INFORMATION TECHNOLOGY

ict banner

Un’organizzazione, sia essa privata o pubblica, detiene una grande quantità di informazioni inerenti i processi propri e/o della propria clientela/utenza, informazioni talvolta cruciali per la sopravvivenza stessa dell’organizzazione.

Alcune leggi e direttive cogenti comportano una serie di ripercussioni in caso di mancata applicazione di misure adeguate per la protezione delle informazioni e per il loro uso consentito. Una corretta identificazione dei beni dell’organizzazione (assets) ed un’attenta valutazione dei rischi a essi collegati permettono di comprendere i potenziali impatti che la perdita di riservatezza, integrità e disponibilità delle informazioni potrebbero avere sull’organizzazione e sui suoi clienti/utenti.

Il conseguimento della Certificazione diventa quindi uno strumento divulgativo e competitivo di razionalizzazione e di corretta gestione, che evidenzia alla parti interessate l’impegno profuso nella salvaguardia delle informazioni e nel rispetto delle leggi.

Sicurezza Informatica – ISO/IEC 27001

La norma ISO/IEC 27001:2013 specifica i requisiti per stabilire, implementare, mantenere e migliorare in modo continuo un Sistema di Gestione delle informazioni in un contesto organizzativo.

Lo sviluppo e l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni è influenzato dagli obiettivi, dai requisiti di sicurezza, dai processi organizzativi e dalla dimensione e struttura dell’organizzazione che la applica.

Il Sistema di Gestione della Sicurezza delle Informazioni preserva la confidenzialità, l’integrità e la disponibilità delle informazioni, impostando un processo di gestione dei rischi. È importante che esso sia parte integrante dei processi aziendali e sia complessivamente strutturato e considerato nei processi di progettazione, sistemi di informazione e controllo.

I requisiti descritti nell’ISO/IEC 27001:2013 sono applicabili a tutte le organizzazioni, indipendentemente dalla loro tipologia, natura e dimensione. Vai alla pagina

Tecnologia informatica – ISO/IEC 20000

La norma ISO/IEC 20000:2011 descrive i requisiti per stabilire, implementare, operare, monitorare, rivedere, mantenere e migliorare un Sistema di Gestione di Servizio Standard (SMS).

I requisiti caratterizzano i processi di progettazione, transizione, consegna e miglioramento dei servizi.

La norma può essere applicata da:

  • un’organizzazione alla ricerca di servizi da parte di fornitori, per essere sicura che i suoi servizi rispettino i requisiti della norma;
  • un’organizzazione che richiede un approccio consistente da tutti i fornitori di servizi, inclusi quelli della catena di fornitura;
  • un fornitore di servizi che intende dimostrare le sue capacità per la progettazione, transizione, consegna e miglioramento dei servizi;
  • un fornitore di servizi che monitora, misura e rivede i suoi processi e servizi di gestione;
  • un fornitore di servizi che vuole migliorare la progettazione, la transizione, la consegna e migliorare i servizi mediante l’implementazione e l’applicazione effettiva del SMS. Vai alla pagina
Risk Assessment & Management – ISO/IEC 27005

La norma ISO/IEC 27005:2011 fornisce le linee guida per una corretta gestione del rischio nella sicurezza informatica.

La norma definisce i concetti generali specificati nello standard ISO/IEC 27001 ed è sviluppata per favorire l’implementazione della sicurezza informatica basandosi su un approccio legato alla gestione del rischio.

La conoscenza dei concetti, modelli, processi e terminologie descritte in ISO/IEC 27001 e in ISO/IEC 27002 è propedeutica alla conoscenza e applicazione dello standard ISO/IEC 27005:2011.

La norma può essere applicata a tutti i tipi di organizzazioni (ad esempio imprese commerciali, agenzie statali, organizzazioni no-profit) fortemente interessate alla gestione della propria sicurezza informatica.Vai alla pagina

Data Center

La Certificazione Data Center (DC) di TÜV InterCert fornisce un impianto per la valutazione del design, della costruzione e dell’operatività della struttura del DC in relazione alle seguenti tematiche:

  • scelta della sede;
  • progettazione della sicurezza;
  • requisiti tecnici;
  • requisiti strutturali;
  • requisiti organizzativi;
  • gestione degli eventi;
  • documentazione del DC;
  • sicurezza delle informazioni;
  • conformità legislativa;
  • efficienza energetica.

Gli esperti di TÜV InterCert definiscono la seguente categorizzazione sulla base di standard e requisiti nazionali ed internazionali :

  • 1 : semplice sicurezza fisica – interruzioni di corrente di ore e di giorni possono essere tollerate;
  • 2 : data center ad alta disponibilità con finestre di ispezione;
  • 3 : data center ad alta disponibilità con operatività 24/7
  • 3+ : data center di classe mondiale ai massimi livelli tedeschi senza compromessi nei requisiti. Vai alla pagina
Cloud – ISO 27018

I fornitori di servizi Cloud che processano informazioni personalmente identificabili (PII) sotto contratto ai loro clienti, devono operare i loro servizi in modo da permettere a entrambe le parti di soddisfare i requisiti dei regolamenti applicabili riguardanti la protezione dei PII.

Gli obblighi che ricadono su elaboratori di PII variano da giurisdizione a giurisdizione, rendendo così sfidante per le aziende che forniscono servizi di cloud computing operare in più nazioni.

La norma ISO/IEC 27018:2015 stabilisce elementi di controllo comunemente accettati e linee guida per l’implementazione di misure atte a proteggere le PII secondo i principi di privacy contenuti nella norma ISO/IEC 29100 per gli ambienti pubblici di cloud computing.

In particolare la ISO /IEC 27018:2014 specifica linee guida basate sulla ISO/IEC 27002, prendendo in considerazione i requisiti regolamentari per la protezione delle PII che possono essere applicabili entro il contesto dell´ ambiente di rischio di sicurezza delle informazioni di un provider di servizi cloud pubblici.

ISO/IEC 27018 è applicabile alle organizzazioni di tutti i tipi e dimensioni, incluse aziende private o pubbliche, entità governative ed organizzazioni no-profit, che forniscono servizi di elaborazione delle informazioni come elaboratori di PII via cloud computing sotto contratto con altre organizzazioni. Vai alla pagina

Certificazione digitale

In un contesto mondiale sempre più digitalizzato, la sicurezza dei dati è più che mai importante. Molte persone usano ogni giorno i servizi digitali e confidano in una corretta gestione dei propri dati.

Questa fiducia è giustificata in Italia dal D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”, il cui intento è quello di proteggere i diritti personali dell’individuo da un uso improprio dei dati personali.

Pertanto, per tutte le imprese giocano un ruolo centrale tanto l’usabilità delle applicazioni quanto le azioni preventive di tutela della privacy dei propri clienti/utenti. Vai alla pagina

ePrivacy Certification

La riservatezza dei dati è materia complessa e rischiosa, in particolare a causa di una crescente digitalizzazione che richiede un uso sempre maggiore di dati personali e di un quadro giuridico ancora in fase di sviluppo.

La Certificazione ePrivacy rilasciata TÜV InterCert:

  • garantisce la verifica della completezza e della sostenibilità dei dati riservati;
  • rileva eventuali non conformità;
  • si basa su documentazione e misure di controllo della privacy in linea con la legislazione vigente;
  • dimostra il rischio di responsabilità personale con il parere degli esperti del settore;
  • aiuta a monitorare e minimizzare il rischio in modo continuato. Vai alla pagina
Software engineering – ISO 90003:2014

La norma ISO/IEC 90003:2014 fornisce una linea guida per le organizzazioni nell’applicazione dello standard ISO 9001:2015 (non modificandone in alcun modo i requisiti) al momento dell’acquisizione, fornitura, sviluppo, operazione e mantenimento dei software e dei rispettivi servizi di supporto.

L’applicazione di ISO/IEC 90003:2014 è appropriata per i software che sono:

  • parte di un contratto commerciale con un’altra organizzazione;
  • un prodotto disponibile per un determinato settore di mercato;
  • utilizzati per supportare i processi di un’organizzazione;
  • incorporati nell’hardware di un prodotto;
  • collegati a servizi di software.

Alcune organizzazioni possono essere coinvolte in tutte le attività di cui sopra; altre possono specializzarsi in una specifica area: in entrambi i casi il Sistema di Gestione della Qualità dell’organizzazione deve coprire tutti gli aspetti (software collegati e non collegati) del business.

La norma ISO/IEC 90003:2014 identifica le uscite che dovrebbero essere indirizzate ed è indipendente dalla tecnologia, dal ciclo di vita dei modelli, dallo sviluppo dei processi, dalla sequenza delle attività e dalla struttura organizzativa usata da un ente. Vai alla pagina

Blue Angel

Si tratta di un marchio dell’Agenzia Federale tedesca per l’Ambiente che certifica l’efficienza energetica delle operazioni nei data center. Ciò coinvolge l’interazione di tutte le misure volte ad aumentare l’efficienza dei componenti IT, di climatizzazione e l’infrastruttura dei data center in esame.

Si tratta di un processo a fasi:

  1. misurazione, verifica documentale, rispetto dei criteri, requisiti di reporting;
  2. stabilire e documentare il possibile risparmio / destinazioni d’uso;

I metodi applicati in queste fasi si basano su quattro documenti in particolare:

  • EU Code of Conduct for Data Center Efficiency (Codice di condotta UE per migliorare l’efficienza energetica dei Data Center);
  • analisi presso il TU -Berlin per l’energia ed efficienza delle risorse nella gestione di data center (benchmarking);
  • BITKOM Guide “Efficienza energetica dei data center”;
  • Green Grid Initiative. Vai alla pagina
Usabilità – DIN EN ISO 9241 – 110

La norma ISO 9241-110:2006 definisce i principi di design ergonomico formulati in condizioni generali (ovvero senza riferimenti a situazioni di uso, applicazione, ambiente o tecnologia) e fornisce una struttura per applicare questi principi all’analisi, progettazione e valutazione di sistemi interattivi.

Lo standard ISO 9241-110:2006 si applica a tutti i tipi di sistemi di usabilità, ma allo stesso tempo non copre le specifiche di ogni contesto d’utilizzo (e.g. sistema critico, lavoro di gruppo).

E’ destinato ai seguenti utilizzatori:

  • programmatori di strumenti di sviluppo e metodi di utilizzo dell’interfaccia usato come programmatore di usabilità;
  • programmatori di interfaccia nell’applicazione in sede di sviluppo del processo;
  • sviluppatori durante la progettazione e l’implementazione del sistema funzionale;
  • acquirenti nell’applicazione durante l’approvvigionamento del prodotto;
  • valutatori che si assicureranno che i prodotti da esaminare rispettino i suoi requisiti.

La norma ISO 9241-110:2006 si concentra sui principi di dialogo collegati all’usabilità della progettazione del dialogo tra utilizzatori e sistemi interattivi, e non considera nessun altro aspetto di progettazione come marketing, estetica o progettazione aziendale. Vai alla pagina