Chi siamo TÜV Italia è un ente di certificazione indipendente, filiale italiana del gruppo TÜV SÜD.

Transcript

1 Chi siamo TÜV Italia è un ente di certificazione indipendente, filiale italiana del gruppo TÜV SÜD.

2 Ma siamo soprattutto.

3 TÜV SÜD - Presenza a livello internazionale Austria Belgio Danimarca Francia Germania Gran Bretagna Italia Olanda Polonia Repubblica Ceca Romania Russia Serbia e Montenegro Slovacchia Slovenia Spagna Svizzera Turchia Ungheria 600 Sedi nel mondo dipendenti Cina Corea del Sud Filippine Giappone Hong Kong India Taiwan Bangladesh Indonesia Malesia Qatar Singapore Corea Thailandia Vietnam Canada Messico Stati Uniti Brasile Emirati Arabi Uniti Qatar

4 TÜV SÜD - Presenza in Italia Direzione: Milano Laboratori: Torino 9 uffici di zona 200 dipendenti più di 300 collaboratori MILANO VICENZA TORINO BOLOGNA FIRENZE ROMA NAPOLI BARI CATANIA La nostra sede di Milano

5 I servizi ICT del TÜV Italia Servizi ICT 1. Assessment per la valutazione dello stato dell Organizzazione rispetto a tematiche specifiche, standard e schemi di settore, disciplinari tecnici. 2. Certificazione dei Sistemi di Gestione, anche integrati, secondo gli standard ISO del settore ICT, sotto accreditamento nazionale e/o internazionale 3. Formazione a calendario e ad-hoc, finanziata e non, sulle tematiche dell ICT con qualifiche accreditate.

6 La certificazione in Italia Organismo Siti Produttivi Certificati UNI EN ISO 9001: :2008 Altre Norme SGQ (*) UNI EN ISO 14001:2004 OHSAS 18001: :2007 ISO 27001:2005 CSQA Certificazioni S.r.l LLOYD'S Register Quality Assurance Italy S.r.l CERMET Soc. Cons. a r.l IMQ S.p.A ISO/IEC :2005 TÜV Italia S.r.l CERTIQUALITY S.r.l RINA Services S.p.A Det Norske Veritas Italia S.r.l TOTALE * Per altre norme SGQ si intendono le certificazioni conformi alle norme: AVSQ MIA, UNI EN 9100, UNI EN ISO 13485, UNI EN ISO 3834 Fonte Accredia - agg. Nov 2010

7 La nostra visione sull ICT Le richieste del mercato Valenza degli standard ISO (per la certificazione ed i contratti) Valore della certificazione accreditata (dei sistemi, delle persone) Integrazione ed efficienza dei Sistemi di Gestione L importanza delle leggi Non solo privacy Responsabilità amministrativa Reati informatici Accessibilità La consapevolezza delle risorse umane I corsi di qualifica (non certificazione!) per lead auditor, integrati SGSI + SGSIT Corsi introduttivi e di approfondimento Dove andiamo (solo un paio di anni fa parlavamo di IAM e SOC ) Green ICT Infrastrutture critiche (direttiva 114/08 CE Progetto Domino) Cloud computing, virtualizzazione e dematerializzazione, fascicolo sanitario elettronico

8 Attività in corso nel campo della sicurezza, internazionali e soprattutto in Italia (per gentile concessione di UNINFO GdL ISO 27000)

9 Famiglia ISO Requisiti Linee Guida Di Settore 27001:2005 ISMS requirements 27006:2007 Requirements for audit & cert. bodies 27000:2009 Vocabulary 27002:2005 Code of practice 27003:2010 Implementation guidance 27004:2009 Measurements 27005:2008 Risk Management Inter-sector communications 27011:2008 Telecommunications ISO/IEC and ISO/IEC Security governance Financial and insurance ISMS auditing Audit on ISMS controls ISM Economics

10 Sviluppo ISO in corso Nuovo formato per la in linea con i nuovi SG del JTC1 Revisione e Nuovo titolo della Code of practice for information security controls (vs. information security management) a FDIS a FCD a 1 CD molto osteggiata (InfoSec Governance Framework) NWI su elementi economici di gestione della sicurezza

11 Supporto allo sviluppo ISO E iniziato il ciclo di revisione ufficiale della ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of information security management systems In tal senso sono state avviate le attività di: raccolta dei feedback da parte degli organismi accreditati: TÜV Italia, Rina, IMQ, DNV, Lloyds Register, Cermet, Certiquality, ICIM, CSQA coordinamento delle attività di revisione da parte di Accredia come ente super partes

12 Proposte operative 1. Mappatura famiglia e leggi cogenti in Italia con il coinvolgimento del Garante 2. Protezione delle infrastrutture critiche nazionali ed europee

13 Attività Privacy del Gruppo di Lavoro Si è costituito un gruppo di lavoro dedicato alle attività normative della famiglia che si è attivato sul tema della Privacy con i seguenti principali obiettivi: far si che i Titolari del trattamento trovino nelle norme della famiglia delle linee guida che possano facilitare l implementazione delle misure richieste dal Codice, chiarendone il significato ed integrandole in un sistema coerente; permettere ai Titolari di realizzare un SGSI che integri in modo armonico e completo al suo interno tutte le misure prescritte dal Garante; collaborare per un coerente e mutuamente utile sviluppo della normativa privacy e delle norme della famiglia

14 Analisi comparata Provvedimento RAEE, D.Lg. 196/03 e standard ISO/IEC Tipologia Dato Dati sensibili o giudiziari Dati Personali Provvedimenti Legislativi 196/03, Regola /03, Art RAEE Standard Destinazione supporto Riuso Dismissione, Smaltimento Riuso Dismissione, Smaltimento Requisito introdotto Cancellazion e sicura Distruzione Cancellazion e sicura Distruzione Note 1) Lo standard valuta anche il caso di supporto danneggiato, suggerendo apposita valutazione del rischio per definirne il trattamento (9.2.6). 2) Lo standard fa riferimento anche alla rimozione dal media di SW Licenziato (9.2.6). 3) RAEE suggerisce esplicitamente l adozione della cifratura come contromisura adeguata nel caso di riuso del supporto 4) Lo standard molto più genericamente introduce il concetto di protezione informazioni da divulgazione non autorizzatane (controllo )

15 Proposte già presentate WG1 - ATM and Liaison inviata a ENISA per allineamento riferimenti a e offerta di supporto da parte del SC27 verso la Commissione. WG3&4 - OSSTMM Presentation for SC27 Study period di un anno del WG3 su Security Testing Methodology basato sulla beta della versione 3 di OSSTMM.

16 ATM e TC 377 NWI di norma sector specific della famiglia sulla sicurezza della gestione del traffico aereo (Air Traffic Management) che verrà presentata in CEN, al TC377 dedicato all Air Traffic Management.

17 We can fly together Grazie per la Vostra attenzione Per informazioni tecniche: Fabrizio Cirilli - Divisione MS ICT Sector Manager Per informazioni commerciali: Cristina Castagno Divisione MS Torino fabrizio.cirilli@tuv.it cristina.castagno@tuv.it