I criteri di valutazione/certificazione. Common Criteria e ITSEC

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "I criteri di valutazione/certificazione. Common Criteria e ITSEC"

Transcript

1 Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò a sentire l esigenza di sviluppare criteri di valutazione della sicurezza che, partendo dai vecchi criteri nazionali esistenti, mirassero alla loro armonizzazione. Il risultato di questa iniziativa fu la nascita dei Criteri ITSEC, pubblicati per la prima volta nel maggio del 1990, a cui fece seguito nel 1999 la pubblicazione dei Common Criteria (ISO/IEC 15408). I criteri ITSEC/Common Criteria trattano il tema della sicurezza, per sistemi e prodotti informatici, nelle loro tre componenti fondamentali: Funzionalità (ciò che il sistema deve fare per la sicurezza) Efficacia (in che misura le contromisure contrastano le minacce) Correttezza (come le contromisure sono state implementate) Ogni valutazione offre così la garanzia che le funzioni di sicurezza dell oggetto valutato sono progettate ed implementate correttamente ed efficacemente, in modo tale da soddisfare gli obiettivi di sicurezza e non presentare vulnerabilità sfruttabili. Tale garanzia è definita su diversi livelli di garanzia che rappresentano una fiducia crescente nelle capacità del sistema o del prodotto di soddisfare i suoi obiettivi di sicurezza. La funzionalità suddetta è definita, da chi richiede la valutazione, in un documento formale definito Traguardo di Sicurezza ( Security Target ), che nel caso di valutazioni Common Criteria può essere derivato da un Profilo di Protezione ( Protection Profile ) di riferimento. Tale documento fornisce il legame tra tutti gli aspetti di sicurezza (organizzativi, fisici, tecnico-informatici, procedurali, etc.), comprendendo l esplicitazione non ambigua degli obiettivi da raggiungere, delle minacce, della politica di sicurezza, delle funzioni che implementano la sicurezza e del livello di garanzia richiesto. Sulla base del Traguardo di Sicurezza e della documentazione di progetto necessaria (che dipende dal livello di garanzia richiesto), l attività di valutazione comprende analisi di correttezza e di efficacia che considerano aspetti relativi allo sviluppo e all esercizio dell ODV. La valutazione dell efficacia è completata con prove di intrusione volte a dimostrare la non sfruttabilità delle vulnerabilità residue del sistema/prodotto. In Italia le certificazioni rilasciate dall'ocsi sono riconosciute a livello internazionale. I servizi offerti Valutazioni Formali Servizio dedicato alle organizzazioni che forniscono prodotti e sistemi con la necessità di offrire un adeguato livello di sicurezza ICT. Gli scopi di una valutazione di un prodotto/sistema sono molteplici. Per l'utenza finale, la valutazione consente di avere una base per confrontare le prestazioni, in materia di sicurezza, dei vari prodotti IT. Per il fornitore/sviluppatore, la valutazione stabilisce la volontà di dimostrare che le prestazioni di sicurezza dichiarate sono effettive, in quanto verificate in modo obiettivo e riproducibile, da una terza parte. Assistenza al cliente IMQ/LPS è in grado di supportare le organizzazioni interessate all ottenimento di una certificazione di sicurezza ICT negli schemi nazionali fin dal

2 : VALUTAZIONE FORMALE AI FINI DELLA CERTIFICAZIONE DELLA SICUREZZA DI SISTEMI O PRODOTTI IT momento in cui la certificazione è solo un ipotesi arrivando a coprire tutte le fasi operative di un processo di certificazione, denominate Preparazione, Conduzione e Chiusura e le attività necessarie al mantenimento nel tempo del certificato ottenuto. I servizi forniti sono: supporto alla definizione di cosa certificare (l Oggetto della Valutazione/Certificazione - ODV) tenendo conto dell esigenza di minimizzare tempi e costi; conduzione di un analisi di fattibilità mirata stimare la valutabilità/certificabilità di un sistema/prodotto ICT ad un livello di garanzia stabilito; formalizzazione dei requisiti di sicurezza in un Profilo di Protezione, documento che descrive in modo indipendente dalla tecnologia (technology neutral) i requisiti di sicurezza di una categoria di prodotti informatici che soddisfano particolari esigenze dei potenziali consumatori (ad esempio: firewall, database, dispositivi sicuri per la firma digitale ai sensi della direttiva europea ). Si rammenta che i Protection Profile certificati Common Criteria possono anche essere usati nella definizione dei criteri di selezione di fornitori di prodotti ICT o per la stesura di capitolati tecnici di gara; supporto alla produzione della documentazione richiesta per avviare il processo di certificazione, ovvero del Traguardo di Sicurezza e del Piano di Valutazione dell ODV per lo schema di certificazione nazionale di riferimento; supporto alla produzione della documentazione richiesta al Fornitore nel corso della valutazione/certificazione, ovvero di documenti di correttezza (come il sistema è stato implementato) e di efficacia (in che misura le contromisure contrastano le minacce); supporto alla gestione e al mantenimento della certificazione. Benefici per il cliente La certificazione secondo criteri standard internazionalmente riconosciuti fornisce un unità di misura per la sicurezza informatica presentando una serie di vantaggi, tra i quali: aumento del prestigio dell azienda e riconoscimento a livello internazionale del risultato della valutazione/certificazione; attribuzione di un significato noto e non ambiguo al risultato della valutazione/certificazione; agevolazione del confronto tra il livello di sicurezza di sistemi e prodotti diversi; maggior appeal del prodotto rispetto a prodotti con caratteristiche di sicurezza equivalenti, ma non certificati; riuso della certificazione in caso di integrazione dell ODV in un diverso sistema/prodotto ICT di cui è richiesta la certificazione; possibilità di fornire evidenze oggettive nei contesti contrattuali o legislativi in cui sono richieste. Mod. 476A/1 2010/ Med.

3 Assistenza tecnica e normativa IMQ possiede le competenze necessarie per poter comprendere le esigenze delle direzioni di business e risolverne i problemi di sicurezza e aiutare le aziende interessate ad approfondire i temi e i principali standard di riferimento nel settore della sicurezza ICT o che necessitano di un supporto specialistico nell identificare la migliore soluzione possibile per innalzare il livello di sicurezza dell organizzazione assicurando la migliore coniugazione tra esperienza e competenze per consentire alle aziende di allineare le esigenze di sicurezza ICT con gli obiettivi del business. Esempi di servizi offerti Supporto nelle attività di ICT Risk Assessment & Management; Supporto alla redazione del Documento Programmatico per la Sicurezza (DPS); Supporto alla redazione della Business Impact Analysis; Analisi delle necessità o di eventuali criticità di sicurezza di un Sistema o di una rete IT utile in particolare per le aziende che si accingono a quantificare gli investimenti necessari per ottenere un adeguato livello di protezione; Definizione e formalizzazione dei requisiti di sicurezza all interno di capitolati tecnici per la selezione di fornitori di sistemi IT; Incontri finalizzati ad approfondire i contenuti delle principali norme e standard di riferimento sulla sicurezza ICT (ISO/IEC 27001/27002, BS 25999, ISO/IEC 2000,..) o ad innalzare il livello di consapevolezza del personale preposto alla gestione di informazioni la cui sicurezza è critica per il business dell azienda. Mod. 476B/1 2010/ Med.

4 Audit Dopo anni di esperienza maturata nella valutazione formale della sicurezza dei sistemi informatici utilizzati sia in ambito commerciale che in ambito militare/governativo, IMQ è in grado di fornire un offerta personalizzabile secondo le esigenze del cliente: un servizio vantaggioso sia per coloro che necessitano di verificare i vari aspetti che concorrono alla sicurezza delle informazioni critiche per il business dell organizzazione, sia per le aziende che si accingono a quantificare gli investimenti necessari a gestire in sicurezza le informazioni critiche per il proprio business. I servizi offerti Con metodologia derivata dalle migliori best practice applicabili IMQ effettua, con un approccio modulare che risponde alle effettive esigenze del cliente, audit relativi ai seguenti aspetti: Sicurezza fisica delle sedi dell organizzazione cliente (misure di protezione del perimetro fisico, servizi di vigilanza e monitoraggio); Sicurezza dell infrastruttura di supporto all erogazione dei servizi ICT (connettività, energia, impianti, etc.); Sicurezza organizzativa (ruoli e responsabilità, formazione, policy e procedure di sicurezza ICT, procedure di segnalazione e gestione di incidenti informatici, etc.); Sicurezza logica e di rete (gestione e configurazione di firewall, Router, Access Point, copertura delle principali vulnerabilità tecniche dei sistemi IT, etc. ); Rispetto delle cogenze applicabili nella gestione dei dati e dei sistemi ICT (Privacy e sicurezza dei dati, copyright, log retention, fatturazione elettronica e conservazione elettronica sostitutiva etc.); Continuità operativa dei processi che supportano il business del cliente e checkup dell infrastruttura tecnologica; Verifiche di seconda parte sugli outsourcer di servizi ICT; Verifiche di prima o di seconda pare sul rispetto di Politiche di Sicurezza emanate da una capogruppo o di Capitolati tecnici di gara. Le attività di audit possono avere carattere periodico per rispondere alla necessità del cliente di garantire nel tempo il livello di sicurezza ICT desiderato, assicurando l adeguata copertura dei rischi informatici in uno scenario tecnologico in continua evoluzione. Benefici per il cliente Un organizzazione che si affida ad un ente terzo, quale IMQ, per la conduzione di un audit di sicurezza può gestire in maniera oculata gli investimenti per la sicurezza ICT indirizzandoli solo dove serve ovvero dove si evidenzia la maggiore esposizione a rischi informatici. Inoltre l organizzazione può utilizzare i risultati dell audit per ridurre i costi della non sicurezza dovuti a: danni economici diretti a seguito di perdita o indisponibilità dei dati critici gestiti; danni economici indiretti a causa della perdita di immagine verso i propri clienti; danni economici indiretti a seguito di eventuali problemi legali/contrattuali. Mod. 476C/2 2010/ Med.

5 Attestazioni di conformità In tutti i casi in cui una certificazione di terza parte rispetto ad uno standard non è possibile, IMQ può supportare le aziende per dare valore aggiunto al proprio sistema/prodotto/servizio ICT (Oggetto di Valutazione, nel seguito ODV) mediante un percorso finalizzato al rilascio di un attestazione di conformità: rispetto ad un insieme di requisiti di sicurezza informatica, definiti tenendo conto di tutti gli eventuali obblighi contrattuali e legislativi applicabili all organizzazione richiedente l attestazione e da essa condivisi e validati e a fronte di un attività di verifica secondo una metodologia predisposta ad hoc e definita nel rispetto di logiche di efficienza ed efficacia e tenendo conto di tutti gli standard di riferimento applicabili. Tale metodologia viene preliminarmente condivisa con l organizzazione richiedente l attestazione e da essa approvata e, in taluni contesti, può essere appropriato coinvolgere in questa fase anche altri soggetti che possono considerarsi parti interessate nella valutazione dell ODV. Il servizio offerto Tipicamente le fasi in cui è strutturata un attività di attestazione di conformità sono: analisi delle necessità di sicurezza che l ODV intende soddisfare. In genere infatti non è sempre subito chiaro, parlando di sicurezza delle informazioni, se si desidera attestare la capacità di un ODV di garantire l integrità e/o la confidenzialità e/o la disponibilità dei dati critici gestiti (memorizzati o trasmessi) o del servizio offerto; formalizzazione e approvazione dell insieme dei requisiti di sicurezza che devono essere garantiti dall ODV; formalizzazione della metodologia di conduzione dell audit da parte del laboratorio di valutazione e sua approvazione da parte dell azienda richiedente l attestazione; definizione della checklist di riferimento per la conduzione dell attività di audit; conduzione dell audit, sia sulla base di interviste, sia sulla base di verifiche in campo del corretto funzionamento e della corretta configurazione del sistema/prodotto/servizio ICT oggetto di analisi; redazione del report di audit, in cui è riportato in dettaglio l insieme delle evidenze raccolte durante l audit; rilascio dell attestazione di conformità dell ODV ai requisiti di sicurezza inizialmente formalizzati. Benefici per il cliente Un attestazione di conformità ha una duplice valenza: dal punto di vista di un fornitore essa può servire a valorizzare sul mercato un proprio sistema/prodotto/servizio ICT, mentre, dal punto di vista di un possibile committente, può essere di ausilio alla definizione accurata dei criteri per la selezione dei propri fornitori. Esempi di attestazioni di conformità rilasciate in ambiti specifici Attestazione di conformità Q&S_CS del livello di qualità e sicurezza nella conservazione elettronica sostitutiva Attestazione di conformità alle norme CEI 79-5/1/2/3 dei protocolli di comunicazione per il trasferimento di informazioni di sicurezza (allarmi) tra una Centrale d Allarme (CA) e un Centro di Supervisione e Controllo (CSC) Attestazioni di conformità di un sistema di Business Continuity e Disaster Recovery ai requisiti derivati da una Business Impact Analysis (BIA) Attestazioni di conformità in ambito Privacy Mod. 476D/2 2010/ Med.

6 Gap Analysis Alle organizzazioni interessate ad avere una stima di quanto i propri processi aziendali distano da uno specifico standard di riferimento per i Sistemi di Gestione nel mondo dell IT, IMQ offre un servizio di Gap Analysis condotto mediante interviste mirate, analisi della documentazione in uso e sopralluogo nella sede del cliente. Tale servizio, propedeutico all implementazione di un Sistema di Gestione certificabile e di estremo valore riconosciuto nelle valutazioni eseguite dai team degli organismi di Certificazione incaricati, è mirato alla produzione di un report tecnico che può costituire il punto di riferimento per monitorare, con uno o più interventi di Checkup ad hoc, su richiesta del cliente, lo stato di avanzamento delle attività intraprese per colmare il Gap evidenziato. I servizi offerti Gap analysis rispetto alla norma ISO/IEC Servizio dedicato alle organizzazioni sensibili al tema della sicurezza delle informazioni. La sicurezza delle informazioni è un concetto che supera il puro fatto tecnologico, la sicurezza è un processo che si rivolge alle persone componenti l'organizzazione ed alle modalità in cui le persone utilizzano la tecnologia a loro disposizione. La norma ISO/IEC è lo standard per la gestione della sicurezza delle informazioni che mira a preservare l'informazione, in qualsiasi forma essa sia presente nell'organizzazione, in termini di confidenzialità, integrità e disponibilità. Queste, che sono le tre componenti fondamentali della sicurezza dell'informazione, sono anche le componenti fondamentali da cui dipendono la competitività dell'azienda, i suoi profitti, il suo rispetto di obblighi legislativi e in definitiva la sua immagine commerciale. Gap Analysis rispetto alla norma BS Servizio dedicato alle organizzazioni sensibili al tema della continuità operativa. La Norma BS è la prima norma al mondo sulla gestione della continuità operativa, oggi un requisito fondamentale per qualsiasi organizzazione che opera in realtà economiche nazionali ed internazionali. La continuità nell erogazione di servizi o nella consegna di prodotti costituiscono un bene con associato un valore economico e pertanto devono essere adeguatamente protette da un'ampia gamma di minacce al fine di garantire il regolare svolgimento delle attività aziendali, minimizzare i danni all'azienda (economici e/o d'immagine) e massimizzare i ritorni degli investimenti. Per garantire tale continuità operativa è necessario mettere in atto un opportuno insieme di misure, quali politiche, prassi operative, procedure e strutture organizzative, che consentano all azienda il soddisfacimento dei propri obiettivi di continuità operativa. Gap Analysis rispetto alla norma ISO/IEC Il servizio è dedicato ai fornitori di servizi IT sensibili al tema IT Service management. La norma ISO/IEC è il riferimento a livello mondiale per le organizzazioni, IT Service Provider, che intendono dare evidenza della corretta impostazione, gestione ed erogazione di servizi IT, che possono essere erogati all interno della propria organizzazione, o esternamente verso clienti di qualunque settore merceologico, pubblico o privato. La norma è completata dalla ISO/IEC , una guida di approfondimento di ausilio alle organizzazioni nell implementazione di un Sistema di Gestione dei Servizi IT efficace ed efficiente. Affinché un organizzazione sia certificabile secondo la ISO/IEC devono inoltre essere rispettati alcuni requisiti che hanno carattere obbligatorio ai sensi della ISO/IEC , in particolare: eleggibilità della certificazione ISO/IEC per il Service Provider eleggibilità dei processi che il Service Provider intende far rientrare nello scopo della certificazione della ISO/IEC Mod. 476E/0 2010/ Med.

7 Q&S_CS - valutazione e attestazione di conformità del sistema di conservazione elettronica sostitutiva La conservazione elettronica sostitutiva dei documenti, prerequisito anche per la fatturazione elettronica, è regolamentata da una complessa normativa che impone alle organizzazioni un insieme di misure organizzative, procedurali, fisiche e tecniche atte a garantire la corretta esecuzione delle attività di conservazione e l integrità nel tempo dei documenti conservati. Il servizio offerto Q&S_CS, ovvero Qualità e Sicurezza nella Conservazione Sostitutiva, è il nome dello schema di valutazione e attestazione di IMQ per valorizzare l impegno operato dall organizzazione richiedente per attuare il sistema di conservazione sostitutiva o fatturazione elettronica ed avere evidenza che siano state adottate misure e accorgimenti allo stato dell arte esempio architettura di sicurezza della rete,...); e su un attività di audit in campo, per la ricerca di evidenze di conformità rispetto ai requisiti relativi a: Presenza della documentazione richiesta (nomine, deleghe, attestazioni, procedure, etc); Funzionalità del sistema IT utilizzato; Misure di sicurezza (IT, fisica, procedurale, organizzativa); Corretta applicazione delle procedure documentate; Validità delle firme digitali, dei certificati e delle marche temporali; Verifica della corrispondenza tra le impronte contenute nelle evidenze informatiche e le impronte direttamente ottenibili a partire dai documenti informatici cui si riferiscono; Adempimenti fiscali (comunicazione del luogo di conservazione, pagamento bolli, integrazione fatture, etc.). L attestazione Q&S_CS si basa su una specifica sviluppata da IMQ a partire dalle cogenze applicabili e da best practice derivate dagli standard internazionali di riferimento per quanto riguarda Qualità (ISO 9001) e Sicurezza delle informazioni (ISO/IEC 27001). Lo schema si basa su un attività di analisi documentale che prevede la valutazione dei seguenti aspetti: Analisi del Manuale della Conservazione Sostitutiva; Analisi del DPS, ove applicabile; Analisi delle procedure operative e di sicurezza richieste dalla normativa; Analisi della modulistica per la raccolta/selezione/analisi dei dati relativi alla gestione del processo di conservazione sostitutiva; Analisi di eventuale ulteriore documentazione di supporto consegnata (ad Il processo di conservazione sostitutiva adottato sia esso implementato in-house oppure tutto o in parte in outsourcing sarà riesaminato periodicamente e rivalutato ogni tre anni. A chi è rivolto Alle aziende private e pubbliche che effettuano la Conservazione Sostitutiva dei documenti informatici o cartacei o la Fatturazione Elettronica e che vogliono avere l evidenza di implementare il processo senza trascurare importanti aspetti di sicurezza ICT, normativi e fiscali. Agli outsourcer di Servizi di Conservazione Sostitutiva o di Fatturazione elettronica che vogliono dare ulteriore valore aggiunto alla certificazione secondo la ISO/IEC

8 : Q&S_CS - VALUTAZIONE E ATTESTAZIONE DI CONFORMITÀ DEL SISTEMA DI CONSERVAZIONE ELETTRONICA SOSTITUTIVA del proprio sistema di gestione per la sicurezza delle informazioni (SGSI) e comunicare chiaramente ai propri clienti che nell attuazione del sistema di conservazione sostitutiva o fatturazione elettronica sono adottate misure e accorgimenti allo stato dell arte, al cui adeguatezza è monitorata nel tempo. Gli obiettivi Il servizio di attestazione della Qualità e Sicurezza nella conservazione Sostitutiva sviluppato da IMQ permette alle organizzazioni clienti di ottenere l attestazione di una terza parte indipendente che il processo di conservazione elettronica sostitutiva da loro implementato: soddisfa i requisiti di qualità e sicurezza definiti da IMQ sulla base delle cogenze applicabili; è coerente con best practice di qualità e sicurezza derivate dalle norme internazionali applicabili: (ISO 9001, ISO/IEC 27001). migliorare i propri processi, ovviando ad eventuali lacune individuate, dall altra fornisce evidenza dell impegno operato per adempiere alla complessa normativa e di aver adottato le misure e gli accorgimenti allo stato dell arte. L organizzazione richiedente ottiene inoltre: Garanzia che, con l ausilio delle visite di sorveglianza previste, il processo di conservazione sostitutiva sia mantenuto allineato con la prevedibile evoluzione normativa. Supporto tecnico-specialistico nell effettuazione di audit di seconda parte presso l eventuale outsourcer di conservazione sostitutiva, qualora previsto contrattualmente, come auspicabile e suggerito anche dallo standard di riferimento per la gestione della sicurezza delle informazioni ISO/IEC I vantaggi per i clienti Con l attestazione Q&S_CS, l organizzazione richiedente ottiene il giudizio di una terza parte indipendente sul proprio processo di Conservazione Sostitutiva per quanto concerne aspetti organizzativi, procedurali, di sicurezza ICT e di natura fiscale/tributaria, in particolare sull assenza di gravi inadempienze rispetto a quanto previsto dalla normativa. Tale giudizio, formulato mediante una serie di osservazioni e raccomandazioni, da un lato permette all organizzazione di Mod. 476g/0 2010/ Med.

9 Privacy Il Codice Privacy (D.LGS 196/2003) richiede di ridurre al minimo i rischi di distruzione, perdita o accesso non autorizzato dei dati personali oggetto di trattamento, in relazione al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, mediante l'adozione di idonee e preventive misure di sicurezza. L allegato B al Codice individua puntualmente alcune misure di sicurezza (tecniche, informatiche, organizzative, logistiche e procedurali) che delineano il livello minimo di protezione dei dati che è obbligatorio garantire in caso di trattamento dei dati mediante strumenti elettronici. Tra le misure minime è contemplato l obbligo per chi tratta dati sensibili o giudiziari mediante strumenti elettronici di predisporre e rivedere annualmente il Documento programmatico per la Sicurezza (DPS). Chiunque ometta di adottare le misure minime previste è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro. I servizi offerti IMQ può aiutare le aziende interessate ad avere una ragionevole fiducia che i propri sistemi ICT implementino non solo tutte le misure di sicurezza tecniche minime previste dalla normativa sulla privacy ma che tali misure siano anche adeguate, e quindi allo stato dell arte, e supportate da misure organizzative e procedurali che tengano conto dei provvedimenti emanati dal Garante per la Protezione dei dati personali, offrendo i seguenti servizi: Analisi dei Rischi IMQ può supportare un organizzazione nella conduzione dell analisi dei rischi, contenuto obbligatorio del DPS, e nella selezione e implementazione dell insieme di contromisure idonee che consentono un efficace riduzione dei rischi identificati in relazione al progresso tecnologico. Supporto alla redazione della documentazione richiesta Supporto alla redazione della documentazione richiesta dalla normativa, come ad es., DPS, nomine formali, etc. Audit di Sicurezza sulla Privacy, con eventuale attestazione di conformità Effettuazione di audit di sicurezza su un sistema informativo volto a garantire il rispetto di un insieme di requisiti derivati dall allegato B al D.LGS 196/2003 e dai principali provvedimenti del Garante. In caso di esito positivo dell audit potrà essere rilasciato un attestato di conformità comprovante il rispetto dei requisiti verificati. Audit di seconda parte sugli outsourcer Supporto tecnico-specialistico per l effettuazione di audit di seconda parte presso un eventuale outsourcer a cui sia affidata la gestione di dati personali/sensibili, qualora previsto contrattualmente, come auspicabile e consigliato dagli standard di riferimento per i sistemi di gestione per la sicurezza delle informazioni ISO/IEC e ISO/IEC Assistenza normativa Incontri mirati a chiarire e ad approfondire specifici temi inerenti la normativa relativa alla privacy e protezione dei dati o ad innalzare il livello di consapevolezza dei dipendenti di organizzazioni preposti al trattamento di dati sensibili o giudiziari. Mod. 476F/1 2010/ Med.

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6

IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6 IMQ Funzione Sistemi di Gestione Area Security ICT Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6 1/11 Funzione Sistemi di Gestione - Area Security ICT Settori di competenza dell

Dettagli

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ per le aziende con esigenze di valutazione/ certificazione

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2 Garantire la continuità operativa in caso di interruzioni, siano esse dovute a incidenti gravi o inconvenienti minori, rappresenta oggi un requisito fondamentale per qualsiasi organizzazione che opera

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12. Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Allegato 13. Nomina Amministratore di Sistema

Allegato 13. Nomina Amministratore di Sistema Allegato 13 Nomina Amministratore di Sistema Il presente documento rappresenta un contratto che la struttura Titolare del Trattamento stipula con un soggetto esterno (nominato Amministratore di Sistema)

Dettagli

CURRICULUM DELLA SOCIETÀ

CURRICULUM DELLA SOCIETÀ CURRICULUM DELLA SOCIETÀ SOMMARIO SOMMARIO... 1 LA SOCIETÀ... 2 I DATI AMMINISTRATIVI... 3 L'ORGANIGRAMMA... 4 I NOSTRI SERVIZI... 5 ACCADIMENTI SOCIETARI... 11 LA SOCIETÀ Framinia S.r.l. è una società

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Via Frà Bartolomeo da Pisa, 1 20144 Milano Tel 02 36 53 29 74 Fax 02 700 59 920 www.carmaconsulting.net www.marcaturace.eu

Via Frà Bartolomeo da Pisa, 1 20144 Milano Tel 02 36 53 29 74 Fax 02 700 59 920 www.carmaconsulting.net www.marcaturace.eu Via Frà Bartolomeo da Pisa, 1 20144 Milano Tel 02 36 53 29 74 Fax 02 700 59 920 www.carmaconsulting.net www.marcaturace.eu CHI SIAMO Carmaconsulting nasce dall intuizione dei soci fondatori di offrire

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007 Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,

Dettagli

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza.

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza. Conservazione Sostitutiva Verso l amministrazione digitale, in tutta sicurezza. Paperless office Recenti ricerche hanno stimato che ogni euro investito nella migrazione di sistemi tradizionali verso tecnologie

Dettagli

I SISTEMI DI GESTIONE DELLA SICUREZZA

I SISTEMI DI GESTIONE DELLA SICUREZZA I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

TAURUS INFORMATICA S.R.L. Area Consulenza

TAURUS INFORMATICA S.R.L. Area Consulenza TAURUS INFORMATICA S.R.L. Area Consulenza LA CONSULENZA Consulenza per Taurus è conciliare le esigenze di adeguamento normativo con l organizzazione dei processi aziendali, per aiutare i propri clienti

Dettagli

Modello dei controlli di secondo e terzo livello

Modello dei controlli di secondo e terzo livello Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Fatturazione Elettronica PA Specifiche del Servizio

Fatturazione Elettronica PA Specifiche del Servizio Fatturazione Elettronica PA Specifiche del Servizio Andrea Di Ceglie 25/09/2014 Premessa Data la complessità del processo e la necessità di eseguirlo tramite procedure e canali informatici, il legislatore

Dettagli

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità 1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 6

MANUALE DELLA QUALITÀ Pag. 1 di 6 MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

CAP04 Gestione del Processo di Consulenza Tecnica

CAP04 Gestione del Processo di Consulenza Tecnica CAP04 Gestione del Processo di Consulenza Tecnica 1 di 7 INDICE 1 Pianificazione della realizzazione del prodotto... 2 2 Processi relativi al cliente... 2 2.1 Analisi dei bisogni, determinazione dei requisiti

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Il nuovo codice in materia di protezione dei dati personali

Il nuovo codice in materia di protezione dei dati personali Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico

Dettagli

Esternalizzazione della Funzione Compliance

Esternalizzazione della Funzione Compliance Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale

Dettagli

SCHEDA REQUISITI PER IL II MODULO DEI CORSI DI FORMAZIONE PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE PER LA QUALITA

SCHEDA REQUISITI PER IL II MODULO DEI CORSI DI FORMAZIONE PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE PER LA QUALITA Viale di Val Fiorita, 90-00144 Roma Tel. 065915373- Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 5 SCHEDA REQUISITI PER IL II MODULO DEI CORSI DI FORMAZIONE PER AUDITOR /

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR INTERNI DI S.G.Q.

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR INTERNI DI S.G.Q. Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu sigla: SH09 Pag. 1 di 4 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR

Dettagli

ISO 45001. il nuovo ponte tra sicurezza e innovazione. Comprendere il cambiamento

ISO 45001. il nuovo ponte tra sicurezza e innovazione. Comprendere il cambiamento ISO 45001 il nuovo ponte tra sicurezza e innovazione Comprendere il cambiamento Premessa L art. 30 del Testo Unico della Sicurezza dice chiaramente che i modelli di organizzazione aziendale definiti conformemente

Dettagli

LA NORMA ISO 14001 APPLICATA AI COMUNI

LA NORMA ISO 14001 APPLICATA AI COMUNI LA NORMA ISO 14001 APPLICATA AI COMUNI 1. ASPETTI GENERALI Negli ultimi anni, in gran parte dei Paesi europei, si assiste a un crescente interesse verso l attuazione di una pianificazione locale del territorio

Dettagli

BS OHSAS 18001:2007 OHSAS 18001. Revisione 00. 22 marzo 2012. Sara Zullo (Firma) Preparato da

BS OHSAS 18001:2007 OHSAS 18001. Revisione 00. 22 marzo 2012. Sara Zullo (Firma) Preparato da 22 marzo 2012 OHSAS 18001 BS OHSAS 18001:2007 Revisione 00 Preparato da Sara Zullo (Firma) Altea S.p.A. Strada Cavalli 42, 28831 Feriolo di Baveno (VB) T +39 0323 280811 F +39 0323 2808110 www.alteanet.it

Dettagli

Claudia Gistri Giancarlo Caputo CERTIQUALITY

Claudia Gistri Giancarlo Caputo CERTIQUALITY I requisiti per la certificazione del sistema di gestione sicurezza Claudia Gistri Giancarlo Caputo CERTIQUALITY Seminario La gestione ed il controllo del Rischio Industriale Bergamo, 20 dicembre 2005

Dettagli

Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro

Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro In vigore dal 01/04/2012 RINA Via Corsica 12 16128 Genova - Italia tel +39 010 53851 fax +39 010

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro. SCHEDA DEL CORSO Titolo: La gestione elettronica e la dematerializzazione dei documenti. Il Responsabile della La normativa, l operatività nelle aziende e negli studi professionali. Come sfruttare queste

Dettagli

QUALITA' E AMBIENTE IMPEGNO DELLA DIREZIONE

QUALITA' E AMBIENTE IMPEGNO DELLA DIREZIONE QUALITA' E AMBIENTE IMPEGNO DELLA DIREZIONE La Direzione della PAPPASOLE S.p.A. (di seguito denominata "Struttura turistica") dichiara la sua ferma volontà di rendere operante il Sistema di Gestione Integrata

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI BUONE PRASSI IGIENICHE E PROCEDURE BASATE SU HACCP

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI BUONE PRASSI IGIENICHE E PROCEDURE BASATE SU HACCP Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu sigla: SH55 Pag. 1 di 5 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR

Dettagli

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI dalla G.U. n. 59 del 12 marzo 2014 (s.o. n. 20) DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 3 dicembre 2013 Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto

Dettagli

SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE

SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE SCHEMA DEI REQUISITI PER LA QUALIFICAZIONE DEI CORSI DI FORMAZIONE PER Il presente Schema è stato redatto in conformità alle Norme : UNI CEI EN ISO/IEC 17024:2004 Sistemi Valutazione della conformità -

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

DELIBERA n. 11/13 della seduta del 31 luglio 2013

DELIBERA n. 11/13 della seduta del 31 luglio 2013 DELIBERA n. 11/13 della seduta del 31 luglio 2013 Definizione degli indirizzi in materia di certificazione di qualità delle imprese che effettuano trasporti di merci pericolose, di derrate deperibili,

Dettagli

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali

Dettagli

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Obblighi di sicurezza e relative sanzioni Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy L adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR DI S.G.Q. NEL SETTORE COSTRUZIONI E IMPIANTI

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR DI S.G.Q. NEL SETTORE COSTRUZIONI E IMPIANTI Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it sigla: SH84 Pag. 1 di 5 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR

Dettagli

23.12.2014 ORDINE DI SERVIZIO n. 38/14 TUTELA AZIENDALE

23.12.2014 ORDINE DI SERVIZIO n. 38/14 TUTELA AZIENDALE TUTELA AZIENDALE Con riferimento all Ordine di Servizio n 26 del 19.11.2014, si provvede a definire l articolazione della funzione TUTELA AZIENDALE e ad attribuire e/o confermare le seguenti responsabilità:

Dettagli

Comune di San Martino Buon Albergo Provincia di Verona

Comune di San Martino Buon Albergo Provincia di Verona Comune di San Martino Buon Albergo Provincia di Verona REGOLAMENTO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (Approvato con deliberazione di Consiglio Comunale n. 32 del 12/05/2009) Sommario Art. 1.

Dettagli

IL KIT DELL ORGANISMO DI VIGILANZA PER LA SICUREZZA SUL LAVORO

IL KIT DELL ORGANISMO DI VIGILANZA PER LA SICUREZZA SUL LAVORO I PRODOTTI DI Modelli per la valutazione dei rischi, Kit, Linee guida, Il Kit dell Organismo di Vigilanza per la sicurezza sul lavoro (cod. 300.46) DIMOSTRATIVO IL KIT DELL ORGANISMO DI VIGILANZA PER LA

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

CREDEMTEL. Credemtel S.p.A. Telese, 03/2015 CREDEMTEL

CREDEMTEL. Credemtel S.p.A. Telese, 03/2015 CREDEMTEL Credemtel S.p.A. Telese, 03/2015 Chi siamo è una società del Gruppo Bancario CREDEM, attiva dal 1989 nell offerta di servizi telematici a Banche, Aziende e Pubblica Amministrazione. 2 2 Presentazione Credemtel

Dettagli

AREA PRIVACY MANUALE DI CONTROLLO Strumento attuativo e di indirizzo, di valenza strategica per una corretta attuazione della normativa in materia di

AREA PRIVACY MANUALE DI CONTROLLO Strumento attuativo e di indirizzo, di valenza strategica per una corretta attuazione della normativa in materia di PRIVACY MANUALE DI CONTROLLO Strumento attuativo e di indirizzo, di valenza strategica per una corretta attuazione della normativa in materia di privacy in Azienda Dr. Ester Napolitano Anno 2014 PRIVACY

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

ALLEGATO 2 OFFERTA TECNICA

ALLEGATO 2 OFFERTA TECNICA ALLEGATO 2 OFFERTA TECNICA Allegato 2 Offerta Tecnica Pag. 1 di 9 ALLEGATO 2 - OFFERTA TECNICA La busta B - Gara a procedura aperta ai sensi del D.Lgs. 163/2006 e s.m.i per l affidamento dei servizi per

Dettagli

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare 1 Premessa e quadro normativo Il Contratto sottoscritto da Equitalia S.p.A. e ha ad oggetto l affidamento dei servizi di implementazione e manutenzione del nuovo Sistema Informativo Corporate - Sistema

Dettagli

Certificazione Ambientale ISO14001. Ottobre 2008

Certificazione Ambientale ISO14001. Ottobre 2008 ertificazione Ambientale ISO14001 Ottobre 2008 La certificazione ISO 14001 La certificazione ISO 14001 di un Sistema di gestione ambientale è la dichiarazione di un ente certificatore, accreditato dal

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILE GRUPPO DI AUDIT DI SISTEMI DI GESTIONE FORESTALE

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILE GRUPPO DI AUDIT DI SISTEMI DI GESTIONE FORESTALE Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it sigla: SH131 Pag. 1 di 5 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

CERTIFICAZIONE DI QUALITA

CERTIFICAZIONE DI QUALITA CERTIFICAZIONE DI QUALITA Premessa Lo Studio Legale & Commerciale D Arezzo offre servizi di consulenza per la certificazione di qualità secondo gli standard internazionali sulle principali norme. L obiettivo

Dettagli

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati

CNIPA. Codice privacy Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY. ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY. Il presente documento ha lo scopo di illustrare gli adempimenti di natura legale e di natura tecnico-informatica

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

23 - INDICE DELLA MATERIA ARCHIVI E GESTIONE INFORMATIZZATA DEI DOCUMENTI

23 - INDICE DELLA MATERIA ARCHIVI E GESTIONE INFORMATIZZATA DEI DOCUMENTI 23 - INDICE DELLA MATERIA ARCHIVI E GESTIONE INFORMATIZZATA DEI DOCUMENTI E248 Il sistema di protocollo informatico nella gestione degli archivi delle P.A.... pag. 2 E344 Le regole tecniche in materia

Dettagli

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo

Dettagli

Allegato 2: Prospetto informativo generale

Allegato 2: Prospetto informativo generale Gara a procedura ristretta accelerata per l affidamento, mediante l utilizzo dell Accordo Quadro di cui all art. 59 del D.Lgs. n. 163/2006, di Servizi di Supporto in ambito ICT a InnovaPuglia S.p.A. Allegato

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Chi siamo. vettori energetici (elettrico, termico ed energia prodotta da fonti tradizionali e rinnovabili) presenti nelle aziende pubbliche e private.

Chi siamo. vettori energetici (elettrico, termico ed energia prodotta da fonti tradizionali e rinnovabili) presenti nelle aziende pubbliche e private. Chi siamo Nata nel 1999, Energy Consulting si è affermata sul territorio nazionale fra i protagonisti della consulenza strategica integrata nel settore delle energie con servizi di Strategic Energy Management

Dettagli

UNI EN ISO 14001:2004 Sistemi di Gestione Ambientale: requisiti e guida per l uso

UNI EN ISO 14001:2004 Sistemi di Gestione Ambientale: requisiti e guida per l uso SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 14001:2004 Sistemi di Gestione Ambientale: requisiti e guida per l uso Pagina 1 di 11 INTRODUZIONE La Norma UNI EN ISO 14001:2004 fa parte delle norme Internazionali

Dettagli

CRITERI PER IL RICONOSCIMENTO DEGLI ORGANISMI DI ABILITAZIONE

CRITERI PER IL RICONOSCIMENTO DEGLI ORGANISMI DI ABILITAZIONE Allegato parte integrante Criteri e modalità di riconoscimento degli organismi di abilitazione dei soggetti preposti al rilascio certificazioni energetiche CRITERI PER IL RICONOSCIMENTO DEGLI ORGANISMI

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 12

MANUALE DELLA QUALITÀ Pag. 1 di 12 MANUALE DELLA QUALITÀ Pag. 1 di 12 INDICE RESPONSABILITÀ DELLA DIREZIONE Impegno della Direzione Attenzione focalizzata al cliente Politica della Qualità Obiettivi della Qualità Soddisfazione del cliente

Dettagli

FORNITORE: SEDE: TELEFONO FAX INDICAZIONI PER LA COMPILAZIONE DEL QUESTIONARIO

FORNITORE: SEDE: TELEFONO FAX INDICAZIONI PER LA COMPILAZIONE DEL QUESTIONARIO FORNITORE: SEDE: TELEFONO FAX INDICAZIONI PER LA COMPILAZIONE DEL QUESTIONARIO L autovalutazione è una valutazione che fornisce un giudizio sull efficacia e sull efficienza dell Azienda e sul grado di

Dettagli

Le Raccomandazioni ministeriali per la prevenzione dei rischi in chirurgia: linee di indirizzo regionali di implementazione a livello aziendale

Le Raccomandazioni ministeriali per la prevenzione dei rischi in chirurgia: linee di indirizzo regionali di implementazione a livello aziendale Le Raccomandazioni ministeriali per la prevenzione dei rischi in chirurgia: linee di indirizzo regionali di implementazione a livello aziendale PREMESSA Il Ministero del Lavoro, della Salute e delle Politiche

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITÀ NELLO STUDIO LEGALE OBIETTIVI Master Breve di formazione personalizzata Il Master

Dettagli

GESTIONE NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE

GESTIONE NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE rev. 0 Data: 01-03-2006 pag. 1 10 SOMMARIO 1. PIANIFICAZIONE... 2 1.1. SCOPO DELLA PROCEDURA GESTIONALE... 2 1.2. OBIETTIVI E STANDARD DEL PROCESSO... 2 1.3. RESPONSABILITÀ E RISORSE COINVOLTE... 2 2.

Dettagli

La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy

La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy A cura del Dott.: Giuseppe Mantese g.mantese@onlineconsulenza.com Quadro normativo Il 1 gennaio 2004 è entrato

Dettagli

SISTEMA DI GESTIONE SICUREZZA

SISTEMA DI GESTIONE SICUREZZA SISTEMA DI GESTIONE SICUREZZA Q.TEAM SRL Società di Gruppo Medilabor HSE Via Curioni, 14 21013 Gallarate (VA) Telefono 0331.781670 Fax 0331.708614 www.gruppomedilabor.com Azienda con Sistema Qualità, Salute

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

MANUALE di GESTIONE per la QUALITA

MANUALE di GESTIONE per la QUALITA Pagina 1 di 5 1. SCOPO E CAMPO DI APPLICAZIONE Scopo della presente sezione del MQ è definire le modalità e i criteri adottati dalla No Problem Parking spa per pianificare ed attuare i processi di misurazione

Dettagli

Procedura. Politica in materia di salute, sicurezza, ambiente, energia e incolumità pubblica. enipower. POL.HSE.pro-01_ep_r03. POL.HSE.

Procedura. Politica in materia di salute, sicurezza, ambiente, energia e incolumità pubblica. enipower. POL.HSE.pro-01_ep_r03. POL.HSE. Procedura Politica in materia di salute, sicurezza, ambiente, energia e incolumità pubblica. TITOLO PROCEDURA TITOLO PRPOCEDURA TITOLO PROCEDURA MSG DI RIFERIMENTO: HSE 1 Frontespizio TITOLO: Politica

Dettagli

Finanziamenti per la Promozione dei Sistemi di Gestione Ambientale nelle Piccole e Medie Imprese.

Finanziamenti per la Promozione dei Sistemi di Gestione Ambientale nelle Piccole e Medie Imprese. LABORATORIO ACCREDITATO ACCREDIA N 0181 CERTIFICATO DA DNV UNI EN ISO 9001 UNI EN ISO 14001 ISCRIZIONE NELL ELENCO DEI LABORATORI DELLA REGIONE EMILIA ROMAGNA AL N LABORATORIO ALTAMENTE QUALIFICATO PER

Dettagli

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011 Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo 14 Aprile 2011 LA COMPLIANCE : DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO 1. Il tema della

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli