L’ente TÜV Hessen ha deciso di aggiornare i format dei suoi certificati.
Per tutti i Clienti che effettueranno delle nuove emissioni per ristampa o ricertificazione riceveranno il certificato aggiornato al nuovo format.
Nota Bene: Tutti i certificati emessi nel passato risultano comunque validi!
Di seguito vi mostriamo come è cambiato il certificato TÜV Hessen:
L’ente non ha ancora ultimato la creazione di tutte le basi necessarie alla creazione dei certificati.
Di seguito il dettagli dei certificati aggiornati e non:
Lo standard ISO/IEC 27017, rientrante tra gli standard della serie ISO/IEC 27001, definisce controlli avanzati sia per fornitori di servizi cloud sia per i relativi clienti. A differenza di molti altri standard legati alla tecnologia, chiarisce ruoli e responsabilità dei diversi attori con l’obiettivo di garantire che i dati conservati in cloud siano sicuri e protetti, come se fossero in un sistema di gestione delle informazioni certificato.
Lo standard fornisce una guida per servizi cloud basata sui 37 controlli derivanti dalla ISO/IEC 27002 e su sette nuovi controlli aggiuntivi focalizzati sui seguenti punti:
Codice di condotta per la protezione delle PII (Personally Identifiable information) nei servizi di public cloud per i cloud provider – è una linea guida per i fornitori di servizi cloud pubblici che vogliono migliorare la gestione dei dati personali.
L’obiettivo di questo standard è quello di fornire una modalità strutturata, basata sul privacy by design, per far fronte alle principali questioni giuridiche, legalI e contrattualI, legatI alla gestione dei dati personali in infrastrutture informatiche distribuite (cloud pubblico).
Le contromisure specifiche introdotte dalla ISO 27018 si basano sui principi internazionali definiti riguardo alla privacy. Questi principi dovrebbero essere utilizzati per guidare la progettazione, lo sviluppo, l’attuazione, il monitoraggio e la misurazione di politiche sulla privacy e controlli della privacy nei servizi di cloud computing
L’impiego di servizi di cloud è divenuto un irrinunciabile driver di efficienza per molte aziende pubbliche e private.
A fronte della diffusione di questo modello, da qualche anno le autorità garanti dei dati personali hanno messo in guardia i titolari del trattamento di dati personali contro i rischi di scarsa trasparenza sulle modalità e sui soggetti che processano i dati, nonché di perdita di controllo sui dati personali inviati nella “nuvola”.
Cercando online le due norme ISO/IEC 27017 e ISO/IEC 27018, possiamo notare come gli enti di certificazione abbiano emesso dei certificati anche accreditati riguardo questi standard.
Ne troviamo molti, anche di enti noti, recante anche il logo dell’ente di Accreditamento!
Trattandosi di Linee guida, le norma ISO/IEC 27017 e ISO/IEC 27018
non sono quindi certificabili
Ciò nonostante, come previsto dalla circolare Accredia DC2019SSV022, è possibile ottenere una integrazione di un certificato esistente ISO/IEC 27001 purché rilasciato da un Ente di certificazione riconosciuto.
https://www.accredia.it/app/uploads/2019/02/DC2019SSV044.pdf
Punti salienti:
Lo standard ISO/IEC 27701: 2019 specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System o sistema di gestione delle informazioni sulla privacy) attraverso un set di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001: 2013 per la gestione della sicurezza delle informazioni.
Le organizzazioni che hanno già implementato un ISMS (Information Security Management System) secondo la ISO/IEC 27001 saranno in grado di utilizzare la ISO/IEC 27701 per estendere la copertura dell’information security alla gestione della privacy, comprendendo anche i trattamenti di dati personali (PII – Personally Identifiable Information ), in modo da poter dimostrare la conformità con le legislazioni cogenti in materia di protezione dei dati personali come il GDPR (cfr. art. 42 – General Data Protection Regulation (EU) 2016/679).
Le organizzazioni che non sono dotate di un ISMS possono anche implementare ISO/IEC 27001 e ISO/IEC 27701 insieme in un singolo progetto, in quanto la ISO/IEC 27701 estende semplicemente i requisiti forniti dalla 27001 e dal suo “codice di condotta” (ISO/IEC 27002), e non è quindi necessario realizzare due sistemi di gestione e/o progetti di implementazione separati.
La ISO/IEC 27701 è stata
progettata per essere utilizzata da tutte le organizzazioni, siano esse
titolari del trattamento o responsabili del trattamento. Come per la ISO/IEC
27001, la norma è fondata su un approccio basato sul rischio in modo che
ciascuna organizzazione che voglia essere e mantenersi conforme affronti i
rischi specifici riguardanti il trattamento dei dati personali e la privacy a
cui è soggetta.
La norma è quindi applicabile per tutte le organizzazioni, qualsiasi sia la
loro dimensione e il loro settore di attività.
La norma fornisce requisiti e linee guida per costruire, implementare, mantenere e migliorare costantemente un PIMS, sia che l’organizzazione operi come titolare del Trattamento (Data Controller), sia come Responsabile (Data Processor).
I requisiti della norma sono suddivisi in quattro capitoli:
La norma comprende inoltre i seguenti allegati:
Implementare un PIMS conforme alle ISO/IEC 27701 e ISO 27001 consentirà di soddisfare i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in materia di protezione dei dati e dimostrerà che sono stati predisposte “misure tecniche e organizzative appropriate” (articolo 32) per proteggere i dati personali che vengono trattati, proteggendo i diritti degli interessati, in linea con il principio di accountability descritto nel Regolamento (articolo 5).
L’articolo 42 del GDPR tratta dei meccanismi di certificazione della protezione dei dati. Anche se non è ancora stata definita e riconosciuta ufficialmente come meccanismo valido in tal senso dalle autorità competenti (EDPB e Garante), tuttavia è possibile ottenere la certificazione ISO 27001 – e per estensione ISO 27701 – accreditata in modo indipendente da un certification body riconosciuto, dimostrando così a tutti gli stakeholder che la vostra organizzazione segue le migliori pratiche internazionali in tema di protezione dei dati personali.
La ISO 45001, come tutte le ISO di ultima generazione, adotta la ISO High Level Structure (HLS). Alcuni dei cambiamenti della ISO 45001 rispetto alla OHSAS 18001 riflettono le peculiarità dell’HLS mentre altri sono specifici per la salute e la sicurezza sul lavoro.
Alla pubblicazione della ISO 45001 seguirà il ritiro della OHSAS 18001. ISO 45001 è uno standard internazionale, garantisce una maggiore compatibilità con altri standard, come ISO 9001 e ISO 14001. Rende più facile l’implementazione e l’integrazione in un sistema di gestione, con un valore aggiunto per gli utenti. Se la tua azienda ha già adottato la norma OHSAS 18001, riconoscerai la maggior parte dei requisiti previsti dalla ISO 45001. Tuttavia, ci sono alcune variazioni rispetto alla OHSAS 18001 che è necessario preparare per migrare e rendersi conformi alla ISO 45001.
Ulteriori requisiti relativi a:
Cambiamenti significativi
Breve sintesi sulla norma di certificazione ISO 9001:2015:
Oltre alle numerose modifiche sostanziali ai requisiti, l’approccio stesso
all‘audit è stato modificato
ISO 9001:2015 | ISO 9001:2008 |
8 Attività | – |
8.1 Pianificazione e controllo operativo | 7.1b |
8.2 Determinazione dei requisiti per i prodotti e servizi | – |
8.2.1 Comunicazione con il Cliente | 7.2.3 |
8.2.2 Determinazione dei requisiti relativi a prodotti e servizi | 7.2.1 |
8.2.3 Riesame dei requisiti relativi a prodotti e servizi | 7.2.1; 7.2.2 |
8.3 Progettazione e sviluppo di prodotti e servizi | – |
8.3.1 Generalità | nuovo requisito |
8.3.2 Elementi in ingresso alla progettazione ed allo sviluppo | 7.3.1 |
8.3.3 Elementi in ingresso alla progettazione ed allo sviluppo | 7.3.2 |
8.3.4 Controlli della progettazione e dello sviluppo | 7.3.3, 7.3.4, 7.3.5, 7.3.6 |
8.3.5 Elementi in uscita dalla progettazione ed dallo sviluppo | 7.3.3 |
8.3.6 Modifiche alla progettazione e allo sviluppo | 7.3.7 |
8.4 Controllo dei prodotti e servizi forniti esternamente | – |
8.4.1 Generalità | 7.4.1, 7.4.3 |
8.4.2 Tipo ed estensione del controllo della fornitura esterna | 7.4.1, 7.4.3 |
8.4.3 Informazioni dai fornitori esterni | 7.4.1, 7.4.2, 7.4.3 |
8.5 Produzione ed erogazione del servizio | – |
8.5.1 Controllo della produzione e dell’erogazione del servizio | 7.5.1, 7.5.2 |
8.5.2 Identificazione e rintracciabilità | 7.5.3 |
8.5.3 Proprietà appartenenti a Clienti o fornitori esterni | 7.5.4 |
8.5.4 Conservazione | 7.5.5 |
8.5.5 Attività di post-consegna | nuovo requisito |
8.5.6 Controllo delle modifiche | nuovo requisito |
8.6 Rilascio dei prodotti e dei servizi | 8.2.4 |
8.7 Controllo delle non conformità degli elementi in uscita dal processo, dei prodotti e dei servizi | 8.3 |
9. Valutazione delle prestazioni | – |
9.1 Monitoraggio, misurazione, analisi e valutazione | – |
9.1.1 Generalità | 8.1 |
9.1.2 Soddisfazione del cliente | 8.2.1 |
9.1.3 Analisi e valutazione | 8.4 |
9.2 Audit Interni | – |
9.2.1 | 8.2.2 |
9.2.2 | 8.2.2 |
9.3 Riesame della Direzione | – |
9.3.1 | 5.6.1, 5.6.2 |
9.3.2 | 5.6.3 |
10. Miglioramento | – |
10.1 Generalità | nuovo requisito |
10.2 Non conformità ed azioni correttive | – |
10.2.1 | 8.3, 8.5.2 |
10.2.2 | 8.5.2 |
10.3 Miglioramento continuo | 8.5.1 |