S I C U R E Z Z A D E L L E I N F O R M A Z I O N I

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "S I C U R E Z Z A D E L L E I N F O R M A Z I O N I"

Transcript

1 S I C U R E Z Z A D E L L E I N F O R M A Z I O N I V A L U T A Z I O N E D E L R I S C H I O I S I S T E M I D I G E S T I O N E L A N O R M A I S O / I E C : C e s a r e G a l l o t t i V e r s i o n e 10 g i u g n o

2 c 2014 Cesare Gallotti Tutti i diritti riservati Ovviamente non è difficile copiare questo libro tutto o in parte, ma devo offrire una pizza a chi mi ha aiutato a farlo (vedere nei ringraziamenti), quindi vi prego di non farlo.

3 Dedicato a, in ordine di apparizione: Mariangela e Roberto Gallotti, per i loro 50 anni e per i miei 41 con loro; Clara, per i nostri 15 anni insieme; Chiara, Giulia, Paola Aurora, Alessio e non- Annalisa (sarà un maschio!) perché sono felice di essere loro zio.

4

5 Indice Presentazione e ringraziamenti ix 1 Introduzione 1 I Le basi 5 2 Sicurezza delle informazioni e organizzazione Dati e informazioni Sicurezza delle informazioni Riservatezza Integrità Disponibilità Altre proprietà di sicurezza Organizzazione, processi e funzioni I processi Le funzioni Processi, prodotti e persone Sistema di gestione per la sicurezza delle informazioni Sistema di gestione Sistema di gestione per la sicurezza delle informazioni Le certificazioni II La gestione del rischio 21 4 Rischio e valutazione del rischio Cos è il rischio I rischi positivi e negativi Il livello di rischio Cos è la valutazione del rischio I metodi per valutare il rischio I programmi software per la valutazione del rischio Chi coinvolgere I responsabili del rischio I facilitatori i

6 ii INDICE 5 Il contesto e l ambito Il contesto L ambito Identificazione del rischio Gli asset Information asset Gli altri asset Chi identifica gli asset Le minacce Gli agenti di minaccia Tecniche di minaccia Chi individua le minacce Associare le minacce agli asset Collegare le minacce alle conseguenze Le vulnerabilità e i controlli di sicurezza Correlare le vulnerabilità agli asset Correlare vulnerabilità e minacce Controlli alternativi, compensativi, complementari e correlati Controlli di prevenzione, recupero e rilevazione Conclusione Analisi del rischio Metodi di analisi Metodi quantitativi Metodi qualitativi Il valore degli asset Valutare le informazioni Quali valori assegnare alle informazioni Chi assegna i valori alle informazioni Valutare gli altri asset Valutare la verosimiglianza delle minacce Quali valori assegnare alle minacce Chi assegna i valori alle minacce Il rischio intrinseco Rischio intrinseco quantitativo Rischio intrinseco qualitativo Valutare le vulnerabilità e i controlli Identificare i controlli ideali Quali valori assegnare ai controlli Chi assegna i valori ai controlli Il livello di rischio Livello di rischio quantitativo Livello di rischio qualitativo Conclusioni Ulteriori riflessioni sulle aggregazioni Ponderazione del rischio 85

7 INDICE iii 9 Trattamento del rischio Le opzioni di trattamento del rischio Evitare o eliminare il rischio Aumentare il rischio Modificare la probabilità della minaccia (Prevenire) Modificare le conseguenze (Recuperare) Condividere il rischio Mantenere il rischio (Accettare) Piano di trattamento del rischio Scelta e attuazione delle azioni di riduzione Riesaminare il piano delle azioni Il piano delle azioni Efficacia delle azioni Tenuta sotto controllo del piano di azioni Monitoraggio e riesame del rischio 99 III I controlli di sicurezza I controlli di sicurezza Documenti Tipi di documenti Come scrivere i documenti Approvazione e distribuzione Archiviazione delle registrazioni Tempo di conservazione Verifica e manutenzione dei documenti Documenti di origine esterna Politiche di sicurezza delle informazioni Organizzazione per la sicurezza delle informazioni La Direzione Governance e management Il responsabile della sicurezza Altri ruoli e responsabilità Coordinamento Gestione dei progetti Separazione dei ruoli Rapporti con le autorità Gestione del personale Inserimento del personale Competenze Consapevolezza e sensibilizzazione Lavoro fuori sede Gestione degli asset Informazioni Identificazione e censimento degli asset Controllo degli accessi Credenziali Autorizzazioni

8 iv INDICE 11.7 Crittografia Algoritmi simmetrici e asimmetrici Protocolli crittografici Normativa applicabile alla crittografia Sicurezza fisica Sicurezza della sede Sicurezza delle apparecchiature Archivi fisici Conduzione dei sistemi informatici Documentazione Gestione dei cambiamenti Malware Backup Monitoraggio e logging Dispositivi portatili e personali Sicurezza delle comunicazioni Servizi autorizzati Segmentazione della rete Protezione degli apparati di rete Scambi di informazioni Acquisizione, sviluppo e manutenzione Gestione dei fornitori Gli accordi e i contratti con i fornitori Selezione dei fornitori Monitoraggio dei fornitori Due parole sul cloud Gestione degli incidenti Processo di gestione degli incidenti Controllo delle vulnerabilità Gestione dei problemi Gestione delle crisi Digital forensics Continuità operativa (Business continuity) La business impact analysis Valutazione del rischio per la continuità operativa Obiettivi e strategie di ripristino I piani di continuità Test e manutenzione Conformità Normativa vigente Audit Vulnerability assessment IV I requisiti di un sistema di gestione per la sicurezza delle informazioni Il miglioramento continuo e il ciclo PDCA Il miglioramento continuo Il ciclo PDCA

9 INDICE v Pianificare Fare Verificare Intervenire La natura frattale del ciclo PDCA Le norme ISO e l HLS Specifiche e linee guida Le norme della famiglia ISO/IEC L HLS Storia della ISO/IEC Come funziona la normazione I requisiti di sistema Ambito di applicazione dello standard Riferimenti normativi della ISO/IEC Termini e definizioni della ISO/IEC Contesto dell organizzazione e ambito del SGSI Il contesto dell organizzazione L ambito del SGSI Sistema di gestione per la sicurezza delle informazioni Leadership Politica per la sicurezza delle informazioni Ruoli e responsabilità Pianificazione I rischi relativi al sistema di gestione Valutazione del rischio relativo alla sicurezza delle informazioni Il trattamento del rischio relativo alla sicurezza delle informazioni Le azioni Obiettivi Processi di supporto Risorse Competenze e consapevolezza Comunicazione Informazioni documentate Attività operative La pianificazione e il controllo dei processi operativi Valutazione e trattamento del rischio relativo alla sicurezza delle informazioni Valutazione delle prestazioni Monitoraggio, misurazione, analisi, valutazione Audit interni Riesami di Direzione Miglioramento Non conformità Azioni correttive Azioni preventive Miglioramento continuo

10 vi INDICE 14.11Appendice A della ISO/IEC Bibliografia della ISO/IEC V Appendici 255 A Gestire gli auditor 257 A.1 L auditor è un ospite A.2 L auditor è un partner A.3 L auditor è un fornitore A.4 L auditor è un auditor B I primi passi per realizzare un SGSI 263 B.1 Individuare l ambito B.2 Coinvolgere i manager B.3 Gestire i documenti B.4 Miglioramento B.5 Formare il personale B.6 Gap analysis B.7 Realizzare il sistema di gestione C La certificazione di un sistema di gestione 267 C.1 Gli attori C.2 Il percorso di certificazione C.2.1 Il contratto C.2.2 L audit di certificazione C.2.3 Raccomandazione ed emissione del certificato C.2.4 Audit straordinario C.2.5 Audit periodici C.2.6 Audit di ricertificazione C.3 I bandi di gara C.4 I falsi miti della certificazione D Common Criteria (ISO/IEC 15408) e FIPS D.1 Diffusione dei Common Criteria D.2 FIPS D.3 Altre certificazioni di prodotto E Requisiti per i cambiamenti 283 E.1 Requisiti funzionali di controllo accessi E.2 Requisiti sulla connettività E.3 Requisiti funzionali relativi alla crittografia E.4 Requisiti di monitoraggio E.5 Requisiti di capacità E.6 Requisiti architetturali E.7 Requisiti applicativi E.8 Requisiti di servizio

11 INDICE vii F Tecniche di minaccia 287 F.1 Intrusione nella sede o nei locali da parte di malintenzionati F.2 Intrusione nei sistemi informatici F.3 Social engineering F.4 Furto d identità F.5 Danneggiamento di apparecchiature fisiche F.6 Danneggiamenti dei programmi informatici F.7 Furto di apparecchiature IT o di impianti F.8 Lettura, furto, copia o alterazione di documenti in formato fisico 294 F.9 Intercettazioni di emissioni elettromagnetiche F.10 Interferenze da emissioni elettromagnetiche F.11 Lettura e copia di documenti IT F.12 Modifica non autorizzata di documenti informatici F.13 Trattamento scorretto delle informazioni F.14 Malware F.15 Copia e uso illegale di software F.16 Uso non autorizzato di servizi IT esterni F.17 Uso non autorizzato di sistemi e servizi informatici offerti dall organizzazione F.18 Recupero di informazioni F.19 Esaurimento o riduzione delle risorse F.20 Intercettazione delle comunicazioni F.21 Invio di dati a persone non autorizzate F.22 Invio e ricezione di dati non accurati F.23 Ripudio di invio di messaggi e documenti da parte del mittente. 304 G Requisiti per contratti e accordi con i fornitori 305 G.1 Requisiti per i fornitori di prodotti G.2 Requisiti per i fornitori di servizi non informatici G.3 Requisiti per i fornitori di servizi informatici H Dalla ISO/IEC 27001:2005 alla ISO/IEC 27001: H.1 I cambiamenti ai requisiti di sistema H.1.1 Il contesto e l ambito H.1.2 Leadership H.1.3 Pianificazione H.1.4 Supporto H.1.5 Valutazione delle prestazioni H.1.6 Miglioramento H.2 Controlli di sicurezza H.2.1 Terminologia H.2.2 Controlli spostati H.2.3 Controlli integrati in altri H.2.4 Nuovi controlli Bibliografia 319

12 viii INDICE

13 Presentazione e ringraziamenti Pensino ora i miei venticinque lettori che impressione dovesse fare sull animo del poveretto, quello che s è raccontato. Alessandro Manzoni, I promessi sposi Nel 2002 scrissi il libro Sicurezza delle informazioni - Analisi e gestione del rischio per la FrancoAngeli [28] e mi ero divertito molto a scriverlo. Mi ha fatto anche molto piacere incontrare in questi anni più di 25 persone, che l avevano letto e apprezzato; purtroppo, spesso, l avevano preso in prestito da una biblioteca e questo non ha aiutato ad aumentare le vendite. Va detto che non speravo assolutamente di guadagnare alcunché da quella operazione. Speravo solo di ripagarmi del toner e della carta utilizzati per stampare e correggere le bozze. Dopo più di dieci anni ho voluto rimettere su carta (elettronica) le idee maturate durante i corsi di formazione, le presentazioni, le discussioni con colleghi e amici, gli incontri a livello nazionale e internazionale per scrivere la ISO/IEC 27001:2013. In alcuni casi, alcune delle convinzioni del 2002 sono cambiate, grazie ai tanti audit e progetti di consulenza fatti in questi anni. Si tratta quindi più di una raccolta di appunti che di un vero e proprio saggio: la prima parte riporta le basi per descrivere la sicurezza delle informazioni e un sistema di gestione per la sicurezza delle informazioni; la seconda parte descrive la valutazione del rischio, con un ampia parte teorica, bilanciata da molti esempi; i calcoli presentati non sono necessari per comprendere appieno i concetti esposti; la terza parte descrive i controlli di sicurezza ed è stata ricavata dagli appunti, basati sulla ISO/IEC 27002, che utilizzo per le attività di audit e di consulenza; la quarta parte illustra i requisiti della ISO/IEC 27001:2013 secondo la mia interpretazione maturata durante i lavori di scrittura della norma stessa, i corsi di formazione e le discussioni con i clienti; ix

14 x PRESENTAZIONE E RINGRAZIAMENTI le prime tre appendici riportano alcune brevi presentazioni fatte a margine di corsi di formazione (sulla gestione degli auditor e sulla certificazione) o per l avvio di progetti di certificazione (sui passi per realizzare un SGSI); l appendice sui Common Criteria e sulle FIPS 140 è un gentile omaggio di Stefano Ramacciotti; le successive appendici gestione dei cambiamenti, minacce e fornitori sono tratte da alcune mie liste di riscontro utilizzate durante dei progetti; l ultima appendice, infine, riporta una sintesi di cosa bisogna fare per il passaggio dalla ISO/IEC 27001:2005 alla ISO/IEC 27001:2013, visto che negli ultimi mesi in molti me lo hanno chiesto. Ci tengo a precisare che questo testo si basa molto sulla ISO/IEC 27001, ma non è una guida ufficiale alla sua interpretazione: quella verrà pubblicata spero nel 2015 come nuova edizione della ISO/IEC Questo libro è stato scritto per quanti vogliono imparare e approfondire cos è la sicurezza delle informazioni; ho infatti cercato di rispondere a tutte le domande che mi sono state rivolte in questi anni. Credo inoltre che alcune riflessioni possano interessare chi conosce già la materia ed essere lo spunto per nuove discussioni. Ciascuno ha i propri punti di vista, anche diversi dai miei, e un confronto potrebbe migliorare le nostre competenze. Il testo delle norme qui riportato libro non è identico a quello delle traduzioni ufficiali, sia per questioni di diritto d autore, sia perché, in alcuni casi, volevo rendere il testo più significativo. Le definizioni sono tratte soprattutto dall edizione del 2014 dello standard internazionale ISO/IEC La traduzione ufficiale non è ancora pubblicata, anche se pronta grazie al lavoro di alcuni soci di Uninfo. Alcune definizioni sono state lievemente modificate per renderle, a mio parere, più comprensibili. Tra parentesi quadre sono riportate eventuali aggiunte. Le cancellazioni sono evidenziate dal simbolo [...]. Ho collaborato in prima persona alla traduzione della ISO/IEC e (nel primo caso ero responsabile del progetto, insieme a Fabio Guasconi, Presidente dell SC 27 di UNINFO). Ciò non ostante, invito chiunque voglia occuparsi di ISO/IEC a leggere direttamente le norme e preferibilmente in inglese. Alcune pubblicazioni italiane sono ottime, ma spesso i testi e gli articoli più aggiornati sono in inglese; si pensi alle linee guida dell OWASP o del NIST, alcune delle quali segnalate in bibliografia. Aggiungo che la ISO/IEC non ha subito una valida revisione e quindi l inglese è spesso poco corretto, ma facilmente leggibile. Ci tengo a ringraziare tre persone per l aiuto dato nella scrittura di questo libro, in rigoroso ordine alfabetico: Massimo Cottafavi, manager di Security Reply, esperto di Governance, risk and compliance, con cui discuto da più di 10 anni e che ha letto le bozze e mi ha dato utili idee e un po di testo da copiare; Roberto Gallotti, inflessibile correttore di bozze e fornitore di idee; anche se non può dichiararsi esperto di sicurezza delle informazioni, è un professionista da cui vorrei imparare di più;

15 xi Stefano Ramacciotti, anche lui delegato italiano ai lavori dell SC 27 del JTC 1 dell ISO/IEC, con cui ho discusso lungamente in riva al mare e in giro per il mondo durante i meeting dell SC 27 e che ha anche contribuito a delle parti di testo (in particolare, l appendice sui Common Criteria, l esempio di Fort Knox e quanto riguarda le tre e le quattro P). Queste persone sono tra i professionisti più preparati e simpatici che abbia avuto modo di conoscere in questi anni e sono molto orgoglioso di essere riuscito a rubare loro tempo e energie. Ho sottoposto il libro ad altri amici e molti avrebbero preferito un testo più breve. Nonostante tutto, ho ritenuto opportuno pubblicare quanto fatto. Per una sintesi c è sempre tempo. Infine, ringrazio tutti coloro (clienti, colleghi, concorrenti, partecipanti ai corsi, eccetera) con cui in questi anni mi sono confrontato e che non hanno avuto paura a condividere con me idee e incompetenze reciproche anche attraverso il mio blog blog.cesaregallotti.it e la mia newsletter mensile: persone preparate, ma consapevoli che la nostra materia è estremamente mutevole e non esiste nessuno più bravo degli altri. Contatti Per contattarmi, segnalare errori e proporre miglioramenti, i miei riferimenti sono disponibili su Invito quanti sono interessati ad abbonarsi alla mia newsletter. Le modalità sono riportare sul mio sito web. Avvertenza I link riportati in questo libro sono stati verificati il 30 maggio 2014.

16 xii PRESENTAZIONE E RINGRAZIAMENTI

17 Capitolo 1 Introduzione Cosa [...] c era da interpretare in Fate i bravi? John Niven, A volte ritorno Da sempre l uomo ha sentito la necessità di avere le proprie informazioni al sicuro. In particolare, desideriamo che i dati personali (per esempio, il nostro stato di salute e il nostro estratto di conto) siano accessibili solo a poche fidate persone e siano accurati e corretti, che non vengano utilizzati impropriamente per telefonarci a casa o diffamarci pubblicamente sui social network e che siano velocemente disponibili, soprattutto su Internet. Quanto detto riguarda la percezione individuale di cosa si intende per sicurezza delle informazioni. Anche un impresa o un qualsiasi ente ha una percezione di cosa si intende per sicurezza delle informazioni ; per esempio: segretezza dei progetti innovativi e dei propri clienti, accuratezza di tutti i dati economici e di produzione, disponibilità dei sistemi informatici. Nella prima parte di questo libro sono illustrati i concetti fondamentali relativi alla sicurezza delle informazioni, tra cui proprio la sua definizione. Il termine sicurezza, però, cela in sé una contraddizione. Sicurezza, infatti, fa venire in mente qualcosa di assoluto e incontrovertibile, cioè qualcosa di impossibile nella realtà. Spesso si dice che Fort Knox, dove si trovano le riserve monetarie degli USA, è uno dei luoghi più sicuri al mondo: sofisticati sensori, barriere perimetrali e allarmi sono tutti ai massimi livelli. Come se non bastassero, è sede di un comando di Marines pronti a intervenire per qualsiasi problema. Fort Knox è riconosciuto come sinonimo di luogo sicuro. Ma come reagirebbe la struttura a un impatto con un meteorite di un chilometro di diametro? Come si può vedere da questo semplice esempio, non ha senso parlare di sicurezza in senso assoluto, ma solo in senso relativo. Fort Knox non è infatti resistente ad un grosso meteorite. Per questo motivo bisogna diffidare di chiunque offra prodotti o soluzioni sicuri al 100%. Una tale affermazione classifica subito la persona come scarsamente competente o come un imbonitore che vuole vendere qualcosa. 1

18 2 CAPITOLO 1. INTRODUZIONE Deve essere individuato il livello adeguato di sicurezza che si vuole ottenere attraverso la valutazione del rischio. Il livello di sicurezza deve essere raggiunto attraverso opportune azioni di trattamento. Nel caso in cui quel livello non possa essere raggiunto, le carenze devono essere analizzate e, se il caso, accettate. Nel tempo, la valutazione deve essere ripetuta per verificare se il livello di sicurezza desiderato e quello attuato siano ancora validi. Queste attività di valutazione, azione o accettazione e ripetizione costituiscono la gestione del rischio (risk management), oggetto della seconda parte del libro. Nella terza parte verranno illustrati i controlli di sicurezza, ossia le misure utili per garantire la sicurezza delle informazioni. Queste saranno soprattutto di tipo organizzativo e non tecnologico. Infatti, buoni processi portano a scegliere buoni e adeguati prodotti e a gestirli correttamente. Non è vero l inverso: un buon prodotto non conduce ad avere buoni processi. La quarta parte tratterà dei requisiti della ISO/IEC per i sistemi di gestione per la sicurezza delle informazioni. Un po di storia Come già accennato, la sicurezza delle informazioni è stata oggetto di attenzione sin dagli albori dell umanità, basta pensare ai misteri collegati a diverse religioni. Per quanto riguarda il passato, Cesare parla di sistemi per evitare l intercettazione dei messaggi in guerra (al capitolo 48 del libro V del De bello gallico); l utilizzo della partita doppia per garantire l integrità della contabilità, descritta nel 1494 da Luca Pacioli, è sicuramente precedente al Duecento. Nelle imprese, fino alla diffusione dell informatica, la sicurezza delle informazioni si riferiva ai documenti cartacei e alle comunicazioni orali; oggi deve comprendere anche la sicurezza informatica. Questa, fino agli anni Novanta, era gestita dagli addetti informatici, senza alcun collegamento con la tutela del patrimonio, ossia con la corporate security, anche se i rischi di furto di informazioni e di spionaggio erano comunque presi in considerazione. In quegli anni si verificarono fenomeni importanti relativamente all informatica e al contesto economico e sociale: 1. la diffusione degli strumenti informatici, grazie ai personal computer e a interfacce sempre più intuitive: Microsoft Windows è del 1985 e Mosaic, il primo browser grafico per navigare sul web, è del 1993; 2. l aumento delle minacce informatiche note al grande pubblico: il primo virus, quello di Morris, è del 1988; 3. la pubblicazione di normative con riferimento alla sicurezza informatica: nel 1993 fu emendato il Codice Penale per includervi i casi di criminalità informatica (Legge 547) e nel 1996 fu emanata la prima versione della Legge sulla privacy (Legge 675) a cui fu affiancato nel 1999 un disciplinare tecnico (DPR 318); 4. l aumento della conflittualità sociale dovuto alle ristrutturazioni di tante imprese; 5. il ricorso a sempre più numerosi fornitori e l aumento di relazioni con attori esterni rappresentate in figura

19 3 Figura 1.0.1: L impresa aperta Tutto questo ha fatto percepire come rilevanti le minacce relative alla sicurezza delle informazioni in generale e informatica in particolare, come illustrato in figura Figura 1.0.2: Nuove minacce Negli anni Novanta cambia anche l approccio alla sicurezza delle organizzazioni: si specializzano gli ambiti di intervento (informatica, siti fisici, persone) perché richiedono diverse competenze, si stabiliscono delle priorità di intervento sulla base di valutazioni del rischio e, in generale, si percepisce la sicurezza come attività indispensabile per garantire la sostenibilità delle organizzazioni nel tempo. Negli anni, le esigenze di sicurezza non si sono ridotte. Questo a causa degli eventi più recenti (11 settembre, spionaggio industriale, eccetera), delle evoluzioni normative in materia di sicurezza delle informazioni e della sempre crescente globalizzazione delle imprese.

20 4 CAPITOLO 1. INTRODUZIONE Per tutti questi motivi sono state introdotte metodologie e pratiche per rendere più strutturate le attività riguardanti la sicurezza delle informazioni. Tra le iniziative più importanti si ricordano quelle relative alla sicurezza dei prodotti e sistemi informatici (TCSEC del 1983, ITSEC del 1991, Common Criteria del 1994 e le Special Publication del NIST 1 emesse dai primi anni Novanta), alla sicurezza delle informazioni (BS 7799 del 1995, di cui si approfondirà la storia nel paragrafo 13.4) e alle metodologie di valutazione del rischio relativo alla sicurezza delle informazioni (CRAMM del 1987, Marion del 1990 e Mehari del 1995) [17]. 1

S I C U R E Z Z A D E L L E I N F O R M A Z I O N I

S I C U R E Z Z A D E L L E I N F O R M A Z I O N I ...................... S I C U R E Z Z A D E L L E I N F O R M A Z I O N I...................... V A L U T A Z I O N E D E L R I S C H I O I S I S T E M I D I G E S T I O N E L A N O R M A I S O / I E

Dettagli

La norma UNI EN ISO 14001:2004

La norma UNI EN ISO 14001:2004 La norma COS È UNA NORMA La normazione volontaria Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma" è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa

Dettagli

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori Struttura della norma ISO/IEC 17025 1. Scopo 2. Riferimenti normativi 3. Termini e definizioni 4. Requisiti gestionali

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

I dati in cassaforte 1

I dati in cassaforte 1 I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse

Dettagli

Le novità della UNI ISO 27001:2014

Le novità della UNI ISO 27001:2014 Le novità della UNI ISO 27001:2014 La norma ISO 27001 pubblicata nel 2013 è stata tradotta in italiano e convertita in norma UNI nel marzo 2014 come UNI CEI ISO/IEC 27001:2014 Tecnologie informatiche Tecniche

Dettagli

I dati : patrimonio aziendale da proteggere

I dati : patrimonio aziendale da proteggere Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

Corso EQDL 2013 soluzioni delle domande sui lucidi Modulo 1

Corso EQDL 2013 soluzioni delle domande sui lucidi Modulo 1 Modulo 1 Parte 1 Corso EQDL 2013 soluzioni delle domande sui lucidi Modulo 1 1.1.1.1 pag. 21 Quale, tra le affermazioni che seguono relative al concetto di qualità, è la più corretta? A. Il termine qualità

Dettagli

GESTIONE DELLA FORMAZIONE E

GESTIONE DELLA FORMAZIONE E 08/02/2011 Pag. 1 di 7 GESTIONE DELLA FORMAZIONE E DELL ADDESTRAMENTO DEL PERSONALE 1. SCOPO... 2 2. APPLICABILITÀ... 2 3. DOCUMENTI DI RIFERIMENTO... 2 3.1. Norme... 2 3.2. Moduli / Istruzioni... 2 4.

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

FORNITORE: SEDE: TELEFONO FAX INDICAZIONI PER LA COMPILAZIONE DEL QUESTIONARIO

FORNITORE: SEDE: TELEFONO FAX INDICAZIONI PER LA COMPILAZIONE DEL QUESTIONARIO FORNITORE: SEDE: TELEFONO FAX INDICAZIONI PER LA COMPILAZIONE DEL QUESTIONARIO L autovalutazione è una valutazione che fornisce un giudizio sull efficacia e sull efficienza dell Azienda e sul grado di

Dettagli

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità 1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi

Dettagli

PER IL RILASCIO E L UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA DELL AZIENDA OSPEDALIERA UNIVERSITARIA FEDERICO II PER FINI ISTITUZIONALI

PER IL RILASCIO E L UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA DELL AZIENDA OSPEDALIERA UNIVERSITARIA FEDERICO II PER FINI ISTITUZIONALI REGOLAMENTO PER IL RILASCIO E L UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA CERTIFICATA DELL AZIENDA OSPEDALIERA UNIVERSITARIA FEDERICO II PER FINI ISTITUZIONALI Approvato con deliberazione n. 463 del 10.08.2015

Dettagli

Le regole per la predisposizione delle carte di lavoro: il principio di revisione n.230

Le regole per la predisposizione delle carte di lavoro: il principio di revisione n.230 Guida al controllo contabile di Fabrizio Bava e Alain Devalle * Le regole per la predisposizione delle carte di lavoro: il principio di revisione n.230 Il principio di revisione n.230 stabilisce le regole

Dettagli

BARRA LATERALE AD APERTURA AUTOMATICA...

BARRA LATERALE AD APERTURA AUTOMATICA... INDICE 1) SOMMARIO... 1 2) PRIMO AVVIO... 1 3) BARRA LATERALE AD APERTURA AUTOMATICA... 2 4) DATI AZIENDALI... 3 5) CONFIGURAZIONE DEL PROGRAMMA... 4 6) ARCHIVIO CLIENTI E FORNITORI... 5 7) CREAZIONE PREVENTIVO...

Dettagli

Le procedure gestionali del SGQ di UTFUS TF GQL

Le procedure gestionali del SGQ di UTFUS TF GQL Le procedure gestionali del SGQ di UTFUS TF GQL Sommario Procedure gestionali obbligatorie secondo ISO 9001:2008; Gestione Documenti; Audit Interni; Non Conformità; Azioni di miglioramento (azioni correttive

Dettagli

PROCEDURA PR03 - Documentazione e Registrazioni del SGQ

PROCEDURA PR03 - Documentazione e Registrazioni del SGQ AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE TO1 - OBITORIO CIVICO PROCEDURA PR03 - Documentazione e Registrazioni del SGQ Edizione 2 Approvata dal Direttore della SC Medicina Legale Emessa dal Referente

Dettagli

ISO 9000:2000 Assicurazione della qualità Parte della gestione per la qualità mirata a dare fiducia che i requisiti per la qualità saranno

ISO 9000:2000 Assicurazione della qualità Parte della gestione per la qualità mirata a dare fiducia che i requisiti per la qualità saranno ISO 9000:2000 Assicurazione della qualità Parte della gestione per la qualità mirata a dare fiducia che i requisiti per la qualità saranno soddisfatti. Azione correttiva Azione per eliminare la causa di

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

NORMATIVA SULLA PRIVACY

NORMATIVA SULLA PRIVACY NORMATIVA SULLA PRIVACY Il presente codice si applica a tutti i siti internet della società YOUR SECRET GARDEN che abbiano un indirizzo URL. Il documento deve intendersi come espressione dei criteri e

Dettagli

1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale

1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale 1 Questo convegno, che vede insieme rappresentanti del mondo pubblico e privato, prende spunto da un ciclo di formazione appena concluso di personale della RGS, del CNIPA e di ingegneri dell Ordine di

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

REGOLAMENTO PER L USO DELLA POSTA ELETTRONICA CERTIFICATA

REGOLAMENTO PER L USO DELLA POSTA ELETTRONICA CERTIFICATA REGOLAMENTO PER L USO DELLA POSTA ELETTRONICA CERTIFICATA SOMMARIO Art.1 Oggetto del regolamento...... Pag. 2 Art.2 Disposizioni e principi generali 2 Art.3 Definizioni 2 Art.4 Posta elettronica certificata..

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

CONSIGLIO NAZIONALE RAGIONIERI 00198 Roma Via G. Paisiello, 24 - www.consrag.it

CONSIGLIO NAZIONALE RAGIONIERI 00198 Roma Via G. Paisiello, 24 - www.consrag.it Norme di attuazione sull applicazione delle tecnologie di e-learning agli eventi formativi previsti nei programmi di formazione professionale continua per i ragionieri commercialisti Indice 1. Definizioni..3

Dettagli

INFORMATIVA PRIVACY & COOKIE

INFORMATIVA PRIVACY & COOKIE INFORMATIVA PRIVACY & COOKIE Il presente documento sulla privacy policy (di seguito, Privacy Policy ) del sito www.fromac.it (di seguito, Sito ), si conforma alla privacy policy del sito del Garante per

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

VALUTARE, QUALIFICARE E MONITORARE I FORNITORI

VALUTARE, QUALIFICARE E MONITORARE I FORNITORI VALUTARE, QUALIFICARE E MONITORARE I FORNITORI Rev. Data Causale Redazione Verifica Approvazione 00 Xx/xx/xxxx Prima emissione INDICE SCOPO DELLA PROCEDURA RESPONSABILITÀ CAMPO DI APPLICAZIONE MODALITÀ

Dettagli

LA REVISIONE DELLA ISO 14001:2015

LA REVISIONE DELLA ISO 14001:2015 LA REVISIONE DELLA ISO 14001:2015 Dr. Tatone Vito Nicola Doc/CSAD/2/Rev0 del 11/05/2015 La revisione della ISO 14001:2015 ad oggi è in fase di chiusura con l imminente rilascio del final draft, per cui

Dettagli

Reggio Emilia 14 e 15 dicembre 2015 ore 9:30 / 18:30

Reggio Emilia 14 e 15 dicembre 2015 ore 9:30 / 18:30 Reggio Emilia 14 e 15 dicembre 2015 ore 9:30 / 18:30 ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITÀ NELLO STUDIO PROFESSIONALE ACEF Associazione Culturale Economia e Finanza

Dettagli

Proteggi gli account personali

Proteggi gli account personali con la collaborazione di Proteggi gli account personali Pensi che il PHISHING sia solo un tipo di pesca? Pensi che i COOKIE siano solo biscotti? Pensi che un VIRUS sia solo un raffreddore? Proteggi gli

Dettagli

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali.

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali. Come utilizziamo i suoi dati è un prodotto di ULTRONEO SRL INFORMAZIONI GENERALI Ultroneo S.r.l. rispetta il Suo diritto alla privacy nel mondo di internet quando Lei utilizza i nostri siti web e comunica

Dettagli

REGOLAMENTO SULL ORDINAMENTO GENERALE DEGLI UFFICI E DEI SERVIZI AMMINISTRAZIONE E SICUREZZA DEI SISTEMI INFORMATIVI

REGOLAMENTO SULL ORDINAMENTO GENERALE DEGLI UFFICI E DEI SERVIZI AMMINISTRAZIONE E SICUREZZA DEI SISTEMI INFORMATIVI 84 REGOLAMENTO SULL ORDINAMENTO GENERALE DEGLI UFFICI E DEI SERVIZI AMMINISTRAZIONE E SICUREZZA DEI SISTEMI INFORMATIVI ADOTTATO DALLA GIUNTA COMUNALE CON DELIBERAZIONE N. 310/215 PROP.DEL. NELLA SEDUTA

Dettagli

Roma, ottobre 2013. Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore

Roma, ottobre 2013. Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore Roma, ottobre 2013 Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore OGGETTO: NOMINA DEI RESPONSABILI DEL TRATTAMENTO DEI DATI L AGESCI Associazione Guide e Scouts Cattolici Italiani,

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

MANUALE di GESTIONE per la QUALITA

MANUALE di GESTIONE per la QUALITA Pagina 1 di 5 1. SCOPO E CAMPO DI APPLICAZIONE Scopo della presente sezione del MQ è definire le modalità e i criteri adottati dalla No Problem Parking spa per pianificare ed attuare i processi di misurazione

Dettagli

In caso di catastrofe AiTecc è con voi!

In caso di catastrofe AiTecc è con voi! In caso di catastrofe AiTecc è con voi! In questo documento teniamo a mettere in evidenza i fattori di maggior importanza per una prevenzione ottimale. 1. Prevenzione Prevenire una situazione catastrofica

Dettagli

Direttiva di primo livello, 2004/39/CE, (MiFID) relativa ai mercati degli strumenti finanziari.

Direttiva di primo livello, 2004/39/CE, (MiFID) relativa ai mercati degli strumenti finanziari. Torniamo ai nostri lettori con una edizione del nostro Bollettino Informativo interamente dedicata alla nuova disciplina comunitaria che riguarda i mercati, gli strumenti finanziari ed i servizi di investimento:

Dettagli

LEGGA ATTENTAMENTE IL SEGUENTE CONTRATTO PRIMA DI UTILIZZARE QUESTO SOFTWARE.

LEGGA ATTENTAMENTE IL SEGUENTE CONTRATTO PRIMA DI UTILIZZARE QUESTO SOFTWARE. LICENZA D USO PER SOFTWARE SONY LEGGA ATTENTAMENTE IL SEGUENTE CONTRATTO PRIMA DI UTILIZZARE QUESTO SOFTWARE. CON L UTILIZZAZIONE DEL SOFTWARE LEI ESPRIME LA SUA ACCETTAZIONE DEL CONTRATTO. IMPORTANTE

Dettagli

REV. 6 PAG. 1/6 MANUALE INFORMATIVO

REV. 6 PAG. 1/6 MANUALE INFORMATIVO REV. 6 PAG. 1/6 MANUALE INFORMATIVO MANUALE INFORMATIVO REV. 6 PAG. 2/6 1 PRESENTAZIONE DEL CONSORZIO Il Consorzio Multisettoriale Piemontese, nuova denominazione del Consorzio Aziende Metalmeccaniche

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

Manuale della qualità

Manuale della qualità Sistema di gestione per la qualità Pag. 1 di 10 SISTEMA DI GESTIONE PER LA QUALITÀ 1. REQUISITI GENERALI L ISTITUTO SUPERIORE L. LOTTO di Trescore Balneario si è dotato di un Sistema di gestione per la

Dettagli

Giornata della Sicurezza Informatica in Sardegna Mercoledì 5 Novembre 2008

Giornata della Sicurezza Informatica in Sardegna Mercoledì 5 Novembre 2008 Giornata della Sicurezza Informatica in Sardegna Mercoledì 5 Novembre 2008 Auditorium Sardegna Ricerche - Pula Linee guida per la sicurezza informatica nelle piccole e medie imprese Claudio Telmon CLUSIT

Dettagli

InfoCert progetta e sviluppa servizi e soluzioni di alto livello per la dematerializzazione, gestione e trasmissione dei documenti.

InfoCert progetta e sviluppa servizi e soluzioni di alto livello per la dematerializzazione, gestione e trasmissione dei documenti. InfoCert progetta e sviluppa servizi e soluzioni di alto livello per la dematerializzazione, gestione e trasmissione dei documenti. Con pieno valore legale. 2 InfoCert InfoCert. Garanzia di soluzioni.

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.04 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

La norma ISO 50001 per il risparmio energetico delle aziende

La norma ISO 50001 per il risparmio energetico delle aziende La norma ISO 50001 per il risparmio energetico delle aziende La norma UNI CEI EN ISO 50001:2011 Sistemi di gestione dell energia Requisiti e linee guida per l uso è la versione ufficiale italiana della

Dettagli

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive

Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Comitato SGQ Comitato Ambiente Sistemi di Gestione: cosa ci riserva il futuro? Novità Normative e Prospettive Mercoledì, 23 febbraio 2005 - Palazzo FAST (Aula Morandi) Piazzale Morandi, 2 - Milano E' una

Dettagli

Le caratteristiche must have del software gestionale ideale

Le caratteristiche must have del software gestionale ideale Le caratteristiche must have del software gestionale ideale ww.microsa Quali sono i principali elementi da tenere in considerazione per la scelta del Quali software sono i ottimale? principali elementi

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi PRIVACY E SICUREZZA LA PRIVACY DI QUESTO SITO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Tale politica

Dettagli

Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003

Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003 Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003 Desideriamo informarla che il D.lgs. n. 196 del 30 giugno 2003 (codice in materia di protezione dei dati personali) prevede la tutela delle

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

GESTIONE NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE

GESTIONE NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE rev. 0 Data: 01-03-2006 pag. 1 10 SOMMARIO 1. PIANIFICAZIONE... 2 1.1. SCOPO DELLA PROCEDURA GESTIONALE... 2 1.2. OBIETTIVI E STANDARD DEL PROCESSO... 2 1.3. RESPONSABILITÀ E RISORSE COINVOLTE... 2 2.

Dettagli

Sistema di Gestione per la Qualità

Sistema di Gestione per la Qualità Pagina 1 di 8 Manuale Qualità Sistema di Gestione per la Qualità INDICE DELLE EDIZIONI.REVISIONI N DATA DESCRIZIONE Paragraf i variati Pagine variate 1.0 14.03.2003 Prima emissione Tutti Tutte ELABORAZIONE

Dettagli

DICHIARAZIONE RELATIVA ALLA PROTEZIONE E ALL UTILIZZO DEI DATI PERSONALI SU www.zalando.it

DICHIARAZIONE RELATIVA ALLA PROTEZIONE E ALL UTILIZZO DEI DATI PERSONALI SU www.zalando.it DICHIARAZIONE RELATIVA ALLA PROTEZIONE E ALL UTILIZZO DEI DATI PERSONALI SU www.zalando.it anche ai sensi e per gli effetti dell art. 13, D.Lgs. 30 giugno 2003, n. 196 La protezione dei dati personali

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

L archivio di impresa

L archivio di impresa L archivio di impresa Mariella Guercio Università degli studi di Urbino m.guercio@mclink.it Politecnico di Torino, 25 novembre 2011 premessa L archivistica è una disciplina della complessità, aperta, basata

Dettagli

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30

Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 Bologna 8, 13 e 15 luglio 2015 ore 14:30 / 18:30 ANALISI, REVISIONE E IMPLEMENTAZIONE DI UN MODELLO ORGANIZZATIVO IN QUALITÀ NELLO STUDIO LEGALE OBIETTIVI Master Breve di formazione personalizzata Il Master

Dettagli

Presentazione CEPAS, ogni riproduzione deve essere preventivamente autorizzata

Presentazione CEPAS, ogni riproduzione deve essere preventivamente autorizzata 1 Presentazione della nuova Norma UNI CEI EN ISO/IEC 17024:2012 Valutazione della conformità Requisiti generali per gli organismi che operano la certificazione delle persone Giancarlo Colferai Presidente

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

Posta elettronica certificata: per le raccomandate rivoluzione in un «click»

Posta elettronica certificata: per le raccomandate rivoluzione in un «click» Posta elettronica certificata: per le raccomandate rivoluzione in un «click» di Salvatore Mattia (*) Per professionisti e imprese arriva finalmente la svolta nella gestione di fatture e raccomandate: entra

Dettagli

TECNICHE DI VALUTAZIONE DEL RISCHIO

TECNICHE DI VALUTAZIONE DEL RISCHIO Per conto di AICQ CN 1 - Autore Giovanni Mattana - Consigliere di Giunta AICQ CN Presidente della Commissione UNI per i Sistemi di Qualità La norma è intesa come un supporto per la Iso 31000 e fornisce

Dettagli

Fattori critici di successo

Fattori critici di successo CSF e KPI Fattori critici di successo Critical Success Factor (CSF) Definiscono le azioni o gli elementi più importanti per controllare i processi IT Linee guida orientate alla gestione del processo Devono

Dettagli

Milano, via Savona 15. Lunedì, 15 marzo, ore 16.00 Dr. Franco Bernabè

Milano, via Savona 15. Lunedì, 15 marzo, ore 16.00 Dr. Franco Bernabè EVENTO OLIVETTI Milano, via Savona 15 Lunedì, 15 marzo, ore 16.00 Dr. Franco Bernabè Buon giorno a tutti, è per me un piacere oggi partecipare a questo evento organizzato per la presentazione della nuova

Dettagli

NOTA INFORMATIVA SULLA FIRMA GRAFOMETRICA

NOTA INFORMATIVA SULLA FIRMA GRAFOMETRICA NOTA INFORMATIVA SULLA FIRMA GRAFOMETRICA Documento predisposto da Reale Mutua Assicurazioni ai sensi dell articolo 57, commi 1 e 3, del Decreto del Presidente del Consiglio dei Ministri del 22/02/2013,

Dettagli

Introduzione alle basi di dati (prima parte)

Introduzione alle basi di dati (prima parte) Introduzione alle basi di dati (prima parte) Università degli Studi di Salerno Corso di Laurea in Scienze della Comunicazione Informatica generale (matr. Dispari) Docente: Angela Peduto A.A. 2007/2008

Dettagli

6.A.1 Logistica interna ed esterna

6.A.1 Logistica interna ed esterna 6.A.1 Logistica interna ed esterna Il corso si propone di fornire un quadro chiaro di inquadramento della logistica e delle sue principali funzioni in azienda. Si vogliono altresì fornire gli strumenti

Dettagli

TECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ

TECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE TRASPORTI TECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI TECNICO SUPERIORE DEI TRASPORTI E

Dettagli

SOMMARIO. 1 ISTRUZIONI DI BASE. 2 CONFIGURAZIONE. 7 STORICO. 9 EDITOR HTML. 10 GESTIONE ISCRIZIONI E CANCELLAZIONI. 11 GESTIONE MAILING LIST.

SOMMARIO. 1 ISTRUZIONI DI BASE. 2 CONFIGURAZIONE. 7 STORICO. 9 EDITOR HTML. 10 GESTIONE ISCRIZIONI E CANCELLAZIONI. 11 GESTIONE MAILING LIST. INDICE 1) SOMMARIO... 1 2) ISTRUZIONI DI BASE... 2 3) CONFIGURAZIONE... 7 4) STORICO... 9 5) EDITOR HTML... 10 6) GESTIONE ISCRIZIONI E CANCELLAZIONI... 11 7) GESTIONE MAILING LIST... 12 8) E-MAIL MARKETING...

Dettagli

MDaemon e Outlook Connector for MDaemon

MDaemon e Outlook Connector for MDaemon MDaemon e Outlook Connector for MDaemon Introduzione...2 Cos'è il groupware...2 Che cosa significa groupware?...2 Cos è WorldClient...2 MDaemon e l evoluzione delle funzionalità groupware...3 Nuove funzionalità

Dettagli

Modulo 1 Concetti di base della Qualità

Modulo 1 Concetti di base della Qualità Syllabus rev. 1.03 Modulo 1 Concetti di base della Qualità Il seguente Syllabus è relativo al Modulo 1, Concetti e approcci di base per la gestione della qualità in una organizzazione, e fornisce i fondamenti

Dettagli

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza 1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 3 Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la Società ) costituisce elemento

Dettagli

A chi partecipa a un panel realizzato dalla nostra società, garantiamo la tutela di tutte le informazioni personali forniteci.

A chi partecipa a un panel realizzato dalla nostra società, garantiamo la tutela di tutte le informazioni personali forniteci. VISION CRITICAL COMMUNICATIONS INC. REGOLE AZIENDALI SULLA PRIVACY DESCRIZIONE GENERALE Per noi della Vision Critical Communications Inc. ("VCCI"), il rispetto della privacy costituisce parte essenziale

Dettagli

Consulenza, servizi su misura e tecnologia a supporto del business.

Consulenza, servizi su misura e tecnologia a supporto del business. Consulenza, servizi su misura e tecnologia a supporto del business. ACCREDITED PARTNER 2014 Consulenza, servizi su misura e tecnologia a supporto del business. Gariboldi Alberto Group Srl è una realtà

Dettagli

Politica sulla privacy

Politica sulla privacy Politica sulla privacy Kohler ha creato questa informativa sulla privacy con lo scopo di dimostrare il suo grande impegno nei confronti della privacy. Il documento seguente illustra le nostre pratiche

Dettagli

IL PERCORSO VERSO LA QUALITÀ SALA ACTIV RILON CENTER PLOVDIV 1 NOVEMBRE 2008

IL PERCORSO VERSO LA QUALITÀ SALA ACTIV RILON CENTER PLOVDIV 1 NOVEMBRE 2008 IL PERCORSO VERSO LA QUALITÀ SALA ACTIV RILON CENTER PLOVDIV 1 NOVEMBRE 2008 LE NORME DI RIFERIMENTO ISO 9000:2000 FONDAMENTI E TERMINOLOGIA ISO 9001:2000 REQUISITI ISO 9004:2000 LINEE GUIDA PER IL MIGLIORAMENTO

Dettagli

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI

I N D I C E LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI COACHING LE PERSONE SONO L ELEMENTO CHIAVE PER RAGGIUNGERE I RISULTATI I N D I C E 1 [CHE COSA E IL COACHING] 2 [UN OPPORTUNITA DI CRESCITA PER L AZIENDA] 3 [ COME SI SVOLGE UN INTERVENTO DI COACHING ]

Dettagli

MANUALE DELLA QUALITÀ

MANUALE DELLA QUALITÀ MANUALE DELLA QUALITÀ RIF. NORMA UNI EN ISO 9001:2008 ASSOCIAZIONE PROFESSIONALE NAZIONALE EDUCATORI CINOFILI iscritta nell'elenco delle associazioni rappresentative a livello nazionale delle professioni

Dettagli

TERMINI E CONDIZIONI GENERALI DI VENDITA

TERMINI E CONDIZIONI GENERALI DI VENDITA TERMINI E CONDIZIONI GENERALI DI VENDITA Gentile cliente, le seguenti condizioni generali di vendita indicano, nel rispetto delle normative vigenti in materia a tutela del consumatore, condizioni e modalità

Dettagli

che, diversamente dalla raccomandata, nella ricevuta di avvenuta consegna sono presenti anche i contenuti del messaggio originale.

che, diversamente dalla raccomandata, nella ricevuta di avvenuta consegna sono presenti anche i contenuti del messaggio originale. Di seguito sono riportate le risposte relative a quesiti pervenuti circa i seguenti aspetti del servizio: caratteristiche generali; funzionamento; attivazione; gestori; Indice PA. 1. Introduzione Che cos'è?

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

MODULO 1: Definizione del CONTESTO Interno ed Esterno dell Organizzazione dell Azienda alla luce Data

MODULO 1: Definizione del CONTESTO Interno ed Esterno dell Organizzazione dell Azienda alla luce Data Aicq Tosco Ligure, in collaborazione con AICQ Formazione, AICQ Sicev e Accredia, è lieta di presentare il corso di formazione per l aggiornamento sulla nuova ISO 9001-2015 al quale potranno partecipare

Dettagli

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di:

Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: 22-12-2009 1 Attività indipendente di valutazione e verifica delle operazioni che si identifica nelle funzioni di indagine di: affidabilità dei processi elaborativi qualità delle informazioni prodotte

Dettagli

Controllo della qualità dei servizi per l impiego e di tutela dei disabili. Informazioni per gli assistiti

Controllo della qualità dei servizi per l impiego e di tutela dei disabili. Informazioni per gli assistiti Controllo della qualità dei servizi per l impiego e di tutela dei disabili Informazioni per gli assistiti Indice Sommario... 3 Controllo della qualità 3 La verifica 3 Commenti degli assistiti 3 Esiti 3

Dettagli

Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio

Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio Allegato 1 REVISIONE DEL SISTEMA DI VALUTAZIONE DEL COMPARTO Progetto per la valutazione dei comportamenti organizzativi del personale del comparto in Arpa Repertorio SINTESI DEI COMPORTAMENTI ORGANIZZATIVI

Dettagli

Il ruolo della sicurezza delle informazioni nella Sanità elettronica

Il ruolo della sicurezza delle informazioni nella Sanità elettronica Workshop: Telemedicina e Sanità elettronica: facciamo il punto! Il ruolo della sicurezza delle informazioni nella Sanità elettronica Corrado Giustozzi Security Evangelist Capgemini Italia Responsabile

Dettagli