Date post: | 29-Jul-2015 |
Category: |
Law |
Upload: | digital-law-communication |
View: | 57 times |
Download: | 1 times |
Firme elettroniche, grafometria e biometria: Quo vadis?Presentazione dei report dei Gruppi di Lavoro Aifag
e analisi dei nuovi scenari Roma, 16 giugno 2015
CON IL PATROCINIO DI:
E CON LA COLLABORAZIONE DI:
presenta:
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
Roma, 16 giugno 2015
Dott. Nicola Gatta
Direzione Marketing & Industry ManagementEmail [email protected]. 335.1689045
CERTIQUALITY è un Organismo al servizio delle imprese accreditato per la certificazione dei sistemi di gestione aziendale per la qualità, l'ambiente, la sicurezza e nella certificazione di prodotto. Certiquality svolge inoltre attività di ispezione, opera nella verifica della sostenibilità, della responsabilità sociale di impresa, della sicurezza alimentare, dei sistemi informativi e realizza una importante attività di formazione e informazione su questi temi.
A livello internazionale, CERTIQUALITY aderisce con Cisq al circuito IQNet (International Certification Network) che riunisce i 38 più prestigiosi organismi di certificazione di 32 Paesi del mondo.L'accreditamento da parte di Accredia e degli altri organismi preposti assicura il rispetto delle Norme europee ISO/IEC17065, ISO/IEC 17021 e ISO/IEC 17020 per gli Istituti di Certificazione che ne garantiscono l'imparzialità e la competenza.
120 PROFESSIONISTI
22.000 CERTIFICATI RILASCIATI
550 AUDITOR
7.500 CLIENTI
8 UFFICI SUL TERRITORIO
18.000 GIORNATE DI AUDIT/ANNO
I NOSTRI STAKEHOLDER
FEDERCHIMICA ASSOLOMBARDA AIUDAPDS ANITA ASSICC ASSOCARTA FEDERAZIONE GOMMA PLASTICA CONFINDUSTRIA CERAMICA ASSOVETRO CONFARTIGIANATO FAI CNA FITA SIMTI UNIONCHIMICA
)
CERTIFICAZIONE DI SISTEMAA fronte di norme e standard
nazionali e internazionali
CERTIFICAZIONE DI PRODOTTOsia volontarie (es: brc, ifs)
sia cogenti (es: marcature CE)
ISPEZIONI*Ispezioni, Audit, Controllo fornitori
e Servizi personalizzati
FORMAZIONECertiquality organizza: Corsi in aula
Corsi e-learning, Corsi presso le aziende
I NOSTRI SERVIZI
*Servizi che si stanno sviluppando in maniera più significativa sulla base delle richieste del mercato
www.certiquality.it
Food and Packaging
Chimico e Farmaceutico
Dispositivi medici
Rifiuti e Igiene Ambientale
Servizi alla persona
Servizi alle imprese
Servizi Professionali
Settori di attività
Pubblica Amministrazione
Banche e Servizi finanziari
Utilities
Edilizia
Industria
Logistica e Trasporti
Retail e Grande Distribuzione
QUALITÀ, GESTIONE DEI RISCHI, PRODOTTO, SICUREZZA E QUALITÀ DELLE INFORMAZIONI
ISO 9001SMARTCERT - ISO 9004:2009ISO/TS 16949:2009 ISO 13485 MARCATURA CE DEI DISPOSITIVI MEDICI ISO 15378 - IMBALLI FARMACEUTICI EFfCI - MATERIE PRIME COSMETICHE ISO 22716 - COSMETICI GMP DOCUMENTI TECNICI10459 e UNI 11068ISTITUTI DI VIGILANZA PRIVATI - UNI 10891,UNI ISO 29990 - formazione non formaleISO 39001:2012ISO 22301Informazione Medico ScientificaUNI EN 14065 - Lavanderie industrialiISO/IEC 27001ISO/IEC 20000
Ambiente:ISO 14001 REGOLAMENTO EMAS OEFVALIDAZIONE RAPPORTI AMBIENTALI - BILANCI DI SOSTENIBILITA'
Efficienza energetica:ISO 50001 - Energy Management Systems AUDIT ENERGETICO UNI CEI 11352: Gestione dell’energia nelle ESCO UNI CEI 11339 EGE
Cambiamenti climatici:VERIFICA GAS SERRA ISO 14064 Carbon Footprint di OrganizzazioneF-GAS
Marchi ambientali di prodotto:FSC PEFCTIMBER REGULATIONEPD ETV (Environmental Technology Verification)MARCHIO DI COMPOSTABILITA'ISO 14067 CARBON FOOTPRINT di prodottoRemade in ItalyWater footprintPEF
Salute, sicurezza e ambiente:TECHNICAL AUDIT HSE
Salute, sicurezza e ambiente per prodotti chimici:SERVIZI REACH SQASESAD
End of Waste:Reg . 333 (rottami di metalli), CSS (combustibili solidi secondari), Reg 1179 (rottami di vetro)
Recupero rifiuti di apparecchiature elettriche ed elettroniche:QUALIFICA RAEE
Compliance:AUDIT DEI MODELLI ORGANIZZATIVI
Edilizia ed efficienza energetica: EDILIZIA SOSTENIBILE - LEED DT 55 - PERCENTUALE DI RICICLATO NEI MANUFATTI DELL'EDILIZIACERTIFICAZIONE ENERGETICA DEGLI EDIFICI
Salute, sicurezza e ambiente per saponi e detergenti: A.I.S.E. Charter
Criteri Verdi di Acquisto per la Pubblica AmministrazioneGREEN PUBLIC PROCUREMENT
ISO 20121 – gestione sostenibile degli eventi
Sostenibilità ambientale (climate changes, end of waste recupero e riciclo rifiuti, energia, certificazione ambientale di prodotto)
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
I NUOVI STANDARD ISO e la GESTIONE DEL RISCHIO
Risk Management
E’ l’insieme delle attività, metodologie e risorsecoordinate per guidare e tenere sotto controlloun'organizzazione con riferimento ai rischi.
Standard ISO quale modello organizzativo e metodologia di Risk Management:
obiettivo
assicurare la continuità del business aziendale
Maggiore è la complessità dell’Organizzazione ….
…. maggiore sarà l’esigenza di assicurare che i rischi siano
correttamente valutati e gestiti
ORGANIZZAZIONE INTERNA
propri FORNITORI
ma anche PARTNER
LA CERTIFICAZIONE: STRUMENTO DI RISK MANAGEMENT
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
ISO 31000: IL FRAMEWORK PER LA GESTIONE DEL RISCHIO
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
ISO 31000: IL PROCESSOPER LA GESTIONE DEL RISCHIO
Graduazione del Rischio
Trattamento del Rischio
Rischio
accettabile?
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
RISK MANAGEMENT: LA NUOVA STRUTTURA DEGLI STANDARD ISO
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
Valutazione del RischioTrattamento del Rischio
Obiettivi per la Sicurezza delle Informazioni
Analisi dei Rischi
Alcune considerazioni sui cambiamenti:
- si parla di informazioni documentate e non più di procedure documentate e registrazioni
- vi è un forte richiamo alla comprensione del “contesto” nel quale opera l’organizzazione ed alle aspettative delle parti interessate, che dello stesso sistema possono essere le promotrici
- le azioni preventive sono state eliminate, perché incluse nelle “azioni per fronteggiare rischi e opportunità”
- la valutazione e il trattamento del rischio sono presenti sia nella pianificazione delSGSI sia nella sua operatività
- Gestione del Rischio secondo le linee guida ISO 31000
RISK MANAGEMENT: LA NUOVA STRUTTURA DEGLI STANDARD ISO
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
Gestire in modo sicuro i propri processi e i servizi erogati,equivale a garantire l’affidabilità dell’impresa
in termini di
- riduzione degli eventi di possibili disservizi
- rispetto di adeguati livelli di servizio
- - riduzione dei rischi di interruzione del servizio (Business Continuity)
Sistema di Gestione della Sicurezza delle Informazioni
Certificazione Informatica
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
1. Normativa per Accreditamento Conservatori documenti informatici
Il Codice dell’Amministrazione Digitale definisce il documento informatico come :“la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”
La Conservazione è il processo che permette di conservare i documenti informatici in maniera equivalente, sotto il profilo giuridico, ai documenti analogici.
FINO A DICEMBRE 2013
a) Conservazione Sostitutiva = la conservazione informatizzata dei documenti analogici
b) Conservazione Digitale = la conservazione informatizzata di documenti informatici nativi
CON IL DPCM 3 DICEMBRE 2013
CONSERVAZIONE DEI DOCUMENTI INFORMATICI
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
ATTIVITA’ DI CONSERVAZIONE DI DOCUMENTI INFORMATICI PER LA P.A.:
CIRCOLARE N. 65 del 10 APRILE 2014 «Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei
documenti informatici» (della P.A.)
al fine di conseguire il riconoscimento dei requisiti del livello più elevato, in termini di qualità e sicurezza
I conservatori che conseguono l’accreditamento sono iscritti nell’ ELENCO DEI CONSERVATORI ACCREDITATI pubblicato sul sito istituzionale dell’Agenzia Per l’Italia Digitale, che esercita sugli stessi un’attività di vigilanza, volta ad assicurare che siano mantenuti nel tempo i requisiti che hanno consentito l’iscrizione, pena la revoca dell’accreditamento e la conseguente cancellazione dall’elenco.
REQUISITO TECNICO indispensabile ai fini dell’Accreditamento è il possesso da parte del conservatore di una certificazione ISO27001
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
Agenda per le Semplificazioni 2015-2017
Dal 2015 sarà possibile richiedere il PIN unico per accedere ai servizi on line erogati dalle Pubbliche Amministrazioni.
Il PIN unico si chiamerà "SPID" - Sistema pubblico di identità digitale" – e nella fase iniziale sarà attivo solo per alcune amministrazioni, tra cui INPS, INAIL e Agenzia delle Entrate, alcune Regioni (Emilia Romagna, Friuli V.G., Liguria, Marche, Piemonte e Toscana) e tre Comuni (Firenze, Lecce, Milano).
Obiettivo del Governo: - Settembre 2015: fornire l’accesso ai servizi on line a 3 milioni di cittadini - Dicembre 2017: raggiungere 10 milioni di utenti
2. Normativa per il PIN unico per l’accesso ai servizi delle P.A. (SPID)
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
D.P.C.M. 24 ottobre 2014 (G.U. n.285 del 9/12/2014 )
«Definizione delle caratteristiche del sistema pubblico per la gestione dell'identita' digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema
SPID da parte delle pubbliche amministrazioni e delle imprese.»
(ART.1 - Definizioni)Gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che. previaidentificazione certa dell'utente, assegnano, rendono disponibili e gestiscono gliattributi utilizzati dal medesimo utente al fine della sua identificazione informatica.
(ART.10 - Accreditamento dei gestori dell'identità digitale) Prevista l’iscrizione dei Gestori in un Registro SPID Requisito per l’iscrizione: CERTIFICAZIONE ISO 27001 e ISO 9001
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014
Vengono previste quattro specifiche ipotesi di trattamento e per ognuno dei contesti presi in esame, il Garante elenca le misure di sicurezza e gli accorgimenti affinché il trattamento sia rispettoso della particolare natura di dati raccolti e utilizzati:
1- Credenziali di autenticazione per l'accesso a banche dati e sistemi informatici
2- Controllo di accesso fisico ad aree "sensibili" dei soggetti addetti e utilizzo di apparati e macchinari pericolosi
3- Consentire, regolare e semplificare l'accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate) o a servizi (cd. utilizzo dell'impronta digitale o della topografia della mano)
4- Sottoscrizione di documenti informatici (es. banche e assicurazioni)
3. Prescrizioni in tema di Biometria e Firma Grafometrica
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
Viene introdotto l'obbligo di mantenere una Relazione che descriva gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare (compresa la valutazione della necessità e della proporzionalità del trattamento biometrico) e che introduce un obbligo di rendicontazione specifico in capo al titolare del trattamento per poter dimostrare (in caso di eventuali controlli o ispezioni) di aver adottato tutte le nuove prescrizioni e i vincoli imposti dalla normativa, nel pieno rispetto del principiodall'accountability.
Tale relazione tecnica è conservata aggiornata, con verifica di controllo almeno annuale, per tutto il periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante.
ORGANIZZAZIONE CERTIFICATA ISO 27001: viene esplicitato che l’organizzazione certificata ISO 27001 è esentata dall'obbligo di redigere la relazione, potendo utilizzare la documentazione prodotta nell'ambito della certificazione.
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
Si poteva evitare?
• Certi eventi sono inevitabili ma i danni possono essere ridotti con una gestione efficiente dei rischi
• ISO 27001 =
Sistema di Governance Aziendale per la Sicurezza delle Informazioni
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
Grazie per l’attenzione
Dott. Nicola Gatta
Direzione Marketing & Industry Management
335.1689045
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente