Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

Firme elettroniche, grafometria e biometria: Quo vadis?Presentazione dei report dei Gruppi di Lavoro Aifag

e analisi dei nuovi scenari Roma, 16 giugno 2015

CON IL PATROCINIO DI:

E CON LA COLLABORAZIONE DI:

presenta:

Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

Roma, 16 giugno 2015

Dott. Nicola Gatta

Direzione Marketing & Industry ManagementEmail [email protected]. 335.1689045

mailto:[email protected]

CERTIQUALITY è un Organismo al servizio delle imprese accreditato per la certificazione dei sistemi di gestione aziendale per la qualità, l'ambiente, la sicurezza e nella certificazione di prodotto. Certiquality svolge inoltre attività di ispezione, opera nella verifica della sostenibilità, della responsabilità sociale di impresa, della sicurezza alimentare, dei sistemi informativi e realizza una importante attività di formazione e informazione su questi temi.

A livello internazionale, CERTIQUALITY aderisce con Cisq al circuito IQNet (International Certification Network) che riunisce i 38 più prestigiosi organismi di certificazione di 32 Paesi del mondo.L'accreditamento da parte di Accredia e degli altri organismi preposti assicura il rispetto delle Norme europee ISO/IEC17065, ISO/IEC 17021 e ISO/IEC 17020 per gli Istituti di Certificazione che ne garantiscono l'imparzialità e la competenza.

120 PROFESSIONISTI

22.000 CERTIFICATI RILASCIATI

550 AUDITOR

7.500 CLIENTI

8 UFFICI SUL TERRITORIO

18.000 GIORNATE DI AUDIT/ANNO

I NOSTRI STAKEHOLDER

FEDERCHIMICA ASSOLOMBARDA AIUDAPDS ANITA ASSICC ASSOCARTA FEDERAZIONE GOMMA PLASTICA CONFINDUSTRIA CERAMICA ASSOVETRO CONFARTIGIANATO FAI CNA FITA SIMTI UNIONCHIMICA

)

CERTIFICAZIONE DI SISTEMAA fronte di norme e standard

nazionali e internazionali

CERTIFICAZIONE DI PRODOTTOsia volontarie (es: brc, ifs)

sia cogenti (es: marcature CE)

ISPEZIONI*Ispezioni, Audit, Controllo fornitori

e Servizi personalizzati

FORMAZIONECertiquality organizza: Corsi in aula

Corsi e-learning, Corsi presso le aziende

I NOSTRI SERVIZI

*Servizi che si stanno sviluppando in maniera più significativa sulla base delle richieste del mercato

www.certiquality.it

Food and Packaging

Chimico e Farmaceutico

Dispositivi medici

Rifiuti e Igiene Ambientale

Servizi alla persona

Servizi alle imprese

Servizi Professionali

Settori di attività

Pubblica Amministrazione

Banche e Servizi finanziari

Utilities

Edilizia

Industria

Logistica e Trasporti

Retail e Grande Distribuzione

QUALITÀ, GESTIONE DEI RISCHI, PRODOTTO, SICUREZZA E QUALITÀ DELLE INFORMAZIONI

ISO 9001SMARTCERT - ISO 9004:2009ISO/TS 16949:2009 ISO 13485 MARCATURA CE DEI DISPOSITIVI MEDICI ISO 15378 - IMBALLI FARMACEUTICI EFfCI - MATERIE PRIME COSMETICHE ISO 22716 - COSMETICI GMP DOCUMENTI TECNICI10459 e UNI 11068ISTITUTI DI VIGILANZA PRIVATI - UNI 10891,UNI ISO 29990 - formazione non formaleISO 39001:2012ISO 22301Informazione Medico ScientificaUNI EN 14065 - Lavanderie industrialiISO/IEC 27001ISO/IEC 20000

Ambiente:ISO 14001 REGOLAMENTO EMAS OEFVALIDAZIONE RAPPORTI AMBIENTALI - BILANCI DI SOSTENIBILITA'

Efficienza energetica:ISO 50001 - Energy Management Systems AUDIT ENERGETICO UNI CEI 11352: Gestione dell’energia nelle ESCO UNI CEI 11339 EGE

Cambiamenti climatici:VERIFICA GAS SERRA ISO 14064 Carbon Footprint di OrganizzazioneF-GAS

Marchi ambientali di prodotto:FSC PEFCTIMBER REGULATIONEPD ETV (Environmental Technology Verification)MARCHIO DI COMPOSTABILITA'ISO 14067 CARBON FOOTPRINT di prodottoRemade in ItalyWater footprintPEF

Salute, sicurezza e ambiente:TECHNICAL AUDIT HSE

Salute, sicurezza e ambiente per prodotti chimici:SERVIZI REACH SQASESAD

End of Waste:Reg . 333 (rottami di metalli), CSS (combustibili solidi secondari), Reg 1179 (rottami di vetro)

Recupero rifiuti di apparecchiature elettriche ed elettroniche:QUALIFICA RAEE

Compliance:AUDIT DEI MODELLI ORGANIZZATIVI

Edilizia ed efficienza energetica: EDILIZIA SOSTENIBILE - LEED DT 55 - PERCENTUALE DI RICICLATO NEI MANUFATTI DELL'EDILIZIACERTIFICAZIONE ENERGETICA DEGLI EDIFICI

Salute, sicurezza e ambiente per saponi e detergenti: A.I.S.E. Charter

Criteri Verdi di Acquisto per la Pubblica AmministrazioneGREEN PUBLIC PROCUREMENT

ISO 20121 – gestione sostenibile degli eventi

Sostenibilità ambientale (climate changes, end of waste recupero e riciclo rifiuti, energia, certificazione ambientale di prodotto)


I NUOVI STANDARD ISO e la GESTIONE DEL RISCHIO

Risk Management

E’ l’insieme delle attività, metodologie e risorsecoordinate per guidare e tenere sotto controlloun'organizzazione con riferimento ai rischi.

Standard ISO quale modello organizzativo e metodologia di Risk Management:

obiettivo

assicurare la continuità del business aziendale

Maggiore è la complessità dell’Organizzazione ….

…. maggiore sarà l’esigenza di assicurare che i rischi siano

correttamente valutati e gestiti

ORGANIZZAZIONE INTERNA

propri FORNITORI

ma anche PARTNER

LA CERTIFICAZIONE: STRUMENTO DI RISK MANAGEMENT


ISO 31000: IL FRAMEWORK PER LA GESTIONE DEL RISCHIO


ISO 31000: IL PROCESSOPER LA GESTIONE DEL RISCHIO

Graduazione del Rischio

Trattamento del Rischio

Rischio

accettabile?


RISK MANAGEMENT: LA NUOVA STRUTTURA DEGLI STANDARD ISO


Valutazione del RischioTrattamento del Rischio

Obiettivi per la Sicurezza delle Informazioni

Analisi dei Rischi

Alcune considerazioni sui cambiamenti:

- si parla di informazioni documentate e non più di procedure documentate e registrazioni

- vi è un forte richiamo alla comprensione del “contesto” nel quale opera l’organizzazione ed alle aspettative delle parti interessate, che dello stesso sistema possono essere le promotrici

- le azioni preventive sono state eliminate, perché incluse nelle “azioni per fronteggiare rischi e opportunità”

- la valutazione e il trattamento del rischio sono presenti sia nella pianificazione delSGSI sia nella sua operatività

- Gestione del Rischio secondo le linee guida ISO 31000

RISK MANAGEMENT: LA NUOVA STRUTTURA DEGLI STANDARD ISO


Gestire in modo sicuro i propri processi e i servizi erogati,equivale a garantire l’affidabilità dell’impresa

in termini di

- riduzione degli eventi di possibili disservizi

- rispetto di adeguati livelli di servizio

- - riduzione dei rischi di interruzione del servizio (Business Continuity)

Sistema di Gestione della Sicurezza delle Informazioni

Certificazione Informatica


1. Normativa per Accreditamento Conservatori documenti informatici

Il Codice dell’Amministrazione Digitale definisce il documento informatico come :“la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”

La Conservazione è il processo che permette di conservare i documenti informatici in maniera equivalente, sotto il profilo giuridico, ai documenti analogici.

FINO A DICEMBRE 2013

a) Conservazione Sostitutiva = la conservazione informatizzata dei documenti analogici

b) Conservazione Digitale = la conservazione informatizzata di documenti informatici nativi

CON IL DPCM 3 DICEMBRE 2013

CONSERVAZIONE DEI DOCUMENTI INFORMATICI


ATTIVITA’ DI CONSERVAZIONE DI DOCUMENTI INFORMATICI PER LA P.A.:

CIRCOLARE N. 65 del 10 APRILE 2014 «Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei

documenti informatici» (della P.A.)

al fine di conseguire il riconoscimento dei requisiti del livello più elevato, in termini di qualità e sicurezza

I conservatori che conseguono l’accreditamento sono iscritti nell’ ELENCO DEI CONSERVATORI ACCREDITATI pubblicato sul sito istituzionale dell’Agenzia Per l’Italia Digitale, che esercita sugli stessi un’attività di vigilanza, volta ad assicurare che siano mantenuti nel tempo i requisiti che hanno consentito l’iscrizione, pena la revoca dell’accreditamento e la conseguente cancellazione dall’elenco.

REQUISITO TECNICO indispensabile ai fini dell’Accreditamento è il possesso da parte del conservatore di una certificazione ISO27001


Agenda per le Semplificazioni 2015-2017

Dal 2015 sarà possibile richiedere il PIN unico per accedere ai servizi on line erogati dalle Pubbliche Amministrazioni.

Il PIN unico si chiamerà "SPID" - Sistema pubblico di identità digitale" – e nella fase iniziale sarà attivo solo per alcune amministrazioni, tra cui INPS, INAIL e Agenzia delle Entrate, alcune Regioni (Emilia Romagna, Friuli V.G., Liguria, Marche, Piemonte e Toscana) e tre Comuni (Firenze, Lecce, Milano).

Obiettivo del Governo: - Settembre 2015: fornire l’accesso ai servizi on line a 3 milioni di cittadini - Dicembre 2017: raggiungere 10 milioni di utenti

2. Normativa per il PIN unico per l’accesso ai servizi delle P.A. (SPID)


D.P.C.M. 24 ottobre 2014 (G.U. n.285 del 9/12/2014 )

«Definizione delle caratteristiche del sistema pubblico per la gestione dell'identita' digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema

SPID da parte delle pubbliche amministrazioni e delle imprese.»

(ART.1 - Definizioni)Gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che. previaidentificazione certa dell'utente, assegnano, rendono disponibili e gestiscono gliattributi utilizzati dal medesimo utente al fine della sua identificazione informatica.

(ART.10 - Accreditamento dei gestori dell'identità digitale) Prevista l’iscrizione dei Gestori in un Registro SPID Requisito per l’iscrizione: CERTIFICAZIONE ISO 27001 e ISO 9001


GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014

Vengono previste quattro specifiche ipotesi di trattamento e per ognuno dei contesti presi in esame, il Garante elenca le misure di sicurezza e gli accorgimenti affinché il trattamento sia rispettoso della particolare natura di dati raccolti e utilizzati:

1- Credenziali di autenticazione per l'accesso a banche dati e sistemi informatici

2- Controllo di accesso fisico ad aree "sensibili" dei soggetti addetti e utilizzo di apparati e macchinari pericolosi

3- Consentire, regolare e semplificare l'accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate) o a servizi (cd. utilizzo dell'impronta digitale o della topografia della mano)

4- Sottoscrizione di documenti informatici (es. banche e assicurazioni)

3. Prescrizioni in tema di Biometria e Firma Grafometrica


Viene introdotto l'obbligo di mantenere una Relazione che descriva gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare (compresa la valutazione della necessità e della proporzionalità del trattamento biometrico) e che introduce un obbligo di rendicontazione specifico in capo al titolare del trattamento per poter dimostrare (in caso di eventuali controlli o ispezioni) di aver adottato tutte le nuove prescrizioni e i vincoli imposti dalla normativa, nel pieno rispetto del principiodall'accountability.

Tale relazione tecnica è conservata aggiornata, con verifica di controllo almeno annuale, per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante.

ORGANIZZAZIONE CERTIFICATA ISO 27001: viene esplicitato che l’organizzazione certificata ISO 27001 è esentata dall'obbligo di redigere la relazione, potendo utilizzare la documentazione prodotta nell'ambito della certificazione.


Si poteva evitare?

• Certi eventi sono inevitabili ma i danni possono essere ridotti con una gestione efficiente dei rischi

• ISO 27001 =

Sistema di Governance Aziendale per la Sicurezza delle Informazioni


Grazie per l’attenzione

Dott. Nicola Gatta

Direzione Marketing & Industry Management

[email protected]

335.1689045


Law

Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente