La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria"

Transcript

1 La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria Catania 22 Settembre 2006

2 Presentazione Relatore Nome: Ombretta Palma Azienda: Siemens Informatica Divisione: SOL ISS Posizione: Project Manager Principali esperienze maturate nell IS: Consulenza specialistica in ambito Sicurezza Informatica per Clienti Enterprise (Telco Operator, Industry, Utilities, Pubblica Amministrazione, etc.) Certificazioni CISA, CISM, Lead Assessor BS7799 Esperienza consolidata nell Information Security maturata attraverso la conduzione e la partecipazione a progetti di analisi dei rischi, realizzazione di Sistemi di Gestione della Sicurezza delle Informazioni e supporto alla loro Certificazione BS7799-2:2002, definizione ed implementazione di Corporate Information Security Policy, Departmental Security Policy, etc., Consulenza su Business Continuity e Disaster Recovery Page 2 22 Settembre 2006 Siemens Business Services

3 Sicurezza delle Informazioni L informazione è un asset di vitale importanza per il business, in ogni Organizzazione sia che si tratti di una grande impresa privata che di una PMI o di una Pubblica Amministrazione L informazione, quindi, deve essere opportunamente protetta. Per Sicurezza delle Informazioni si intende la salvaguardia di Riservatezza (assicurare che l informazione sia accessibile solo agli utenti autorizzati) Integrità (assicurare che l informazione venga modificata solo da utenti e processi autorizzati salvaguardando l accuratezza e la completezza dei dati e dei metodi di elaborazione) Disponibilità (assicurare che gli utenti autorizzati abbiano accesso all informazione quando richiesto) Page 3 22 Settembre 2006 Siemens Business Services

4 Introduzione allo standard Che cos è l ISO/IEC 27001:2005? E uno standard internazionale derivante dal riconoscimento da parte dell ISO/IEC dello standard de facto BS (British Standard) 7799 Parte 2 in materia di sicurezza delle informazioni (Information Security) pubblicato, prima del riconoscimento ISO, dal British Standard Institute (BSI) in collaborazione con diversi rappresentanti del mondo imprenditoriale Il British Standard si suddivide in due parti: BS 7799 Parte 1: Code of practice for information security management BS 7799 Parte 2: Specification for Information Security Management Systems Page 4 22 Settembre 2006 Siemens Business Services

5 Introduzione allo standard La parte 1 del BS 7799 è stata standardizzata nel 2000 dall Ente Internazionale ISO/IEC: International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 17799:2000(E) Code of Practice for Information Security Management La parte 2, è stata standardizzata dal medesimo ente nel 2005: International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 27001:2005 Information Technology - Security techniques - Information security management systems - Requirements Page 5 22 Settembre 2006 Siemens Business Services

6 SGSI o ISMS Che cos è un SGSI? Un Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) o Information Security Management System (ISMS) è un processo per la gestione delle informazioni aziendali (interne e dei propri Clienti e Business Partner) finalizzato a garantirne i requisiti di riservatezza, integrità e disponibilità Page 6 22 Settembre 2006 Siemens Business Services

7 In cosa consiste un SGSI Un SGSI non è un semplice insieme di controlli di sicurezza ma è un Sistema di Gestione che, con un insieme di feedback loops, permette di controllare e monitorare la sicurezza dei sistemi e, più in generale, la sicurezza del patrimonio informativo aziendale Un SGSI si compone, quindi, di: ruoli e responsabilità organizzative politiche di sicurezza procedure operative istruzioni controlli fisici (relativi all ambiente di lavoro ed alle attrezzature...) controlli logici (relativi ai servizi ICT...) cultura Page 7 22 Settembre 2006 Siemens Business Services

8 SGSI Certificabile Un SGSI può essere certificato secondo lo standard ISO/IEC 27001:2005 Ma prima occorre implementarlo ed assicurarsi che funzioni in modo efficace ed efficiente seguendo le indicazioni dello standard ISO/IEC e dello standard ISO/IEC 17799! Page 8 22 Settembre 2006 Siemens Business Services

9 Il Processo di Information Security Management Fonte: ISO/IEC 27001:2005 Page 9 22 Settembre 2006 Siemens Business Services

10 SGSI:Le Fasi del Processo 1. Fase Plan (Establish the ISMS) definizione ambito, scopo del SGSI, analisi dei rischi e scelta dei controlli di sicurezza da implementare 2. Fase Do (Implement and Operate the ISMS) 3. Fase Check (Monitor and Review the ISMS) 4. Fase Act (Maintain and Improve the ISMS) Page Settembre 2006 Siemens Business Services

11 SGSI: Fase Plan Definire lo scopo e l ambito del SGSI in funzione delle caratteristiche del business, tecnologia, organizzazione, etc. Definire la Politica di Sicurezza Definire un approccio sistematico al Risk Assessment, adeguato ai requisiti di business, legali, etc. Analisi e Gestione del Rischio: identificare i rischi valutare i rischi identificare e valutare le opzioni per il trattamento del rischio identificare le strategie per il trattamento del rischi selezionare i controlli di sicurezza che riducano l esposizione al rischio Page Settembre 2006 Siemens Business Services

12 Definizione dell Ambito di Applicazione Il primo step per la definizione di un SGSI è la definizione dell ambito di applicazione (scope) del SGSI Bisogna delimitare con maggiore precisione possibile l ambito fisico, logico ed organizzativo del SGSI Ai fini della Certificazione ISO/IEC del SGSI deve essere predisposto un documento che descriva l ambito di applicazione identificato e le interfacce dell ambito verso l interno e verso l esterno dell Organizzazione stessa. Page Settembre 2006 Siemens Business Services

13 Definizione dell Ambito di Applicazione Per individuare e descrivere l ambito di applicazione del SGSI occorre procedere attraverso successive analisi di maggiore dettaglio: Analisi dei Processi dell Area d Intervento: occorre rilevare tutti i processi attivi e le procedure operative utilizzate nell area d intervento. Censimento Interazioni ed Interfacce dell Area d Intervento: si devono individuare ed analizzare tutte le interazioni e le interfacce logiche e fisiche tra l area d intervento considerata e l esterno. Definizione dell Ambito Fisico, Logico ed Organizzativo del SGSI: si deve identificare, definire e descrivere in modo puntuale l ambito operativo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni. Page Settembre 2006 Siemens Business Services

14 Definizione della Security Policy L Organizzazione, in modo rispondente alle esigenze di business, settore di mercato e tipo di offerta, obiettivi, etc. deve definire la propria Politica di Sicurezza La Politica di Sicurezza non è un documento operativo bensì è una comunicazione breve e chiara che è disponibile a tutto il personale e che illustra gli indirizzi della Direzione/ Management in materia di Information Security Page Settembre 2006 Siemens Business Services

15 La Secutiy Policy nello standard In libera traduzione dallo standard: A.5 Security Policy A.5.1 Information Security Policy Obiettivo: Fornire indirizzo gestionale e supporto all information security in accordo con i requisiti di business e con le leggi ed i requisiti normativi applicabili. A Documento di Information Security Policy A Revisione dell Information Security Policy Controllo: Un documento di Politica di Sicurezza delle Informazioni deve essere approvato dal management. Successivamente, il documento di Politica di Sicurezza deve essere comunicato e pubblicato, nel modo appropriato, a tutti i dipendenti ed alle parti esterne di rilievo. Controllo: Al fine di mantenere idonea, adeguata ed efficace la Politica di Sicurezza, essa deve essere revisionata sia periodicamente che in caso di cambiamenti significativi. Page Settembre 2006 Siemens Business Services

16 Security Policy In dettaglio, la Politica di Sicurezza include: 1. framework degli obiettivi, principi di azione sugli aspetti di information security 2. considerazioni circa i requisiti di business, legali e normativi 3. contesto organizzativo per la gestione del rischio 4. criteri per la valutazione del rischio La Politica di Sicurezza deve essere firmata dall Executive Management Page Settembre 2006 Siemens Business Services

17 L Analisi del Rischio Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell esposizione al rischio degli asset informativi Analisi del Rischio Gestione del Rischio Gestione del rischio: Processo sistematico successivo all analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello residuo ritenuto accettabile ed accettato Page Settembre 2006 Siemens Business Services

18 Il concetto di Rischio Che cos è il Rischio? Il Rischio rappresenta la probabilità che una minaccia, sfruttando una vulnerabilità, generi un impatto negativo sugli asset informativi aziendali Il Rischio può essere espresso come il prodotto scalare dell Impatto (ovvero della gravità delle conseguenze) di un evento di minaccia per la probabilità di accadimento di tale evento R = I X P Page Settembre 2006 Siemens Business Services

19 Il Processo di Analisi del Rischio I principali step dell Analisi del Rischio sono: Identificazione e Valutazione degli asset (rif. Asset Inventory) Identificazione e Valutazione delle Minacce applicabili agli asset Identificazione e Valutazione delle Vulnerabilità degli asset Valutazione dell esposizione esposizione al Rischio Page Settembre 2006 Siemens Business Services

20 Identificazione degli Asset Devono essere identificati tutti gli asset che costituiscono il patrimonio informativo dell Organizzazione Le principali tipologie di asset che devono essere individuate sono: Asset Informativi (Dati/Informazioni e Documenti in forma cartacea e/o elettronica) Es.: Appunti con info del cliente, documentazione relativa alle Offerte, documentazione di Progetto, etc. Asset Software (applicativi e S.O. di supporto) Es.: Win 2000, Linux, SAP R/3, Exchange, etc. Asset Fisici (sistemi hardware di supporto) Es.: server, desktop, laptop, router, firewall, etc. ma anche cassettiere, armadiature, locali, etc. Page Settembre 2006 Siemens Business Services

21 Valutazione degli Asset Gli asset devono essere valutati tentando di valorizzare in maniera quantitativa o qualitativa l impatto che deriverebbe da una relativa compromissione in termini di perdita di confidenzialità, integrità e disponibilità. In pratica, bisogna valutare gli eventuali impatti che potrebbero essere determinati qualora: Gli Asset Informativi siano pubblicati, modificati, parzialmente corrotti, distrutti, resi indisponibili, etc. Gli Asset Software siano distrutti, parzialmente corrotti, o ceduti, resi indisponibili, etc. Gli Asset Fisici siano distrutti, parzialmente danneggiati, etc. Page Settembre 2006 Siemens Business Services

22 Asset Inventory L Asset inventory è, quindi, il primo step dell Analisi dei Rischi Il documento di Asset Inventory è di fondamentale importanza ai fini della Certificazione ISO/IEC Il doc dei cespiti aziendali (componente dell Asset Inventory) deve essere costantemente mantenuto aggiornato! Page Settembre 2006 Siemens Business Services

23 Valutazioni di criticità Le figure aziendali coinvolte nei processi censiti dovranno effettuare le valutazioni di criticità degli asset informativi in termini di: Criticità (importanza dell asset all interno del processo) Riservatezza Integrità Disponibilità Page Settembre 2006 Siemens Business Services

24 Identificazione delle Minacce Occorre identificare l insieme delle possibili minacce che si possono considerare (possono verificarsi) per gli asset del sistema ad esempio minacce: Naturali (es. terremoti, uragani, allagamenti, etc.); Tecnologiche (es. virus, malfunzionamenti, etc.); Sociali (es. scioperi, manifestazioni, etc.); Umane: Interne: Volontarie (es. frodi da interni, intercettazione documenti, etc.); Involontarie (es. manipolazioni dei dati, etc.); Esterne: Volontarie (es. frodi da esterni, attacchi informatici, etc.); Involontarie (es. virus, etc.). Page Settembre 2006 Siemens Business Services

25 Identificazione delle Vulnerabilità Le Vulnerabilità sono le debolezze proprie degli asset e/o dei relativi sistemi di supporto. Esempi di vulnerabilità nei tre domini sono: Dominio Logico: assenza di patch e/o di hotfix nei S.O., password di bassa complessità degli utenti e degli Amministratori, etc. Dominio Fisico: assenza di un controllo degli accessi (tornelli con badge) per la sala CED, assenza di allarmi anti-intrusione perimetrale negli uffici, etc. Dominio Organizzativo: sovrapposizione di ruoli e/o responsabilità in materia di IS, mancanza di formalizzazione delle procedure di Business Continuity, etc. Page Settembre 2006 Siemens Business Services

26 Valutazione delle Minacce e delle Vulnerabilità Occorre effettuare una valutazione del Livello di Minaccia che può essere espresso come la probabilità che la Minaccia si concretizzi impattando sull asset Le Vulnerabilità devono essere valutate in funzione della facilità con cui una Minaccia può impattare sugli asset sfruttando la presenza di tale Vulnerabilità Anche questa è una valutazione di tipo probabilistico Page Settembre 2006 Siemens Business Services

27 Valutazione del rischio In funzione dei valori determinati precedentemente si determina con un opportuno algoritmo (semplice o complesso) la misura di esposizione al Rischio La Misura di esposizione al Rischio o livello di esposizione al Rischio è indice di quali asset siano critici e maggiormente vulnerabili, in tal modo si potrà intervenire efficacemente (Gestione del Rischio) per identificare i migliori controlli di sicurezza Page Settembre 2006 Siemens Business Services

28 Esempio di applicazione Step 1 Identificazione Asset: Id0001: Documento di offerta (standard aziendale) Id0011: Server di Archiviazione dei Documenti (serverdoc01) Id0013: Software S.O. Ms Windows Server 2003 (1 licenza) Id0018: Software Applicativo Ms Office (1 licenza) Valutazione Asset: Id0001: Valore Alto Id0011: Valore Alto Id0013: Valore Basso Id0018: Valore Basso Page Settembre 2006 Siemens Business Services

29 Esempio di Applicazione Step 2 Identificazione Minacce: Lista delle Minacce Applicabili per asset Id0001: Mi0001: Spionaggio industriale Mi0009: Perdita d integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk) Valutazione Minacce: Valutazione delle Minacce Applicabili per asset Id0001: Mi0001: Spionaggio industriale: Valore Medio (Doc abbastanza competitivo) Mi0009: Perdita d integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk): Valore Basso (Raid 5 implementato) Page Settembre 2006 Siemens Business Services

30 Esempio di Applicazione Step 3 Identificazione Vulnerabilità: Lista delle Vulnerabilità per asset Id0001: Vu0008: Assenza del Label di Classificazione (Documento Confidenziale) Valutazione Vulnerabilità: Valutazione delle Vulnerabilità per asset Id0001: Vu0008: Assenza del Label di Classificazione (Documento Confidenziale): Valore Alto Page Settembre 2006 Siemens Business Services

31 Esempio di Applicazione: Output Valore Asset Id0001: alto Valore Minaccia Mi0001: medio Valore Vulnerabilità Vu0008: alto Livello Minaccia Basso (0) Medio (1) Alto (2) Livello Vulnerabilità B 0 M 1 A 2 B 0 M 1 A 2 B 0 M 1 A 2 Basso (0) Valore Asset Medio (1) Alto (2) Il valore di esposizione al rischio è 5 (Alto)! Legenda: 0-2 Rischio basso; 3-4 Rischio medio; 5-6 Rischio alto Page Settembre 2006 Siemens Business Services

32 Gestione dei Rischi Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell esposizione al rischio degli asset informativi Analisi del Rischio Gestione del Rischio Gestione del rischio: Processo sistematico successivo all analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello ritenuto accettabile e accettato Page Settembre 2006 Siemens Business Services

33 Gestione del Rischio Il processo di Gestione del Rischio consiste nell identificazione delle contromisure di sicurezza (fisica, logica ed organizzativa) che consentano di ridurre il livello di Rischio ad un livello che è ritenuto accettabile dall Organizzazione Il Rischio può essere gestito: implementando opportuni contromisure / controlli di sicurezza trasferendo il rischio (con opportune di polizze, con contratti di outsourcing, etc.) Page Settembre 2006 Siemens Business Services

34 Selezione delle Contromisure Le Contromisure possono abbassare il livello di rischio agendo su: Riduzione della probabilità di attacco e/o d incidente Riduzione delle vulnerabilità del sistema Riduzione dell impatto di un attacco e/o incidente Identificazione tempestiva dell occorrenza di un attacco e/o incidente Agevolazione del Recovery in seguito all occorrenza di un attacco e/o incidente di sicurezza Page Settembre 2006 Siemens Business Services

35 Scelta delle Contromisure Nella Scelta delle Contromisure bisognerà procedere con cognizione facendo opportune valutazioni di tipo Costi/Benefici Se l implementazione di una contromisura ha un costo di Euro ma riduce l esposizione al rischio (con un impatto stimato da Euro a Euro), si potrebbe ritenere che tale implementazione non risulta conveniente! Page Settembre 2006 Siemens Business Services

36 Classi di Contromisure Per l elenco delle contromisure di sicurezza si faccia riferimento all ISO/IEC Annex A o all ISO/IEC da cui sono tratti i seguenti in libera traduzione: Security Policy Organizzazione dell Information Security Gestione degli Asset Sicurezza delle Risorse Umane Sicurezza Fisica e Ambientale Gestione delle Comunicazioni e dell e attività di Esercizio Controllo Accessi Acquisizione, Sviluppo e Manutenzione di sistemi informativi Gestione degli Incidenti di Sicurezza delle Informazioni Gestione della Business Continuity Conformità Tale elenco di controlli non è esaustivo, né tutti i controlli risultano mandatori Page Settembre 2006 Siemens Business Services

37 Cosa fare e non come fare! Ciascuno dei controlli ISO/IEC definisce l obiettivo da perseguire COSA FARE Viene lasciata all Organizzazione piena libertà di implementazione dei controlli COME FARE Del resto, la tecnologia dei controlli di sicurezza cambia velocemente e sarebbe stato limitante vincolare l Organizzazione ad implementare una soluzione di sicurezza secondo una particolare tecnologia e/o propria di un particolare Produttore... Page Settembre 2006 Siemens Business Services

38 Risultati della Gestione del Rischio I Risultati della Gestione del Rischio devono essere esposti in modo sintetico, efficace ed adeguato al target cui sono rivolti Il Management deve avallare il livello di rischio residuo che diverrà il livello di rischio accettato dall Organizzazione L attività di Analisi e Gestione del Rischio dovrà essere ripetuta periodicamente e all occorrenza nel caso in cui si verifichino cambiamenti sostanziali negli obiettivi di business, infrastruttura tecnologica, etc. secondo il noto approccio ciclico Plan Do Check Act Page Settembre 2006 Siemens Business Services

39 Statement of Applicability Lo Statement of Applicability (Dichiarazione di Applicabilità) è un documento di rilevante importanza ai fini della Certificazione BS 7799 del SGSI in essere nell Organizzazione Tale documento, che deve essere costantemente mantenuto aggiornato, indica per ciascuno dei controlli ISO/IEC se applicato se non applicabile (e perché) se risulta non applicato (e perché) In particolare, un controllo ISO/IEC potrebbe risultare: Non applicabile ad es. a causa di problemi tecnologici (l event logging potrebbe non essere supportato da un applicativo legacy) Non applicato ad es. a causa del costo d implementazione (ci sono reali problemi di budget) Page Settembre 2006 Siemens Business Services

40 SGSI: Fase Do 1. Fase Plan (Establish the ISMS) 2. Fase Do (Implement and operate the ISMS) implementazione dei controlli di sicurezza identificati (ambiti logico, fisico ed organizzativo) 3. Fase Check (Monitor and Review the ISMS): 4. Fase Act (Maintain and improve the ISMS) Page Settembre 2006 Siemens Business Services

41 Security Controls e Tecnologie di Sicurezza L ISO/IEC è svincolato dai prodotti di sicurezza (fornisce delle raccomandazioni su cosa fare) e dai relativi Produttori (non entra nel merito di come fare). Sarà cura del Responsabile del SGSI opportunamente supportato dalla collaborazione di Security Architect, System Administrator, Network Administrator, etc. ad identificare le tecnologie che riescono a garantire i controlli di sicurezza identificati nel rispetto del budget assegnato In genere, un prodotto di sicurezza fornisce, nello stesso tempo, più controlli di sicurezza ma necessita di un opportuna configurazione. Ad es., Ms Win 2000 è un sw, esattamente un S.O. che implementa il log-on, logging, controllo d integrità dei dati in input, etc. Page Settembre 2006 Siemens Business Services

42 SGSI: Framework Documentale Il SGSI deve essere strutturato in un insieme di documenti, politiche, procedure, report, modulistica, etc. di facile consultazione. In particolare, le procedure che sono rivolte ai dipendenti durante l espletamento delle normali attività lavorative devono essere concise ed efficaci Page Settembre 2006 Siemens Business Services

43 SGSI: Documenti Formali Il SGSI certificabile secondo la norma ISO deve avere i principali documenti formali di seguito elencati: Ambito di applicazione del SGSI Manuale del SGSI Politica di Sicurezza Piano di Gestione del Rischio Piano di Gestione dei Log Statement of Applicability (SoA)... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

44 SGSI:Procedure Il SGSI certificabile secondo la norma BS 7799 deve avere, se applicabili, le principali procedure gestionali come quelle di seguito elencate: Procedura utente Formazione e Addestramento utente Amministrazione dei server di produzione e dei sistemi di sicurezza di supporto Back-up Business Continuity/Disaster Recovery Incident Handling Gestione degli Accessi Verifiche Ispettive... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

45 SGSI: Ulteriori Documenti Il SGSI certificabile secondo la norma BS 7799 deve avere l ulteriore documentazione relativa a: Comunicazioni interne relative alle decisioni prese e alle nomine effettuate Verbali delle riunioni degli organi di controllo Modulistica per Verifiche Ispettive Manuale di Qualità Contratti di Outsourcing con la definizione degli SLA di sicurezza Log forniti dall Outsourcer Log dei sistemi di produzione amministrati Registrazioni varie (Accessi, utilizzo delle macchine di lab, etc.)... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

46 Sicurezza Organizzativa L infrastruttura Organizzativa ha un peso rilevante in tutte le Aziende Private e Pubblica Amministrazione ed essenziale per il raggiungimento degli obiettivi di Business L ISO/IEC sancisce che l infrastruttura Organizzativa deve rendersi responsabile della Sicurezza delle Informazioni e più precisamente deve essere coinvolta attivamente nel continuo processo di Information Security dell Organizzazione Page Settembre 2006 Siemens Business Services

47 Gli attori coinvolti I vari attori coinvolti nel processo di IS sono: Struttura Organizzativa di IS Executive Management Responsabili di B.U. e/o Divisioni System Administrator, Network Administrator, DB Administrator, etc. Dipendenti Outsourcer / Fornitori / Business Partner Ciascuno ha un ruolo cruciale nel mantenere elevato il livello di sicurezza perché il livello di sicurezza di una Catena è determinato dal livello di sicurezza del più debole degli anelli: in un SGSI il fattore umano è quello più debole Page Settembre 2006 Siemens Business Services

48 SGSI:Fase Check 1. Fase Plan (Establish the ISMS) 2. Fase Do (Implement and Operate the ISMS) 3. Fase Check (Monitor and Review the ISMS): misurazione delle performance del SGSI: Management Review Raccolta ed Analisi delle registrazioni/log Monitoring degli Incidenti di Sicurezza (Incident Handling) 4. Fase Act (Maintain and Improve the ISMS) Page Settembre 2006 Siemens Business Services

49 Fase Check: Management Review Management review su una base regolare (almeno una volta l anno) per assicurare che lo scopo rimanga adeguato ed i miglioramenti del SGSI siano identificati Deve, altresì, essere rivisto il livello di rischio residuo e ritenuto accettabile dall organizzazione, anche, a seguito di modifiche sostanziali nell Organizzazione, tecnologie, minacce identificate, etc. Page Settembre 2006 Siemens Business Services

50 SGSI Fase Check:Raccolta e analisi delle registrazioni Si devono regolarmente raccogliere le registrazioni e log che daranno le indicazioni sul reale funzionamento e sull efficacia del SGSI implementato. L analisi di registrazioni e log e lo sviluppo di appositi indicatori di performance, aiuterà l identificazione delle misure correttive e migliorative Page Settembre 2006 Siemens Business Services

51 SGSI Fase Check: Monitoring degli incidenti di sicurezza Un importante fonte di informazioni che non deve essere assolutamente trascurata è costituita dallo storico degli incidenti di sicurezza che sono stati rilevati: falsi positivi incidenti di sicurezza chiusi incidenti di sicurezza aperti... Page Settembre 2006 Siemens Business Services

52 Verifiche Periodiche Il sistema dovrà essere sottoposto a verifiche periodiche: ai processi da parte del responsabile e/o proprietario del processo al fine di verificare l efficacia dei controlli rispetto alle normative di sicurezza e alla politica di sicurezza alle nuove tecnologie che sono introdotte (almeno ogni sei mesi) o al momento dell introduzione di tecnologie che comportino innovazioni rilevanti ispettive interne ( audit ): devono essere condotte indagini, soprattutto, sugli aspetti organizzativi del SGSI (l ispettore pur essendo interno all azienda deve condurre la verifica in autonomia e deve essere esterno rispetto al settore o al processo da valutare e indipendente dalle persone che ci lavorano) Page Settembre 2006 Siemens Business Services

53 SGSI:Miglioramento delle prestazioni Fase Plan (Establish the ISMS) Fase Do (Implement and Operate the ISMS) Fase Check (Monitor and Review the ISMS): Fase Act (Maintain and Improve the ISMS) implementazione di eventuali azioni correttive e migliorative Page Settembre 2006 Siemens Business Services

54 SGSI:Fase Act Implementare i miglioramenti identificati Intraprendere tutte le azioni preventive e correttive, apprendendo dal passato e dagli errori commessi Comunicare e condividere con le parti interessate le azioni intraprese Assicurare che vengano raggiunti gli obiettivi dichiarati Page Settembre 2006 Siemens Business Services

55 Start dell Iter di Certificazione Dopo aver revisionato ed affinato opportunamente il SGSI l organizzazione può fare domanda di certificazione ad un OdC (Organismo di Certificazione) che sia accreditato, in Italia, dal SINCERT Nella domanda di certificazione l organizzazione deve specificare l ambito di applicazione del SGSI e fornire tutte le informazioni necessarie all OdC affinché possa essere effettuata una relativa stima dei costi Page Settembre 2006 Siemens Business Services

56 Processo di Certificazione Ricezione Domanda Apertura Pratica Esame Documentale OK NO Verifiche supplementari SI Invio Programma di Valutazione Effettuazione Valutazione Rapporto Verifica Ispettiva OK NO Verifiche supplementari SI Proposta di Certificazione Esame da parte del Comitato tecnico Fonte: Sincert Rilascio Certificazione Page Settembre 2006 Siemens Business Services

57 Approfondimenti BS 7799 Parte 1: Code of practice for information security management BS 7799 Parte 2: Specification for Information Security Management Systems ISO/IEC 17799:2000(E) Code of Practise for Information Security Management BSI, Guide to BS 7799 Risk Assessment and Management, ISBN BSI, Guide on the selection of BS 7799 controls, ISBN BSI, Guide to BS 7799 Auditing, ISBN BSI, Preparing for BS certification Page Settembre 2006 Siemens Business Services

58 Link BS 7799 URL: ISO/IEC URL: European co-operation for Accreditation URL: SINCERT URL: RINA URL: itservices.rina.org/iso/ CLUSIT URL: Page Settembre 2006 Siemens Business Services

59 Certificazione della Sicurezza nel settore della tecnologia dell Informazione secondo ITSEC o Common Criteria La sicurezza nel settore della tecnologia dell informazione consiste nella protezione della riservatezza, integrità e disponibilità delle informazioni mediante il contrasto delle minacce originate dall uomo o dall ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l accesso, l utilizzo, la divulgazione, la modifica delle informazioni stesse, e di garantirne l accesso e l utilizzo a coloro che siano stati autorizzati. Fonte: LGP1 - Descrizione dello Schema Nazionale Page Settembre 2006 Siemens Business Services

60 Certificazione della Sicurezza nel settore della tecnologia dell Informazione secondo ITSEC o Common Criteria Il Decreto del Ministro per l'innovazione e le tecnologie e del Ministro delle comunicazioni (17/02/2005) ha identificato le: "Linee guida provvisorie per l'applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione (LGP), che entro 12 mesi dovranno essere pubblicate nella versione definitiva di Linee Guida Definitive (LGD) dall OCSI. L Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCTI) del Ministero delle Comunicazioni è l Organismo di Certificazione della Sicurezza nel settore della tecnologia dell Informazione (OCSI). Lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione si compone dell insieme delle procedure e delle regole necessarie per la valutazione e la certificazione, in conformità ai criteri europei ITSEC o ai Common Criteria (CC). Page Settembre 2006 Siemens Business Services

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Nota Informativa dello Schema N. 1/13

Nota Informativa dello Schema N. 1/13 Organismo di Certificazione della Sicurezza Informatica Nota Informativa dello Schema N. 1/13 Modifiche alla LGP1 Novembre 2013 Versione 1.0 REGISTRAZIONE DELLE AGGIUNTE E VARIANTI L'elenco delle aggiunte

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO

IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO Dott.ssa Lucia Romagnoli Ancona, 15 luglio 2015 maggio 2007 UNIVPM ottiene la certificazione del proprio Sistema di Gestione per la Qualità (SGQ) ai sensi della

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori Struttura della norma ISO/IEC 17025 1. Scopo 2. Riferimenti normativi 3. Termini e definizioni 4. Requisiti gestionali

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

MODALITÀ E CRITERI PER IL RINNOVO DELLA CERTIFICAZIONE NEL SETTORE SECURITY

MODALITÀ E CRITERI PER IL RINNOVO DELLA CERTIFICAZIONE NEL SETTORE SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: rinnovo@cepas.it Sito internet: www.cepas.eu PROCEDURA GESTIONALE sigla: PG21 Pag. 1 di 5 DELLA CERTIFICAZIONE NEL SETTORE 3

Dettagli

La norma UNI EN ISO 14001:2004

La norma UNI EN ISO 14001:2004 La norma COS È UNA NORMA La normazione volontaria Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma" è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali

Dettagli

Titolo. Revisione 00. Data 2010-09-21. Redazione Approvazione Autorizzazione all emissione. Entrata in vigore. Il Coordinatore del Gruppo di Lavoro

Titolo. Revisione 00. Data 2010-09-21. Redazione Approvazione Autorizzazione all emissione. Entrata in vigore. Il Coordinatore del Gruppo di Lavoro Titolo Sigla Prescrizioni per l accreditamento di Organismi operanti le certificazioni dei Centri di contatto in accordo alla UNI EN 15838, seguendo i criteri della UNI 11200. Directives for accreditation

Dettagli

La certificazione della sicurezza ICT

La certificazione della sicurezza ICT La certificazione della sicurezza ICT Roma CNIPA, 30 maggio 2005 Le entità in gioco Common Criteria/ITSEC ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI

Dettagli

Accreditamento degli LVS e abilitazione degli Assistenti

Accreditamento degli LVS e abilitazione degli Assistenti Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione Organismo di Certificazione Accreditamento degli LVS e abilitazione

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Comitato SGQ Comitato Ambiente Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Mercoledì, 23 febbraio 2005 - Palazzo FAST (Aula Morandi) Piazzale Morandi, 2 - Milano E' una

Dettagli

SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE

SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE DEI CORSI DI FORMAZIONE PER Il presente Schema è stato redatto in conformità alle Norme : UNI CEI EN ISO/IEC 17024:2004 Sistemi Valutazione della conformità -

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

PROCEDURA PR03 - Documentazione e Registrazioni del SGQ

PROCEDURA PR03 - Documentazione e Registrazioni del SGQ AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE TO1 - OBITORIO CIVICO PROCEDURA PR03 - Documentazione e Registrazioni del SGQ Edizione 2 Approvata dal Direttore della SC Medicina Legale Emessa dal Referente

Dettagli

SCHEDA REQUISITI PER IL II MODULO DEI CORSI DI FORMAZIONE PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE PER LA QUALITA

SCHEDA REQUISITI PER IL II MODULO DEI CORSI DI FORMAZIONE PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE PER LA QUALITA Viale di Val Fiorita, 90-00144 Roma Tel. 065915373- Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 5 SCHEDA REQUISITI PER IL II MODULO DEI CORSI DI FORMAZIONE PER AUDITOR /

Dettagli

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari Pag. 1/9 03 11/02/2015 Modificata da EA a IAF la denominazione dei Settori merceologici. S. Ronchi R. De Pari E. Stanghellini R. De Pari 02 03/01/2014 Modificata ragione sociale 01 10/04/2012 Aggiornamento

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

PROCEDURA GESTIONALE MODALITÀ DI VALUTAZIONE DEGLI AUDITOR INTERNI DI SISTEMI DI GESTIONE QUALITA E AMBIENTE

PROCEDURA GESTIONALE MODALITÀ DI VALUTAZIONE DEGLI AUDITOR INTERNI DI SISTEMI DI GESTIONE QUALITA E AMBIENTE Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it PROCEDURA GESTIONALE sigla: PG08 Pag. 1 di 6 0 01.10.2013 CEPAS srl R.A. Favorito

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) MANDATO DELLA FUNZIONE AUDIT (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) 1 INDICE DEI CONTENUTI 1. INTRODUZIONE E FINALITA DEL DOCUMENTO 2. MISSIONE 3. AMBITO 4. PROFESSIONALITA

Dettagli

UNI EN ISO 14001:2004 Sistemi di Gestione Ambientale: requisiti e guida per l uso

UNI EN ISO 14001:2004 Sistemi di Gestione Ambientale: requisiti e guida per l uso SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 14001:2004 Sistemi di Gestione Ambientale: requisiti e guida per l uso Pagina 1 di 11 INTRODUZIONE La Norma UNI EN ISO 14001:2004 fa parte delle norme Internazionali

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza.

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza. Conservazione Sostitutiva Verso l amministrazione digitale, in tutta sicurezza. Paperless office Recenti ricerche hanno stimato che ogni euro investito nella migrazione di sistemi tradizionali verso tecnologie

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

Le novità della UNI ISO 27001:2014

Le novità della UNI ISO 27001:2014 Le novità della UNI ISO 27001:2014 La norma ISO 27001 pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 Tecnologie informatiche Tecniche

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

DOCUMENTO SULLA POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI E DI TUTELA DELLA SALUTE E SICUREZZA DEI LAVORATORI E DELL AMBIENTE

DOCUMENTO SULLA POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI E DI TUTELA DELLA SALUTE E SICUREZZA DEI LAVORATORI E DELL AMBIENTE 0 PREMESSA La scienza dei trattamenti galvanici e di verniciatura e le attinenti applicazioni industriali sono relativamente antiche. Il progresso delle conoscenze in campo medico e scientifico ha evidenziato

Dettagli

VALUTARE, QUALIFICARE E MONITORARE I FORNITORI

VALUTARE, QUALIFICARE E MONITORARE I FORNITORI VALUTARE, QUALIFICARE E MONITORARE I FORNITORI Rev. Data Causale Redazione Verifica Approvazione 00 Xx/xx/xxxx Prima emissione INDICE SCOPO DELLA PROCEDURA RESPONSABILITÀ CAMPO DI APPLICAZIONE MODALITÀ

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITÀ NELLO STUDIO LEGALE OBIETTIVI Master Breve di formazione personalizzata Il Master

Dettagli

PROCEDURE ISTITUTO COMPRENSIVO STATALE Leonardo da Vinci OLEVANO SUL TUSCIANO. Processo: TENUTA SOTTO CONTROLLO DELLA DOCUMENTAZIONE

PROCEDURE ISTITUTO COMPRENSIVO STATALE Leonardo da Vinci OLEVANO SUL TUSCIANO. Processo: TENUTA SOTTO CONTROLLO DELLA DOCUMENTAZIONE Pag. 1 di 5 ISTITUTO COMPRENSIVO STATALE LEONARDO DA VINCI Processo: TENUTA SOTTO CONTROLLO DELLA DOCUMENTAZIONE Procedura Revisione: 3 5 4 3 04/06/2015 Aggiornamento 2 04/06/2014 Aggiornamento 1 25/02/2013

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR DI S.G.Q. NEL SETTORE COSTRUZIONI E IMPIANTI

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR DI S.G.Q. NEL SETTORE COSTRUZIONI E IMPIANTI Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it sigla: SH84 Pag. 1 di 5 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR

Dettagli

I dati in cassaforte 1

I dati in cassaforte 1 I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.04 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

REGOLAMENTO PER LE ISPEZIONI DI SORVEGLIANZA PERIODICA

REGOLAMENTO PER LE ISPEZIONI DI SORVEGLIANZA PERIODICA REGOLAMENTO PER LE ISPEZIONI DI SORVEGLIANZA PERIODICA (Art. 13 D.P.R. 162/99) INDICE 1. SCOPO E CAMPO DI APPLICAZIONE 2. RIFERIMENTI LEGISLATIVI 3. NORME TECNICHE 4. GENERALITÀ 5. PERSONALE IMPIEGATO

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI BUONE PRASSI IGIENICHE E PROCEDURE BASATE SU HACCP

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI BUONE PRASSI IGIENICHE E PROCEDURE BASATE SU HACCP Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu sigla: SH55 Pag. 1 di 5 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION PIETRO REMONTI 1 2 APPROCCIO BASATO SUI PROCESSI UN RISULTATO DESIDERATO È OTTENUTO IN MODO PIÙ EFFICACE SE RISORSE E ATTIVITÀ

Dettagli

uadro Business Intelligence Professional Gestione Aziendale Fa quadrato attorno alla tua azienda

uadro Business Intelligence Professional Gestione Aziendale Fa quadrato attorno alla tua azienda Fa quadrato attorno alla tua azienda Professional Perché scegliere Cosa permette di fare la businessintelligence: Conoscere meglio i dati aziendali, Individuare velocemente inefficienze o punti di massima

Dettagli

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE Sistema di gestione UNI EN ISO 9001 MANUALE DI QUALITÀ INTRODUZIONE MAN-00 Organizzazione AZIENDA s.p.a. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 Web : www.nomeazienda.it

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

Le procedure gestionali del SGQ di UTFUS TF GQL

Le procedure gestionali del SGQ di UTFUS TF GQL Le procedure gestionali del SGQ di UTFUS TF GQL Sommario Procedure gestionali obbligatorie secondo ISO 9001:2008; Gestione Documenti; Audit Interni; Non Conformità; Azioni di miglioramento (azioni correttive

Dettagli

REGOLAMENTO PER LA CERTIFICAZIONE ESAME CE DEL TIPO

REGOLAMENTO PER LA CERTIFICAZIONE ESAME CE DEL TIPO REGOLAMENTO PER LA CERTIFICAZIONE ESAME CE DEL TIPO (Direttiva 95/16/CE Allegato V lettera B e Direttiva 2006/42/CE Allegato IX punto 16 e 17) INDICE 1. SCOPO E CAMPO DI APPLICAZIONE 2. RIFERIMENTI LEGISLATIVI

Dettagli

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved. ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems

Dettagli

ISO/IEC 17025 : 2005 per i Laboratori di Prova

ISO/IEC 17025 : 2005 per i Laboratori di Prova ISO/IEC 17025 : 2005 per i Laboratori di Prova Perugia, 30 giugno 2005 D.ssa Daniela Vita ISO/IEC 17025:2005 1 Differenza tra UNI EN ISO 9001:2000 e ISO/IEC 17025:2005 La norma UNI EN ISO 9001:2000 definisce

Dettagli

Guida alla Certificazione ISO 9001 per Piccole Medie Imprese

Guida alla Certificazione ISO 9001 per Piccole Medie Imprese Guida alla Certificazione ISO 9001 per Piccole Medie Imprese Tutto quello che c è da sapere per non sbagliare. Guida Pratica per Imprenditori e Manager che devono affrontare il processo di certificazione

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

MODALITÀ DI VALUTAZIONE DEI CONSULENTI / CONSULENTI SENIOR DI - SISTEMI DI GESTIONE AMBIENTALE - SISTEMI DI GESTIONE DELLA SAFETY

MODALITÀ DI VALUTAZIONE DEI CONSULENTI / CONSULENTI SENIOR DI - SISTEMI DI GESTIONE AMBIENTALE - SISTEMI DI GESTIONE DELLA SAFETY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it PROCEDURA GESTIONALE sigla: PG26 Pag. 1 di 7 MODALITÀ DI VALUTAZIONE DEI CONSULENTI

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

TÜV Italia s.r.l. - TÜV SÜD Group

TÜV Italia s.r.l. - TÜV SÜD Group 1 di 7 INDICE 1. Scopo ed entrata in vigore 2. Campo di applicazione 3. Termini e definizioni 4. Responsabilità 5. Controllo del regolamento 6. Iter di certificazione 6.1 Generalità 6.2 Modalità di svolgimento

Dettagli

REGOLAMENTO PER LE ISPEZIONI DI SORVEGLIANZA PERIODICA

REGOLAMENTO PER LE ISPEZIONI DI SORVEGLIANZA PERIODICA REGOLAMENTO PER LE ISPEZIONI DI SORVEGLIANZA PERIODICA (Art. 13 D.P.R. 162/99) INDICE 1. SCOPO E CAMPO DI APPLICAZIONE 2. RIFERIMENTI LEGISLATIVI 3. NORME TECNICHE 4. GENERALITÀ 5. PERSONALE IMPIEGATO

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILE GRUPPO DI AUDIT DI SISTEMI DI GESTIONE FORESTALE

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILE GRUPPO DI AUDIT DI SISTEMI DI GESTIONE FORESTALE Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it sigla: SH131 Pag. 1 di 5 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

Certificazione dei Sistemi di Gestione per la Qualità (Norma UNI EN ISO 9001:2008)

Certificazione dei Sistemi di Gestione per la Qualità (Norma UNI EN ISO 9001:2008) di Giampiero Mercuri Responsabile tecnico di certificazione CNIM rubrica Certificazione Certificazione dei Sistemi di Gestione per la Qualità (Norma UNI EN ISO 9001:2008) SECONDA PARTE: lo Stage 2 di Certificazione

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.03 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI Articolo 1 (Campo di applicazione) Il presente decreto si

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

Conservazione del documento informatico ed i conservatori accreditati. Agenzia per l Italia Digitale

Conservazione del documento informatico ed i conservatori accreditati. Agenzia per l Italia Digitale Conservazione del documento informatico ed i conservatori accreditati Agenzia per l Italia Digitale 21-11-2014 L «ecosistema» della gestione dei documenti informatici PROTOCOLLO INFORMATICO FIRME ELETTRONICHE

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR INTERNI DI S.G.Q.

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR INTERNI DI S.G.Q. Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu sigla: SH09 Pag. 1 di 4 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR

Dettagli

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

PRESCRIZIONI PARTICOLARI PER LA CERTIFICAZIONE DI PERSONE AI SENSI DEL DISCIPLINARE DEL CAPO DELLA POLIZIA DEL 24 FEBBRAIO 2015 (NORMA UNI 10459)

PRESCRIZIONI PARTICOLARI PER LA CERTIFICAZIONE DI PERSONE AI SENSI DEL DISCIPLINARE DEL CAPO DELLA POLIZIA DEL 24 FEBBRAIO 2015 (NORMA UNI 10459) PRESCRIZIONI PARTICOLARI PER LA CERTIFICAZIONE DI PERSONE AI SENSI DEL DISCIPLINARE DEL CAPO DELLA POLIZIA DEL 24 FEBBRAIO 2015 (NORMA UNI 10459) INDICE Data di aggiornamento: Articolo 1 OGGETTO DEL REGOLAMENTO

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

MODALITÀ DI VALUTAZIONE DEI CONSULENTI/ CONSULENTI SENIOR DI SISTEMI DI GESTIONE PER LA QUALITÀ

MODALITÀ DI VALUTAZIONE DEI CONSULENTI/ CONSULENTI SENIOR DI SISTEMI DI GESTIONE PER LA QUALITÀ Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.eu PROCEDURA GESTIONALE sigla: PG04 Pag. 1 di 7 MODALITÀ DI VALUTAZIONE DEI CONSULENTI/

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 12

MANUALE DELLA QUALITÀ Pag. 1 di 12 MANUALE DELLA QUALITÀ Pag. 1 di 12 INDICE RESPONSABILITÀ DELLA DIREZIONE Impegno della Direzione Attenzione focalizzata al cliente Politica della Qualità Obiettivi della Qualità Soddisfazione del cliente

Dettagli

-CERTIFICAZIONE DI SISTEMA UNI EN ISO 9001- STRUMENTO DI QUALIFICAZIONE DELLE IMPRESE NEGLI APPALTI PUBBLICI

-CERTIFICAZIONE DI SISTEMA UNI EN ISO 9001- STRUMENTO DI QUALIFICAZIONE DELLE IMPRESE NEGLI APPALTI PUBBLICI -CERTIFICAZIONE DI SISTEMA UNI EN ISO 9001- STRUMENTO DI QUALIFICAZIONE DELLE IMPRESE NEGLI APPALTI PUBBLICI Norma ISO 9001 e sue applicazioni Iter di certificazione e sistema di accreditamento Sistemi

Dettagli

MANUALE di GESTIONE per la QUALITA

MANUALE di GESTIONE per la QUALITA Pagina 1 di 5 1. SCOPO E CAMPO DI APPLICAZIONE Scopo della presente sezione del MQ è definire le modalità e i criteri adottati dalla No Problem Parking spa per pianificare ed attuare i processi di misurazione

Dettagli

Perché le regole e come

Perché le regole e come Perché le regole e come Conseguenze sullo sviluppo umano > http://www.sistemaambiente.net/form/it/iso/2_conseguenze_sullo_sviluppo_umano.pdf Le norme ISO Il sistema di gestione aiuta > http://www.sistemaambiente.net/form/it/iso/4_sistema_di_gestione.pdf

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT

Dettagli

ISO 45001. il nuovo ponte tra sicurezza e innovazione. Comprendere il cambiamento

ISO 45001. il nuovo ponte tra sicurezza e innovazione. Comprendere il cambiamento ISO 45001 il nuovo ponte tra sicurezza e innovazione Comprendere il cambiamento Premessa L art. 30 del Testo Unico della Sicurezza dice chiaramente che i modelli di organizzazione aziendale definiti conformemente

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli