Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente Ing. Nicola Gatta

1. Firme elettroniche, grafometria e biometria: Quo vadis?
Presentazione dei report dei Gruppi di Lavoro Aifag
e analisi dei nuovi scenari
Roma, 16 giugno 2015
CON IL PATROCINIO DI:
E CON LA COLLABORAZIONE DI:
presenta:

2. Innovazione Digitale e Gestione della Sicurezza:
ISO 27001 da standard volontario a requisito cogente
Roma, 16 giugno 2015
Dott. Nicola Gatta
Direzione Marketing & Industry Management
Email n.gatta@certiquality.it
Cell. 335.1689045

3. CERTIQUALITY è un Organismo al servizio delle imprese accreditato per la certificazione dei
sistemi di gestione aziendale per la qualità, l'ambiente, la sicurezza e nella certificazione di
prodotto. Certiquality svolge inoltre attività di ispezione, opera nella verifica della
sostenibilità, della responsabilità sociale di impresa, della sicurezza alimentare, dei sistemi
informativi e realizza una importante attività di formazione e informazione su questi temi.
A livello internazionale, CERTIQUALITY aderisce con Cisq al circuito IQNet (International
Certification Network) che riunisce i 38 più prestigiosi organismi di certificazione di 32 Paesi
del mondo.
L'accreditamento da parte di Accredia e degli altri organismi preposti assicura il rispetto
delle Norme europee ISO/IEC17065, ISO/IEC 17021 e ISO/IEC 17020 per gli Istituti di
Certificazione che ne garantiscono l'imparzialità e la competenza.
120PROFESSIONISTI
22.000 CERTIFICATI RILASCIATI
550 AUDITOR
7.500CLIENTI
8 UFFICI SUL TERRITORIO
18.000 GIORNATE DI AUDIT/ANNO

4. I NOSTRI STAKEHOLDER
 FEDERCHIMICA
 ASSOLOMBARDA
 AIUDAPDS
 ANITA
 ASSICC
 ASSOCARTA
 FEDERAZIONE GOMMA PLASTICA
 CONFINDUSTRIA CERAMICA
 ASSOVETRO
 CONFARTIGIANATO
 FAI
 CNA FITA
 SIMTI
 UNIONCHIMICA

5. )
CERTIFICAZIONE DI SISTEMA
A fronte di norme e standard
nazionali e internazionali
CERTIFICAZIONE DI PRODOTTO
sia volontarie (es: brc, ifs)
sia cogenti (es: marcature CE)
ISPEZIONI*
Ispezioni, Audit, Controllo fornitori
e Servizi personalizzati
FORMAZIONE
Certiquality organizza: Corsi in aula
Corsi e-learning, Corsi presso le aziende
I NOSTRI SERVIZI
*Servizi che si stanno sviluppando in maniera più significativa sulla base delle richieste del mercato
www.certiquality.it

6. Food and Packaging
Chimico e Farmaceutico
Dispositivi medici
Rifiuti e Igiene Ambientale
Servizi alla persona
Servizi alle imprese
Servizi Professionali
Settori
di attività
Pubblica Amministrazione
Banche e Servizi finanziari
Utilities
Edilizia
Industria
Logistica e Trasporti
Retail e Grande Distribuzione

7. QUALITÀ, GESTIONE DEI RISCHI, PRODOTTO,
SICUREZZA E QUALITÀ DELLE INFORMAZIONI
ISO 9001
SMARTCERT - ISO 9004:2009
ISO/TS 16949:2009
ISO 13485
MARCATURA CE DEI DISPOSITIVI MEDICI
ISO 15378 - IMBALLI FARMACEUTICI
EFfCI - MATERIE PRIME COSMETICHE
ISO 22716 - COSMETICI GMP
DOCUMENTI TECNICI
10459 e UNI 11068
ISTITUTI DI VIGILANZA PRIVATI - UNI 10891,
UNI ISO 29990 - formazione non formale
ISO 39001:2012
ISO 22301
Informazione Medico Scientifica
UNI EN 14065 - Lavanderie industriali
ISO/IEC 27001
ISO/IEC 20000

8. Ambiente:
ISO 14001
REGOLAMENTO EMAS
OEF
VALIDAZIONE RAPPORTI AMBIENTALI - BILANCI DI SOSTENIBILITA'
Efficienza energetica:
ISO 50001 - Energy Management Systems
AUDIT ENERGETICO
UNI CEI 11352: Gestione dell’energia nelle ESCO
UNI CEI 11339 EGE
Cambiamenti climatici:
VERIFICA GAS SERRA
ISO 14064 Carbon Footprint di Organizzazione
F-GAS
Marchi ambientali di prodotto:
FSC
PEFC
TIMBER REGULATION
EPD
ETV (Environmental Technology Verification)
MARCHIO DI COMPOSTABILITA'
ISO 14067 CARBON FOOTPRINT di prodotto
Remade in Italy
Water footprint
PEF
Salute, sicurezza e ambiente:
TECHNICAL AUDIT HSE
Salute, sicurezza e ambiente per prodotti chimici:
SERVIZI REACH
SQAS
ESAD
End of Waste:
Reg . 333 (rottami di metalli), CSS (combustibili solidi secondari), Reg 1179 (rottami di vetro)
Recupero rifiuti di apparecchiature elettriche ed elettroniche:
QUALIFICA RAEE
Compliance:
AUDIT DEI MODELLI ORGANIZZATIVI
Edilizia ed efficienza energetica:
EDILIZIA SOSTENIBILE - LEED
DT 55 - PERCENTUALE DI RICICLATO NEI MANUFATTI DELL'EDILIZIA
CERTIFICAZIONE ENERGETICA DEGLI EDIFICI
Salute, sicurezza e ambiente per saponi e detergenti:
A.I.S.E. Charter
Criteri Verdi di Acquisto per la Pubblica Amministrazione
GREEN PUBLIC PROCUREMENT
ISO 20121 – gestione sostenibile degli eventi
Sostenibilità ambientale
(climate changes, end of waste recupero e riciclo rifiuti,
energia, certificazione ambientale di prodotto)

9. Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
I NUOVI STANDARD ISO e la
GESTIONE DEL RISCHIO
Risk Management
E’ l’insieme delle attività, metodologie e risorse
coordinate per guidare e tenere sotto controllo
un'organizzazione con riferimento ai rischi.

10. Standard ISO quale modello organizzativo e metodologia di Risk Management:
obiettivo
assicurare la continuità del business aziendale
Maggiore è la complessità dell’Organizzazione ….
…. maggiore sarà l’esigenza
di assicurare che i rischi siano
correttamente valutati e gestiti
 ORGANIZZAZIONE INTERNA
 propri FORNITORI
 ma anche PARTNER
LA CERTIFICAZIONE: STRUMENTO DI
RISK MANAGEMENT
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

11. ISO 31000:
IL FRAMEWORK
PER LA GESTIONE
DEL RISCHIO
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

12. ISO 31000:
IL PROCESSO
PER LA GESTIONE
DEL RISCHIO
Graduazione del Rischio
Trattamento del Rischio
Rischio
accettabile?
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

13. RISK MANAGEMENT: LA NUOVA STRUTTURA DEGLI STANDARD ISO
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente
Valutazione del Rischio
Trattamento del Rischio
Obiettivi per la Sicurezza delle Informazioni
Analisi dei Rischi

14. Alcune considerazioni sui cambiamenti:
- si parla di informazioni documentate e non più di procedure documentate e registrazioni
- vi è un forte richiamo alla comprensione del “contesto” nel quale opera
l’organizzazione ed alle aspettative delle parti interessate, che dello stesso sistema possono essere le promotrici
- le azioni preventive sono state eliminate, perché incluse nelle “azioni per fronteggiare rischi e opportunità”
- la valutazione e il trattamento del rischio sono presenti sia nella pianificazione del
SGSI sia nella sua operatività
- Gestione del Rischio secondo le linee guida ISO 31000
RISK MANAGEMENT: LA NUOVA STRUTTURA DEGLI
STANDARD ISO
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

15. Gestire in modo sicuro i propri processi e i servizi erogati,
equivale a garantire l’affidabilità dell’impresa
in termini di
- riduzione degli eventi di possibili disservizi
- rispetto di adeguati livelli di servizio
- - riduzione dei rischi di interruzione del servizio (Business Continuity)
Sistema di Gestione della Sicurezza delle Informazioni
Certificazione Informatica
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

16. 1. Normativa per Accreditamento Conservatori documenti informatici
Il Codice dell’Amministrazione Digitale definisce il documento informatico come :
“la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”
La Conservazione è il processo che permette di conservare i documenti informatici in maniera equivalente, sotto il profilo
giuridico, ai documenti analogici.
FINO A DICEMBRE 2013
a) Conservazione Sostitutiva = la conservazione informatizzata dei documenti analogici
b) Conservazione Digitale = la conservazione informatizzata di documenti informatici nativi
CON IL DPCM 3 DICEMBRE 2013
CONSERVAZIONE DEI DOCUMENTI INFORMATICI
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

17. ATTIVITA’ DI CONSERVAZIONE DI DOCUMENTI INFORMATICI PER LA P.A.:
CIRCOLARE N. 65 del 10 APRILE 2014
«Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei
documenti informatici» (della P.A.)
al fine di conseguire il riconoscimento dei requisiti del livello più elevato,
in termini di qualità e sicurezza
I conservatori che conseguono l’accreditamento sono iscritti nell’ ELENCO DEI CONSERVATORI ACCREDITATI pubblicato sul sito
istituzionale dell’Agenzia Per l’Italia Digitale, che esercita sugli stessi un’attività di vigilanza, volta ad assicurare che siano
mantenuti nel tempo i requisiti che hanno consentito l’iscrizione, pena la revoca dell’accreditamento e la conseguente
cancellazione dall’elenco.
REQUISITO TECNICO indispensabile ai fini dell’Accreditamento è il possesso da parte del conservatore di una certificazione
ISO27001
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

18. Agenda per le Semplificazioni 2015-2017
Dal 2015 sarà possibile richiedere il PIN unico per accedere ai servizi on line erogati dalle Pubbliche Amministrazioni.
Il PIN unico si chiamerà "SPID" - Sistema pubblico di identità digitale" – e nella fase iniziale sarà attivo solo per alcune
amministrazioni, tra cui INPS, INAIL e Agenzia delle Entrate, alcune Regioni (Emilia Romagna, Friuli V.G., Liguria, Marche,
Piemonte e Toscana) e tre Comuni (Firenze, Lecce, Milano).
Obiettivo del Governo:
- Settembre 2015: fornire l’accesso ai servizi on line a 3 milioni di cittadini
- Dicembre 2017: raggiungere 10 milioni di utenti
2. Normativa per il PIN unico per l’accesso ai servizi delle P.A. (SPID)
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

19. D.P.C.M. 24 ottobre 2014
(G.U. n.285 del 9/12/2014 )
«Definizione delle caratteristiche del sistema pubblico per la gestione dell'identita' digitale
di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema
SPID da parte delle pubbliche amministrazioni e delle imprese.»
(ART.1 - Definizioni)
Gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che. previa
identificazione certa dell'utente, assegnano, rendono disponibili e gestiscono gli
attributi utilizzati dal medesimo utente al fine della sua identificazione informatica.
(ART.10 - Accreditamento dei gestori dell'identità digitale)
 Prevista l’iscrizione dei Gestori in un Registro SPID
 Requisito per l’iscrizione: CERTIFICAZIONE ISO 27001 e ISO 9001
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

20. GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014
Vengono previste quattro specifiche ipotesi di trattamento e per ognuno dei contesti presi in esame, il Garante elenca le
misure di sicurezza e gli accorgimenti affinché il trattamento sia rispettoso della particolare natura di dati raccolti e utilizzati:
1- Credenziali di autenticazione per l'accesso a banche dati e sistemi informatici
2- Controllo di accesso fisico ad aree "sensibili" dei soggetti addetti e utilizzo di apparati e macchinari pericolosi
3- Consentire, regolare e semplificare l'accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato
(es. aree aeroportuali riservate) o a servizi (cd. utilizzo dell'impronta digitale o della topografia della mano)
4- Sottoscrizione di documenti informatici (es. banche e assicurazioni)
3. Prescrizioni in tema di Biometria e Firma Grafometrica
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

21. Viene introdotto l'obbligo di mantenere una Relazione che descriva gli aspetti tecnici e organizzativi delle misure messe in
atto dal titolare (compresa la valutazione della necessità e della proporzionalità del trattamento biometrico) e che introduce
un obbligo di rendicontazione specifico in capo al titolare del trattamento per poter dimostrare (in caso di eventuali controlli o
ispezioni) di aver adottato tutte le nuove prescrizioni e i vincoli imposti dalla normativa, nel pieno rispetto del principio
dall'accountability.
Tale relazione tecnica è conservata aggiornata, con verifica di controllo almeno annuale, per tutto il periodo di esercizio del
sistema biometrico e mantenuta a disposizione del Garante.
ORGANIZZAZIONE CERTIFICATA ISO 27001:
 viene esplicitato che l’organizzazione certificata ISO 27001 è esentata dall'obbligo di redigere la relazione, potendo
utilizzare la documentazione prodotta nell'ambito della certificazione.
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

22. Si poteva evitare?
• Certi eventi sono inevitabili ma i danni
possono essere ridotti con una gestione
efficiente dei rischi
• ISO 27001 =
Sistema di Governance Aziendale per la
Sicurezza delle Informazioni
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente

23. Grazie per l’attenzione
Dott. Nicola Gatta
Direzione Marketing & Industry Management
n.gatta@certiquality.it
335.1689045
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volontario a requisito cogente