Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Documenti analoghi
Politica per la Sicurezza

Organizzazione e sistemi di gestione

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

Contributo di INAIL alla diffusione dell adozione di un SGSL. INAIL-DR Toscana-CONTARP

I SISTEMI DI GESTIONE DELLA SICUREZZA

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Audit energetico, Certificazione 50001:2011, UNI EN ISO modalità di integrazione obblighi e opportunità di efficacia ed efficienza energetica

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Follia è fare quel che si è sempre fatto aspettandosi risultati diversi

Gli standard ISO e UNI per l efficienza energetica: opportunità, benefici e ritorni degli investimenti

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

OHSAS 18001:2007 Sistemi di Gestione della Sicurezza e della Salute sul Lavoro

L integrazione dei sistemi qualità, sicurezza, ambiente

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

I dati in cassaforte 1

Politica del Sistema di Gestione Salute, Sicurezza e Ambiente (Politica HSE)

SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

La valutazione dei rischi: requisito comune di BS 18001:2007 e D.Lgs. 81/2008

Competenze e conoscenze come SGQ in ambito di vigilanza ex Reg.to UE 333/11 e D.Lgs 100/11. M.C. Romano, M. Ranieri

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

Il valore sinergico delle Certificazioni dei Sistemi di Gestione per la Qualità e di servizio rilasciate sotto Accreditamento.

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

Security Network. Certificazione dei. istituti di vigilanza. Certificazione delle centrali operative e di telesorveglianza

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

IL SISTEMA DI GESTIONE AMBIENTALE PER UN COMUNE

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

ISO 9001:2015 e ISO 14001:2015

LA NORMA OHSAS E IL TESTO UNICO SULLA SICUREZZA 81/2008: IMPATTO SUL SISTEMA SANZIONATORIO

SISTEMA DI GESTIONE AMBIENTALE

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

Audit & Sicurezza Informatica. Linee di servizio

POLISTUDIO. Modulo 1

Documento in attesa di approvazione definitiva Nota per la Commissione Consultiva Permanente

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

ISO/IEC : 2005 per i Laboratori di Prova

Norme per l organizzazione - ISO serie 9000

Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane

5.1.1 Politica per la sicurezza delle informazioni

Programma di risparmio energetico

Manuale di Gestione Integrata POLITICA AZIENDALE. 4.2 Politica Aziendale 2. Verifica RSGI Approvazione Direzione Emissione RSGI

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

SGSL UN SISTEMA PER LA GESTIONE DELLA SICUREZZA SUL LAVORO NELLA SCUOLA

PANORAMICA SULLE ISO 14000

La certificazione CISM

Il Sistema integrato qualità, ambiente e sicurezza

- per l individuazione delle misure di sicurezza compensative, in caso di deroghe.

1.0 POLITICA AZIENDALE PER LA SALUTE E LA SICUREZZA SUL LAVORO

Sistema di gestione della Sicurezza

Associazione Italiana Information Systems Auditors

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE DELL ENERGIA (S.G.E.)

Ing. Giovanni Germino. Modelli di Gestione Aziendale

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Sistema di Gestione della Sicurezza sul Lavoro

POLITICA PER LA QUALITÀ, L AMBIENTE, LA SALUTE E SICUREZZA SUL LAVORO E LA RESPONSABILITA SOCIALE

ACCREDIA L ENTE ITALIANO DI ACCREDITAMENTO

BASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

LA NUOVA ISO 9001:2008 Seminario AICQ Tosco-Ligure 20 febbraio 2009, Genova

Il corretto approccio al Sistema di Gestione Aziendale per la Sicurezza e Salute OHSAS 18001:2007

SISTEMA DI GESTIONE SICUREZZA

I Sistemi di Gestione per la Sicurezza: La norma OHSAS 18001: 2007

LA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona

UNICA nasce dal desiderio di vedere la sicurezza come valore nella vita di ognuno e come condizione necessaria per una realtà lavorativa sana e di

Le novità della UNI ISO 27001:2014

MANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO

STANDARD OHSAS 18001:2007 E CORRISPONDENZE CON IL MODELLO ORGANIZZATIVO DEL DECRETO LEGISLATIVO N. 81/2008

Il Punto di vista dell Organismo notificato

S.A.C. Società Aeroporto Catania S.p.A.

TÜV Italia. La norma BS OHSAS 18001:2007: requisiti e correlazioni con il nuovo testo unico D.Lgs. 81/08

Qualification Program in Information Security Management according to ISO/IEC Cesare Gallotti Milano, 23 gennaio 2009

visto il trattato sul funzionamento dell Unione europea,

REGOLAMENTO PER LA VERIFICA DEL LIVELLO DI APPLICAZIONE DELLA LINEA GUIDA ISO 26000

Regolamento per la certificazione di Sistemi di Gestione Ambientale

IL SISTEMA DI DELEGHE E PROCURE una tutela per la società e i suoi amministratori. Milano 18 novembre A cura di: Luca Ghisletti

Claudia Gistri Giancarlo Caputo CERTIQUALITY

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)

Lo standard ISO per l efficienza energetica e il nuovo periodo ETS: opportunità e benefici

La norma UNI CEN EN e i Sistemi di Gestione dell Energia (SGE) Marco Gentilini

CHECK LIST mod CLG rev 00 del

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

Sicurezza, Rischio e Business Continuity Quali sinergie?

Sviluppo Sistemi Qualit à nella Cooperazione di Abitazione

REQUISITI DEI PROCESSI ASSISTENZIALI LIVELLO DI ASSISTENZA: REQUISITI ULTERIORI DI QUALITA SPECIFICI

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

Convegno Ecoreati e gestione del rischio aziendale.

I Sistemi Gestione Energia e il ruolo dell energy manager

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

Sistemi di misurazione e valutazione delle performance

La Certificazione di qualità in accordo alla norma UNI EN ISO 9001:2000

La gestione della qualità nelle aziende aerospaziali

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

Transcript:

Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1

Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia, JTC1/SC27 ISO/IEC ISECOM Deputy Director of Communications ESCoRTS Stakeholder Advisory Board Membro di CLUSIT, ITSMF, ANSSAIF, ISACA Roma CISA, CISM, LA27001, ITILv3, ISFS, PCI-QSA Team Manager, Senior Security Advisor @ Mediaservice.net 2

Programma Sintesi dei requisiti della direttiva Norme applicabili Uso delle norme e certificazione Sistema di gestione per la sicurezza 3

Direttiva 114/2008: requisiti Infrastruttura critica europea Asset, un sistema o una sua parte, essenziale per il funzionamento della società e il cui danneggiamento o distruzione avrebbe un significativo impatto in tale ambito su due stati membri. Criteri Perdita di vite umane Effetti economici (anche disservizi e danni ambientali) Effetti pubblici (impatti psicologici, servizi essenziali) Individuazione e designazione delle infrastrutture critiche europee 4

Direttiva 114/2008: requisiti Piani di sicurezza per gli operatori 1. Identificazione degli asset (elementi) 2. Analisi dei rischi sulla base degli scenari di minaccia, vulnerabilità e impatti potenziali 3. Identificazione, selezione e prioritizzazione delle contromisure (permanenti o graduali): a) Tecniche b) Organizzative c) Controllo e verifica d) Comunicazione e) Consapevolezza e addestramento f) Sicurezza dei sistemi informativi Funzionari di collegamento e modalità di comunicazione Valutazione delle minacce (con relazione a EC biennale) 5

Direttiva 114/2008: highlights La Commissione, in collaborazione con gli Stati membri, elabora linee guida per l applicazione dei criteri intersettoriali e settoriali e fissa soglie approssimative da utilizzare per l individuazione delle ECI (art 3) È necessario il consenso dello Stato membro nel cui territorio è ubicata l infrastruttura che deve essere designata come ECI (art 4) La Commissione può elaborare, in cooperazione con gli Stati membri, linee guida metodologiche comuni per la valutazione dei rischi in relazione alle ECI (art 7) Gli Stati membri adottano le misure necessarie per conformarsi alla presente direttiva entro il 12 gennaio 2011 (art 12) Settori per le ECI: Energia (Elettricità, Petrolio, Gas), Trasporti (Stradale, Ferroviario, Aereo, Navale interno ed esterno) (Allegato 1) 6

Regolamento UE No 73/2010 Stabilisce i requisiti relativi alla qualità dei dati aeronautici e delle informazioni aeronautiche per il cielo unico europeo Allegato VII, PARTE C 1. Gli obiettivi di gestione della protezione sono: garantire che i dati aeronautici e le informazioni aeronautiche ricevuti, prodotti o altrimenti utilizzati, siano protetti da interferenze e che possano accedervi solo le persone autorizzate, fare in modo che le misure di gestione della protezione di un organizzazione rispondano ai requisiti nazionali o internazionali adeguati in materia di infrastrutture critiche e continuità delle operazioni e alle norme internazionali in materia di gestione della protezione, comprese le norme ISO di cui all allegato III, punti 22 e 23*. 2. Per quanto riguarda le norme ISO, il relativo certificato emesso da un organismo debitamente accreditato è considerato una prova sufficiente di conformità. Le parti di cui all articolo 2, paragrafo 2, acconsentono a rendere nota all autorità nazionale di vigilanza la documentazione relativa alla certificazione su richiesta della medesima. *ISO/IEC 17799:2005, ISO 28000:2007 7

Programma Sintesi dei requisiti della direttiva Norme applicabili ISO/IEC 27001:2005 ISO/PAS 22399:2007 BS OHSAS 18001:2007 ISO 31000:2009 ISO/IEC 15408 Uso delle norme e certificazione Sistema di gestione per la sicurezza 8

ISO/IEC 27001:2005 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS) Un SGSI è progettato per assicurare la selezione di controlli per la sicurezza adeguati e proporzionati, in grado di proteggere gli asset informativi e dare fiducia alle parti interessate. Impostazione di sistema (coinvolgimento del management, documentazione) Applicabilità aperta a ogni tipo di organizzazione Flessibilità dell ambito di applicazione Approccio ciclico (PDCA) Orientamento ai processi Parte di framework completo Indica cosa fare, non come Orientata al miglioramento continuo Universalmente riconosciuta Si può certificare 9

ISO/IEC 27002:2005 10

Norma ISO/IEC 27001:2005 ISO/IEC 27000 Valutazione del Rischio ISO/IEC 27005 ISO/IEC 27002 ISO/IEC 27003 Policy & Requisiti Plan Do Attuazione Contromisure ISO/IEC 2701X Act Check Miglioramento Efficacia ISO/IEC 27004 Audit ISO/IEC 27007-8 11

ISO/PAS 22399:2007 Linee guida per garantire la prontezza verso gli incidenti e la gestione della continuità operativa Impostazione di sistema (coinvolgimento del management, documentazione) Applicabilità aperta a ogni tipo di organizzazione Approccio ciclico (PDCA) Orientamento ai processi Orientata al miglioramento continuo Universalmente riconosciuta (nella versione inglese BS 25999) Non si può certificare (futura 22301 sì) 12

ISO/PAS 22399:2007 100% Incidente emergenza incidente disastro Tempo 0% t0 t1 Risposta agli Incidenti t2 t3 Gestione della Continuità t5 t4 Recovery t6 13

ISO/PAS 22399:2007 Valutazione del Rischio e di Impatto Policy & Requisiti Plan Do Attuazione programma Miglioramento Act Check Misurazione delle performance Audit Testing 14

BS OHSAS 18001:2007 Sistema di gestione per la salute e la sicurezza sul lavoro Un sistema volto a minimizzare i rischi all incolumità dei lavoratori e delle altre parti coinvolte nelle attività dell organizzazione. Impostazione di sistema (coinvolgimento del management, documentazione) Applicabilità aperta a ogni tipo di organizzazione Approccio ciclico (PDCA) Orientamento ai processi Orientata al miglioramento continuo Universalmente riconosciuta Si può certificare 15

BS OHSAS 18001:2007 Valutazione del Rischio Policy & Requisiti Plan Do Attuazione programma Miglioramento Act Check Misurazione delle performance Audit 16

ISO/IEC 31000:2009 Gestione del rischio Principi e linee guida Impostazione compatibile con i sistemi (coinvolgimento del management, documentazione) Orientamento all impostazione di un framework Applicabilità aperta a ogni tipo di organizzazione Considerazione di tutti i tipi di rischio Base per armonizzare la gestione del rischio nelle norme Di alto livello Non si può certificare 17

ISO/IEC 31000:2009 18

ISO/IEC 27005:2008 (ISRM) 19

ISO/IEC 15408: Common Criteria Criteri di valutazione per la sicurezza IT Impostazione compatibile con i sistemi (coinvolgimento del management, documentazione) Rivolto alla sicurezza di un prodotto Applicabile a qualsiasi prodotto IT Non è basato sul rischio Universalmente riconosciuto Dice cosa e come fare Si può certificare 20

Applicabilità diretta 27001, 23999, 18001 Sono per loro natura direttamente applicabili alla gestione di diversi aspetti della sicurezza. 31000 E assolutamente centrale per l ambito ma resta di troppo alto livello per potersi applicare (anche utilizzando la 31010) E necessaria una metodologia più specifica, come suggerisce peraltro la direttiva. 15408 E un mattone importante per raggiungere livelli di sicurezza accettabili ma è limitatamente applicabile a contesti di sistema. 21

18001 22399 27001 Sintesi degli obiettivi Comprendere, controllare e migliorare il livello di sicurezza Ottimizzare gli investimenti per la sicurezza delle informazioni Impostare un approccio strutturato e dimostrabile a terzi Rafforzare la consapevolezza e l addestramento aziendale Documentare e valorizzare le azioni per la sicurezza delle informazioni Comprendere, controllare e migliorare la continuità operativa Ottimizzare gli investimenti per la continuità operativa Impostare un approccio strutturato e dimostrabile a terzi Rafforzare la consapevolezza e l addestramento aziendale Documentare e valorizzare le azioni per la continuità operativa Comprendere, controllare e migliorare la sicurezza delle persone Ottimizzare gli investimenti per la sicurezza delle persone Impostare un approccio strutturato e dimostrabile a terzi Rafforzare la consapevolezza e l addestramento aziendale Documentare e valorizzare le azioni per la sicurezza 22

Programma Sintesi dei requisiti della direttiva Norme applicabili Uso delle norme e certificazione Sistema di gestione per la sicurezza 23

Esempio di schema di certificazione Requisiti di accreditamento Ente di accreditamento Mutuo riconoscimento Ente di accreditamento Controlla Accredita Organismo di certificazione Norma di riferimento Emette certiificato Valuta conformità Organizzazione da valutare

Certificazione La certificazione è basata sul concetto della fiducia (trust) Una terza parte indipendente valuta la conformità rispetto a uno o più criteri (norme) e ne valida la bontà L accreditamento, inteso come controllo del controllore, può essere più o meno forte (modello a campione o modello esaustivo) Le certificazioni dei sistemi di gestione attualmente diffuse sono un sistema a bassa garanzia ma possono rappresentare un valido modo per dimostrare qualcosa a terzi 25

Certificati 27001 Worldwide oggi 26

Certificati in Italia Norma Siti Produttivi Certificati AVSQ MIA 9 5 BS OHSAS 18001:2007 2341 1085 ISO 27001:2005 314 144 ISO/IEC 20000-1:2005 3 1 UNI EN 9100:2005 280 207 UNI EN ISO 13485:2004 1216 969 UNI EN ISO 14001:2004 14358 8682 UNI EN ISO 3834:2006 229 195 UNI EN ISO 9001:2000 56799 43490 UNI EN ISO 9001:2008 65431 46155 Dati Accredia, Febbraio 2010 27

Programma Sintesi dei requisiti della direttiva Norme applicabili Uso delle norme e certificazione Sistema di gestione per la sicurezza 28

Copertura dei Requisiti Direttiva 114/2008 ISO/IEC 27001 ISO/PAS 22399 OHSAS 18001 Criteri di settore Piani di sicurezza per gli operatori 1. Identificazione degli asset (elementi) 2. Analisi dei rischi sulla base degli scenari di minaccia, vulnerabilità e impatti potenziali 3. Identificazione, selezione e prioritizzazione delle contromisure (permanenti o graduali): a) Tecniche b) Organizzative c) Controllo e verifica d) Comunicazione e) Consapevolezza e addestramento f) Sicurezza dei sistemi informativi Funzionari di collegamento Valutazione delle minacce 29

Risk Management Unico processo con considerazione dei diversi impatti su: Sicurezza delle informazioni (27001) Focus su Disponibilità, Integrità e Riservatezza degli asset legati alle informazioni Disponibilità dei servizi (22399) Focus su Disponibilità dei servizi erogati e degli asset a loro legati Sicurezza delle persone (18001) Focus su Disponibilità delle persone interne e esterne, legate alle attività dell organizzazione Spesso gli asset sono i medesimi e necessitano una considerazione sotto diversi aspetti. 27001 può avere una rilevanza variabile a seconda di quanto l organizzazione si basa sulle informazioni. 30

Vision Salute e Sicurezza sul Lavoro OHSAS 18001 ISO 31000 Sicurezza delle Informazioni ISO/IEC 27001 ISO/IEC 15408 Continuità Operativa ISO 22399 31

Integrazione dei Sistemi di Gestione Oltre a integrare il processo di Risk Management, è possibile attuare quello che è definito come sistema di gestione integrato considerando i tre schemi e mettendo a fattor comune: Pianificazione e gestione delle risorse Assegnazione di responsabilità (anche rispetto a cogente) Coinvolgimento della Direzione Struttura e gestione della documentazione Monitoraggio delle performance e dell efficacia Audit interni Riesami della Direzione Gestione delle azioni correttive e preventive 32

Benefici nell uso delle norme Nessuna necessità di inventare ex novo, minima necessità di integrazione per il tema specifico Efficacia dell approccio già provata Approccio non attaccabile Circuiti di certificazione / supporto / valutazione già pronti Risparmio di costi per chi già ha intrapreso questa strada (anche solo attraverso una 9001!) Maggiori possibilità di interoperabilità intra e infra settore (con particolare riguardo alle interdipendenze) 33

Contatti http://www.mediaservice.net Via San Bernardino 17 10141 Torino, ITALY Tel. +39 0113272100 Fax. +39 0113246497 fabio.guasconi@mediaservice.net 34

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back