Nota informativa ISO/IEC Il processo di valutazione

Transcript

1 Nota informativa ISO/IEC Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione per la Sicurezza delle Informazioni (ISMS). Prima dell emissione della raccomandazione, questo processo prevede normalmente l esecuzione di due verifiche ispettive che sono denominate: Stage 1 [Riesame Documentale e Pianificazione della Visita di Valutazione Iniziale] e Stage 2 [Valutazione Iniziale]. In seguito all emissione del certificato, e per confermare il mantenimento del sistema, vengono poi effettuate le verifiche di sorveglianza. Durante tutte le fasi, l approccio definito per i valutatori é indirizzato a fornire valore aggiunto al processo di valutazione in termini di competenza, supporto all azienda e di analisi in ottica funzionale per la gestione del sistema e dei benefici che l organizzazione può derivarne. Le date di visita, i tempi di inizio e fine, il gruppo di valutazione, la durata ed il programma della visita, saranno comunicati e concordati con il cliente, prima dell inizio delle visite. Stage 1 - Riesame della documentazione e pianificazione della visita di valutazione Finalità della visita Questa visita viene eseguita per: valutare i processi ed i documenti definiti per il sistema di gestione in conformità con i requisiti dello standard e per verificare che siano adeguatamente applicati al fine di poter effettuare la visita di Stage 2 verificare che siano stati definiti i perimetri fisici e logici dello scopo definito nel sistema, verificare che sia stata effettuata una valutazione del rischio che identifichi: le minacce al patrimonio, la vulnerabilità e l impatto sul Cliente, valutare il processo di verifica e trattamento e i metodi definiti per assicurare la gestione efficace dei rischi e l implementazione dei controlli di sicurezza applicabili. Il valutatore verificherà e concorderà con il Cliente la giustificazione di ogni esclusione dei controlli di cui all Annex A della ISO/IEC 27001; le giustificazioni dovranno essere documentate nello Statement of Applicability. confermare lo scopo, i requisiti del gruppo di valutazione e le tempistiche per la visita di stage 2 raccogliere le informazioni circa l organizzazione, processi e attività in modo da sviluppare il piano di verifica di stage 2 rispondere ad ogni domanda sul nostro servizio. La verifica identificherà ogni carenza o mancanza del sistema che necessita un azione correttiva prima della verifica di Stage 2. Esecuzione della visita La visita, inizia con una riunione d apertura. Il valutatore illustrerà il metodo di verifica LRQA e richiederà le informazioni introduttive sulla vostra organizzazione. Sarà concordato il programma di verifica. Il valutatore, provvede a: riesaminare la struttura del sistema e la relativa documentazione rispetto lo standard di valutazione e lo scopo proposto; condurre un visita alla sede, laddove appropriato; produrre un rapporto che descrive nel dettaglio sia considerazioni positive che situazioni che necessitano particolari azioni prima che venga eseguita la visita di stage 2; produrre un piano dettagliato per la visita di valutazione iniziale. Il valutatore normalmente riesaminerà i seguenti elementi: LRCR page 1 of 6 09 Dec 2013

2 Politica per la Sicurezza delle Informazioni Scopo del ISMS Registro dei Beni per la Sicurezza delle Informazioni Valutazione del rischio e selezione dei controlli per la sicurezza delle informazioni Ruoli Chiave e Responsabilità Requisiti di Conformità e Legali un riesame di ogni regolamento e requisito legale applicabile relativo al Sistema per la Sicurezza delle Informazioni. Miglioramento Continuo valutazione degli obiettivi e della loro coerenza con la politica in modo che possano favorire e supportare il miglioramento continuo, l esecuzione di un appropriato piano condotto per raggiungere gli obiettivi; e la misurazione delle prestazioni con le relative registrazioni. Attività Operative valutazione che siano state stabilite le procedure per gestire i processi relativi alla Sicurezza delle Informazioni, con particolare riferimento agli aspetti collegati con la continuità operativa dei processi facenti parte del perimetro del sistema di gestione per la sicurezza delle informazioni. Monitoraggio e Misurazione valutazione dell esistenza di un appropriato processo di misurazione e monitoraggio, incluso l esecuzione di Verifiche Ispettive Interne, e le registrazioni relative alla misurazione delle prestazioni ottenute rispetto agli obiettivi individuati. ed una valutazione che siano disponibili le seguenti procedure in accordo con i requisiti dello standard: Controllo dei Documenti Controllo delle Registrazioni Azioni Correttive Azioni Preventive Verifiche Ispettive Interne Procedure di supporto del ISMS Procedure Operative per la Sicurezza delle Informazioni La visita si conclude con una riunione di chiusura durante la quale viene presentato il rapporto finale con la segnalazione delle aree identificate che se non modificate o integrate potrebbero risultare non conformi durante lo Stage 2 e viene conseguentemente definito l intervallo necessario fra la visita di Stage 1 e Stage 2 considerando: le necessità e capacità dell organizzazione di risolvere i problemi identificati l attualità e l applicabilità degli elementi considerati al momento della successiva verifica. Qualora si fossero evidenziate delle azioni correttive da completare nell intervallo pianificato, il valutatore dovrà anche definire se necessario del tempo aggiuntivo per loro verifica. Sarà quindi concordato il periodo e le modalità per la verifica di Stage 2, incluso ogni requisito relativo alla sicurezza e ad eventuali necessità logistiche. Intervallo fra le visite di Fase 1 e Stage 2 superiore a tre mesi Qualora venga richiesto un intervallo di tempo maggiore di 3 mesi, ma non superiore a 6 durante lo Stage 2 si dovrà: identificare i cambiamenti apportati al sistema, incluse le relative registrazioni riesaminare le modifiche per determinare se necessaria una ulteriore visita o una eventuale estensione della durata per riverificare se la progettazione, la definizione e le attività del sistema modificato risultino ancora conformi ai requisiti di certificazione inclusi lo standard e lo scopo di certificazione Qualora invece la verifica di Stage 2 venga spostata per un periodo superiore a 6 mesi, è normalmente necessario effettuare nuovamente la verifica di Stage 1 ed eventualmente rivedere la durata della visita di Stage 2. Stage 2 Verifica di implementazione Finalità della visita Durante questa visita, il valutatore si dedica alla verifica dell implementazione del Sistema di Gestione e dei controlli selezionati per gestire il rischio. Lo scopo è confermare che: Politiche, obiettivi, controlli e procedure vengano applicati efficacemente L esistenza di un processo sistematico dedicato al miglioramento continuo I processi più significativi relativi alla sicurezza delle informazioni siano gestiti all interno del LRCR page 2 of 6 09 Dec 2013

3 Sistema di Gestione; Il Sistema di Gestione risulti conforme a tutti i requisiti dello standard. Esecuzione della verifica La visita di valutazione viene svolta secondo il piano di verifica preparato durante la visita di Stage 1. I membri del gruppo di valutazione, accompagnati da personale dell organizzazione con funzione di guida per facilitare le attività di verifica e testimoniare eventuali rilievi identificati, verificheranno tutte le aree applicabili al sistema. La valutazione eseguita durante la visita di Stage 2, normalmente include un incontro con coloro che rappresentano il vertice aziendale e che dispongono di relative responsabilità nei confronti del Sistema di Gestione. Il gruppo di valutazione LRQA registrerà all interno di un rapporto, come minimo, le osservazioni relative a: follow-up di rilievi identificati durante la visita di Stage 1; attivitá valutate e inerenti allo scopo concordato; efficacia del Sistema di Gestione in relazione alla Politica per la Sicurezza incluso il miglioramento continuo; implementazione delle azioni per gestire i Controlli della sicurezza; implementazione della documentazione richiesta dal Sistema di Gestione ed il mantenimento di registrazioni appropriate; sistema di gestione dei reclami che includa per ogni reclamo ricevuto oltre all analisi delle cause anche delle possibili correlazioni con il sistema di gestione: fattori di origine ed eventuali rischi conseguenti. implementazione delle attivitá di monitoraggio e misurazione per determinare le prestazioni del Sistema di Gestione ed il raggiungimento degli obiettivi; coinvolgimento ed impegno, da parte dell Alta Direzione per il Sistema di Gestione; efficacia delle Verifiche Ispettive Interne, Azioni Correttive e Preventive e Riesame della Direzione. Gli incontri giornalieri dedicati al riesame delle attivitá di verifica, sono intrapresi per condividere eventuali rilievi con il personale coinvolto. Il grado d ogni rilievo rimane provvisorio fino a che la visita non sia stata completata. La visita termina con una riunione di chiusura durante la quale viene presentato il rapporto delle verifiche effettuate e dei risultati incluse le registrazioni di eventuali Non Conformità. Saranno quindi concordate le successive attività inerenti il processo di valutazione ed il programma di sorveglianza. Copia del rapporto completo viene consegnato al rappresentante della direzione. Riesame e delibera della Certificazione Qualora non siano emerse Non Conformità ovvero siano state completate le azioni richieste in relazione ad esse il capo valutatore emetterà raccomandazione per il rilascio della certificazione. Il rapporto di verifica sarà quindi soggetto a riesame da parte di personale LRQA indipendente dal gruppo di verifica, e laddove non si evidenzino eventuali necessità di approfondimento sulle risultanze del rapporto sarà rilasciato il Certificato di Approvazione. Se invece fossero state rilevate delle Non Conformità il certificato non potrà essere emesso fino al completamento positivo di una riverifica (detta di follow-up) delle azioni richieste in funzione della gravità della Non Conformita Il capo valutatore concorderà con l organizzazione le azioni necessarie, la relativa tempistica e le modalità di ri-verifica. Contenuti dei rapporti Il metodo di rapporto per tutte le visite è simile. Il rapporto include la descrizione di quanto verificato e di quanto riscontrato, i commenti sul sistema sia positivi che negativi, le aree che richiedono attenzione da parte della Direzione, valutazioni sull efficacia del sistema e sui progressi fatti. Eventuali non conformità rilevate sono registrate e classificate nell elenco dei rilievi (Assessment Finding Log), Si riporta qui di seguito la relativa definizione ed il conseguente impatto sulla certificazione: Non Conformità maggiore (Major NC) una carenza del sistema che LRCR page 3 of 6 09 Dec 2013

4 sta gia danneggiando l efficacia del sistema ed i relativi risultati mette a rischio la capacità di gestire il sistema richiede un contenimento immediato richiede un immediata analisi delle cause ed un azione correttiva. L emissione di una Non Conformità maggiore non consente il rilascio del certificato fino a quando non siano state completate le azioni correttive e LRQA le abbia verificate e giudicate adeguate. Se viene emessa a seguito di una verifica di sorveglianza deve essere effettuata una verifica di sorveglianza speciale del completamento della relativa azione correttiva. Una Non Conformità maggiore può costituire il primo passo per la sospensione o cancellazione del certificato. Il Valutatore concorderà la tempistica le modalità per la riverifica da effettuarsi di norma entro tre mesi. Non Conformità minore (Minor NC) Una debolezza in un processo o in una procedura ovvero una situazione che se non controllata potrebbe ragionevolmente divenire una inefficienza del sistema. Richiede un analisi delle cause ed una azione correttiva. Se emessa in una verifica per il rilascio del certificato: Stage 2, rinnovo, o variazione, non ne consente l emissione fino a quando l organizzazione non abbia definito, pianificato e comunicato a LRQA una proposta di azione correttiva ed LRQA non l abbia riesaminata e ritenuta accettabile. Nel caso di emissione in una visita di sorveglianza, e la successiva visita sia pianificata entro sei mesi, la verifica dell azione correttiva e del suo completamento sarà effettuata nella visita successiva. In caso di intervallo superiore tra le verifiche, dovrà essere trasmesso a LRQA l analisi e la proposta di azione correttiva ed i tempi previsti di completamento che dovranno essere approvati dal valutatore. Il completamento dell azione correttiva sarà comunque verificato nella successiva visita. Verifiche di sorveglianza Finalità della visita L obiettivo della visita di sorveglianza è: verificare che il sistema di gestione approvato: - soddisfi le necessità ed aspettative degli utenti della certificazione - supporti il miglioramento continuo valutare le implicazioni delle modifiche apportate al sistema, alle attività, processi e/o prodotti confermare la continuità della conformità ai requisiti di certificazione. Conduzione della verifica Scelta del tema Il valutatore individuerà una tematica per la visita, prendendo spunto dalle informazioni ottenute nell incontro iniziale con la Direzione. Sul tema scelto sarà focalizzata l attenzione durante la verifica ed il campionamento dei processi. Durante la discussione iniziale, il valutatore potrà inoltre identificare un tema anche per la visita successiva ed i processi correlati. La scelta dovrà essere confermata all inizio di ogni visita. Riesame degli indicatori essenziali Durante il ciclo di verifica annuale, gli indicatori essenziali dell efficacia dell implementazione del sistema, sono riesaminati nell incontro iniziale con la Direzione e durante la verifica dei processi identificati per la visita Gli indicatori includono: verifiche ispettive interne e riesami della direzione progressi delle attività pianificate rivolte al miglioramento continuo efficacia del sistema di gestione rispetto al raggiungimento degli obiettivi riesame di ogni modifica trattamento dei reclami riesame delle azioni intraprese per la chiusura delle non conformità emerse durante la precedente visita. Si dovrà inoltre verificare che: sia stata aggiornata la valutazione del rischio e la dichiarazione di applicabilità per LRCR page 4 of 6 09 Dec 2013

5 riflettere ogni modifica nei pericoli, nella vulnerabilità e negli impatti. Il piano di trattamento del rischio sia riesaminato in parallelo con le attività e che gli incidenti collegati alla sicurezza siano gestiti efficacemente Il riesame della direzione includa considerazioni sulle misurazioni dell efficacia. Nel caso siano state fatte modifiche all infrastruttura del sistema, alla struttura organizzativa o alle attività, che abbiano impatto sulla valutazione del rischio o sulla dichiarazione di applicabilità, dovrà essere concordato un riesame delle modifiche prima di poterle includere nello scopo di certificazione. Il valutatore potrà stabilire la necessità di effettuare una visita di verifica supplementare o stabilire un tempo aggiuntivo alla successiva verifica di sorveglianza. Nel caso siano state apportate modifiche con impatto significativo sul sistema, senza la contemporanea, adeguata ri-valutazione del rischio, il certificato di approvazione dovrà essere sospeso. Verifica dell uso dei loghi Durante le visite, il valutatore controllerà che l utilizzo del logo LRQA e dei loghi di accreditamento da parte dei clienti sia conforme ai relativi regolamenti. Un utilizzo dei loghi in modo inadatto o in forma scorretta costituisce inadempienza contrattuale e potrebbe comportare la sospensione del certificato. Modifiche alla certificazione Per qualsiasi estensione o riduzione del sistema certificato è necessario effettuare una richiesta formale di variazione. LRQA analizzerà la richiesta considerando incrementi o modifiche delle competenze del gruppo di valutazione estensione o riduzione della durata della verifica e se del caso emetterà apposito contratto. LRQA effettuerà una verifica documentale separata nel caso la variante comporti una integrazione al vostro sistema documentale. La verifica di variazione sarà condotta come una verifica di Fase 2 sebbene non venga normalmente predisposto in anticipo un apposito piano di verifica Nel caso la verifica non sia stata preceduta da una verifica documentale dedicata, parte del tempo sarà riservato per l analisi delle modifiche alla documentazione pertinente e per concordare il piano di verifica delle attività addizionali. La verifica di variazione può essere effettuata con una visita dedicata aggiuntiva o può essere abbinata ad una delle verifiche gia programmate di sorveglianza o di rinnovo. Rinnovo del certificato Programmazione della verifica di rinnovo Il certificato di approvazione ha validità triennale. La verifica di rinnovo della certificazione deve essere effettuata prima della scadenza e programmata con adeguato anticipo tenendo conto dei tempi necessari all organizzazione per il completamento di azioni correttive su eventuali Non Conformità maggiori, nonchè dei tempi necessari per il riesame tecnico e per eventuali approfondimenti da completarsi entro la scadenza del certificato in corso. Il processo di pianificazione del rinnovo, effettuato di norma nel corso dell ultima visita di sorveglianza prima del rinnovo, prevede tre fasi: riesame delle prestazioni, anteprima, pianificazione. Riesame delle prestazioni Questa attività consiste nell analisi delle prestazioni del sistema dell ultimo triennio come ad esempio: verifica dell andamento dei reclami e degli altri indicatori di prestazione. miglioramenti della documentazione di sistema registrazione dei progetti di miglioramento spunti derivati dalle verifiche andamento dei rilievi LRQA Il valutatore LRQA identificherà eventuali potenziali rischi nel sistema corrente per lo sviluppo delle strategie ed il raggiungimento degli obiettivi. Anteprima Lo scopo dell anteprima è quello di allineare le attività di verifica con le strategie e gli obiettivi dell organizzazione LRCR page 5 of 6 09 Dec 2013

6 Il valutatore utilizzerà il colloquio con l alta Direzione per comprenderne le aspettative a lungo termine come ad esempio elementi strategici per l attività e rischi operativi correlati, aspetti legati alla concorrenza, modifiche inerenti sia l organizzazione interna che l ambiente esterno etc. Il valutatore LRQA definirà attraverso l intervista se queste aspettative, obiettivi e strategie avranno impatto sul sistema o i clienti della vostra organizzazione. La fase di anteprima sarà utilizzata per individuare ulteriori tematiche da utilizzare nella verifica di rinnovo e nel successivo ciclo triennale di certificazione. Pianificazione L ultima fase consiste nella pianificazione del rinnovo; il valutatore provvederà a: identificare ogni aspetto del sistema che non sia stato adeguatamente considerato nel corso delle sorveglianze e ne pianificherà il riesame utilizzare le informazioni ottenute durante il riesame e l anteprima per supportare la pianificazione se appropriato, considerare come dedicare maggiore attenzione ai temi identificati (incluso il miglioramento continuo) individuare le aree, reparti, processi e attività da verificare concordare per ogni elemento da includere la durata della verifica in relazione al livello di rischio per l attività identificare il miglior utilizzo di risorse per evitare duplicazioni considerare il tempo necessario per la redazione e la presentazione del rapporto riassumere le decisioni nel piano di verifica. Sarà inoltre riservato parte del tempo disponibile per la discussione dei risultati con i responsabili delle aree coinvolte nella verifica. Conduzione della verifica di rinnovo La verifica di rinnovo è simile ad una visita di Fase 2. In aggiunta sarà effettuato un riesame della della documentazione di sistema per assicurare che: continui ad essere adeguata all organizzazione si sia mantenuta conforme con i requisiti di certificazione e con lo scopo di approvazione, incluso il miglioramento continuo. Campionamento Un importante punto da ricordare è che l assenza di non conformità rispetto aree o attività non implica necessariamente che la non conformità non esista. L attività di valutazione è basata su tecniche di campionamento tanto più ristretto quanto minore è il tempo a disposizione e statisticamente esiste sempre la possibilità che alcuni fatti non vengano riscontrati durante la visita di valutazione. Questa condizione dovrebbe essere considerata dall organizzazione stessa in merito ai risultati delle sue verifiche interne. Riservatezza Nessuna delle informazioni ottenute da LRQA circa l organizzazione, inclusi i contenuti del rapporto, saranno divulgati a terzi senza il consenso dell organizzazione, ad eccezione di quanto necessario per motivi di accreditamento. Qualora esistano informazioni particolamente confidenziali e/o aree a cui non sia possibile garantire l accesso al valutatore, il Cliente deve informare preventivamente LRQA affichè possa valutare se possibile effettuare comunque una verifica adeguata a supportare il rilascio della certificazione ovvero se LRQA debba declinare l incarico fino alla rimozione del divieto d accesso alle informazioni. Ulteriori informazioni Per qualsiasi ulteriore informazioni sull argomento e sui servizi offerti vi preghiamo di contattare direttamente i nostri uffici tramite il sito web, oppure via all indirizzo lrcmilan@lrqa.com. Abbiamo prestato particolare attenzione per assicurare che questa Nota Informativa fosse accurata al momento della sua emissione. Tuttavia poichè i requisiti degli standard e di accreditamento sono soggetti a variazioni, in caso dubbio, vi preghiamo di contattate i nostri uffici per verificare di essere in possesso dell ultima versione. LRCR page 6 of 6 09 Dec 2013