pag. 1 di 18 REGOLAMENTO PER LA CERTIFICAZIONE DEI SISTEMI DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI (SGSI) SECONDO LO SCHEMA UNI CEI ISO/IEC 27001:2006 2 10/07/2009 Revisione TGQ ASG DIR Modifiche aggiunte a seguito osservazioni Sincert 2009 modificato par 2.0-4.4-5.1-5.2-5.3 e 6.3 Gelati rev data descrizione redatto verificato approvato IDENTIFICAZIONE
Rev. 2 del 10/7/2009 pag. 2 di 18 INDICE 1.0 SCOPO E CAMPO DI APPLICAZIONE 2.0 RIFERIMENTI 3.0 DEFINIZIONI 4.0 CONDIZIONI GENERALI 5.0 PROCEDURA PER LA CERTIFICAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI 6.0 VALIDITA E RINNOVO DELLA CERTIFICAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI 7.0 DIRITTI E DOVERI DELL AZIENDA IN POSSESSO DI CERTIFICAZIONE 8.0 SORVEGLIANZA DELL AZIENDA IN POSSESSO DI CERTIFICAZIONE 9.0 RINUNCIA O REVOCA DELLA CERTIFICAZIONE 10.0 RISERVATEZZA 11.0 CONDIZIONI ECONOMICHE 12.0 MODIFICHE DELLE CONDIZIONI DI RILASCIO DELLA CERTIFICAZIONE 13.0 SCORRETTO USO DELLA CERTIFICAZIONE 14.0 RICORSI E RECLAMI 15.0 CONTROVERSIE
pag. 3 di 18 1.0 SCOPO E CAMPO DI APPLICAZIONE Il presente Regolamento definisce i requisiti a cui un Organizzazione che richiede la certificazione del proprio Sistema di Gestione per la Sicurezza delle Informazioni (SSGI) deve conformarsi per ottenere e mantenere la certificazione rilasciata da ICIM e per l iscrizione nel relativo Registro delle Organizzazioni in possesso della certificazione. I servizi di ICIM sono disponibili per qualsiasi Organizzazione che ne faccia richiesta in osservanza del presente Regolamento; tali servizi non comprendono attività di consulenza relative alla elaborazione della documentazione del SGSI e/o all attuazione del SGSI stesso. Sull applicazione del presente Regolamento sorveglia un Comitato di Certificazione, nominato dal Consiglio di Amministrazione (CdA) di ICIM, nel quale sono rappresentate le componenti interessate alla certificazione. Il certificato ICIM è il documento con il quale ICIM attesta che l Organizzazione richiedente opera con un SGSI conforme alle norme di riferimento. L Organizzazione, non l Organismo di Certificazione, ha la responsabilità della conformità ai requisiti per la Certificazione. L Organismo di Certificazione ha la responsabilità di valutare l evidenza obbiettiva sufficiente su cui basare una decisione di certificazione. 2.0 RIFERIMENTI La normativa di riferimento per la certificazione dei SGSI è quella indicata nel seguito ed è da ritenersi applicabile nell ultima edizione valida. ISO/IEC 17021 IAF GD2:2005 Valutazione della conformità per gli organismi che forniscono audit e certificazione di sistemi di gestione IAF Guideline on the Application of ISO/IEC Guide 62:1996. RG 01 Regolamento per l accreditamento degli organismi di certificazione ISO/IEC 27006:2007 UNI CEI ISO/IEC 27001:2006 Information Technology Security Techniques Requirements for bodies providing audit and certification of information security management systems. Tecnologia delle informazioni Tecniche di sicurezza Sistemi di gestione della sicurezza delle informazioni Requisiti ISO / IEC 17799:2005 Information technology Security techniques Code of practice for information security management systems
pag. 4 di 18 3.0 DEFINIZIONI Ai fini del presente Regolamento valgono le definizioni riportate nella norma UNI EN ISO/IEC 27001:2006 e nella ISO/IEC 27006:2007 con le seguenti aggiunte e/o precisazioni: Azienda Organizzazione che fornisce un prodotto o un servizio, collegata ad ICIM mediante accordi che prevedono il rispetto delle prescrizioni indicate nel Regolamento. Unità Produttiva Sito in cui l Azienda esercita le attività alle quali si applica il SGSI oggetto della richiesta di certificazione. Organismo di Certificazione Organismo che effettua la certificazione di conformità. Certificazione di Conformità Atto mediante il quale una terza parte indipendente dichiara che, con ragionevole attendibilità, un determinato prodotto, processo o servizio è conforme ad una specifica norma o ad altro documento normativo. Processo Insieme di attività correlate o interagenti che trasformano elementi in entrata in elementi in uscita. Prodotto, Servizio Risultato di un processo. Risultato dell attività dell Azienda che deve essere conforme a specifiche prefissate che possono essere norme nazionali o internazionali, requisiti elaborati da un cliente o interni all Azienda, o altri documenti identificati. Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) Quella parte del sistema di gestione complessivo, basata su un approccio rivolto al rischio relativo al business, volta a stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare la sicurezza delle informazioni. Sicurezza delle Informazioni Conservazione della riservatezza, dell integrità e della disponibilità delle informazioni; inoltre possono essere coinvolte altre proprietà quali l autenticità, la responsabilità, il non ripudio e la affidabilità. Dichiarazione di Applicabilità: Dichiarazione documentata che descrive gli obiettivi di controllo e i controlli pertinenti e applicabili al SGSI dell'organizzazione.
pag. 5 di 18 Auditor, Valutatore Persona che ha la competenza per effettuare un audit. I termini auditor, valutatore e ispettore sono da considerarsi equivalenti. Gruppo di Valutazione del Sistema di Gestione per la Sicurezza delle Informazioni Personale incaricato da ICIM di eseguire la valutazione del SGSI dell Organizzazione. Valutazione Azione mediante la quale ICIM accerta che l Organizzazione richiedente operi in conformità al modello di SGSI documentato per il quale è richiesta la certificazione. Sorveglianza Attività mediante la quale ICIM verifica il mantenimento della conformità ai requisiti certificati del SGSI predisposto dall Organizzazione. Conformità Soddisfacimento di un requisito. Non Conformità Non soddisfacimento di un requisito. Azione Correttiva Azione per eliminare la causa di una non conformità rilevata o di altre situazioni indesiderabili rilevate. 4.0 CONDIZIONI GENERALI 4.1 Perché venga attivato l iter certificativo da parte di ICIM, l Organizzazione richiedente deve: - disporre di un SGSI che risponda alle esigenze del modello definito dalla normativa di riferimento e dalle eventuali prescrizioni particolari stabilite per tipologia di processo/prodotto/servizio; - accettare le condizioni fissate dal presente Regolamento e dal Contratto ICIM per la certificazione. 4.2 Il Contratto ICIM per la certificazione: - definisce il modello di SGSI applicabile, identificando la normativa di riferimento; - definisce i servizi / attività interessati alla certificazione del SGSI; - definisce i siti interessati alla certificazione del SGSI; 4.3 La concessione del certificato e il mantenimento della certificazione sono subordinati al pagamento degli importi tariffari.
pag. 6 di 18 4.4 Durante la visita di valutazione o sorveglianza del SGSI l Organizzazione che ha attivato l iter certificativo con ICIM deve garantire agli auditor ICIM il libero accesso alle aree aziendali, alle informazioni e alla documentazione necessarie per svolgere il programma della visita. L'Organizzazione (ISO/IEC 27001:2006 8.5.1) ha la facoltà di negare l'accesso a ICIM a informazioni ritenute confidenziali o sensibili. ICIM si riserva il diritto, qualora ritenga impossibile svolgere la valutazione di certificabilità in assenza di questo accesso, di declinare la richiesta. Tale diritto di accesso è esteso agli ispettori dell ente di accreditamento (SINCERT) in accompagnamento a ICIM, pena la mancanza concessione della certificazione o la sospensione o la revoca della certificazione in caso di successiva inadempienza dell obbligo medesimo. 5.0 PROCEDURA PER LA CERTIFICAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI (SGSI) 5.1 Presentazione della Domanda di Certificazione L Organizzazione che intende essere certificata deve presentare la Domanda di Certificazione del SGSI ad ICIM utilizzando l apposito modulo con le necessarie informazioni per definire: il campo di applicazione richiesto per la certificazione; le caratteristiche dell Organizzazione richiedente; le norme di riferimento alla quale l Organizzazione richiedente desidera essere certificata. ed allegando la seguente documentazione: Manuale del SGSI, o in alternativa documentazione equivalente che descriva gli elementi base del SGSI Analisi dei Rischi correlati alla sicurezza delle informazioni Dichiarazione di applicabilità del SGSI Documentazione illustrativa delle attività/servizi. La Domanda di Certificazione e la documentazione allegata devono essere atte a definire lo scopo e i limiti del SGSI dell organizzazione in termini di caratteristiche del business, con particolare attenzione a: Aree e attività dell azienda a valore aggiunto; Ambito fisico, logico, organizzativo; Criticità in termini di riservatezza, disponibilità, integrità dei dati. 5.2 Esame della Domanda di Certificazione Al ricevimento della Domanda, ICIM provvede a registrarla su apposito protocollo e a comunicare all Organizzazione il nominativo del personale che esaminerà la Domanda. L Organizzazione ha diritto di chiedere la sostituzione del personale incaricato di esaminare la Domanda qualora vi fossero motivati conflitti di interesse.
Rev. 2 del 10/7/2009 pag. 7 di 18 ICIM, di norma, prende carico della richiesta di certificazione secondo l ordine di ricevimento della relativa Domanda. Qualora la documentazione inviata risulti, a giudizio di ICIM, incompleta e/o inadeguata, il corso della pratica viene sospeso finché l Organizzazione richiedente non abbia soddisfatto le richieste di ICIM comunicate ufficialmente. Qualora l Organizzazione non soddisfi le richieste di cui al periodo precedente entro 1 (uno) anno dalla data del loro inoltro, ICIM potrà rivedere i termini contrattuali. ICIM, attraverso la collaborazione della funzione commerciale (CSG) e della funzione tecnica preposta (coordinatore TGQ), procede ad esaminare preliminarmente la documentazione allegata alla domanda di certificazione, in modo da assicurare (ISO/IEC 27006:2007 9.1.2) che lo scopo e i limiti del SGSI dell organizzazione da certificare siano chiaramente definiti in termini di caratteristiche del business, dell organizzazione, la sua locazione, i beni, e le tecnologie, e che la valutazione e il trattamento dei rischi, da parte dell organizzazione cliente, sia coerente con tali scopo e limiti. In particolare, vengono identificati: - Aree di business dell azienda - Ambito fisico, logico, organizzativo - Criticità relative alla riservatezza, disponibilità, integrità dei dati Viene assicurato inoltre che la valutazione dei rischi dell organizzazione includa anche le interfacce con servizi e attività che siano al di fuori di tali scopo e limiti (ad esempio, condivisione di infrastrutture IT con altre organizzazioni). A seguito dell esito positivo dell esame della Domanda, ICIM comunica all Organizzazione richiedente l accettazione della Domanda e procede a stipulare il Contratto per la certificazione che regola i rapporti fra ICIM e l Organizzazione per l attività certificativa. Per la determinazione dell impegno relativo alle verifiche ispettive, viene utilizzata la tabella riportata nell annesso C.3.1. della norma ISO/IEC 27006:2007, applicando una variazione che dipende da fattori quali dimensione aziendale, scopo della certificazione, logistica, complessità dell organizzazione, e il suo stato di preparazione per l audit. Il dettaglio dei fattori da tenere in considerazione è riportato nell Annesso C.2 della norma stessa. Per la determinazione dell eventuale campionamento di siti, nel caso di organizzazioni multi sito, saranno presi in considerazione i criteri riportati nella ISO/IEC 27006:2007, 9.1.4.1 e 9.1.4.2.
pag. 8 di 18 5.3 Valutazione Iniziale e Certificazione La valutazione iniziale di certificazione del SGSI comprende lo Stage 1 e lo Stage 2. La Valutazione di Stage 1 comporta un esame approfondito, da parte di ICIM della documentazione del SGSI dell Organizzazione (Domanda e relativa documentazione di supporto) al fine di: verificare la completezza e l adeguatezza delle informazioni generali (es.: settore merceologico, prodotti o servizi forniti, sedi, stabilimenti, numero di addetti, ecc.); valutare se il SGSI dell Organizzazione richiedente è conforme alla normativa di riferimento e al campo di applicazione ed è operativo, prevedendo eventualmente una visita preliminare; comprendere (ISO/IEC 27006:2007 9.2.3.1) il significato del SGSI nel contesto della politica e degli obiettivi dell organizzazione del cliente (analisi preliminare di business); tale analisi è tesa a confermare quanto rilevato, in fase di analisi documentale, da parte delle funzioni interne ICIM. valutare se il livello di attuazione del SGSI dell Organizzazione è adeguato per poter pianificare la successiva visita di Valutazione di Stage 2. Lo Stage 1 viene solitamente condotto presso la sede dell'organizzazione, a tutela della riservatezza della documentazione aziendale (in particolare per quanto riguarda l'analisi dei rischi e la dichiarazione d'applicabilità). In particolari condizioni, quali, dimensioni dell'organizzazione, limitata complessità dei processi, rischi di bassa rilevanza. previo accordo con l'azienda, la fase di esame può essere condotta direttamente in sede ICIM. Anche in questo caso, vengono adottate adeguate misure tecniche di protezione della riservatezza e dell'integrità dei documenti aziendali. ICIM, a conclusione dell esito soddisfacente dello Stage 1, verificata la disponibilità dell Organizzazione richiedente, comunica ufficialmente il programma della visita di valutazione (Stage 2) precisando i nominativi degli auditor, eventualmente anche esterni a ICIM, che si intende utilizzare per tale visita. (ISO/IEC 27006:2007 9.1.1.3) Il programma e le date della verifica verranno concordate con l organizzazione. Il programma (ISO/IEC 27006:2007 9.1.5) riporterà quanto concordato, all occorrenza, per le attività di valutazione da remoto (teleconferenza, comunicazione interattiva, controllo da remoto dei processi del SGSI).
Rev. 2 del 10/7/2009 pag. 9 di 18 ICIM effettua la scelta dei componenti del Gruppo di Valutazione tenendo presenti le esperienze specifiche e le eventuali incompatibilità. Per assicurare che non vi siano conflitti di interesse, il personale che ha fornito prestazioni di consulenza in materia di sistemi di gestione, non deve essere utilizzato da ICIM per prendere parte alle attività di certificazione. L Organizzazione ha il diritto di chiedere la sostituzione degli auditor qualora vi fossero motivati conflitti di interesse. La visita di valutazione (Stage 2) ha lo scopo di verificare sul campo l applicazione del SGSI in conformità alle prescrizioni della normativa in riferimento. In particolare, (ISO/IEC 27001:2007 9.2.3.3) viene richiesto che l organizzazione: - dimostri che l analisi delle minacce di sicurezza sia adeguatamente considerata ai fini dell operatività aziendale - possieda procedure per l identificazione, esame e valutazione delle minacce di sicurezza, che siano coerenti con la politica e gli obiettivi manageriali. Nota (ISO/IEC 27001:2007 9.2.3.3.1): la conformità a leggi e direttive, in merito alla sicurezza delle informazioni, come pure in ambito più generale, è di esclusiva responsabilità dell organizzazione valutata. Nota (ISO/IEC 27001:2007 9.2.3.3.2): la documentazione del SGSI può essere integrata con la documentazione relativa a altri sistemi di gestione. Nota (ISO/IEC 27001:2007 9.2.3.3.3): l audit relativo al SGSI può essere integrato con le attività di audit relative ad altri sistemi di gestione. All inizio della visita di valutazione il Gruppo effettua una riunione di apertura con l Organizzazione al fine di: chiarire le modalità della valutazione; stabilire un canale ufficiale per le comunicazioni fra il Gruppo e l Organizzazione; stabilire quanto altro necessario per l effettuazione della verifica.
pag. 10 di 18 Al termine della verifica, il Gruppo rende note, in sede di riunione di chiusura e alla presenza della Direzione dell Organizzazione richiedente, le conclusioni in merito alla rispondenza del SGSI dell Organizzazione rispetto al modello di riferimento, precisando gli eventuali scostamenti riscontrati. L Organizzazione in tale sede ha l opportunità di confrontarsi con il Gruppo, di chiarire la propria posizione su quanto presentato e proporre le eventuali azioni correttive. L esito della valutazione viene documentato in un Rapporto di Valutazione riservato, predisposto dal Gruppo, che evidenzia gli eventuali scostamenti rispetto ai requisiti del modello di SGSI applicabile e le eventuali raccomandazioni formulate ai fini del miglioramento. Nel rapporto viene anche confermato quanto valutato nello stage 1 in merito al significato del SGSI in relazione alla politica e agli obiettivi dell organizzazione (analisi preliminare di business). Tale rapporto viene consegnato ufficialmente dal Responsabile del Gruppo di verifica all Organizzazione nell ambito della riunione di chiusura. ICIM, ricevuto il Rapporto dal Responsabile del Gruppo, se ritiene di apportare modifiche, informa l Organizzazione per iscritto. L Organizzazione valutata deve informare per iscritto ICIM, nei tempi concordati, delle azioni correttive stabilite e dare successivamente evidenza documentata della loro effettuazione. ICIM valuta le azioni correttive proposte dall Organizzazione e, qualora non accetti le proposte di risoluzione delle non conformità rilevate relativamente ai tempi e ai modi di effettuazione delle stesse, ne informa per iscritto l Organizzazione. La documentazione relativa all esame della Domanda viene sottoposta con il Rapporto di Valutazione al Comitato di Certificazione ICIM per valutare la certificabilità dell Organizzazione. Salvo eventuale richiesta di una Istruttoria integrativa, il Comitato di Certificazione trasmette all Amministratore Delegato (AD) le proprie decisioni motivate e adottate a maggioranza semplice. AD, per delega del CdA, ratifica le decisioni relative alla concessione della certificazione ICIM. 5.4 Rilascio della Certificazione 5.4.1 Quando la certificazione viene concessa, ICIM emette il Certificato che definisce: - la normativa di riferimento; - il campo e i limiti di applicazione del SGSI per il quale viene rilasciata la certificazione; - la data di rilascio e la durata della validità della certificazione. 5.4.2 La certificazione non viene concessa qualora si riscontri: - il totale mancato rispetto di un requisito della norma di riferimento; - non conformità del prodotto/servizio relative a requisiti legislativi cogenti.
pag. 11 di 18 5.4.3 Nel caso di non concessione della certificazione, vengono comunicate per iscritto all Organizzazione richiedente le ragioni di tale decisione, precisando gli scostamenti rispetto ai requisiti richiesti per la certificazione del modello di SGQ prescelto che l Organizzazione si deve impegnare a correggere entro il termine di tempo proposto dall Organizzazione e accettato da ICIM. In questo caso ICIM decide se è necessaria, alla scadenza indicata, un altra visita di valutazione oppure se è sufficiente una dichiarazione scritta dell Organizzazione richiedente, accompagnata da una adeguata documentazione, che le azioni correttive sono state attuate. Tale attuazione potrà essere verificata in occasione della prima visita di sorveglianza. 5.4.4 L Organizzazione richiedente che non accetti la decisione presa da ICIM può richiedere ad ICIM un supplemento di indagine, esponendo le ragioni del proprio dissenso, secondo le modalità indicate nell articolo 14 del presente Regolamento. 5.4.5 A seguito del rilascio della certificazione, ICIM iscrive l Organizzazione nel Registro delle Organizzazioni in possesso di certificazione ICIM. Tale registro è trattato, aggiornato e mantenuto riservato in conformità ai requisiti del D.lgs. 196 del 6 Giugno 2003; l'azienda è preventivamente informata dei diritti previsti per legge, delle modalità di consultazione e aggiornamento dei dati, e dei vincoli contrattuali che rendono necessario il trattamento da parte di ICIM. 6.0 VALIDITA E RINNOVO DELLA CERTIFICAZIONE SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI 6.1 Durata della validità La validità della certificazione è di 3 (tre) anni dalla data di emissione del certificato. 6.2 Condizioni di validità L Organizzazione in possesso di certificazione deve tempestivamente informare per iscritto ICIM di ogni modifica che venga apportata al suo SGSI con adeguata documentazione. Tali modifiche possono, a giudizio di ICIM, motivare una nuova visita di valutazione; le spese relative a tale visita sono a carico dell Organizzazione certificata. 6.3 Rinnovo della Certificazione Il rinnovo della certificazione è effettuato allo scadere di ogni triennio; richiede un ulteriore esame della documentazione del SGSI e comporta una visita di valutazione del SGSI dell Organizzazione effettuata nei 6 (sei) mesi precedenti la scadenza dello stesso. La visita di valutazione per il rinnovo viene effettuata secondo le modalità dell articolo 5.3 per le parti applicabili. Qualora (ISO/IEC 27001:2007 9.4.1) in fase di rinnovo vengano rilevate delle non conformità, ICIM e l organizzazione concorderanno un periodo di tempo entro il
Rev. 2 del 10/7/2009 pag. 12 di 18 quale dovranno essere corrette. Tale periodo di tempo verrà scelto in base alla criticità delle non conformità in relazione ai rischi individuati, e all assicurazione della continuità di business e della fornitura di prodotti e servizi da parte dell organizzazione. Qualora tale necessità di correzione non fosse soddisfatta da parte dell azienda, il certificato verrà sospeso o ritirato. Al termine del triennio, ICIM invierà quotazioni di rinnovo relative al successivo periodo di validità della certificazione. Il rinnovo della certificazione è inoltre subordinato al soddisfacimento di quanto indicato all articolo 11 del presente Regolamento.
pag. 13 di 18 7.0 DIRITTI E DOVERI DELLE AZIENDE IN POSSESSO DI CERTIFICAZIONE 7.1 L Organizzazione in possesso della certificazione si deve impegnare a: mantenere la propria organizzazione rispondente ai requisiti relativi al SGSI scelto come riferimento; tenere una registrazione di tutti gli eventi correlati alla sicurezza delle informazioni (es. intrusioni, violazioni della privacy, ecc.); tenere (ISO/IEC 27001:2007 9.8.1) una registrazione di tutti i reclami da parte di clienti, relativi a eventi correlati alla sicurezza delle informazioni, delle relative indagini e azioni correttive conseguenti; accettare a proprie spese le visite di sorveglianza del SGSI eseguite da ICIM al fine di verificare la permanenza della conformità ai requisiti relativi al SGSI certificato. accettare, a proprie spese, le visite di mantenimento che si rendessero necessarie per mantenere valida la certificazione a seguito di modifiche organizzative rilevanti, intervenute dopo la data di concessione della certificazione o dell ultima visita di sorveglianza da parte di ICIM; 7.2 La certificazione è riservata all Organizzazione limitatamente ai siti e alle attività menzionate nel certificato e non è trasferibile. Modifiche organizzative, variazioni di organico o cambi di proprietà dell Organizzazione consentono il mantenimento della certificazione purché: venga tempestivamente informato per iscritto ICIM; ICIM abbia verificato che le modifiche siano conformi al SGSI certificato; L eventuale verifica conseguente a tali variazioni può comportare modifiche dei corrispettivi applicati ovvero l addebito di oneri aggiuntivi. 7.3 L Organizzazione che desideri mutare e/o estendere il modello di SGSI scelto come riferimento e/o il campo di applicazione del certificato e/o mutare e/o estendere i prodotti/processi/servizi interessati dalla certificazione del sistema di gestione per la qualità deve darne preventiva informazione scritta ad ICIM. ICIM al ricevimento della richiesta provvede ad istruire una opportuna pratica per decidere le azioni del caso. 7.4 L Organizzazione in possesso di certificazione si impegna a consentire l accesso ai propri locali agli auditor ICIM, agli ispettori dell ente di accreditamento in accompagnamento a ICIM, o a suoi rappresentanti autorizzati, ad assisterli durante le visite di sorveglianza e ad attuare le eventuali correzioni del proprio sistema di gestione per la qualità a seguito degli scostamenti rilevati. Gli auditor ICIM sono impegnati per limitare al minimo indispensabile le interferenze con le attività operative. 7.5 L Organizzazione ha il diritto di dare pubblicità all ottenimento della certificazione ICIM del proprio SGSI nei modi che ritiene più opportuni purché sia fatto sempre corretto riferimento al campo e ai limiti della certificazione ottenuta. L Organizzazione può inoltre utilizzare il Marchio di Conformità ICIM e altri marchi di conformità, per il cui uso sia data esplicita autorizzazione, conseguenti ad adesioni e/o ad accordi di riconoscimento con organizzazioni nazionali e internazionali o per specifici schemi di certificazioni su documentazione tecnica e pubblicitaria purché
Rev. 2 del 10/7/2009 pag. 14 di 18 sia fatto in modo da non essere interpretato come una certificazione di prodotto e vengano soddisfatti i requisiti ICIM per l utilizzo del Marchio di Conformità così come definiti nel documento ICIM 45R002. Il Marchio di Conformità ICIM non deve essere applicato su un prodotto, né in modo tale che si possa credere che esso certifichi la conformità di un prodotto. La certificazione non può essere usata in modo tale da essere ritenuta valida anche per altri modelli di SGSI non coperti dal certificato o per attività diverse da quelle per le quali è stata rilasciata o comunque in modo tale da indurre in errore. La certificazione ICIM di SGSI non assolve l Organizzazione dagli obblighi di legge derivanti dai prodotti o servizi forniti e dagli obblighi contrattuali verso i propri clienti. 7.6 L Organizzazione si impegna a non utilizzare la certificazione concessa qualora revocata o scaduta. 8.0 SORVEGLIANZA DELL AZIENDA IN POSSESSO DI CERTIFICAZIONE ICIM attua una sorveglianza del SGSI dell Organizzazione in possesso di certificazione al fine di verificare la permanenza della conformità ai requisiti certificati. Tale sorveglianza avviene mediante visite la cui frequenza è almeno annuale. Nel periodo di validità della certificazione, 3 (tre) anni, vengono eseguite n. 2 (due) visite di sorveglianza. ICIM, durante l attività di sorveglianza, attua un appropriato controllo sull uso, da parte dell Organizzazione, della certificazione ICIM. Visite di sorveglianza non programmate possono pure venire effettuate qualora ICIM venga a conoscenza di carenze nell osservanza SGSI certificato. Le visite di sorveglianza sono normalmente preannunciate con un minimo di 15 (quindici) giorni solari. Qualora a seguito delle visite (programmate e non) vengano riscontrati scostamenti dai requisiti prefissati, ICIM informa per iscritto l Organizzazione invitandola a eliminare le carenze riscontrate. In caso di gravi carenze o del perdurare di scostamenti dopo il termine concordato per la loro eliminazione, ICIM può, a suo insindacabile giudizio, sospendere la certificazione. La sospensione ufficiale viene comunicata da ICIM all Organizzazione per mezzo di lettera raccomandata indicando le condizioni alle quali può essere revocata. La sospensione è revocata solo quando ICIM abbia accertato il soddisfacente ripristino della conformità ai requisiti certificati. Qualora la sospensione non possa essere revocata entro 6 (sei) mesi, ICIM procederà alla revoca della certificazione. Le spese relative alle verifiche aggiuntive conseguenti a carenze o scostamenti, riscontrati in sede di visite o a conoscenza di ICIM, sono a carico dell Organizzazione certificata.
pag. 15 di 18 9.0 RINUNCIA O REVOCA DELLA CERTIFICAZIONE 9.1 Rinuncia L Organizzazione può rinunciare alla certificazione del SGSI in suo possesso: alla scadenza della validità della certificazione, dando formale disdetta del contratto con un preavviso di 6 (sei) mesi; nel caso di variazione delle norme di riferimento, come precisato all articolo 12 del presente Regolamento; nel caso di non accettazione di eventuali revisioni del presente Regolamento; nel caso di non accettazione delle variazioni delle condizioni economiche contrattuali; per disdetta unilaterale del contratto da parte dell Organizzazione, nei periodi di rinnovo successivi al primo periodo di validità della certificazione. Negli ultimi quattro casi la rinuncia diventa effettiva 3 (tre) mesi dopo la data in cui ICIM riceve la comunicazione scritta che l azienda dichiara di voler recedere. La comunicazione deve essere inviata dall Organizzazione entro 1 (uno) mese dalla data della notifica delle variazioni da parte di ICIM. A seguito della rinuncia l Organizzazione si impegna a: restituire l originale del certificato ICIM; non utilizzarne le eventuali copie e riproduzioni; eliminare dalla carta intestata, documentazione tecnica e pubblicitaria ogni riferimento o simbolo alla/della certificazione ICIM. Inoltre la rinuncia alla certificazione comporta da parte di ICIM: la cancellazione dell Organizzazione dal Registro di cui all articolo 5.4.4 del presente Regolamento e le azioni conseguenti; 9.2 Revoca il non accoglimento della Domanda presentata dalla stessa Organizzazione se non dopo 2 (due) anni dalla data di risoluzione del Contratto salvo eccezioni valutabili dal Comitato di Certificazione. La revoca della certificazione del sistema di gestione per la qualità di un Organizzazione viene decisa da ICIM a seguito di: inosservanza dei requisiti e delle prescrizioni derivanti dalla applicazione degli articoli 6, 7, 8, e 13 del presente Regolamento; non revoca di una eventuale sospensione allo scadere dei 6 (sei) mesi previsti dall articolo 8; ripetuta inosservanza degli impegni assunti con ICIM per porre rimedio agli scostamenti dai requisiti riscontrati e segnalati; persistere della condizione di morosità per oltre un mese dal ricevimento della diffida inviata da ICIM per lettera raccomandata; cessazione delle attività per le quali l Organizzazione aveva ottenuto la certificazione del proprio SGSI; fallimento o liquidazione.
pag. 16 di 18 La decisione della revoca della certificazione del SGSI aziendale viene comunicata da ICIM mediante lettera raccomandata A.R. A seguito della revoca, l Organizzazione si impegna a: restituire l originale del certificato ICIM; non utilizzare le eventuali copie e riproduzioni; eliminare dalla carta intestata, documentazione tecnica e pubblicitaria ogni riferimento o simbolo alla/della certificazione ICIM. Inoltre ICIM provvede: alla cancellazione dell Organizzazione dal Registro di cui all articolo 5.4.4. del presente Regolamento e alle azioni di pubblicazione ritenute opportune; al non accoglimento della Domanda presentata dall Organizzazione se non dopo un anno dalla data di revoca e ciò soltanto a seguito della dimostrazione che sono stati presi, nel frattempo, i provvedimenti che ICIM ritiene atti ad evitare il ripetersi delle inadempienze che avevano dato luogo alla revoca. 9.3 Azioni ICIM Qualora l Organizzazione che ha rinunciato alla certificazione, o la cui certificazione sia stata revocata da ICIM, non ottemperi agli obblighi descritti ai paragrafi 9.1 e 9.2, ICIM si tutelerà adottando i provvedimenti legali e di pubblicazione più opportuni. 10.0 RISERVATEZZA Gli atti (documentazione, lettere, comunicazioni) relativi alle attività di certificazione del SGSI dell Organizzazione richiedente, a partire dalla presentazione della Domanda, sono considerati riservati e quindi l accesso ad essi è regolamentato da apposita procedura. Il personale e i collaboratori di ICIM, che nel corso dell espletamento delle proprie funzioni vengano a conoscenza dei contenuti di tali atti, sono tenuti al segreto professionale. Nel caso in cui la legge prevede che determinate informazioni siano rese note ad Autorità preposte, ICIM informerà preventivamente l Organizzazione circa le informazioni fornite. 11.0 CONDIZIONI ECONOMICHE 11.1 Tariffe Le tariffe vigenti, relative alle attività di certificazione e di mantenimento della certificazione, possono essere variate da ICIM. Le loro variazioni vengono notificate alle Organizzazioni certificate e certificande secondo le modalità indicate al successivo paragrafo 12. All Organizzazione che non accetti detta variazione e che si avvalga del diritto di rinuncia previsto al par. 9.1, vengono praticate, durante il periodo di preavviso, le tariffe antecedenti le variazioni.
pag. 17 di 18 11.2 Condizioni di pagamento Gli importi dovuti ad ICIM per le attività inerenti la certificazione sono stabiliti dalle condizioni definite nell offerta e devono essere versati ad ICIM secondo quanto stabilito in offerta. Gli importi relativi alla visita di valutazione e di rinnovo, devono essere versati con rimessa diretta a ricevimento fattura e comunque prima del rilascio del certificato. L annullamento o il rinvio della visita di valutazione / sorveglianza / rinnovo già concordata tra ICIM e l Organizzazione comporta il diritto di addebitare, a titolo di indennizzo, oneri addizionali pari al 50% del corrispettivo previsto per l attività programmata, salvo che la richiesta di rinvio o di annullamento non pervenga per iscritto a ICIM con almeno 10 gg lavorativi di anticipo. Inoltre, nel caso di inadempienze e/o ritardi nei pagamenti da parte dell Organizzazione avvenuti nel corso del rapporto contrattuale in corso, ICIM è autorizzata a emettere fatture con modalità di pagamento a rimessa diretta, prima di effettuare l attività di sorveglianza prevista dal contratto medesimo. Le fatture dovranno essere saldate integralmente prima della visita di sorveglianza La revoca o rinuncia della/alla certificazione ICIM, per uno qualsiasi dei motivi contemplati nel Regolamento, comporta per l Organizzazione l integrale pagamento delle tariffe base per l eventuale nuova Domanda di Certificazione e per la valutazione della stessa. Il mancato adempimento dei suddetti obblighi comporta l invio da parte di ICIM di una lettera di diffida e quindi la sanzione di revoca della certificazione secondo quanto previsto all articolo 9.2. 12.0 MODIFICHE DELLE CONDIZIONI DI RILASCIO DELLA CERTIFICAZIONE Qualora venissero modificate le condizioni relative al rilascio della certificazione quali: la normativa di riferimento per il modello di SGSI scelto, il Regolamento, le Tariffe, ICIM ne da tempestiva comunicazione alle Organizzazioni certificate o certificande, utilizzando il mezzo idoneo ad evidenziare la corretta trasmissione all Azienda. Le Organizzazioni, in caso di accettazione delle variazioni, vi si devono adeguare entro il termine comunicato da ICIM contestualmente all inoltro delle variazioni. Le Organizzazioni, in caso di non accettazione della/e variazione/i, possono rinunciare alla certificazione purché ne diano comunicazione ad ICIM secondo le modalità indicate all articolo 9.1 del presente Regolamento. ICIM si riserva il diritto di verificare la conformità dell adeguatezza del SGSI dell Organizzazione alle nuove prescrizioni di normativa. Le spese per le eventuali visite di verifica sono a carico dell Organizzazione certificata.
pag. 18 di 18 13.0 SCORRETTO USO DELLA CERTIFICAZIONE E giudicato scorretto l uso della certificazione qualora esso possa trarre in inganno i destinatari dell informazione (tecnica, commerciale, pubblicitaria) e, in particolare, quando: la certificazione non sia stata ancora concessa; la certificazione venga utilizzata o pubblicizzata fuori dal suo campo di applicabilità; l Organizzazione apporti al suo SGSI modifiche non accettate da ICIM; l Organizzazione ometta di recepire modifiche alle regole del sistema emanate da ICIM; esistano altre circostanze suscettibili di influire negativamente sul sistema di gestione per la qualità aziendale; la certificazione sia stata revocata o sospesa; l Organizzazione ne abbia fatto rinuncia. ICIM, accertato l uso scorretto della certificazione, prenderà le misure atte a impedirlo e a salvaguardare i propri interessi. 14.0 RICORSI E RECLAMI L Organizzazione richiedente o già in possesso della certificazione può fare ricorso contro le decisioni di ICIM, esponendo le ragioni del proprio dissenso entro 30 (trenta) giorni dalla comunicazione della decisione. ICIM esamina il ricorso ed esprime il proprio parere entro 90 (novanta) giorni dalla relativa data di ricezione. Reclami possono essere presentati ad ICIM dall Organizzazione in possesso della certificazione ICIM o dai clienti dell Organizzazione in possesso della certificazione ICIM, da organismi di accreditamento e/o da ciascuna delle parti interessate alla certificazione. Nel caso di reclami scritti, ICIM conferma per iscritto il ricevimento degli stessi e si impegna a rispondere in modo rapido entro 15 (quindici) giorni dall avvenuta ricezione. 15.0 CONTROVERSIE Ogni e qualsiasi controversia che dovesse insorgere tra le parti nell esecuzione, applicazione o interpretazione delle clausole del presente Regolamento, che non potesse essere risolta amichevolmente dalle parti, sarà devoluta alla competenza dell autorità giudiziaria di Milano.