Una volta che un’organizzazione ha implementato la ISO 27001 “Tecnologie informatiche – Tecniche di sicurezza – Sistemi di gestione per la sicurezza”, la norma relativa alla sicurezza delle informazioni, per ottenere la certificazione occorre sottoporsi a un audit eseguito da un organismo di certificazione accreditato.
Durante l’audit per la certificazione bisognerà essere pronti a dimostrare che il vostro sistema di gestione soddisfa i requisiti dello standard di riferimento e che il sistema di gestione è stato implementato in modo efficace ed è in grado di raggiungere costantemente i propri obiettivi.
La certificazione del sistema di gestione fornisce la dimostrazione indipendente che il sistema è conforme ai requisiti specificati, in grado di perseguire coerentemente la politica e gli obiettivi dichiarati, in grado di garantire al cliente il rispetto delle disposizioni di legge, dei regolamentari applicabili e dei requisiti contrattuali e che è effettivamente implementato.
Il primo audit per la certificazione di un sistema di gestione ISO 27001 (ricordiamo che la certificazione scade dopo tre anni) si svolge in due parti. La prima fase è un’indagine preliminare durante la quale l’organismo di certificazione valuta il grado di attuazione del sistema di gestione e si svolge analizzando la documentazione dell’azienda. Se si sarà superata positivamente la prima fase dell’audit di certificazione, si accederà alla seconda fase il cui scopo è quello di valutare l'implementazione, inclusa l’efficacia, del sistema di gestione e che si svolgerà presso il sito dove lavora il cliente.
Questa seconda parte dell’audit si baserà su colloqui con il personale, sull’osservazione di come avviene il lavoro operativamente, sull’ispezione fisica, sull’indagine sul sistema, ecc. Al termine della fase 2, l'auditor analizzerà tutte le informazioni e le prove raccolte durante la fase 1 e la fase 2 per argomentare i risultati dell'audit e determinare le conclusioni.
In una riunione di chiusura, vengono presentate le conclusioni dell'audit e la raccomandazione di concedere o meno la certificazione. Un auditor, durante un audit di certificazione, può rilevare due tipologie di non conformità: non conformità maggiori che interessano la capacità del sistema di gestione di raggiungere i risultati attesi e non conformità minori che non influenzano la capacità del sistema di gestione di raggiungere gli obiettivi prefissati.
Durante un audit di certificazione, non riceverete mai alcun consiglio in merito a soluzioni specifiche da adottare per la risoluzione delle non conformità perché l’attività di certificazione e quella di consulenza non possono mai sovrapporsi. Terminata la riunione di chiusura dell’audit, nei giorni successivi verrà preparata una relazione scritta.
Il rapporto sull’audit conterrà una dichiarazione sulla conformità e sull'efficacia della gestione sistema, unitamente a una sintesi delle prove relative a sostegno di quanto affermato nel report e, precisamente, prove della capacità (o dell’incapacità) del sistema di soddisfare i requisiti applicabili e di raggiungere i risultati attesi, una conclusione sull'adeguatezza dello scopo di certificazione e una conferma che gli obiettivi dell'audit sono stati (o non sono stati) raggiunti.
Nel rapporto di audit, inoltre, se durante l’audit sono state evidenziate non conformità, l’ente richiederà di analizzare la causa delle non conformità evidenziate e di descrivere l’azione correttiva specifica che si deciderà di implementare per correggerle e le tempistiche previste.
Dopo aver ricevuto il piano delle azioni correttive elaborato dall’azienda, l'ente determinerà se le correzioni e le scadenze proposte sono accettabili e come proseguirà il percorso di certificazione, se con un audit completo aggiuntivo, con un audit limitato aggiuntivo o solamente con l’analisi dei documenti.
Dopo aver ottenuto il certificato ISO 27001, inizia un ciclo che dura 3 anni al termine dei quali il vostro certificato scadrà e dovrà essere rinnovato. Vedrete, infatti, che all’atto dell’emissione il certificato riporterà già la data della sua scadenza. Durante i tre anni di validità del certificato, l’ente eseguirà degli audit di sorveglianza per il mantenimento della certificazione.
Non basta, infatti, dimostrare una volta di aderire ai requisiti della norma ma bisogna farlo con costanza, in modo che il cliente possa sempre essere certo che un’azienda certificata lavora in un certo modo. Se volete avere ACSQ come ente che segua il percorso di certificazione che vi abbiamo descritto, contattateci, senza impegno, a questo numero 02.58320936 o a questo indirizzo email: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.