Il Lead Auditor è la figura che all’interno del Gruppo di Audit possiede le conoscenze e le competenze necessarie per coordinare e condurre gli audit di 3° parte (audit di certificazione), verificare i fornitori (audit di 2° parte) e verificare internamente il proprio sistema di gestione(audit di1° parte)
La ISO 22000 è uno standard internazionale sviluppato con l’intento di armonizzare i differenti schemi HACCP con gli standard per la verifica della Sicurezza Alimentare.
Per le aziende del settore è sempre più importante far riferimento ad una norma specifica allineata agli altri standard internazionali e che risponda perfettamente alle attuali esigenze dell’industria alimentare. Obiettivo dello standard è la gestione della catena di fornitura e delle informazioni e controlli lungo la st essa.
LA NORMATIVA COMUNITARIA e DISCIPLINA SANZIONATORIA
IL REGOLAMENTO852/2004 E I PREREQUISITI
IL PIANO DI AUTOCONTROLLO AZIENDALE
LE PROCEDURE PREREQUISITO
➢ Pulizia e disinfezione delle strutture e delle attrezzature
➢ Igiene pre-operativa ed operativa
➢ Pest control
➢ Mantenimento della catena del freddo
➢ Controllo della qualità delle acque
➢ Manutenzione di strutture e impianti
➢ Selezione e verifica dei fornitori
➢ Igiene del personale
➢ Formazione del personale
➢ Gestione dei rifiuti e dei sottoprodotti
➢ Rintracciabilità e ritiro dal mercato dei Prodotti non conformi
LA STRUTTURA DELLA NORMA ISO 22000:2018
I REQUISITI
➢ Scopo
➢ Riferimenti normativi
➢ Termini e definizioni
➢ Contesto dell’organizzazione
➢ Leadership
➢ Pianificazione
➢ Supporto
➢ Attività operative
➢ Valutazione delle prestazioni
➢ Miglioramento
TECNICHE DI AUDIT
AUDIT IGIENICO SANITARIO
Piano di audit
Descrizione delle NC
Rapporto di audit
Il Lead Auditor è la figura che all’interno del Gruppo di Audit possiede le conoscenze e le competenze necessarie per coordinare e condurre gli audit di 3° parte (audit di certificazione), verificare i fornitori (audit di 2° parte) e verificare internamente il proprio sistema di gestione(audit di1° parte)
La norma specifica i requisiti per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell’organizzazione. Inoltre essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell’informazione adatti alle esigenze dell’organizzazione. I requisiti presenti nella norma sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura
Standard di riferimento Nazionali e Internazionali
UNI CEI EN ISO/IEC 27001:2017 & i Corrigendum ISO del 2014 e 2015
La struttura di alto livello (HLS)
ISMS Family of Standard
Le linee guida ISO/IEC 27017; ISO/IEC 27018; ISO/IEC 27701
Contesto Organizzativo (fattori interni ed esterni)
Parti Interessate e loro esigenze e requisiti
I confini e l’applicabilità del Sistema di Gestione ISMS
Policy ISMS
Ruoli organizzativi
Metodologie di analisi dei rischi (UNI ISO 31000, ISO/IEC 27005; AS NZS 4360; NIST 800-30)
Analisi & Gestione
Le risorse: Competenza, Consapevolezza e Comunicazione
Le Informazioni documentate
Pianificazione e Controlli Operativi
Valutazione del Rischio
Trattamento del rischio
Audit interni
Riesame di Direzione
Miglioramento (Non Conformità e Azioni Correttive)
Politica di sicurezza – Information security policy
Organizzazione per la sicurezza delle informazioni – organization of information security
Sicurezza risorse umane – human resources security
Gestione degli asset – asset management
Controllo degli accessi – access control
Crittografia – Cryptography
Sicurezza fisica e ambientale – physical and environmental security
Sicurezza delle operazioni – operations security
Sicurezza dele comunicazioni – Communications security
Gestione dell’operatività e delle comunicazioni – communications and operations management
Acquisizione, Sviluppo e manutenzione dei sistemi – systems acquisition, development and maintenance
Relazioni con i fornitori – Supplier realtionships
Gestione degli incidenti relativi alla sicurezza – information security incident management
Aspetti della sicurezza delle informazioni di continuità aziendale – Information security aspect of business continuity management
Conformità legale Compilance
Stage 1in una azienda di automazione: campo di applicazione & Politica
Stage 1in una azienda di automazione:gestione del rischio & SoA
Stage 1in una azienda di automazione: preparazione e presentazione Audit Report ST1
Stage 2 da un fornitore: simulazione verifica operativa
Stage 2 in una azienda di automazione: simulazione verifica operativa, preparazione e presentazione Audit Report ST2
Learning by doing
Imparare facendo è la metodologia principalmente utilizzata per i corsi, integrata dall’uso di supporti didattici di varia natura e dal coinvolgimento immediato dei discenti. In aggiunta alla programmazione, alla qualità dei materiali didattici, ed alla professionalità dei docenti, permette alti livelli di apprendimento.
Le sessioni teoriche e pratiche si alternano in modo da consentire ai partecipanti il monitoraggio continuo dell’apprendimento.
La metodologia include:
Studio di situazioni e casi reali
Esercitazioni individuali e di gruppo
Lezioni frontali interattive con i docenti
Professione: Consulente
Figura professionale esperta di sistemi che supporta le aziende nell’implementazione dei requisiti previsti dalle norme / linee guide di riferimento nazionali e internazionali focalizzando il lavoro sul gap tra le prassi aziendali e quanto richiesto dai summenzionati requisiti ed, eventualmente, le accompagna nel relativo iter di certificazione
Destinatari:
Il corso è destinato a professionisti o dipendenti che desiderano acquisire competenze per la progettazione e l’implementazione di un Sistema di Gestione della Sicurezza dei dati in conformità ai requisiti della ISO 27001:2013 integrato (o meno) con il sistema di gestione per la qualità
Information security management systems – valutazione e trattamento del rischio
Identificare i processi/attività coinvolte nel sistema di gestione
Valutare i danni e le probabilità di perdita di Riservatezza Integrità e Disponibilità delle informazioni;
Selezionare le opportune contromisure che possano abbassare danno e/o diminuirne la probabilità di accadimento
Information security management systems – Identificare le informazioni da proteggere e i requisiti di sicurezza
Contesto Organizzativo (fattori interni ed esterni)
Parti Interessate le loro esigenze e aspettative;
I confini di Applicazione del Sistema di gestione (Logici-Fisici-Organizzativi)
Politica del Sistema di Gestione Integrato (o meno)
Information security management systems – Pianificazione e controllo
Definire piani di attuazione delle contromisure
Stabilire obiettivi misurabili (se possibile) e coerenti con la politica
Audit interno
In relazione ad un caso studio individuato e presentato all’aula saranno simulate le seguenti attività:
Analisi Contesto Organizzativo (fattori interni ed esterni)
Analisi Parti Interessate le loro esigenze e aspettative;
Definizione del Campo di Applicazione del Sistema di Gestione Integrato;
Definizione della Politica del Sistema di Gestione Integrato;
Predisposizione della valutazione dei rischi;
Identificazione dei controlli operativi idonei al caso aziendale e predisposizione dell’indice di alcune procedure/istruzioni;
Identificazione degli Indicatori, obiettivi e piani di miglioramento;
Predisposizione della relazione di Audit Interno e Riesame del Sistema di Gestione.
Contesto
Con la diffusione del cloud computing crescono le preoccupazioni dei clienti di come sono protette le informazioni archiviate nel cloud e dove sono localizzate, soprattutto nel caso di cloud pubblici che contengono dati personali.
La ISO/IEC 27017 (Codice di condotta per i controlli di sicurezza delle informazioni basati su ISO/IEC 27002 per i servizi in cloud) e la ISO/IEC 27018 (Codice di condotta per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come responsabili PII), sono i primi standard a livello internazionale per contribuire a garantire il rispetto dei principi e delle norme privacy, da parte dei providers di servizi in cloud e dei servizi in public cloud che elaborano dati personali (PII – Personally Identifiable Information) che agiscano in qualità di responsabili del trattamento.
I due standard ampliano i controlli della ISO/IEC 27001 ed introducono specifici controlli aggiuntivi di cui le organizzazioni devono tener conto per l’estensione dei loro certificati ISO/IEC 27001.
Learning by doing
Imparare facendo è la metodologia principalmente utilizzata per i corsi abilitanti, integrata dall’uso di supporti didattici di varia natura e dal coinvolgimento immediato dei discenti. In aggiunta alla programmazione, alla qualità dei materiali didattici, ed alla professionalità dei docenti, permette alti livelli di apprendimento.
Le sessioni teoriche e pratiche si alternano in modo da consentire ai partecipanti il monitoraggio continuo dell’apprendimento.
La metodologia include:
Studio di situazioni e casi reali
Esercitazioni individuali e di gruppo
Lezioni frontali interattive con i docenti
Professione: Consulente
Figura professionale esperta di sistemi che supporta le aziende nell’implementazione dei requisiti previsti dalle norme / linee guide di riferimento nazionali e internazionali focalizzando il lavoro sul gap tra le prassi aziendali e quanto richiesto dai summenzionati requisiti ed, eventualmente, le accompagna nel relativo iter di certificazione
Destinatari:
Consulenti e Progettisti di Sistemi di Gestione per la Sicurezza delle Informazioni, Responsabili della Sicurezza delle Informazioni, Auditor e Lead Auditor della Sicurezza delle Informazioni e di altri schemi ICT, Auditor interni, etc.
Per gli auditor/lead auditor dei Sistemi di Gestione per la Sicurezza delle Informazioni il corso costituisce estensione della qualifica per gli audit sulla ISO/IEC 27018.
Corso di Aggiornamento
Per i professionisti della privacy (Privacy Specialist, Privacy Manager, Responsabile della Protezione dei Dati -DPO-), che devono mantenere tale conformita dimostrando annualmente, con idonea documentazione così come richiesto dalla UNI 11697 (Profili professionali relativi al trattamento e alla protezione dei dati personali), di aver superato un corso di aggiornamento sui temi afferenti rispettivamente al trattamento o alla protezione dei dati della durata minima di 8 ore (aumentate a 16 ore per il Responsabile della protezione dati).
Docente: Fabrizio Cirilli
membro del Comitato UNINFO SC27 “Security Techniques”
Oltre 30 anni di esperienza nell’ambito dei progetti ICT per aziende pubbliche e private
Analisi dei requisiti dello standard ISO/IEC 27018 e delle relazioni con altre norme
Analisi dei riferimenti alla ISO/IEC 29100
Contesto
Con l’entrata in vigore del GDPR (Reg. UE 679/2016) si è reso necessario riprendere ed estende i requisiti descritti nella Norma ISO/IEC 27001 sulla Sicurezza delle Informazioni tenendo conto della protezione della Privacy delle entità potenzialmente coinvolte dal trattamento dei dati personali, oltre alla sicurezza delle informazioni.
La Norma è applicabile a tutti i tipi e dimensioni di organizzazioni, comprese società pubbliche e private, enti governativi e organizzazioni senza fini di lucro, che sono responsabili o titolari di dati personali.
Learning by doing
Imparare facendo è la metodologia principalmente utilizzata per i corsi abilitanti, integrata dall’uso di supporti didattici di varia natura e dal coinvolgimento immediato dei discenti. In aggiunta alla programmazione, alla qualità dei materiali didattici, ed alla professionalità dei docenti, permette alti livelli di apprendimento.
Le sessioni teoriche e pratiche si alternano in modo da consentire ai partecipanti il monitoraggio continuo dell’apprendimento.
La metodologia include:
Studio di situazioni e casi reali
Esercitazioni individuali e di gruppo
Lezioni frontali interattive con i docenti
Professione: Consulente
Figura professionale esperta di sistemi che supporta le aziende nell’implementazione dei requisiti previsti dalle norme / linee guide di riferimento nazionali e internazionali focalizzando il lavoro sul gap tra le prassi aziendali e quanto richiesto dai summenzionati requisiti ed, eventualmente, le accompagna nel relativo iter di certificazione
Destinatari:
Consulenti e Progettisti di Sistemi di Gestione per la Sicurezza delle Informazioni, Responsabili della Sicurezza delle Informazioni, Auditor e Lead Auditor della Sicurezza delle Informazioni e di altri schemi ICT, Auditor interni, etc.
Per gli auditor/lead auditor dei Sistemi di Gestione per la Sicurezza delle Informazioni il corso costituisce estensione della qualifica per gli audit sulla ISO/IEC 27001.
Docente: Fabrizio Cirilli
membro del Comitato UNINFO SC27 “Security Techniques”
Oltre 30 anni di esperienza nell’ambito dei progetti ICT per aziende pubbliche e private
Il corso analizza i requisiti della ISO/IEC 27701 e le sue correlazioni con:
– ISO/IEC 27001, ISO/IEC 27002
– ISO/IEC 29100
– ISO/IEC 27018
– ISO/IEC 29151
– GDPR.
Contesto
Con la diffusione del cloud computing crescono le preoccupazioni dei clienti di come sono protette le informazioni archiviate nel cloud e dove sono localizzate, soprattutto nel caso di cloud pubblici che contengono dati personali.
La ISO/IEC 27017 (Codice di condotta per i controlli di sicurezza delle informazioni basati su ISO/IEC 27002 per i servizi in cloud) e la ISO/IEC 27018 (Codice di condotta per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come responsabili PII), sono i primi standard a livello internazionale per contribuire a garantire il rispetto dei principi e delle norme privacy, da parte dei providers di servizi in cloud e dei servizi in public cloud che elaborano dati personali (PII – Personally Identifiable Information) che agiscano in qualità di responsabili del trattamento.
I due standard ampliano i controlli della ISO/IEC 27001 ed introducono specifici controlli aggiuntivi di cui le organizzazioni devono tener conto per l’estensione dei loro certificati ISO/IEC 27001.
Learning by doing
Imparare facendo è la metodologia principalmente utilizzata per i corsi abilitanti, integrata dall’uso di supporti didattici di varia natura e dal coinvolgimento immediato dei discenti. In aggiunta alla programmazione, alla qualità dei materiali didattici, ed alla professionalità dei docenti, permette alti livelli di apprendimento.
Le sessioni teoriche e pratiche si alternano in modo da consentire ai partecipanti il monitoraggio continuo dell’apprendimento.
La metodologia include:
Studio di situazioni e casi reali
Esercitazioni individuali e di gruppo
Lezioni frontali interattive con i docenti
Professione: Consulente
Figura professionale esperta di sistemi che supporta le aziende nell’implementazione dei requisiti previsti dalle norme / linee guide di riferimento nazionali e internazionali focalizzando il lavoro sul gap tra le prassi aziendali e quanto richiesto dai summenzionati requisiti ed, eventualmente, le accompagna nel relativo iter di certificazione
Destinatari:
Consulenti e Progettisti di Sistemi di Gestione per la Sicurezza delle Informazioni, Responsabili della Sicurezza delle Informazioni, Auditor e Lead Auditor della Sicurezza delle Informazioni e di altri schemi ICT, Auditor interni, etc.
Per gli auditor/lead auditor dei Sistemi di Gestione per la Sicurezza delle Informazioni il corso costituisce estensione della qualifica per gli audit sulla ISO/IEC 27017.
Docente: Fabrizio Cirilli
membro del Comitato UNINFO SC27 “Security Techniques”
Oltre 30 anni di esperienza nell’ambito dei progetti ICT per aziende pubbliche e private
Documenti NIST, ENISA. AgID
Circolare Accredia 01/2019
ISO/IEC 27036
Servizi cloud SaaS, PaaS, IaaS
Analisi dei requisiti dello standard ISO/IEC 27017 e delle relazioni con altre norme
Learning by doing
Imparare facendo è la metodologia principalmente utilizzata per i corsi abilitanti, integrata dall’uso di supporti didattici di varia natura e dal coinvolgimento immediato dei discenti. In aggiunta alla programmazione, alla qualità dei materiali didattici, ed alla professionalità dei docenti, permette alti livelli di apprendimento.
Le sessioni teoriche e pratiche si alternano in modo da consentire ai partecipanti il monitoraggio continuo dell’apprendimento.
La metodologia include:
Studio di situazioni e casi reali
Esercitazioni individuali e di gruppo
Lezioni frontali interattive con i docenti
Professione: Consulente
Figura professionale esperta di sistemi che supporta le aziende nell’implementazione dei requisiti previsti dalle norme / linee guide di riferimento nazionali e internazionali focalizzando il lavoro sul gap tra le prassi aziendali e quanto richiesto dai summenzionati requisiti ed, eventualmente, le accompagna nel relativo iter di certificazione
Destinatari:
Consulenti e Progettisti di Sistemi di Gestione per la Sicurezza delle Informazioni, Responsabili della Sicurezza delle Informazioni, Auditor e Lead Auditor della Sicurezza delle Informazioni e di altri schemi ICT, Auditor interni, etc.
Docente: Fabrizio Cirilli
membro del Comitato UNINFO SC27 “Security Techniques”
Oltre 30 anni di esperienza nell’ambito dei progetti ICT per aziende pubbliche e private
La gestione dei rischi secondo la ISO/IEC 27001
Annex A della ISO/IEC 27001
Analisi dei controlli ed esempi di attuazione, documenti richiesti per ciascun controllo
Come costruir un SoA efficace
Tecniche di audit per la verifica dell’efficacia dei controlli
