli  a grandi linee in due gruppo che condividono caratteristiche ampiamente simili: i metodi quantitativi (matematici) e qualitativi (esperienziali).

Nessuno di loro è esplicitamente richiesto o raccomandato dagli standard ISO 27000 (forniscono alcune indicazioni) che lasciano la scelta del metodo/i agli utenti, a seconda delle loro esigenze e a fattori come la loro familiarità con determinati metodi.

E’ perfettamente accettabile e sovente consigliato, che un’organizzazione utilizzi più metodi di analisi dei rischi. Alcuni sono più adatti a situazioni particolari rispetto ad altri – ad esempio, potrebbe avere senso utilizzare un semplice metodo di valutazione rischi per una visione più generale della situazione sicurezza informazioni, per poi passare ad altri metodi più dettagliati per esaminare questi aspetti particolari in modo più completo.

Inoltre, alcuni metodi di analisi dei rischi sono selezionabili in funzione della presenza nell’organizzazione di esperti in attività come audit, gestione dei rischi, salute e sicurezza, progettazione e test delle applicazioni e gestione della continuità aziendale: non vi è alcun reale vantaggio nel costringerli ad abbandonare i loro metodi e strumenti preferiti solo per conformarsi alla ISO 27001.

Anzi, le diverse prospettive, esperienze e intuizioni portate da questi metodi, strumenti ed esperti potrebbero rivelarsi molto preziose (ad esempio, i valutatori della salute e la sicurezza sul lavoro ponderano i “pericoli” utilizzando metodi notevolmente simili alla sicurezza delle informazioni)

Un aspetto a cui fare attenzione, tuttavia, è come risolvere le inevitabili discrepanze nei risultati dei diversi metodi adottati

Le analisi sono semplicemente strumenti di supporto alle decisioni per guidare la direzione aziendale, che deve  prendere le decisioni vitali su quanto investimento in sicurezza è appropriato, quanto rischio può essere tollerato, e quando apportare i necessari miglioramenti alla sicurezza delle informazioni. La risoluzione di tali quesiti richiede visione ed esperienza gestionale e il supporto di esperti ISO 27001.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Diventare consulente ISO 27001

Diventare consulente ISO 27001

Nell’attuale panorama delle certificazioni ISO, quella 27001 che consente di realizzare un sistema di gestione sicurezza informazioni, è in forte crescita, in virtù delle problematiche aziendali legate alla sicurezza dei dati e del rispetto della normativa privacy.

La certificazione dei sistemi di gestione sicurezza informazioni costituisce un’ottima opportunità per i consulenti che già si occupano di sistemi di gestione e per quelli che hanno maturato esperienza in ambito privacy, sia come consulente che come DPO, ma anche per chi per la prima volta si affaccia a tale mondo

Perchè le aziende ricercano un consulente sistemi di gestione sicurezza informazioni?

L’implementazione di un sistema di gestione ISO 27001 è complesso e un’azienda che decide di implementarlo, non dispone generalmente delle competenze necessarie per ottenere la certificazione ISO 27001 senza assistenza esterna.

Il ricorso al consulente SGSI da parte delle aziende è quindi una tappa obbligatoria anche in funzione dei seguenti vantaggi:

_ rapidità  nello sviluppare il sistema di  gestione sicurezza informazioni
_ riduzione degli errori nella compilazione della documentazione
_ rapidità e maggiore efficienza nel rapporto con l’ente di certificazione.

Quindi da un lato vi è un mercato vivo che richiede l’intervento del consulente ISO 27001, dall’altro vi sono tariffe e compensi molto interessanti per i consulenti SGSI, in quanto le competenze in tale ambito non sono così diffuse tra i professionisti, così come lo sono per esempio nel caso della norma ISO 9001.

Quali competenze deve possedere un buon consulente ISO SGSI?
Innanzitutto la conoscenza della norma ISO 27001 e delle procedure che richiede (a tale scopo puoi consultare Kit documentazione ISO 27001 la raccolta delle procedure ISO 27001).

E’ richiesta altresì la capacità di svolgere l’analisi dei rischi degli asset, da cui poi si sviluppa tutta l’architettura della documentazione del SGSI
Questa fase della consulenza ISO 27001, è molto delicata e richiede un’esperienza pregressa in analisi dei rischi. Con il software Analisi rischi Asset ISO 27001 questa procedura è notevolmente facilitata grazie alla possibilità di automatizzare tutti i passaggi richiesti.

Un’altra skill che deve possedere il consulente ISO 27001 è rappresentata dalla capacità di svolgere correttamente l’audit sia iniziale che quello finale prima di avviare l’iter  per la certificazione.
Questa attività richiedere l’utilizzo di un’adeguata e completa check list, la capacità di redigere per l’alta direzione un report di audit comprensibile, un atteggiamento che coinvolga positivamente tutto il personale dell’azienda interessato all’attività di audit del sistema di gestione sicurezza delle informazioni.

Quanto può essere il compenso per una consulenza richiesta per sviluppare un sistema di gestione sicurezza informazioni?
Il compenso è variabile, in funzione della complessità dell’azienda e della tipologia di attività.
Di norma una consulenza ISO 27001 non scende come importo sotto i 6000/8000 euro.

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI

ISO 13485 Quesito – Come implementare la gestione del rischio in un’azienda “solo distributore” di dispositivi medici?

ISO 13485 Quesito – Come implementare la gestione del rischio in un’azienda “solo distributore” di dispositivi medici?

Occorre considerare gli aspetti che possono influenzare il dispositivo in termini di condizioni di conservazione e trasporto, che a loro volta possono influenzare direttamente l’utente / paziente.

E’ necessario ottenere informazioni dal produttore del dispositivo su questi elementi essenziali, che possono essere presenti nelle informazioni sull’uso del dispositivo  o in altre informazioni tecniche disponibili presso il produttore.

Sono quindi da considerare nella  documentazione di gestione del rischio e definire le più adeguate misure di controllo.

Per la valutazione dei rischi è consigliabile fare riferimento alla norma ISO 31000

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI

SA 8000: cos’è, come si realizzano il manuale e le procedure

SA 8000: cos’è, come si realizzano il manuale e le procedure

SA 8000 (ovvero SA8000:2014; SA sta per Social Accountability) è uno standard internazionale di certificazione redatto dal CEPAA (Council of Economical Priorities Accreditation Agency) che certifica alcuni aspetti aziendali attinenti alla responsabilità sociale d’impresa, quali:

il rispetto dei diritti umani
il rispetto del diritto del lavoro
la tutela contro lo sfruttamento minorile
le garanzie di sicurezza e salubrità sul posto di lavoro

Lo scopo della norma è quello  di migliorare le condizioni lavorative.

La SA 8000 è una norma volontaria nel senso che le imprese decidono liberamente di sottoporsi al rispetto dei principi ivi sanciti. Il compito di verificare nel tempo il permanere delle condizioni di conformità alla norma è assegnato ad un Ente di certificazione di terza parte, ossia indipendente, abilitato a svolgere i controlli.

Struttura SA 8000

  • I. INTRODUZIONE
  • 1. Scopo e campo di applicazione
  • 2. Sistema di gestione
  • II. ELEMENTI NORMATIVI E LORO INTERPRETAZIONE
  • III. DEFINIZIONI
  • IV. REQUISITI DI RESPONSABILITÀ SOCIALE
  • 1. Lavoro infantile
  • 2. Lavoro Forzato o Obbligato
  • 3. Salute e sicurezza
  • 4. Libertà di Associazione e Diritto alla Contrattazione Collettiva
  • 5. Discriminazione
  • 6. Pratiche Disciplinari
  • 7. Orario di lavoro
  • 8. Retribuzione
  • 9. Sistema di gestione

  • I documenti: manuale, procedure e modulistica
    Il sistema documentale SA 8000 è costituito di norma da:1 manuale, procedure operative e dalla relativa modulistica.
    Il Kit documentale SA 8000 di Edirama è così strutturatoSA 8000
    Manuale Responsabilità sociale SA 8000:2014
    Procedure (12)
    1) Gestione problematiche lavoro infantile e minore
    2) Ricerca, selezione e formazione del personale
    3) Sistema disciplinare
    4) Politica di responsabilità sociale
    5) Gestione dei documenti e delle registrazioni
    6) Riesame della direzione
    7) Valutazione rischi responsabilità sociale
    8) Verifiche ispettive interne
    9) Invio segnalazioni e reclami
    10) Gestione non conformità
    11) Gestione azioni correttive e preventive
    12) Controllo fornitori e sub-fornitori
    Bilancio etico SA 8000
    Modulistica (28 moduli allegati alle procedure) – Vedi Elenco Moduli
    Check list audit interno SA 8000
    Totale documenti: 42 file  in formato MS Word editabili

  • Vedi estratti documenti
    sa8000_Manuale_di_gestione_estratto
    P009_invio_segnalazioni_reclami_estratto

Come ottenere la certificazione SA 8000
 L’audit di certificazione viene effettuato da un organismo accreditato che provvede a  verificare la conformità del sistema documentale  rispetto ai requisiti della norma. Il tutto si conclude con l’ emissione del certificato (validità 3 anni) , che deve essere rinnovato annualmente mediante gli audit di prima e seconda sorveglianza per confermare o meno l’effettivo mantenimento del sistema SA 8000.
Alla fine del terzo anno viene effettuato un audit per l’eventuale nuova conferma triennale.
La certificazione garantisce tutte le parti interessate (clienti, autorità di vigilanza, consumatori, cittadini) che l’organizzazione opera in conformità ai requisiti stabiliti nello standard di riferimento.

Quanto tempo è necessario per completare la certificazione SA 8000 e quanto costa
I tempi necessari al raggiungimento della certificazione dipendono dalla complessità dei processi aziendali e dalla “partecipazione attiva” dell’azienda.
In media occorrono c.a. 4-6 mesi.
Per quanto concerne i costi, questi possono variare in funzione della tipologia di azienda.

Puoi utilizzare questo tools per confrontare diversi preventivi.

Vedi esempi di documentazione e accedi al Kit documentazione manuale, procedure SA 8000

 ISO 50001: cos’è, come si realizza il manuale e le procedure

 ISO 50001: cos’è, come si realizza il manuale e le procedure

La norma ISO 50001 “Sistemi di gestione dell’energia – Requisiti e linee guida per l’uso”  specifica i requisiti per creare, avviare, mantenere e migliorare un sistema di gestione dell’energia, il cui obiettivo è di avviare un approccio sistematico al miglioramento continuo della prestazione energetica aziendale,  comprendendo in questa l’efficienza energetica nonché il consumo e l’uso dell’energia.

La documentazione richiesta per certificarsi ISO 50001 è costituita da manuale, procedure e specifici moduli.
Vedi esempi di documentazione e accedi al Kit documentazione manuale, procedure ISO 50001

Struttura della norma ISO 50001:2018

  • 4.1 Requisiti generali
  • 4.2 Responsabilità della direzione
  • 4.3 Politica energetica
  • 4.4.2 Prescrizioni legali e altre prescrizioni
  • 4.4.3 Analisi energetica
  • 4.4.4 Energy Baseline (Consumi di Riferimento)
  • 4.4.5 Indicatori di performance energetica
  • 4.4.6 Obiettivi, Traguardi e Programmi
  • 4.5.2 Competenza, formazione e consapevolezza
  • 4.5.3 Comunicazione
  • 4.5.4 Documentazione
  • 4.5.5 Controllo operativo
  • 4.5.6 Progettazione
  • 4.5.7 Acquisti
  • 4.6.1 Sorveglianza e misurazioni
  • 4.6.2 Rispetto delle prescrizioni
  • 4.6.3 Audit interno
  • 4.6.4 Non conformità, Azioni correttive e Azioni Preventive
  • 4.6.5 Controllo delle registrazioni
  • 4.7 Riesame

    Kit documentazione ISO 50001
     
    Come ottenere la certificazione ISO 50001
    L’audit di certificazione viene effettuato da un organismo accreditato che provvede a  verificare la conformità del sistema documentale  rispetto ai requisiti della norma. Il tutto si conclude con l’ emissione del certificato (validità 3 anni) , che deve essere rinnovato annualmente mediante gli audit di prima e seconda sorveglianza per confermare o meno l’effettivo mantenimento del sistema ISO 50001.
    Alla fine del terzo anno viene effettuato un audit per l’eventuale nuova conferma triennale.
    La certificazione garantisce tutte le parti interessate (clienti, autorità di vigilanza, consumatori, cittadini) che l’organizzazione opera in conformità ai requisiti stabiliti nello standard di riferimento.

    Quanto tempo è necessario per completare la certificazione ISO 50001 e quanto costa
    I tempi necessari al raggiungimento della certificazione dipendono dalla complessità dei processi aziendali e dalla “partecipazione attiva” dell’azienda.
    In media occorrono c.a. 4-6 mesi.
    Per quanto concerne i costi, questi possono variare in funzione della tipologia di azienda.
    Puoi utilizzare questo tools per confrontare diversi preventivi. Vedi esempi di documentazione e accedi al Kit documentazione manuale, procedure ISO 50001

Che cosa è la certificazione ISO 13485 e come realizzare manuale, procedure e modulistica

Che cosa è la certificazione ISO 13485 e come realizzare manuale, procedure e modulistica

La norma ISO 13485Dispositivi medici – Sistemi di gestione per la qualità – Requisiti per scopi regolamentari” costituisce lo standard per il sistema di gestione qualità specifico per le aziende del settore medicale, includendo sia requisiti ISO 9001 che requisiti specifici per il settore dei dispositivi medici.
La documentazione richiesta per certificarsi ISO 13485 è costituita da manuale, procedure e specifici moduli. Vedi esempi di documentazione e accedi al Kit documentazione manuale, procedure ISO 13485

La norma ISO 13485 è così strutturata:

ISO 13485:2016:

  • 1 Scopo
  • 2 Norme di riferimento
  • 3 Termini e definizioni
  • 4 Sistema di gestione per la qualità
  • 4.1 Requisiti generali
  • 4.2 Requisiti relativi alla documentazione
  • 5 Responsabilità della direzione
  • 5.1 Impegno della direzione
  • 5.2 Attenzione focalizzata al cliente
  • 5.3 Politica per la qualità
  • 5.4 Pianificazione
  • 5.5 Responsabilità, autorità e comunicazione
  • 5.6 Riesame da parte della direzione
  • 6 Gestione delle risorse
  • 6.1 Messa a disposizione delle risorse
  • 6.2 Risorse umane
  • 6.3 Infrastrutture
  • 6.4 Ambiente di lavoro e controllo della contaminazione
  • 7 Realizzazione del prodotto
  • 7.1 Pianificazione della realizzazione del prodotto
  • 7.2 Processi relativi al cliente
  • 7.3 Progettazione e sviluppo
  • 7.4 Approvvigionamento
  • 7.5 Produzione ed erogazione di servizi
  • 7.6 Controllo dei dispositivi di monitoraggio e di misurazione
  • 8 Misurazioni, analisi e miglioramento
  • 8.1 Generalità
  • 8.2 Monitoraggi e misurazioni
  • 8.3 Tenuta sotto controllo dei prodotti non conformi
  • 8.4 Analisi dei dati
  • 8.5 Miglioramento

Come ottenere la certificazione ISO 13485

L’audit di certificazione viene effettuato da un organismo accreditato che provvede a  verificare la conformità del sistema documentale  rispetto ai requisiti della norma. Il tutto si conclude con l’ emissione del certificato (validità 3 anni) , che deve essere rinnovato annualmente mediante gli audit di prima e seconda sorveglianza per confermare o meno l’effettivo mantenimento del sistema ISO 13485.
Alla fine del terzo anno viene effettuato un audit per l’eventuale nuova conferma triennale.
La certificazione garantisce tutte le parti interessate (clienti, autorità di vigilanza, consumatori, cittadini) che l’organizzazione opera in conformità ai requisiti stabiliti nello standard di riferimento.


Quanto tempo è necessario per completare la certificazione ISO 13485 e quanto costa

I tempi necessari al raggiungimento della certificazione dipendono dalla complessità dei processi aziendali e dalla “partecipazione attiva” dell’azienda.
In media occorrono c.a. 4-6 mesi.
Per quanto concerne i costi, questi possono variare in funzione della tipologia di azienda.
Puoi utilizzare questo tools per confrontare diversi preventivi.

Vedi esempi di documentazione e accedi al Kit documentazione manuale, procedure ISO 13485

Sai scrivere correttamente un report di audit? Fai il test

Fai il test gratuito per verificare se scrivi correttamente i report di audit, di verifiche interne o di qualsiasi tipologia.
Clicca qui per scoprire come migliorare i tuoi report di audit