È uscita la ISO 9001:2015: che fare?

Businesswoman Crossing the Finish Line Ahead of BusinessmenLo scorso 22 settembre è stata pubblicata (in realtà retrodatata 15 settembre 2015) la nuova versione della norma UNI EN ISO 9001:2015 “Sistemi di gestione per la qualità – Requisiti”. Tale norma, come noto, regola i sistemi di gestione per la qualità e la relativa certificazione in Italia e nel mondo.

Premesso che non è intenzione di questo articolo entrare nel merito tecnico e sostanziale dei singoli capitoli della norma, per la cui analisi si rimanda a successivi articoli, vorrei esprimere alcune considerazioni generali sulle novità introdotte dalla revisione della norma sui sitemi di gestione per la qualità e, soprattutto, illustrare quale approccio dovrebbero tenere le organizzazioni certificate e certificande nei confronti della nuova edizione della norma ISO 9001.

Continua a leggere

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Risk  assessmentLa norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni – Requisiti), recentemente pubblicata in nuova versione 2013 dall’ISO, richiede una valutazione preliminare dei rischi sulla sicurezza delle informazioni (punto 4.2.1) al fine di implementare un sistema di gestione della sicurezza delle informazioni idoneo a trattare i rischi che l’organizzazione effettivamente corre in merito all’Information Security.

Gli approcci possibili alla valutazione dei rischi possono essere diversi ed i metodi per effettuare il cosiddetto Risk Assessment possono variare di caso in caso, in funzione della dimensione, della complessità e del tipo di organizzazione che si sta esaminando.

La ISO 27005 (Information security risk management) è il principale riferimento per la gestione del rischio in ambito sicurezza delle informazione, ma anche altre norme quali la ISO 31000 (Risk management – Principles and guidelines) – recepita in Italia come UNI ISO 31000 (Gestione del rischio – Principi e linee guida) – e ISO 31010 (Risk management – Risk assessment techniques) possono essere prese a riferimento.

Vediamo un esempio di possibile approccio alla gestione del rischio finalizzato a preparare una valutazione dei rischi sulla sicurezza delle informazioni. Continua a leggere

image_pdfimage_print