ISO 9001

Elenco delle informazioni documentate obbligatorie per la ISO 9001:2015

Da quando è stata pubblicata la nuova ISO 9001:2015, molte persone si sono chieste quanti e quali fossero i documenti ("documented information" per dirla con il nuovo standard) assolutamente indispensabili in questa versione della norma.
Abbiamo quindi pensato di farvi una lista aggiornata dei documenti e delle registrazioni (vecchia terminologia che usiamo per farvi capire meglio di quali tipologie di documented information stiamo parlando) strettamente necessari perr implementare la nuova ISO 9001, ricordandovi - ovviamente - che questo elenco non può in alcun modo essere esaustivo perché ogni organizzazione dovrà affiancare a queste documented information tutte quelle che ritiene fondamentali per poter lavorare al meglio.

Ricordiamo anche che, tra i documenti che stiamo per elencarvi, potrebbero essercene alcuni che - pur essendo obbligatori - potranno non essere presentati se si riferiscono a un processo che avrete escluso, motivandone l'esclusione. Per maggiore chiarezza, li abbiamo contrassegnati con un asterisco (*).

Ecco l'elenco:

• Campo di applicazione del Sistema Qualità (paragrafo 4.3)
• Politica per la Qualità (paragrafo 5.2)
• Obiettivi della Qualità (paragrafo 6.2)
• Criteri per la valutazione e la selezione dei fornitori (paragrafo 8.4.1)
• Registrazioni relative al monitoraggio e alla misurazione degli strumenti * (paragrafo 7.1.5.1)
• Registrazioni relative alla formazione, alle competenze, all'esperienza maturata e alle qualifiche (paragrafo 7.2)
• Riesame dei requisiti dei prodotti e dei servizi (paragrafo 8.2.3.2)
• Riesame degli output della progettazione e sviluppo * (paragrafo 8.3.2)
• Riesame degli input della progettazione e sviluppo * (paragrafo 8.3.3)
• Registrazioni relative ai controlli effettuati durante la progettazione e sviluppo * (paragrafo 8.3.4)
• Registrazioni degli output della progettazione e sviluppo * (paragrafo 8.3.5)
• Registrazioni delle modifiche relative a progettazione e sviluppo * (paragrafo 8.3.6)
• Caratteristiche del prodotto da produrre e del servizio da erogare (paragrafo 8.5.1)
• Registrazioni relative alla proprietà del cliente (paragrafo 8.5.3)
• Registrazioni relative al controllo delle modifiche dei prodotti e servizi (paragrafo 8.5.6)
• Registrazioni della conformità di prodotti e servizi con i relativi criteri di accettazione (paragrafo 8.6)
• Registrazioni relative agli output non conformi (paragrafo 8.7.2)
• Risultati del monitoraggio e misurazione (paragrafo 9.1.1)
• Programma degli audit interni (paragrafo 9.2)
• Risultati degli audit interni (paragrafo 9.2)
• Risultati del riesame della Direzione (paragrafo 9.3)
• Risultati delle azioni correttive (paragrafo 10.1)

ISO 27001

Lo standard ISO/IEC 27001 (Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti) è una norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall'inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

La versione più recente della norma è la ISO/IEC 27001:2013, che andrà gradualmente a sostituire la versione 2005.

La Norma è stata creata e pubblicata nell'ottobre 2005 (la versione italiana UNI è del 2006) a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione ha sostituito la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Il nuovo standard ha assorbito entrambe le parti: la linea guida è stata recepita dall'ISO come ISO 17799 (Information Technology -Security Techniques - Code of practice for information security management), mentre la seconda parte, lo standard vero e proprio, è stato emesso nell'ottobre 2005 come ISO 27001. Nel 2007 anche il documento ISO 17799 è stato ritirato e sostituito dalla norma ISO 27002, meglio coordinata con la ISO 27001 e parte della serie 27000 che comprende oggi svariati altri documenti correlati al tema della sicurezza delle informazioni.

La norma ISO 27002:2007 è una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative; ISO 27001:2005 è il documento normativo di certificazione al quale l'organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002:2007 non è certificabile in quanto è una semplice raccolta di raccomandazioni.

Dal momento che l'informazione è un bene che aggiunge valore all'impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L'obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell'azienda.

La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.

L'impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO 9001:2000 ed il Risk management, basandosi sull'approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive, sorveglianza, nell'ottica del miglioramento continuo.

La norma Standard ISO 27001:2005 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L'obiettivo principale è quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT. La norma è applicabile a tutte le imprese private o pubbliche, in quanto prescinde da uno specifico settore di business o dall'organizzazione dell'azienda. Però bisogna tener presente che l'adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico, il quale in genere coincide con l'ufficio Organizzazione e Qualità.

“Essa specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato all'interno di un contesto di rischi legati alle attività centrali dell'organizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessità di una singola organizzazione o di una sua parte. Il sistema è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati.”

Lo standard ISO 27001:2005 che come già detto presenta molti punti in comune con la ISO 9001, che definisce i requisiti di un sistema di gestione della qualità (es. adozione modello PDCA, filosofia del miglioramento continuo, ecc.), si differenzia in quanto segue un approccio basato sulla gestione del rischio. Quindi lo standard prevede:

• Pianificazione e Progettazione;
• Implementazione;
• Monitoraggio;
• Mantenimento e Miglioramento

similmente a quanto previsto dai sistemi per la gestione della qualità.

Nella fase di progettazione richiede però lo svolgimento di un risk assessment, schematizzabile in:

• Identificazione dei rischi;
• Analisi e valutazione;
• Selezione degli obiettivi di controllo e attività di controllo per la gestione dei rischi;
• Assunzione del rischio residuo da parte del management;
• Definizione dello Statement of Applicability.

L'ultimo punto specifica gli obiettivi di controllo adottati e i controlli implementati dall'organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente alla norma sui sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è richiesta ampia documentazione riguardo sia l'analisi del rischio sia le procedure e i controlli a supporto dell'ISMS. Come per il sistema qualità, l'organizzazione ISMS può essere certificata da enti di certificazione, che operano tramite valutatori qualificati, esaminando periodicamente lo stato delle condizioni di conformità. Tra le condizioni di conformità la norma prevede la pianificazione e realizzazione di attività di autocontrollo gestite dall'impresa, con personale proprio o esterno, purché in entrambi i casi dotato delle necessarie competenze.