Re: normativa italiana sulla certificazione

Ho smesso di occuparmi di assicurazione della qualita' e certificazione
da qualche annetto e non sono piu' molto aggiornato. Mettiamo un po' di
AFAIK qua e la, quindi :-)

> ho letto, nella banca dati del sito SINCERT, che RINA SpA e' accreditata
> per la Certificazione di sistemi di gestione per la sicurezza delle
> informazioni nel settore informatico.

In tutti i settori, se per settore intendi il core business della
azienda che richiede la certificazione del suo sistema al RINA.

> In Italia, se non sbaglio, non esiste nessuna norma a proposito di
> certificazione di sicurezza, la certificazione ISO 17799 non e' ancora
> stata recepita dall'UNI - Ente Nazionale Italiano di Unificazione che e'
> l'Ente preposto alle normazioni -.

Questo non toglie che sia una norma a cui una azienda puo' volersi
conformare e, poi, certificare questa sua conformitą. Una piccola,
ma doverosa, precisazione: l'UNI e' _uno degli enti_ preposti alle
normazioni, visto che quelle elettriche sono in capo al CEI. E' un
commento irrilevante, in questo caso, ma potrebbe essere utile, in
altri.

> quindi da un lato leggo che RINA e' l'unico ente italiano accreditato da
> SINCERT alla certificazione della sicurezza, dall'altro leggo che la
> certificazione rilasciata da RINA si basa su uno schema non riconosciuto
> dalla normativa italiana.

La UNI fa parte dell'ISO (insieme al CEI). Quando la UNI recepisce
una norma ISO non fa altro che tradurla in lingua italiana in modo
da renderla fruibile sul territorio nazionale. Finche una norma di
tipo tecnico rimane d'adozione volontaria non c'e' una sostanziale
differenza tra la norma ISO e la norma UNI ISO, perche' chi valuta
la tua azienda in base alle certificazioni di parte terza (clienti
o enti o...) cerchera' la conformitą a quanto espresso dalla norma
di origine, identica (nell'intento dell'UNI) a quella localizzata.

In ogni caso non ci sarebbe contraddizione: l'accreditamento degli
organismi di certificazione e' volontario, non obbligatorio. Serve
solo a creare una catena di fiducia. Anche la certificazione della
propria azienda a fronte di una norma e' volontaria. Non si parla,
e' ovvio, di conformita' a norme cogenti (per legge). SINCERT dice
che RINA, a suo parere, e' bravo a fare il lavoro di certificatore
in seguito a valutazioni basate sulle norme EN 4500xx, e che lo sa
fare anche nel campo di applicazione della norma ISO/IEC 17799. Se
tu vuoi certificare la conformita' del sistema sicurezza della tua
azienda alla norma ISO/IEC 17799 e ti fidi della SINCERT allora ti
puoi tranquillamente affidare al certificato RINA per dimostrare a
tutte le altre entita' che ripongono fiducia in SINCERT (clienti e
partner) che lavori conformemente ai dettati della norma. E questo
indipendentemente dal fatto che la norma in oggetto sia stata o no
recepita formalmente dagli enti normativi preposti dello stato cui
appartieni. Tutta l'attivita' di certificazione e d'accreditamento
dei certificatori serve solo a garantire questa catena di fiducia.
Se non ti fidi di SINCERT o del RINA puoi farti certificare da DNV
(per dirne una), anche se in italia non e' accreditato da societa'
o organismi di certificazione di ordine superiore. Se i partner od
i clienti che vuoi ingraziarti sono norvegesi farai sicuramente un
figurone :-)

Spero di non essere uscito dal seminato. Qualcuno corregga in caso
di fesserie o imprecisioni.

...ah, a proposito: non esiste una ISO 17799. O e' ISO/IEC 17799 o
e' IS 17799.


Fabio pignolo


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List