TÜV Italia s.r.l. - TÜV SÜD Group

Transcript

1 1 di 7 INDICE 1. Scopo ed entrata in vigore 2. Campo di applicazione 3. Termini e definizioni 4. Responsabilità 5. Controllo del regolamento 6. Iter di certificazione 6.1 Generalità 6.2 Modalità di svolgimento degli audit 6.3 Avvio dell iter di certificazione 6.4 Visita preliminare (preaudit) 6.5 Audit di 1 stadio (Esame iniziale della documentazione + visita iniziale) 6.6 Audit di 2 stadio (per la verifica iniziale del sistema di gestione, o audit per la certificazione) 6.7 Emissione iniziale della certificazione e successivi rinnovi 6.8 Audit di sorveglianza 6.9 Audit di rinnovo 6.10 Audit non programmati 7. Registro delle organizzazioni certificate 8. Modalità di riferimento alla certificazione - Uso del certificato e del marchio 9. Sospensione della certificazione 10. Ritiro / annullamento della certificazione 11. Gestione dei reclami e delle segnalazioni da parte delle organizzazioni clienti e dalle parti interessate 12. Controllo della documentazione del sistema di gestione SGIT e dei rapporti di verifica del TÜV Italia srl 13. Modifiche al sistema di gestione 14. Modifiche alle regole del sistema di certificazione 15. Prescrizioni particolari per organizzazioni già certificate da altro organismo 16. Riservatezza 17. Ricorsi (o Appelli) 18. Reclami nei confronti di TÜV Italia 19. Contenziosi Descrizione della revisione: Aggiornamento norme di riferimento (par. 2) Verifica della assunzione di responsabilità legislativa dell organizzazione (par. 6.5) Reparto Data Nome Firma Preparazione: CTSSI D. Diomede F.to / Verifica: RS&C C.Spallinger F.to / Approvazione: RDMS P. Merenda F.to /

2 2 di 7 1. Scopo ed entrata in vigore Scopo di questo documento è integrare il Regolamento Generale per la Certificazione dei Sistemi di Gestione (RGSG) adottato da TÜV Italia s.r.l. (nel seguito denominata anche TÜV Italia) ai fini specifici della certificazione dei sistemi di gestione per l Information Technology Service Management (SGIT). Il presente regolamento entra in vigore a 30 giorni dalla data di emissione riportata in intestazione. 2. Campo di applicazione Questo regolamento si applica alle attività di certificazione di SGIT svolte sotto accreditamento ACCREDIA. Il presente regolamento viene applicato da TÜV Italia in maniera uniforme e imparziale per tutte le organizzazioni che utilizzano i servizi di certificazione erogati da TÜV Italia; in particolare non vengono poste in atto condizioni di tipo finanziario o condizioni indebite di altra natura; inoltre l'accesso alla certificazione non è condizionato dalle dimensioni dell'organizzazione o dall'appartenenza ad una particolare associazione o ad un gruppo e neppure dal numero di organizzazioni già certificate. Esso non pregiudica l applicabilità di altri regolamenti inerenti ulteriori schemi certificativi per cui l organizzazione risulti certificata da TÜV Italia e/o da altri Organismi di Certificazione. Le normative applicabili come riferimento per i sistemi SGIT sono: la norma ISO/IEC :2011 Information Technology Service Management Part 1: Service management system requirement ; La linea guida ISO/IEC :2012 Information Technology - Service Management Part 2: Guidance on the application of Service management systems La linea guida ISO/IEC :2012 Information Technology - Service Management Part 3: Guidance on scope definition and applicability of ISO/IEC La norma UNI CEI EN ISO/IEC 17021:2011 Valutazione della conformità - Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione, quale riferimento base per il processo di certificazione. La linea guida UNI EN ISO 19011:2012 Linee guida per gli audit dei sistemi di gestione per la qualità e/o di gestione ambientale, quale riferimento per la gestione del processo di audit. Inoltre sono riferimento obbligatorio i documenti emessi da ACCREDIA e reperibili nel sito Disposizione ACCREDIA n. 2008UTM159 del Regolamento per l accreditamento degli Organismi di certificazione RG Termini e definizioni La terminologia utilizzata nel presente regolamento è in accordo alle seguenti norme: UNI EN ISO 9000:2005 "Sistemi di gestione per la qualità Fondamenti e vocabolario". UNI CEI EN 45020:2007 "Normazione e attività connesse Vocabolario generale". UNI CEI EN ISO/IEC 17000:2005 Valutazione della conformità Vocabolario e principi generali. Service provider (fornitore di servizi) : Organizzazione o parte di una organizzazione che gestisce ed eroga uno o più servizi al cliente.

3 3 di 7 SLA (Service Level Agreement) : Accordo documentato fra service provider e cliente che identifica i servizi e gli obiettivi di servizio. Per la definizione di: Carenza (CA) Nonconformità (NC) Osservazione (OSS): Commento (COM) si veda il Regolamento generale RGSG. 4. Responsabilità Il presente regolamento descrive in dettaglio le responsabilità che l organizzazione e TÜV Italia devono assolvere nel corso del rapporto contrattuale relativo alle attività di certificazione in accordo allo standard ISO/IEC Si segnala che le organizzazioni clienti di TÜV Italia sono autorizzate a creare un link sulla home page del sito Web di TÜV Italia, il cui indirizzo è 5. Controllo del regolamento Il presente regolamento particolare è a disposizione degli interessati sul sito internet In ogni caso le organizzazioni possono richiederne copia cartacea. Inoltre, in caso di revisione del regolamento, tutte le organizzazioni che hanno in essere un contratto di certificazione vengono informate dell esistenza della nuova versione. Le modifiche che vengono apportate al regolamento nelle sue versioni successive (a seguito di nuove revisioni) sono evidenziate con le seguenti modalità: il testo revisionato e/o aggiuntivo viene viene evidenziato da una barra verticale sul lato destro del testo il testo annullato e non sostituito è segnalato con {testo annullato} Nel caso di nuove edizioni, poiché i cambiamenti sono significativi, non viene evidenziata la modifica, ma fa testo l intero contenuto del documento. 6. Iter di certificazione 6.1 Generalità L iter di certificazione dei sistemi di gestione per la qualità adottato dal TÜV Italia è descritto nel Regolamento generale RGSG. Valgono inoltre le seguenti prescrizioni particolari : La definizione dell ambito di certificazione dovrà essere fatta sulla base del documento ISO/IEC TR , che ne stabilisce i criteri, con particolare riferimento alla catena di fornitura. Lo scopo di certificazione dovrà riportare in modo esplicito il riferimento ai servizi erogati o al catalogo dei servizi. Allo stesso modo TÜV Italia riporterà tali riferimenti nei suoi rapport di audit, in modo che l oggetto della certificazione sia sempre chiaro. In presenza di contratti con fornitori critici (cosiddetti underpinning contracts ), TÜV Italia ne verificherà le modalità di controllo e monitoraggio attraverso l esame di Piani Qualità o altre registrazioni. Solo in casi eccezionali e comunque previo accordo con l organizzazione potrà prevedere audit presso i fornitori. Lì dove l organizzazione service provider adotti politiche di outsourcing di servizi inclusi nel campo di applicazione, TÜV Italia considererà responsabile ai fini della compliance solo

4 4 di 7 l organizzazione stessa e non l outsourcee; a quest ultimo potrà essere allocata una responsabilità in merito alla diligenza nell applicazione delle politiche imposte contrattualmente dall organizzazione. In caso di organizzazioni multi-sito, il programma di audit sarà determinato con il criterio della radice quadrata del numero dei siti, cui aggiungere la sede principale in ogni audit. Gli audit interni all organizzazione devono essere effettuati da professionisti competenti per l applicazione della linea guida UNI EN ISO 19011:2012, che dovranno dimostrare di avere superato almeno uno dei corsi ITIL Foundation o ISO Auditor approvati da itsmf. In alternativa gli auditor interni potranno essere dei CISA che abbiano frequentato il corso ITIL Foundation. 6.2 Modalità di svolgimento degli audit Le modalità di svolgimento dell audit sono descritte nel Regolamento generale RGSG 6.3 Avvio dell iter di certificazione L iter di certificazione viene avviato con l emissione della conferma d ordine da parte di TÜV Italia. Vale inoltre quanto descritto nel Regolamento Generale RGSG. 6.4 Visita preliminare (preaudit) 6.5 Audit di 1 stadio (Esame iniziale della documentazione + visita iniziale) In particolare l esame della documentazione dovrà accertare la presenza di un sistema di gestione contenente i documenti obbligatori di cui al requisito della norma ISO/IEC , tra i quali rivestono un ruolo principale: la politica e gli obiettivi per la gestione dei servizi un piano documentato per la gestione dei servizi un catalogo dei servizi documentato SLA documentati Processi, procedure ed altri documenti necessari ad assicurare un efficace funzionamento dei processi di erogazione del servizio Il documento (identificato da TÜV Italia con la sigla RL ) che elenca le autorizzazioni di legge all esercizio delle attività oggetto di certificazione, nonché i requisiti cogenti relativi ai prodotti/servizi, debitamente firmato dal rappresentante legale dell Organizzazione per assunzione di responsabilità legislativa. Inoltre già in questo stadio TÜV Italia dovrà verificare che sia prevista una corretta definizione degli SLA/OLA in modo che nei contratti non siano presenti altri requisiti che rimandino ad aspetti legali. 6.6 Audit di 2 stadio (per la verifica iniziale del sistema di gestione, o audit per la certificazione) In particolare, TÜV Italia campionerà tutte le classi di servizi erogati dal service provider. Si aggiunga che il Team di Audit non è tenuto ad entrare nel merito tecnologico dei servizi erogati (es.: verifiche sui codici informatici), quanto piuttosto verificherà gli approcci gestionali ed operativi, con riferimento essenziale al rispetto dei contratti con i clienti, in termini di requisiti espressi dal cliente e loro trasformazione in SLA.

5 5 di Emissione iniziale della certificazione e successivi rinnovi TÜV Italia potrà inoltre riportare in allegato al certificato i servizi erogati a fronte dei rispettivi clienti, previa acquisizione del consenso scritto degli interessati, anche in merito alle modalità di pubblicazione di tali allegati. L emissione della certificazione comporta automaticamente il permesso per l organizzazione di utilizzare il certificato stesso ed il marchio rilasciato da TÜV Italia, in accordo con le modalità descritte al par. 8 del presente regolamento, unitamente a quanto indicato nel Regolamento Generale RGSG. 6.8 Audit di sorveglianza In particolare, nel corso delle sorveglianze, dovranno essere nuovamente sottoposte ad audit tutte le classi di servizi, almeno una volta. Qualora nel corso del ciclo di validità del certificato si verifichino modifiche delle classi di servizio ritenute significative, TÜV Italia potrà sottoporle ad audit straordinario durante l audit di sorveglianza, prevedendo l aggiunta di frazioni di giorno/uomo non inferiori a 0, Audit di rinnovo 6.10 Audit non programmati Vale quanto descritto nel Regolamento generale RGSG. Si veda inoltre quanto previsto al paragrafo 6.8 in relazione alla necessità di sottoporre ad audit modifiche significative di classi di servizi. 7. Registro delle organizzazioni certificate La sottoscrizione del contratto di certificazione costituisce per TÜV Italia l'autorizzazione per la pubblicazione nel registro dei dati relativi all'organizzazione (salvo che questa ne faccia esplicito divieto a TÜV Italia con apposita comunicazione scritta). Modalità di riferimento alla certificazione - Uso del certificato e del marchio Per i sistemi di gestione certificati solo in accordo in accordo alla Norma ISO/IEC , il marchio applicabile, salvo aggiornamenti, è il seguente:

6 6 di 7 9. Sospensione della certificazione 10. Ritiro / annullamento della certificazione 11. Gestione dei reclami e delle segnalazioni da parte delle organizzazioni clienti e dalle parti interessate 12. Controllo della documentazione del sistema di gestione SGIT e dei rapporti di verifica del TÜV Italia srl In generale vale quanto descritto nel Regolamento Generale RGSG, ed in particolare si sottolinea che qualora le informazioni contenute nella documentazione siano tali da non poter essere distribuite in forma controllata a TÜV Italia, l organizzazione è tenuta a comunicare formalmente a TÜV Italia le motivazioni per cui non è possibile effettuare tale distribuzione controllata. 13. Modifiche al sistema di gestione L organizzazione certificata deve informare preventivamente TÜV Italia di qualsiasi modifica sostanziale intenda apportare al proprio sistema di gestione (relativa ad esempio alla documentazione di cui al precedente paragrafo 12). TÜV Italia valuta la reale necessità di effettuare, a causa di tali modifiche, un audit addizionale non programmato (vedere par.6.10), eventualmente accompagnato da una revisione del certificato, o di avviare direttamente un iter di certificazione ex-novo. La non osservanza di tali condizioni può comportare la sospensione del certificato (vedere par.9). Naturalmente può accadere che sia la stessa organizzazione certificata che, al verificarsi di una o più delle situazioni descritte al primo capoverso, richieda a TÜV Italia una revisione del proprio certificato. Anche in questo caso TÜV Italia valuta la reale necessità di effettuare, a causa delle modifiche apportate, un audit addizionale non programmato (vedere par. 6.10) o di avviare un iter di certificazione ex-novo. In tutti i casi i certificati revisionati vengono rilasciati su parere favorevole del comitato di approvazione. 14. Modifiche alle regole del sistema di certificazione TÜV Italia ha la facoltà di modificare il proprio sistema di certificazione descritto nel presente regolamento e/o nel Regolamento Generale RGSG (si veda RGSG). In tal caso, però, TÜV Italia consente alle organizzazioni già certificate di presentare osservazioni alle modifiche proposte. TÜV Italia, una volta decise le modifiche da apportare, specifica la data di entrata in vigore delle modifiche stesse e le conseguenti azioni richieste alle organizzazioni, accordando loro un ragionevole lasso di tempo per adeguarsi. Qualora un organizzazione non possa o non voglia adeguarsi a tali nuove regole, TÜV Italia procede al ritiro / annullamento della certificazione (vedere par. 10).

7 7 di Prescrizioni particolari per organizzazioni già certificate da altro organismo Un organizzazione avente il sistema di gestione e, in particolare, un sistema di gestione per l Information Technology Service Management già certificato da altro organismo di certificazione, accreditato, può richiedere anche la certificazione del TÜV Italia. 16. Riservatezza 17. Ricorsi (o Appelli) 18. Reclami nei confronti di TÜV Italia 19. Contenziosi Qualora venga avviato un contenzioso con TÜV Italia srl il foro competente in via esclusiva è quello di Milano.