REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

Documenti analoghi
REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI RSSI. Valido dal

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE

Schema per la certificazione dei sistemi di gestione della sicurezza delle informazioni (SGSI), secondo lo schema UNI CEI ISO/IEC 27001

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE PER LA CONTINUITA OPERATIVA RSCO. Valido dal

Regolamento particolare per la certificazione dei sistemi di gestione ambientale

Regolamento particolare per la transizione da BS OHSAS 18001:2007 a UNI ISO 45001:2018

PROCEDURA PER LA CERTIFICAZIONE DEL

Regolamento per la certificazione di Sistemi di Gestione dei Servizi IT (Information Technology)

Procedura: Gestione Rilievi

PROCESSI DI SALDATURA NEGLI ACCIAI PER STRUTTURE SALDATE

ISTRUZIONE OPERATIVA

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS (Information Security Management Systems) AUDITOR / RESPONSABILI GRUPPO DI AUDIT

Politica per la Gestione del Servizio

Regolamento per la certificazione di Sistemi di Gestione dell Energia

I passi per la certificazione del Sistema di Gestione dell Energia in conformità alla norma ISO Giovanni Gastaldo Milano, 4 ottobre 2011

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE ISO REGOLAMENTO PARTICOLARE CERTIFICAZIONE ISO 45001

La certificazione di 3^ parte dei Sistemi di Gestione Stefano PROCOPIO

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE AMBIENTALE (SGA)

PROGETTAZIONE E SVILUPPO Procedura PG. 01 REV.00 del

WEB PROCEDURE GESTIONE RICORSI E RECLAMI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE ENERGIA (SGE)

Regolamento per la certificazione di Sistemi di Gestione Ambientale

DOMANDA DI CERTIFICAZIONE dei Sistemi di Gestione

PG08 GESTIONE RECLAMI/SEGNALAZIONI

Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE PER LA QUALITA' RSSQ. Valido dal

Regolamento per la certificazione dei Sistemi di Gestione Integrata secondo lo schema BEST4

Regolamento per la certificazione di Sistemi di Gestione per la Sicurezza Alimentare

Regolamento per la Certificazione dei Centri di Contatto

Certificazioni & Collaudi s.r.l.

1 OGGETTO E CAMPO DI APPLICAZIONE DOCUMENTI DI RIFERIMENTO REGOLE PARTICOLARI PUBBLICITA e USO DEL MARCHIO DI CERTIFICAZIONE...

CONDIZIONI PARTICOLARI PER LA CERTIFICAZIONE DI:

GESTIONE DELLE VERIFICHE INTERNE

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Regolamento per la certificazione di Sistemi di Gestione Qualità nel settore Dispositivi Medici

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI S.G.Q. NEL SETTORE SANITARIO

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE DELL'ENERGIA RSSE. Valido dal

SCHEDA REQUISITI PER IL I MODULO DEI CORSI DI FORMAZIONE PER AUDITOR / RESPONSABILI GRUPPO DI AUDIT DI SISTEMI DI GESTIONE

ACCREDITAMENTO LABORATORI DI ANALISI UNI CEI EN ISO/IEC 17025:2005. Dr.ssa Eletta Cavedoni Cosmolab srl Tortona

RSM01. Pag. 1/9 Rev.04

TÜV Examination Institute. Regolamento generale per la qualifica degli OdV e dei Centri di Esame

Regolamento per la certificazione di Procedimenti di Saldatura e Brasatura

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE PER LA QUALITA' RSSQ. Valido dal

SCHEMA PER LA CERTIFICAZIONE DEI MANICOTTI PER GIUNZIONI MECCANICHE DI BARRE DI ACCIAIO PER CEMENTO ARMATO SECONDO LA NORMA UNI :2007

Rev. Data Descrizione Redatto Verificato Approvato IDENTIFICAZIONE: 0029CR_00_IT

Schema di Certificazione EN 9001 SCS 9001

SCHEDA REQUISITI PER LA CERTIFICAZIONE DI AUDITOR ASSOCIATI, AUDITOR, RESPONSABILI GRUPPO DI AUDIT DI S.G.A.

Schema di certificazione EN SCS 14001

Documento di riferimento alla norma ISO/IEC :2015 per l accreditamento degli organismi di certificazione di sistemi di gestione

RG01 REGOLAMENTO GENERALE DELLE ATTIVITA DI ISPEZIONE

QUALIFICA E GESTIONE DEI FORNITORI DI SERVIZI DI ANALISI I & F BUREAU VERITAS ITALIA PROCEDURA

ALLEGATO 02 AL REGOLAMENTO PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE PER LA QUALITÀ

Documento di riferimento alla norma ISO/IEC 17065:2012 per l accreditamento di organismi che certificano prodotti, processi e servizi

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR INTERNI DI S.G.A.

PER LA PREDISPOSIZIONE DELLA DOCUMENTAZIONE DEI SISTEMI DI RINTRACCIABILITÀ (UNI EN ISO 22005) LGDT02

S e c t i o n I I.1 RICONOSCIMENTO I.2 PROCESSO DI VERIFICA DELLE EPD I.3 AUDITOR I.4 DURATA DELLA VERIFICA I.5 NON CONFORMITÀ

REGOLAMENTO PER LA CONDUZIONE DELLE ATTIVITA ISPETTIVE

ACM CERT S.r.l. ACM CERT S.r.l. Corso Auditor/Lead Auditor ISO 9001:2015. Organismo di Certificazione. SGQ n. 135A

Domanda di Accreditamento per Organismi di certificazione. Application for Accreditation of Certification Bodies

REGOLAMENTO organismi di certificazione partners requisiti per la qualifica

PROCEDURA GESTIONE RECLAMI RICORSI E CONTENZIOSI SOMMARIO

Kit Documentale Qualità UNI EN ISO 9001:2015. Templates modificabili di Manuale, Procedure e Modulistica. Nuova versione 3.

Schema di certificazione dei sistemi di gestione dell energia in conformità alla norma ISO 50001:2011

PRESCRIZIONI PARTICOLARI PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA QUALITÀ NEL SETTORE FERROVIARIO

Prot. DC2018SSV236 Milano, 27/08/2018

RICORSI E RECLAMI NEL SETTORE DELLA CERTIFICAZIONE SISTEMI QUALITA RICORSI E RECLAMI

Prot. DC2019SSV044 Milano,

PROCEDURA QUALITA 1. SCOPO CAMPO DI APPLICAZIONE RIFERIMENTI LEGENDA RESPONSABILITA...2

IISS E. Bona. Copia controllata

LA CERTIFICAZIONE AMBIENTALE ai sensi della norma UNI EN ISO 14001:2004 e LA REGISTRAZIONE EMAS ai sensi del Regolamento (CE) n.

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE AMBIENTALE RSSA. Valido dal

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE PER LA PREVENZIONE DELLA CORRUZIONE RSPC. Valido dal

REGOLAMENTO PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE

SCHEMA ACAE PER LA CERTIFICAZIONE DI CONFORMITA DELLE APPARECCHIATURE ELETTRICHE ED ELETTRONICHE

PIA OPERA CROCE VERDE DI PADOVA

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

PROCEDURA Sistema di Gestione Qualità e Sicurezza AUDIT

REGOLAMENTO PER LA GESTIONE DEL FASCICOLO TECNICO DI DISPOSITIVI MEDICI

RSA 01. Pag.1/8 Rev.03. F. Costa/ R. De Pari

RSA 01. Pag.1/9 Rev.02

Principi, fasi e modalità di verifica da parte di un auditor di terza parte. isnart - salvatore buscema

ISO EMAS La certificazione a confronto. CERTIQUALITY Via. G. Giardino, 4 - MILANO

SCHEMA CERTIFICAZIONE Sistemi di gestione della sicurezza del traffico stradale UNI ISO RTS

REGOLAMENTO PER LO SVOLGIMENTO DELLE ATTIVITA DI ISPEZIONE IN QUALITA DI ORGANISMO DI ISPEZIONE DI TIPO A

I REQUISITI INNOVATIVI DELLA ISO Alessandra Peverini Perugia 23 ottobre 2015

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI ESCO

Check list tecnica Livello 3 schema UNI CEI EN ISO/IEC 17025:2018

Documento di riferimento alla norma ISO/IEC 17020:2012 per la valutazione dell accreditamento degli organismi di ispezione

La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

SCHEDA REQUISITI PER IL II MODULO DEI CORSI DI FORMAZIONE PER ISMS AUDITOR / RESPONSABILI GRUPPO DI AUDIT

Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

PROCEDURA GESTIONALE

Regolamento per il rilascio del Certificato di Conformità del Servizio

REGOLAMENTO PER LE VERIFICHE AI SENSI DEL REGOLAMENTO (UE) 333/2011 del 31 marzo 2011

Comune Fabriano. Protocollo Generale, Servizio Progettazione, Servizio Edilizia Privata. Progetto di Certificazione secondo le norme ISO 9000

RIESAME DI DIREZIONE DEL SISTEMA

Transcript:

pagina 1 di 6 REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI REV. DATA 00 16/05/2017 MOTIVAZIONI DELLE MODIFICHE ALLA PRECEDENTE REVISIONE Revisione a seguito variazione denominazione sociale REDATTO VERIFICATO APPROVATO Responsabile Qualità Direttore operativo Direttore Generale Stefano Bertini Domenico Venditti Urbano Strada

pagina 2 di 6 Indice 1. OGGETTO... 3 2. DEFINIZIONI... 3 3. AMMISSIONE AL SERVIZIO DI CERTIFICAZIONE... 3 4. CONDIZIONI RELATIVE AL POSSESSO DELLE AUTORIZZAZIONI... 3 5. DOMANDA DI CERTIFICAZIONE... 3 6. ATTIVITÀ DI VALUTAZIONE... 4 13.1 AUDIT INIZIALE DI CERTIFICAZIONE... 4 13.1.1 AUDIT DI FASE 1... 4 13.1.2 AUDIT DI FASE 2... 5 7. ESAME DEGLI ESITI DELLA VALUTAZIONE... 5 8. RILASCIO DELLA CERTIFICAZIONE... 5 9. ATTIVITÀ DI VALUTAZIONE IN SORVEGLIANZA... 5 10. RINNOVO DELLA CERTIFICAZIONE... 5 11. DIRITTI E DOVERI DELL'ORGANIZZAZIONE IN POSSESSO DI CERTIFICAZIONE... 5 12. RECLAMI E RICORSI... 6 13. NORMATIVA DI RIFERIMENTO... 6

pagina 3 di 6 1. Oggetto Il presente documento integra il Regolamento di Certificazione di Apave Certification Italia S.r.l. per i sistemi di gestione (Reg SG) ed è dedicato alle particolarità specifiche della sicurezza delle informazioni. Per tutti gli argomenti non esplicitamente citati o descritti in questo Regolamento Particolare, vale quanto descritto nel Regolamento di Certificazione Apave Certification Italia S.r.l.. In caso di disposizioni non omogenee prevale il presente regolamento e in caso di ulteriori dubbi si fa riferimento allo Standard di riferimento ISO/IEC 27001:2013 per le organizzazioni e ISO/IEC 27006:2015 per Apave Certification Italia S.r.l.. Nel presente Regolamento vengono definiti i rapporti tra S.R.L. S.r.l. e le Organizzazioni che intendono ottenere e far registrare la Certificazione del proprio Sistema di Gestione della Sicurezza delle Informazioni in conformità allo Standard di riferimento ISO/IEC 27001:2013. Sull applicazione del presente Regolamento sorveglia il Comitato per la Salvaguardia dell Imparzialità nel quale sono rappresentate le parti interessate alla certificazione. La certificazione può essere rilasciata sul sistema informativo aziendale nella sua interezza o in specifiche aree ed applicazioni di particolare criticità. 2. Definizioni Per la terminologia specifica riguardante i sistemi di gestione della valgono in generale le definizioni riportate nello Standard di riferimento ISO/IEC 27001:2013 o analogamente alla versione UNI CEI ISO/IEC 27001:2014 e nella norma ISO/IEC 27006:2015. 3. Ammissione al servizio di certificazione Perché venga attivato l'iter certificativo da parte di Apave Certification Italia S.r.l., l'organizzazione richiedente deve: disporre di un Sistema di Gestione in conformità allo Standard ISO/IEC 27001:2013 e alle eventuali prescrizioni particolari stabilite per tipologie di processo/servizio; descrivere tale Sistema in appositi documenti, come indicato nel par. 7.5 della norma di riferimento ISO/IEC 27001:2013 (Informazioni documentate) rendendoli disponibili durante l attività di Audit; accettare le regole fissate dal presente Regolamento e le condizioni comunicate da Apave Certification Italia S.r.l.. La Certificazione riguarda esclusivamente la conformità dei Sistemi di Gestione rispetto allo Standard ISO/IEC 27001:2013; il rispetto delle disposizioni di legge vigenti è di esclusiva responsabilità dell'organizzazione certificata. 4. Condizioni relative al possesso delle autorizzazioni Apave Certification Italia S.r.l. verifica che l organizzazione abbia stabilito un efficace procedura per identificare ed avere accesso ai requisiti di legge relativi alla pertinenti allo scopo del SGSI, tra cui quelli legati al trattamento dei dati personali e a quelli specifici del settore in cui opera l Organizzazione. Il mantenimento e la valutazione della conformità ai requisiti cogenti ricadono sotto la responsabilità dell organizzazione che gestisce il SGSI e che rilascia apposita attestazione, Apave Certification Italia S.r.l. si limita ad eseguire le verifiche a campione per acquisire la fiducia che il SGSI sia efficace sotto questo punto di vista e che, nell eventualità di non conformità rispetto ai requisiti cogenti, l organizzazione metta in atto idonee azioni correttive. Particolari situazioni di eccezionalità che possano far proseguire nell iter di certificazione nonostante quanto appena precisato, saranno valutate da Apave Certification Italia S.r.l. e trattate secondo quanto definito dalle prescrizioni integrative per l accreditamento delle certificazioni di sistemi di gestione della sicurezza definite dall Ente di Accreditamento. L organizzazione rimane comunque pienamente responsabile dal punto di vista penale ed amministrativo dell eventuale scelta di operare in assenza delle necessarie autorizzazioni. 5. Domanda di certificazione L'Organizzazione che intende essere certificata deve richiedere un'offerta a Apave Certification Italia S.r.l. compilando il modulo di domanda in ogni sua parte ed inviarlo unitamente alla documentazione richiesta.

pagina 4 di 6 L'offerta di Apave Certification Italia S.r.l. comprende l esame della documentazione presentata con verifica di completezza ed adeguatezza delle informazioni generali e le verifiche in campo ed è in funzione delle caratteristiche e complessità del sistema informativo oggetto dell SGSI (Sistema di Gestione della Sicurezza delle Informazioni). L'accettazione dell'offerta perfeziona il rapporto contrattuale fra le parti e comporta anche l'accettazione delle prescrizioni previste nel presente Regolamento, e successive modifiche, che è disponibile sul sito Internet: www.apave-certifiction.it All atto della richiesta della certificazione l organizzazione, è tenuta a comunicare se intende avvalersi della facoltà di negare al team di audit l'accesso a registrazioni che contengano informazioni considerate riservate o sensibili (per esempio informazioni relative al personale, ai clienti ed ai fornitori); in tale caso, però, Apave Certification Italia S.r.l. valuterà se le informazioni cui può avere accesso sono sufficienti ai fini della valutazione del SGSI; se non lo fossero, l'organizzazione e Apave Certification Italia S.r.l. dovranno raggiungere - ove possibile - un accordo sulle modalità di accesso a tutte le informazioni indispensabili per la valutazione del SGSI; se l'accordo non può essere raggiunto, l'iter di certificazione non viene iniziato. Detto accordo può consistere nel fatto che l'organizzazione autorizzi il team di audit ad accedere ad informazioni, riservate o sensibili, solo per il tempo dell'audit e in base a modalità specificate. 6. Attività di valutazione A seguito dell accettazione dell offerta Apave Certification Italia S.r.l. concorda con l Organizzazione il periodo di effettuazione dell audit. L accettazione del contratto non presuppone né indirettamente né direttamente l obbligo di rilascio della certificazione da parte di Apave Certification Italia S.r.l.. Prima dell audit l Organizzazione deve comunicare a Apave Certification Italia S.r.l. o al valutatore incaricato della verifica, se ritiene che uno o più documenti del SGSI non possano essere resi disponibili per la verifica. Apave Certification Italia S.r.l. valuta se è possibile condurre una verifica completa a fronte della norma di riferimento anche in assenza di tali documenti. In tali casi lo scopo di certificazione potrà comprendere solamente i processi che sono stati sottoposti ad audit. La norma UNI CEI ISO/IEC 27001:2014 riporta nelle sezioni da 4 a 10 (comprese) una serie di requisiti obbligatori per il SGSI, che non possono essere cioè oggetto di esclusione. L'elenco dei possibili controlli richiamati nell' Appendice A (normativa) da impiegare nell'ambito dello specifico SGSI, in funzione dei risultati dei processi di valutazione e di trattamento dei rischi non sono tutti obbligatori per tutti i SGSI, ma vanno selezionati dall'organizzazione responsabile del SGSI utilizzando criteri documentati che tengano presente le proprie reali esigenze; quindi i controlli ritenuti realmente necessari e dunque "obbligatori" nell'ambito dello specifico SGSI vengono identificati a cura dell'organizzazione nella Dichiarazione di Applicabilità (SoA Statement of Applicability), dove devono essere riportate giustificale eventuali esclusioni. Da quanto sopra deriva che Apave Certification Italia S.r.l., quale organismo di certificazione del SGSI, ha il compito di valutare la documentazione ed attuazione di tutti i requisiti delle sezioni da 4 a 10 (comprese), e dei paragrafi dell Appendice A che l organizzazione ha dichiarato applicabili nel SoA riservandosi la facoltà di giudicare l adeguatezza delle scelte operate dall organizzazione. Apave Certification Italia S.r.l. valuta inoltre la congruenza tra la valutazione dei rischi eseguita e fornita dall organizzazione, valutando le minacce e le vulnerabilità considerate o applicabili. L analisi del contesto nel quale opera l organizzazione e la valutazione di altri eventuali controlli oltre quanto indicato nell Annex A, sono necessari per la corretta valutazione del SGSI dell organizzazione e Apave Certification Italia S.r.l. deve valutarle. 13.1 Audit iniziale di certificazione L audit iniziale di certificazione è condotto in due fasi: fase 1, presso l Organizzazione, finalizzato alla valutazione della documentazione del sistema SGSI e del grado di preparazione dell Organizzazione per l effettuazione dello fase 2. fase 2, presso l Organizzazione, finalizzato alla valutazione dell applicazione e dell efficacia del SGSI. 13.1.1 Audit di fase 1 Prima dell audit di Fase 1 l Organizzazione deve: mettere a disposizione del valutatore di Apave Certification Italia S.r.l. le informazioni generali relative al SGSI e al campo di applicazione e la documentazione del SGSI, indicare al valutatore eventuali esigenze che richiedano che la valutazione documentale venga effettuata in un luogo diverso dalla sede oggetto della certificazione.

pagina 5 di 6 Al termine dello Fase 1 il GA definisce i tempi per l effettuazione dello fase 2. Tra fase 1 e fase 2 non possono trascorrere più di tre mesi. Trascorso tale termine l audit di Fase 1 deve essere ripetuto. Apave Certification Italia S.r.l. valuta i casi eccezionali in cui sussistono le condizioni per mantenere validi i risultati dello Fase 1. Nella fase 1 il GA procede all'esame della documentazione del SGSI dell Organizzazione che deve essere costituito dai documenti richiamati al par 7.5 della UNI CEI ISO/IEC 27001:2014. L organizzazione deve garantire che lo scopo dell SGSI, i documenti relativi alla valutazione ed al trattamento dei rischi, e lo Statement of Applicability, le policy e le procedure per la siano gestiti sempre in forma controllata. Vanno evidenziate anche le interrelazioni e le interfacce con processi ed asset non compresi nel SGSI, segnalando in particolari tra questi i processi e/o asset che utilizzino i medesimi siti ed infrastrutture informatiche. 13.1.2 Audit di fase 2 La verifica di valutazione di fase 2 ha lo scopo di: confermare che l organizzazione opera secondo quanto ha stabilito nelle proprie procedure e obiettivi. Confermare che il SGSI è conforme ai requisiti della norma ISO/IEC 27001:2013. Nello fase 2 l'organizzazione deve dimostrare che il SGSI impostato sia rilevante ed adeguato rispetto alle attività dell Organizzazione stessa e alle minacce, alle vulnerabilità e agli impatti individuati. Nel corso dell audit l Organizzazione deve inoltre dimostrare di avere un sistema di gestione in grado di assicurare la conformità alle leggi e regolamenti applicabili alla. 7. Esame degli esiti della valutazione Vale quanto descritto nel Regolamento di Certificazione Apave Certification Italia S.r.l., inoltre nella classificazione dei rilievi, si ritiene non conformità il mancato rispetto dei requisiti di legge, il mancato rispetto di requisiti contrattuali concordati con il partner o clienti relativamente alla e per i quali il certificato può essere interpretato come garanzia della presa in carico, la palese evidenza di un immediato rischio per le informazioni incluse nello scopo dell SGSI, nessuna evidenza oggettiva disponibile in relazione alla gestione degli incidenti o la mancanza di un Business Continuity Plan, la non esecuzione di riesami della direzione nei 12-15 mesi precedenti l audit. 8. Rilascio della certificazione Vale quanto descritto nel Regolamento di Certificazione Apave Certification Italia S.r.l.. Il certificato di conformità riporterà anche il riferimento al SoA con i dati identificativi dello stesso (data, revisione, ecc.). 9. Attività di valutazione in sorveglianza Vale quanto descritto nel Regolamento di Certificazione Apave Certification Italia S.r.l.. Al momento dell audit di sorveglianza l organizzazione deve dare evidenza dell esecuzione del riesame della direzione e di un ciclo completo di audit interni secondo quanto previsto dalla sezione 9 della ISO/IEC 27001:2013 con frequenza almeno annuale 10. Rinnovo della certificazione Vale quanto descritto nel Regolamento di Certificazione Apave Certification Italia S.r.l.. Al momento dell audit di sorveglianza l organizzazione deve dare evidenza dell esecuzione del riesame della direzione e di un ciclo completo di audit interni secondo quanto previsto dalla sezione 9 della ISO/IEC 27001:2013 con frequenza almeno annuale 11. Diritti e doveri dell'organizzazione in possesso di certificazione Oltre a quanto descritto nel Regolamento di Certificazione Apave Certification Italia S.r.l., l Organizzazione certificata è tenuta a comunicare a Apave Certification Italia S.r.l. ogni modifica apportata al documento SoA - Statement of Applicability.

pagina 6 di 6 12. Reclami e ricorsi Vale quanto descritto nel Regolamento di Certificazione Apave Certification Italia S.r.l., inoltre l organizzazione deve rendere disponibili un elenco degli incidenti collegabili alla incluse nello scopo dell SGSI. 13. Normativa di riferimento Le norme ed i documenti di riferimento per la certificazione e registrazione dei Sistemi di gestione per la Sicurezza delle Informazioni sono: ISO/IEC 27001:2013 (UNI CEI ISO/IEC 27001:2014) Information Technology security techniques Information security management systems Requirements ISO/IEC 27002:2013 ISO/IEC 27005:2011 UNI EN ISO 19011:2012 UNI EN ISO 9000:2015 ISO/IEC 27006:2015 Information Technology security techniques Code of practice for information security management systems Information Technology security techniques Information security management risk management Linea Guida per gli audit dei sistemi di gestione per la qualità e/o di gestione ambientale Sistemi di gestione per la qualità Fondamenti e Vocabolario Information Technology security techniques requirements for bodies providing audit and certification of information security managements systems

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back