Pubblicato Kit documentazione ISO 37001:2016 – sistemi di gestione anticorruzione

Kit documentazione ISO 37001:2016 – sistema di gestione anticorruzione, manuale, procedure, audit check list

Kit documentale per realizzare rapidamente e senza errori tutti i documenti (manuale, procedure, modulistica, check list) necessari per ottenere la certificazione del sistema di gestione anticorruzione secondo la norma ISO 37001:2016
Costituito da  manuale, procedure, modulistica  personalizzabili in formato MS Word.
Produttore: Winple
*** Acquistalo adesso e ricevi in omaggio il software Audit Doc *** – per gestire l’attività di audit e verifiche ispettive di qualsiasi tipologia e normativa.

Il prodotto viene inviato entro 6 ore dal pagamento da Winple srl partner di Edirama. I tuoi dati sono comunicati a Winple che potrà utilizzarli unicamente per inviare il prodotto acquistato e attivare il servizio di aggiornamento e di supporto incluso nel Kit.

Estratti documenti
 Manuale-sistema-gestione-iso-37001-2016  Procedure-Operative-sistema-gestione-iso-37001-2016
Modulistica-allegati-sistema-gestione-iso-37001-2016-winple

Contenuti:
Sezione Manuale
Manuale del sistema di gestione per la prevenzione della corruzione UNI ISO 37001:2016
MAN‐00 Introduzione
MAN‐01 Scopo e campo di applicazione
MAN‐02 Riferimenti normativi
MAN‐03 Termini e definizioni
MAN‐04 Contesto dell’Organizzazione
MAN‐05 Leadership
MAN‐06 Pianificazione
MAN‐07 Supporto
MAN‐08 Attività operative
MAN‐09 Valutazione delle prestazioni
MAN‐10 Miglioramento

Sezione Procedure
Procedure del sistema di gestione per la prevenzione della corruzione UNI ISO 37001:2016   PROC‐410 Comprendere l’organizzazione e il suo contesto
PROC‐420 Comprendere le esigenze e le aspettative degli stakeholders
PROC‐450 Valutazione del rischio di corruzione
PROC‐500 Leadership
PROC‐610 Azioni per affrontare rischi e opportunità
PROC‐620 Obiettivi per la prevenzione della corruzione e pianificazione per il loro raggiungimento
PROC‐722 Processo di assunzione
PROC‐730 Consapevolezza e formazione
PROC‐750 Informazioni documentate
PROC‐810 Pianificazione e controlli operativi
PROC‐820 Due diligence e controlli
PROC‐840 Rapporti con la PA
PROC‐870 Regali, ospitalità, donazioni, e benefici simili
PROC‐890 Segnalazione di sospetti
PROC‐920 Audit interno
PROC‐930 Riesame di direzione
PROC‐8100 Indagini e gestione della corruzione
PROC‐1010 Non conformità e azione correttiva

Allegati, istruzioni e flow chart del sistema di gestione per la prevenzione della corruzione UNI ISO 37001:2016
ALL‐01 Delega addetto all’ambiente Rif. Procedura PROC‐500
ALL‐02 Delega Alta direzione   Rif. Procedura PROC‐500
ALL‐03 Delega Direttore acquisti Rif. Procedura PROC‐500
ALL‐04 Delega Direttore amministrativo Rif. Procedura PROC‐500
ALL‐05 Delega Direttore commerciale Rif. Procedura PROC‐500
ALL‐06 Delega direttore di produzione Rif. Procedura PROC‐500
ALL‐07 Delega responsabile IT   Rif. Procedura PROC‐500
ALL‐08 Delega RSPP (Addetto alla sicurezza)   Rif. Procedura PROC‐500
ALL‐09 Red flags Rif. Procedura PROC‐890
ALL‐10 Misure disciplinari Rif. Procedura PROC‐8100
ALL‐11 Registro norme prevenzione corruzione Rif. Manuale MAN‐04
ISTR‐01 Guida ai pagamenti agevolativi o estorti Rif. Procedura PROC‐8100
FLOW‐‐01 Indagini e gestione della corruzione Rif. Procedura PROC‐8110
FLOW‐ 02 Due diligence e controlli Rif. Procedura PROC‐820

Decine di moduli allegati alle procedure
Check list per audit interni

Tutti i documenti sono in formato MS Word.

Pubblicato – Kit documentazione ISO 22001 – manuale, procedure, check list – sistema di gestione sicurezza alimentare

Kit documentazione ISO 22001 – manuale, procedure, check list – sistema di gestione sicurezza alimentare

Questo Kit documentale ti consente di realizzare velocemente il sistema documentale per ottenere la certificazione ISO 22001 – sistema di gestione sicurezza alimentare.

Tutti i documenti sono in formato MS Word per una personalizzazione veloce
Tutti i contenuti sono conformi alla norma ISO 22001:2018
Viene fornita anche la guida all’implementazione del sistema di gestione ISO 22001
Puoi utilizzarlo anche per le attività di audit interno grazie alla presenza della check list audit interno ISO 22001:2018

Invio del prodotto per email,  immediato dopo il pagamento con carta di credito, 24 ore con bonifico bancario.

Il Kit è costituito da:
_ Manuale sicurezza alimentare – 32 pagine – formato MS Word – Manuale_ISO_2200_ITA_Estratto
Check list audit interno ISO 22001: 2018 – formato MS Excel –
_ Guida all’implementazione del sistema di gestione sicurezza alimentare ISO 22001:2015 – formato PDF
_ 32 procedure operative – formato MS Word

Scarica esempio
04_Preparazione e risposta alle emergenze

ProceduraRequisito
ISO 22000
01Scopo – Campo d’applicazione4.3
02Politica di sicurezza alimentare5.2
03Situazioni di emergenza8.4.1
04Analisi dei rischi8.5.1.1 ; 8.5.2
05Materie prime, ingredienti e materiali8.5.1.2
06Prodotti finali8.5.1.3
07Uso previsto8.5.1.4
08Diagrammi di flusso8.5.1.5.1
09Descrizione del processo8.5.1.5.3
10Livelli di rischio accettabili8.5.2.2.3
11Valutazione dei rischi8.5.2.3
12Processo decisionale8.5.2.4.2
13Requisiti esterni8.5.2.4.2
14Misure di controllo8.5.3
15Piano di controllo dei pericoli8.5.4.1 ; 8.5.4.5
16Limiti critici e criteri d’azione8.5.4.2
17Monitoring e misurazione8.5.4.3 ; 8.7
18Software di monitoraggio e misurazione8.7
19Correzioni8.9.2.1
20Azioni correttive8.9 ; 10.1
21Prelievo, richiamo8.9.5
22Formazione7.2
23Comunicazione7.4
24Informazioni documentate7.5
25Programma dei pre-requisiti PPR8.2
26Tracciabilità8.3
27Piano HACCP8.5
28Pre requisiti operativi8.5
29Audit interno9.2
30Riesame della direzione9.3
31Miglioramento continuo10.2
32Gestione del rischio6.1

Come riconoscere un’attestazione valida per le mascherine FFP2

Le mascherine FFP2 sono Dispositivi di Protezione Individuale (DPI) e in quanto tali sono normati a livello europeo dal Regolamento UE 425/2016.

Essendo in particolare classificati quali DPI di categoria III, o come più comunemente definiti “DPI salva vita”, per poter essere immessi nel mercato della UE devono garantire di proteggere gli individui che li utilizzano, rispetto ai rischi per cui sono stati progettati e fabbricati, e superare una serie di controlli eseguiti da organismi notificati, in qualità di operatori terzi e indipendenti rispetto ai fabbricanti.

In dettaglio, per essere qualificati in Italia come organismi notificati, questi devono essere prima accreditati da Accredia e poi autorizzati e notificati dal Ministero dello Sviluppo Economico e dal Ministero del Lavoro e delle Politiche Sociali alla Commissione europea che li inserisce nel database NANDO.

Gli organismi accreditati e notificati valutano la conformità dei DPI sia in fase di progettazione e prototipazione, sia durante la successiva produzione in serie da parte dei fabbricanti. Sulla base degli esiti delle verifiche di conformità, i produttori, gli importatori e chi commercializza i DPI possono apporre la marcatura CE su tali prodotti e immetterli sul mercato.

I DPI possono circolare ed essere commercializzati solo se accompagnati da documenti corretti e validi, dal momento che devono attestarne la conformità alle norme applicabili, in materia di salute, sicurezza e protezione degli utilizzatori.

Verificare la validità di un certificato di conformità di un DPI

Nel seguito, Accredia fornisce alcune indicazioni per riconoscere un certificato valido di attestazione della conformità di un DPI, emesso ai sensi del Regolamento UE 425/2016 da un organismo notificato.

CONTROLLARE GLI ELEMENTI ESSENZIALI CHE IL CERTIFICATO DEVE CONTENERE

Se il documento da verificare è un certificato UE, emesso ai sensi del Regolamento UE 425/2016 sui DPI da un organismo notificato, questo deve contenere almeno le seguenti informazioni:

a) nome e numero di identificazione dell’organismo notificato;

b) nome e indirizzo del fabbricante e, qualora la domanda sia presentata dal mandatario, nome e indirizzo di quest’ultimo;

c) identificazione del DPI oggetto del certificato (numero del Tipo);

d) dichiarazione in cui si attesta che il Tipo di DPI soddisfa i requisiti essenziali di salute e di sicurezza applicabili;

e) se le norme armonizzate sono state applicate in tutto o in parte, i riferimenti di tali norme o parti di esse;

f) se sono state applicate altre specifiche tecniche, i loro riferimenti;

g) se del caso, il livello di prestazioni o la classe di protezione del DPI;

h) per i DPI prodotti come unità singole per adattarsi a un singolo utilizzatore, la gamma delle variazioni consentite dei parametri pertinenti sulla base del modello di base approvato;

i) la data di rilascio, la data di scadenza e, se del caso, la data o le date di rinnovo;

j) le eventuali condizioni connesse al rilascio del certificato;

k) per i DPI della categoria III, una dichiarazione secondo cui il certificato deve essere utilizzato solo in combinazione con una delle procedure di valutazione della conformità di cui all’articolo 19, lettera c).


NOTA BENE

Le informazioni di cui ai punti e), f), g), h) potrebbero anche non essere sempre presenti in base alle scelte progettuali e costruttive dei diversi fabbricanti.


VERIFICARE ON LINE LA NOTIFICA DELL’ORGANISMO CHE HA EMESSO IL CERTIFICATO

Per essere sicuri che il certificato che contiene gli elementi sopra riportati sia stato emesso da un organismo notificato per tale tipologia di DPI, si può effettuare un controllo sul database della Commissione europea che riporta l’elenco degli organismi notificati in Europa per il Regolamento UE 425/2016.

LINK –> Database NANDO

Bisogna verificare se nella specifica notifica è riportato il DPI oggetto della ricerca (Equipment providing respiratory system protection).


NOTA BENE

Se il documento su cui si vogliono eseguire accertamenti, non contiene le informazioni sopra riportate o non è stato emesso da un organismo notificato per lo specifico DPI, quel documento non è un certificato per marcatura CE di un DPI. 


CONTROLLARE CHE IL CERTIFICATO RIPORTI IL LOGO ACCREDIA E CONTATTARE L’ORGANISMO CHE HA EMESSO IL CERTIFICATO

Per accertarsi della reale emissione di un certificato (che deve riportare il nostro logo nel caso di DPI certificati da parte di organismi accreditati da Accredia) si deve in ogni caso contattare il soggetto che lo ha emesso ed è l’unico che può dichiararne l’emissione, lo stato di vigenza, la corrispondenza al DPI oggetto della certificazione o addirittura la falsità.

Tale verifica può essere generalmente eseguita direttamente on line sul sito web dell’organismo interessato o inviando una e-mail.

ATTENZIONE A DOCUMENTI SOMIGLIANTI MA CHE NON SONO CERTIFICATI AI SENSI DEL REGOLAMENTO UE 425/2016 DPI

Stanno circolando documenti simili a dei certificati del Tipo di DPI ai sensi del Regolamento UE 425/2016 DPI ma che non lo sono.

Diciture generiche sui facsimili di certificati presentati a supporto di DPI del tipo FFP2 e FFP3 che contengano diciture come “Qualified Certificate”, “Protective Mask” o “Contrasto COVID-19” non sono previste dalla legislazione vigente e anzi rappresentano un elemento che può confondere i consumatori finali e di cui bisogna diffidare ponendo la massima attenzione alla reale conformità del DPI che viene proposto.

Infografica – come riconoscere certificati conformi di DPI

Fonte: Accredia

Aggiornato Alert ISO lo strumento di aggiornamento sulle norme ISO e sistemi di gestione

Aggiornato Alert ISO lo strumento di aggiornamento sulle norme ISO e sistemi di gestione. Sono state pubblicate nuove notizie e integrata la bancadati ISO Tools con sistemi di gestione completi ISO 27001, SA 8000, ISO 45001, software valutazione rischi Asset ISO 27001

#iso

#sistemidigestione

#normeiso

#iso27001

#iso9001

#iso45001

#iso13485

#sa8000

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

FAQ – ISO 27001 – Quale analisi rischi informazioni utilizzare?

È difficile consigliare metodi o strumenti particolari per effettuare l’analisi rischi informazioni, in ambito ISO 27001  senza prendere in considera la tipologia dell’ organizzazione in termini di capacità interna nell’analisi dei rischi e nella gestione della sicurezza delle informazioni, delle sue dimensioni e complessità, del settore, dello stato del SGSI e così via.

Mentre la norma ISO/IEC 27005 offre consigli generali sulla scelta e l’utilizzo di metodi di analisi o valutazione del rischio delle informazioni, gli standard ISO 27000 non specificano alcun metodo , offrendo la flessibilità di selezionare un metodo, o più probabilmente diversi metodi e/o strumenti, che si adattano alle esigenze dell’organizzazione.

Esistono molti metodi e strumenti diversi di analisi del rischio delle informazioni (li vedremo prossimamente dei dettagli).

Possiamo suddividerli  a grandi linee in due gruppo che condividono caratteristiche ampiamente simili: i metodi quantitativi (matematici) e qualitativi (esperienziali).

Nessuno di loro è esplicitamente richiesto o raccomandato dagli standard ISO 27000 (forniscono alcune indicazioni) che lasciano la scelta del metodo/i agli utenti, a seconda delle loro esigenze e a fattori come la loro familiarità con determinati metodi.

E’ perfettamente accettabile e sovente consigliato, che un’organizzazione utilizzi più metodi di analisi dei rischi. Alcuni sono più adatti a situazioni particolari rispetto ad altri – ad esempio, potrebbe avere senso utilizzare un semplice metodo di valutazione rischi per una visione più generale della situazione sicurezza informazioni, per poi passare ad altri metodi più dettagliati per esaminare questi aspetti particolari in modo più completo.

Inoltre, alcuni metodi di analisi dei rischi sono selezionabili in funzione della presenza nell’organizzazione di esperti in attività come audit, gestione dei rischi, salute e sicurezza, progettazione e test delle applicazioni e gestione della continuità aziendale: non vi è alcun reale vantaggio nel costringerli ad abbandonare i loro metodi e strumenti preferiti solo per conformarsi alla ISO 27001.

Anzi, le diverse prospettive, esperienze e intuizioni portate da questi metodi, strumenti ed esperti potrebbero rivelarsi molto preziose (ad esempio, i valutatori della salute e la sicurezza sul lavoro ponderano i “pericoli” utilizzando metodi notevolmente simili alla sicurezza delle informazioni)

Un aspetto a cui fare attenzione, tuttavia, è come risolvere le inevitabili discrepanze nei risultati dei diversi metodi adottati

Le analisi sono semplicemente strumenti di supporto alle decisioni per guidare la direzione aziendale, che deve  prendere le decisioni vitali su quanto investimento in sicurezza è appropriato, quanto rischio può essere tollerato, e quando apportare i necessari miglioramenti alla sicurezza delle informazioni. La risoluzione di tali quesiti richiede visione ed esperienza gestionale e il supporto di esperti ISO 27001.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Diventare consulente ISO 27001

Diventare consulente ISO 27001

Nell’attuale panorama delle certificazioni ISO, quella 27001 che consente di realizzare un sistema di gestione sicurezza informazioni, è in forte crescita, in virtù delle problematiche aziendali legate alla sicurezza dei dati e del rispetto della normativa privacy.

La certificazione dei sistemi di gestione sicurezza informazioni costituisce un’ottima opportunità per i consulenti che già si occupano di sistemi di gestione e per quelli che hanno maturato esperienza in ambito privacy, sia come consulente che come DPO, ma anche per chi per la prima volta si affaccia a tale mondo

Perchè le aziende ricercano un consulente sistemi di gestione sicurezza informazioni?

L’implementazione di un sistema di gestione ISO 27001 è complesso e un’azienda che decide di implementarlo, non dispone generalmente delle competenze necessarie per ottenere la certificazione ISO 27001 senza assistenza esterna.

Il ricorso al consulente SGSI da parte delle aziende è quindi una tappa obbligatoria anche in funzione dei seguenti vantaggi:

_ rapidità  nello sviluppare il sistema di  gestione sicurezza informazioni
_ riduzione degli errori nella compilazione della documentazione
_ rapidità e maggiore efficienza nel rapporto con l’ente di certificazione.

Quindi da un lato vi è un mercato vivo che richiede l’intervento del consulente ISO 27001, dall’altro vi sono tariffe e compensi molto interessanti per i consulenti SGSI, in quanto le competenze in tale ambito non sono così diffuse tra i professionisti, così come lo sono per esempio nel caso della norma ISO 9001.

Quali competenze deve possedere un buon consulente ISO SGSI?
Innanzitutto la conoscenza della norma ISO 27001 e delle procedure che richiede (a tale scopo puoi consultare Kit documentazione ISO 27001 la raccolta delle procedure ISO 27001).

E’ richiesta altresì la capacità di svolgere l’analisi dei rischi degli asset, da cui poi si sviluppa tutta l’architettura della documentazione del SGSI
Questa fase della consulenza ISO 27001, è molto delicata e richiede un’esperienza pregressa in analisi dei rischi. Con il software Analisi rischi Asset ISO 27001 questa procedura è notevolmente facilitata grazie alla possibilità di automatizzare tutti i passaggi richiesti.

Un’altra skill che deve possedere il consulente ISO 27001 è rappresentata dalla capacità di svolgere correttamente l’audit sia iniziale che quello finale prima di avviare l’iter  per la certificazione.
Questa attività richiedere l’utilizzo di un’adeguata e completa check list, la capacità di redigere per l’alta direzione un report di audit comprensibile, un atteggiamento che coinvolga positivamente tutto il personale dell’azienda interessato all’attività di audit del sistema di gestione sicurezza delle informazioni.

Quanto può essere il compenso per una consulenza richiesta per sviluppare un sistema di gestione sicurezza informazioni?
Il compenso è variabile, in funzione della complessità dell’azienda e della tipologia di attività.
Di norma una consulenza ISO 27001 non scende come importo sotto i 6000/8000 euro.

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI

ISO 13485 Quesito – Come implementare la gestione del rischio in un’azienda “solo distributore” di dispositivi medici?

ISO 13485 Quesito – Come implementare la gestione del rischio in un’azienda “solo distributore” di dispositivi medici?

Occorre considerare gli aspetti che possono influenzare il dispositivo in termini di condizioni di conservazione e trasporto, che a loro volta possono influenzare direttamente l’utente / paziente.

E’ necessario ottenere informazioni dal produttore del dispositivo su questi elementi essenziali, che possono essere presenti nelle informazioni sull’uso del dispositivo  o in altre informazioni tecniche disponibili presso il produttore.

Sono quindi da considerare nella  documentazione di gestione del rischio e definire le più adeguate misure di controllo.

Per la valutazione dei rischi è consigliabile fare riferimento alla norma ISO 31000

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI