TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

TÜV Italia è un ente di certificazione indipendente,

filiale italiana del gruppo TÜV SÜD.

Chi siamo

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

Ma siamo soprattutto ….

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

TÜV SÜD - Presenza a livello internazionale

Austria

Belgio

Danimarca

Francia

Germania

Gran Bretagna

Italia

Olanda

Polonia

Repubblica Ceca

Romania

Russia

Serbia e Montenegro

Slovacchia

Slovenia

Spagna

Svizzera

Turchia

Ungheria

Canada

Messico

Stati Uniti

Brasile

Cina

Corea del Sud

Filippine

Giappone

Hong Kong

India

Taiwan

Bangladesh

Indonesia

Malesia

Qatar

Singapore

Corea

Thailandia

Vietnam

Emirati Arabi Uniti

Qatar

600 Sedi nel mondo

16.000 dipendenti

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

TÜV SÜD - Presenza in Italia

La nostra sede di Milano

Direzione: Milano

Laboratori: Torino

9 uffici di zona

200 dipendenti

più di 300 collaboratori

MILANOVICENZA

BOLOGNA

ROMA

TORINO

NAPOLIBARI

CATANIA

FIRENZE

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

Servizi ICT

1. Assessment per la valutazione dello “stato”

dell’Organizzazione rispetto a tematiche

specifiche, standard e schemi di settore,

disciplinari tecnici.

2. Certificazione dei Sistemi di Gestione,

anche integrati, secondo gli standard ISO

del settore ICT, sotto accreditamento

nazionale e/o internazionale

3. Formazione a calendario e ad-hoc,

finanziata e non, sulle tematiche dell’ICT

con qualifiche accreditate.

I servizi ICT del TÜV Italia

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

La certificazione in Italia

Organismo

Siti Produttivi Certificati

UNI EN ISO 9001:2000 9001:2008

Altre Norme SGQ (*)

UNI EN ISO 14001:2004

OHSAS 18001:1999 18001:2007

ISO 27001:2005

ISO/IEC 20000-1:2005

CSQA Certificazioni S.r.l. 823 568 676 144 3

LLOYD'S Register Quality Assurance Italy S.r.l. 1.397 937 1.348 27 22

CERMET Soc. Cons. a r.l. 5.463 4.631 4.519 290 559 89 6

IMQ S.p.A. 6.920 4.556 5.482 203 891 281 63

TÜV Italia S.r.l. 8.980 6.753 7.545 657 647 66 45 20

CERTIQUALITY S.r.l. 9.696 5.592 7.231 201 1.751 490 23

RINA Services S.p.A. 9.851 7.207 6.994 80 2.369 393 15

Det Norske Veritas Italia S.r.l. 20.051 11.887 15.771 332 3.264 579 105

TOTALE 113.646 81.696 95.683 2.346 12.731 2.584 282 20

* Per altre norme SGQ si intendono le certificazioni conformi alle norme: AVSQ MIA, UNI EN 9100, UNI EN ISO 13485, UNI EN ISO 3834

Fonte Accredia - agg. Nov 2010

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

La nostra visione sull’ICT

• Le richieste del mercato

• Valenza degli standard ISO (per la certificazione ed i contratti)

• Valore della certificazione accreditata (dei sistemi, delle persone)

• Integrazione ed efficienza dei Sistemi di Gestione

• L’importanza delle leggi

• Non solo “privacy”

• Responsabilità amministrativa

• Reati informatici

• Accessibilità

• La consapevolezza delle risorse umane

• I corsi di qualifica (non certificazione!) per lead auditor, integrati SGSI + SGSIT

• Corsi introduttivi e di approfondimento

• Dove andiamo (solo un paio di anni fa parlavamo di IAM e SOC…)

• Green ICT

• Infrastrutture critiche (direttiva 114/08 CE – Progetto Domino)

• Cloud computing, virtualizzazione e dematerializzazione, fascicolo sanitario elettronico…

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

Attività in corso nel campo della sicurezza,

internazionali e soprattutto in Italia(per gentile concessione di UNINFO – GdL ISO 27000)

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

Famiglia ISO 27001

27001:2005ISMS requirements

27002:2005Code of practice

27003:2010Implementation

guidance

27004:2009Measurements

27005:2008Risk Management

27006:2007Requirements for

audit & cert. bodies

27007ISMS auditing

27010Inter-sector

communications

27011:2008Telecommunications

27013ISO/IEC 20000 and

ISO/IEC 27001

27014Security governance

27015Financial and

insurance

27016ISM Economics

Requisiti Linee Guida Di Settore

27000:2009Vocabulary

27008Audit on ISMS controls

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

Sviluppo ISO 27000 in corso

• Nuovo formato per la 27001 in linea con i nuovi SG

del JTC1

• Revisione 27001 e 27002

• Nuovo titolo della 27002 “Code of practice for

information security controls” (vs. information security

management)

• 27005 a FDIS

• 27007 a FCD

• 27014 a 1°CD molto osteggiata (InfoSec Governance

Framework)

• NWI 27016 su elementi economici di gestione della

sicurezza

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

E’iniziato il ciclo di revisione ufficiale della ISO/IEC

27006:2007, Requirements for bodies providing audit

and certification of information security

management systems

In tal senso sono state avviate le attività di:

• raccolta dei feedback da parte degli organismi

accreditati: TÜV Italia, Rina, IMQ, DNV, Lloyds

Register, Cermet, Certiquality, ICIM, CSQA

• coordinamento delle attività di revisione da parte di

Accredia come ente super partes

Supporto allo sviluppo ISO 27000

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

1. Mappatura famiglia 27000 e leggi cogenti in Italia

con il coinvolgimento del Garante

2. Protezione delle infrastrutture critiche nazionali ed

europee

Proposte operative

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

Attività “Privacy” del Gruppo di Lavoro

Si è costituito un gruppo di lavoro dedicato alle attività normative

della famiglia 27000 che si è attivato sul tema della Privacy con i

seguenti principali obiettivi:

• far si che i Titolari del trattamento trovino nelle norme della

famiglia 27000 delle linee guida che possano facilitare

l’implementazione delle misure richieste dal Codice, chiarendone

il significato ed integrandole in un sistema coerente;

• permettere ai Titolari di realizzare un SGSI che integri in modo

armonico e completo al suo interno tutte le misure prescritte dal

Garante;

• collaborare per un coerente e mutuamente utile sviluppo della

normativa privacy e delle norme della famiglia 27000.

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

Analisi comparata Provvedimento RAEE, D.Lg. 196/03 e

standard ISO/IEC 27002

Tipologia

Dato

Provvedimenti

Legislativi

Standard

27002

Destinazione

supporto

Requisito

introdottoNote

Dati

sensibili o

giudiziari

196/03,

Regola 22

9.2.6

10.7.2

10.7.3

Riuso

Cancellazion

e sicura

1) Lo standard 27002

valuta anche il caso di

supporto danneggiato,

suggerendo apposita

valutazione del rischio

per definirne il

trattamento (9.2.6).

2) Lo standard 27002

fa riferimento anche

alla rimozione dal

media di SW

Licenziato (9.2.6).

3) RAEE suggerisce

esplicitamente

l’adozione della

cifratura come

contromisura adeguata

nel caso di riuso del

supporto 4) Lo

standard 27002 molto

più genericamente

introduce il concetto di

protezione

informazioni da

divulgazione non

autorizzatane

(controllo 10.7.3)

Dismissione,

SmaltimentoDistruzione

Dati Personali

196/03, Art.

31 +

RAEE

Riuso

Cancellazion

e sicura

Dismissione,

SmaltimentoDistruzione

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

Proposte già presentate

WG1 - ATM and 27001

Liaison inviata a ENISA per allineamento

riferimenti a 27001 e offerta di supporto da

parte del SC27 verso la Commissione.

WG3&4 - OSSTMM Presentation for SC27

Study period di un anno del WG3 su

“Security Testing Methodology” basato sulla

beta della versione 3 di OSSTMM.

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

NWI di norma sector specific della famiglia 27001

sulla sicurezza della gestione del traffico aereo (Air

Traffic Management) che verrà presentata in CEN,

al TC377 dedicato all’Air Traffic Management.

ATM e TC 377

TÜV Italia s.r.l. • TÜV SÜD Group MS 03.06

Per informazioni tecniche:

Fabrizio Cirilli - Divisione MS – ICT Sector Manager fabrizio.cirilli@tuv.it

Per informazioni commerciali:

Cristina Castagno – Divisione MS – Torino cristina.castagno@tuv.it

“We can fly together”

Grazie per la Vostra attenzione