Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Risk  assessmentLa norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni. Continua a leggere

La norma ISO 19011 sugli audit nei sistemi di gestione

AuditChecklistLa UNI EN ISO 19011:2012 – Linee guida per audit di sistemi di gestione pubblicata lo scorso anno, presenta alcune interessanti novità rispetto alla versione precedente del 2003, anche se nella sostanza i cambiamenti non impattano in modo significativo sul processo di audit.

Anzitutto già dal titolo si capisce che la norma è valida per qualsiasi tipo di audit su sistemi di gestione, non solo per quelli relativi a qualità ed ambiente (ISO 9001 e ISO 14001), ma – come era ovvio supporre – si adatta anche alla gestione degli audit per i sistemi di gestione sulla sicurezza delle informazioni ISO 27001, sulla sicurezza e salute sul lavoro, ecc. Continua a leggere

La documentazione del sistema qualità nell’era del web 2.0

Documenti sistemaOggi la documentazione del sistema di gestione per la qualità ISO 9001 (o altra certificazione) può essere gestita in modo molto più efficiente che un tempo, grazie soprattutto agli strumenti informatici per la gestione dei documenti in formato elettronico ed alle possibilità offerte dalle applicazioni web per la collaborazione tramite internet. Continua a leggere

Con la riforma del condominio quale organizzazione per gli Amministratori condominiali?

La riforma del condominio

La riforma del condominio

Con la Legge 11 dicembre 2012 n. 220 “Modifica alla disciplina del condominio negli edifici”, la c.d. “Riforma del Condominio” sono state introdotte numerose novità nella gestione condominiale ed alcune di esse richiedono agli Amministratori di Condomini, siano essi piccoli studi professionali o società di capitali, di dotarsi di una struttura organizzativa idonea.

Se da un lato gli adempimenti e le responsabilità per gli Studi di Amministrazione Condominiale sono cresciute negli ultimi anni, dall’altro i compensi riconosciuti dai condòmini e dal mercato sono troppo bassi per gestire in modo efficace ed efficiente un certo numero di condomini. Continua a leggere

La norma UNI 10721 per il controllo tecnico della qualità dei progetti e delle opere

Direttori cantiere

controlli in cantiere

La norma UNI 10721:2012 “Servizi di controllo tecnico applicati all’edilizia e alle opere di ingegneria civile” è stata recentemente oggetto di un seminario presso la sede UNI. Esaminiamone gli aspetti salienti evidenziati commentandone le principali criticità applicative.

Continua a leggere

Entrata in vigore del D.P.R. 74/2013: cosa cambia per i manutentori di impianti termici certificati ISO 9001

manutenzione impianti termici

manutenzione impianti termici

E’ entrato in vigore il 12 luglio scorso il D.P.R. n. 74 del 16/04/2013 (Regolamento recante definizione dei criteri generali in materia di esercizio, conduzione, controllo, manutenzione e ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda per usi igienici sanitari) che apporta nuove modifiche alla normativa in materia di esercizio, conduzione, controllo, manutenzione e ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda sanitaria. Continua a leggere

La nuova versione della ISO 27001 arriverà a fine 2013

Computer Monitor and Keyboard on Desk La ISO/IEC 27001, norma contenente i requisiti per un sistema di gestione della sicurezza delle informazioni, è in corso di revisione e la sua pubblicazione è prevista per l’autunno del 2013. La revisione riguardeà essenzialmente l’armonizzazione della norma alla ISO Guide 83 che prevede uno schema univoco per tutte le norme sui sistemi di gestione, a cui si stanno man mano adeguando gli standard di recente e futura pubblicazione.

Continua a leggere

Nuova ISO 17021:2011

La norma internazionale ISO/IEC 17021:2011 – Conformity assessment – Requirements for bodies providing audit and certification of management systems – revisione della ISO/IEC 17021:2006, applicabile agli organismi che effettuano la certificazione dei sistemi di gestione aziendale (SGQ, SGA, SCR, SSI, FSM, ecc) è entrata completamente in vigore il  1° febbraio 2013 termine ultimo per l’implementazione della norma da parte degli Organismi di Certificazione.

La norma prescrive nuovi requisiti per la conduzione degli audit da parte degli organismi di certificazione e per la competenza degli auditor, con l’obiettivo di accrescere il valore della certificazione per le organizzazioni del settore pubblico e privato e per i loro utenti, assicurando l’affidabilità dei certificati ISO 9001, 14001, 22000 e altri. Continua a leggere

Il ruolo del consulente

Il consulente aziendale, professionista di estrazione tecnica od economica, può avere diversi ruoli:

  1. Può fornire servizi professionali finalizzati all’espletamento di adempimenti cogenti (sicurezza sul lavoro, privacy, tenuta della contabilità, certificazione di prodotto, ma anche di qualità ISO 9001 laddove è necessaria per accedere ad appalti pubblici) o facoltativi (certificazione sistema di gestione qualità, ambiente, sicurezza delle informazioni,…).
  2. Può fornire servizi di temporary management oppure outsourcing di servizi che l’impresa non intende assumersi internamente per insufficienti competenze del personale interno, mancanza di tempo da dedicare all’attività e per non sostenere i costi interni necessari per creare e mantenere una risorsa adegatamente qualificata. I servizi in outsourcing possono riguardare la funzione di responsabile qualità o sicurezza (RSPP), il controllo di gestione o altro. Il servizio si caratterizza per un impegno del consulente limitato nel tempo, part-time (un certo numero di giorni a settimana o al mese) o di durata determinata (per un anno, due anni,…). Comprende l’assunzione di responsabilità ed il coordinamento di risorse come se si trattasse di manager interni all’azienda.
  3. Può, infine, fornire servizi professionali che creano valore per i propri clienti: riorganizzazione aziendale, controllo di gestione, innovazione tecnologica, business process reengineering, ecc..

Continua a leggere

Firma digitale: finalmente al via una nuova e più sicura versione

Le nuove regole sulla firma digitale sono entrate in vigore questa settimana. Le novità di legge obbligheranno gli utenti ad aggiornare il software del proprio sistema di firma per garantire un più elevato grado di affidabilità e sicurezza. La deliberazione n.45/2009 del CNIPA e le successive modifiche della determinazione commissariale n.69/2010 hanno infatti definito i nuovi standards tecnici di sicurezza per la firma digitale. Continua a leggere

image_pdfimage_print