La certificazione della sostenibilità - Rating di Sostenibilità

Scritto da quality on . Postato in News

LA CERTIFICAZIONE DELLA SOSTENIBILITÀ

RATING DI SOSTENIBILITÀ - OBIETTIVO SDGs- ONU - ORGANIZZAZIONE SOSTENIBILE

 

Negli ultimi anni è cresciuta notevolmente la consapevolezza del consumatore circa gli impatti delle proprie abitudini. Di pari passo è aumentata anche l’attenzione di tutti gli stakeholders, comprese le pubbliche amministrazioni, verso il miglioramento del benessere sociale e ambientale. I Bilanci di Sostenibilità rispondono alla necessità di trasparenza verso tutte le parti interessate (azionisti, dipendenti, clienti, cittadini, amministrazione locale, etc.) e rappresentano uno strumento per comunicare politiche economiche, ambientali, sociali e attività legate alle interazioni dell’Organizzazione con la Comunità e con il contesto nel quale opera.

 QS QUALITY SERVICES ha deciso di sostenere e promuovere la CERTIFICAZIONE ESG (Enviroment Social and Governance) della scuola ETICA LEONARDO che ha elaborato uno SCHEMA di CERTIFICAZIONE di un Sistema di Gestione per la Sostenibilità ESG-SRG 88088, presentato ad ACCREDIA e riconosciuto da tutti i memmbri partecipanti agli accordi MLA- quali ESYD - e validato per il riconoscimento e l’accreditamento finalizzati al rilascio, da parte di Organismi terzi accreditati, di Certificati di Conformità per la Sostenibilità dei Sistemi di Gestione. Il progetto e le conseguenti certificazioni che saranno rilasciate assumono quindi una valenza internazionale ai fini del miglioramento delle prestazioni per l’Ambiente, il Sociale e il Governo delle organizzazioni pubbliche e private.

La Scuola Etica Leonardo ha inoltre brevettato e registrato un modello scientificamente valido per rilasciare una Dichiarazione di Rating per la Sostenibilità alle organizzazioni che lo desiderino. La certificazione per la Sostenibilità ingloba tutte le specificità ESG, superandole per completezza e profondità oltre ad includere il grandissimo valore dell’Accreditamento.

 

I principali vantaggi della SRG 88088:20 per lo organizzazioni

La SRG 88088:20 specifica i requisiti di un sistema di gestione per la sostenibilità per l’organizzazione che voglia:

 dimostrare la propria capacità di assicurare una Governance socialmente responsabile in grado di generare la soddisfazione dei lavoratori e delle altre parti interessate nel rispetto dei requisiti cogenti applicabili

essere di riferimento per il contesto sociale attivando processi di miglioramento finalizzati alla produzione di valore

garantire una gestione nel pieno rispetto della libertà e della dignità dei lavoratori

tutelare i dirigenti e il proprio patrimonio.

I requisiti della SRG 88088:20 sono applicabili a tutte le organizzazioni, indipendentemente dalla loro dimensione, natura giuridica, territorio, orientamenti e tipologie di prodotti e/o servizi erogati.

Per maggiori informazioni...

Cos’e’ la certificazione Iso 50001

Scritto da Super User on . Postato in News

La certificazione Iso 50001 appartiene alla grande famiglia delle norme di certificazione volontaria sviluppata da Iso, organizzazione internazionale di normazione ufficialmente riconosciuta. A cosa serve l'Iso 50001? Si tratta di uno standard che interessa tutte le organizzazioni di impresa riguardante i requisiti per i sistemi di gestione di energia. La certificazione Iso 50001 propone un sistema efficiente e normato per impianti industriali, installazioni commerciali, ma anche istituzionali, governative, e più in generale l'intera filiera produttiva di organizzazioni per gestire l'energia, nel settore pubblico come in quello privato, utile a piccole e medie imprese come alle grandi aziende multinazionali, tanto nella produzione manifatturiera quanto in quella di servizi.

Funzionamento della Iso 50001

La certificazione 50001 fornisce alle organizzazioni del settore pubblico e privato strategie di gestione per aumentare e migliorare l'efficienza energetica, una delle questioni più urgenti del nostro tempo a tutti i livelli, come cittadini e come imprese. Non solo ha come fine utile tutelare l'ambiente, ma a un primo impatto immediato permette di diminuire i costi legati ai consumi energetici in maniera considerevole. Il certificato Iso 50001 ha come scopo quello di fornire alle organizzazioni un quadro internazionalmente riconosciuto per lavorare all'integrazione dell'efficienza energetica nelle sue pratiche di gestione, mediante appunto una norma unica per la sua applicazione in tutta l'organizzazione di impresa, che funziona attraverso una metodologia che porta all'identificazione delle criticità e alle strategie di risoluzione.

Le finalita’

  • Aiutare le imprese a sfruttare al meglio le proprie attuali attività di consumo energetico
  • Adottare criteri trasparenti e facilitare la comunicazione sulla gestione delle risorse energetiche
  • Promuovere migliori strategie di gestione dell'energia rafforzando le buone condotte di gestione
  • Sostenere le installazioni nella valutazione dando priorità alla applicazione di nuove tecnologie di efficienza energetica
  • Fornire una struttura per promuovere l'efficienza energetica su tutta la catena di fornitura
  • Semplificare il miglioramento di gestione dell'energia sui progetti di riduzione di emissioni nocive
  • Favorire l'integrazione con altri sistemi di gestione organizzativa, quali l'ambiente, la salute e la sicurezza 

I requisiti

La normativa Iso 50001 opera allo scopo di migliorare la reputazione di un'azienda e fornire una serie di benefici importanti per la propria azione quotidiana lungo tuta la filiera produttiva, implementando con apposite migliorie la catena organizzativa laddove se ne riscontri la necessità. In particolare, la norma ISO 50001 segue il processo "Plan-Do-Check-Act", che comporta come fine ultimo il miglioramento continuo del sistema di gestione energetica. Tali peculiarità permettono alle organizzazioni di integrare la gestione dell'energia, arrivando a un complessivo miglioramento circa la gestione della qualità, fornendo un insieme di requisiti che consente a ogni singola organizzazione aziendale di:

  • Sviluppare una politica ragionata orientata all'efficienza energetica
  • Individuare obiettivi e fissare risultati da raggiungere
  • Utilizzare i dati per migliorare la comprensione e prendere decisioni in merito all'uso e consumo di energia
  • Misurare i risultati ottenuti
  • Esaminare l'efficacia delle politiche strategiche
  • Migliorare costantemente la gestione dell'energia

I benefici

Avendo a che fare con un tema cruciale quale l'efficienza energetica e l'impatto ambientale, la normativa Iso 50001 risulta determinante per le operazioni di un'organizzazione di impresa, e può comportare ampi benefici a fronte di un costo considerevole come quello legato alla gestione energetica. Non dimentichiamo che oltre alla mera operatività di un'azienda, l'energia può imporre costi ambientali e sociali notevoli a causa dell'esaurimento delle risorse e può contribuire a problematiche quali il mutamento climatico. Lo sviluppo e la distribuzione di tecnologie da fonti di energie nuove e rinnovabili può richiedere un investimento iniziale di tempo e denaro rilevante, ma  nel corso del tempo, in virtù di una consonanza con le politiche di governo e le impellenze della realtà economica globale, possono comportare un uso più virtuoso ed efficiente dell'energia, a tutti i livelli.

Miscela gas-idrogeno, la lettera aperta dell’industria all’UE

Scritto da Super User on . Postato in News

 

Retrofitting e repurposing dell’infrastruttura del gas esistente sono soluzioni che abbattono più gas serra a un costo sistemico minore per i paesi del sud e dell’est Europa, scrivono i firmatari.

90 aziende chiedono a Bruxelles l’ok per il blending di idrogeno e gas

Lasciateci miscelare idrogeno e gas come misura di provvisoria, altrimenti resteremo indietro con la transizione. Lo chiedono alla Commissione europea 90 tra compagnie energetiche, produttori di componenti come elettrolizzatori e fuel cell, e operatori del settore gas in una lettera aperta indirizzata al vice presidente Frans Timmermans.  
La ragione? Molti paesi dell’Europa meridionale e orientale hanno una infrastruttura gasiera sviluppata ma inadatta a trasportare idrogeno puro, e vorrebbero appoggiarsi a questa invece di mettere in campo una rete completamente dedicata al nuovo vettore energetico.

Le reti esistenti di trasmissione e distribuzione del gas, insieme alle strutture associate ad esse collegate, costituiranno un fattore abilitante essenziale per realizzare la decarbonizzazione dell’economia europea e gli obiettivi della strategia dell’UE per l’idrogeno”, si legge nella lettera, pubblicata dal portale Euractiv. “L’adeguamento [retrofitting] e il riutilizzo[repurposing] delle reti del gas esistenti possono essere combinati e integrati con la costruzione di una nuova infrastruttura dedicata all’idrogeno, in modo che tre opzioni di distribuzione dell’idrogeno possano coesistere ove necessario”, ragionano i firmatari.

Mentre il retrofitting richiede delle modifiche limitate alla rete per renderla in grado di supportare una miscelazione di gas e idrogeno, il repurposing prevede invece un intervento più massiccio che riconverte integralmente l’infrastruttura per trasportare solo H2.
Il vantaggio della miscelazione come soluzione transitoria, sostengono i firmatari tra cui figurano Italgas e Snam, è di permettere di avviare la transizione e di incrementare gradualmente la produzione di idrogeno seguendo un modello decentralizzato. Una soluzione ottimale, spiegano, per riuscire a far partire la produzione di H2 già nel breve periodo.

L’uso di miscele di gas e idrogeno nel breve e medio periodo, argomentano, consentirebbe di ottenere “una maggiore riduzione dei gas serra a un costo sistemico inferiore” rispetto a una soluzione diversa, in cui fosse necessario creare una nuova infrastruttura dedicata esclusivamente all’idrogeno. In questo modo, concludono, si riuscirebbe a “rafforzare la capacità di produzione di idrogeno” e al tempo stesso “sviluppare economie di scala” che metteranno i paesi del sud e dell’est europeo sui binari della transizione energetica definiti dalla strategia UE sull’idrogeno.

 

 

Sicurezza delle informazioni, cosa prevede la nuova ISO/IEC 27002:2021

Scritto da Super User on . Postato in News

 

Entro fine 2021 dovrebbe essere pubblicata la nuova versione della ISO/IEC 27002, la norma che descrive i controlli per la sicurezza delle informazioni. Essa avrà nome “ISO/IEC 27002:2021 – Information security,  cybersecurity and privacy protection — Information security controls”. Essa sostituirà la ISO/IEC 27002:2013, attualmente in vigore.

 

ISO/IEC 27002: capitoli e categorie

 

La ISO/IEC 27002:2013 organizza i controlli in 14 capitoli (da “Politiche per la sicurezza delle informazioni” a “Conformità”). Questi capitoli sono a loro volta suddivisi in categorie (a ciascuna delle quali corrisponde un obiettivo) di cui fanno poi parte i controlli.

La futura ISO/IEC 27002 suddivide invece i controlli in 4 categorie senza ulteriori divisioni e senza alcuna relazione esplicita con obiettivi di sicurezza. I capitoli sono i seguenti:

  1. controlli organizzativi;

  2. controlli relativi alle persone;

  3. controlli di tipo fisico;

  4. controlli di tipo tecnologico.

 

Questa scelta avrà degli impatti negativi perché oggi molti documenti prendono a modello l’impostazione in 14 capitoli della ISO/IEC 27002:2013, assicurando quindi una omogeneità di lettura (si pensi, a solo titolo di esempio, alla bozza di criteri di valutazione dei fornitori di servizi cloud diffusa da ENISA ). In futuro potrà quindi essere più difficile individuare una chiave di lettura comune alle tante pubblicazioni relative alla sicurezza delle informazioni.

Va invece sottolineato un effetto positivo di questa impostazione: è stato possibile eliminare molte ridondanze nei controlli.
Un altro effetto positivo, anche se meno evidente se non per il risultato finale, è che le sessioni di redazione si sono potute concentrare sul testo di descrizione e guida dei controlli e non sul loro posizionamento. 
La futura ISO/IEC 27002 sarà quindi sicuramente scritta meglio e più completa della precedente.

 

 

ISO/IEC 27002: i controlli

 

La ISO/IEC 27002:2013 riporta 114 controlli. La futura versione ne riporterà 93.

Un’accusa spesso rivolta alle ISO/IEC 27001 e ISO/IEC 27002 è che l’elenco dei controlli è troppo lungo. Si tenga conto che altre pubblicazioni (incluso il NIST CFS) ne riportano anche di più. I redattori si sono comunque impegnati a ridurre le ripetizioni e ad accorpare i controlli dove ritenuto opportuno.

Alcuni controlli accorpati sono quelli relativi a:

  • trasferimento delle informazioni;

  • gestione delle informazioni di autenticazione;

  • gestione dei diritti di accesso;

  • continuità operativa;

  • dispositivi di memorizzazione dei dati;

  • logging;

  • gestione dei cambiamenti.

 

Un esempio particolare è il controllo al punto 18.1.5 sulla regolamentazione dei controlli crittografici, troppo spesso non interpretato correttamente (soprattutto se si considerano gli altri due controlli relativi alla crittografia, che saranno anch’essi accorpati tra loro) e ad esso accorpato con il controllo più generale relativo all’identificazione dei requisiti legali, di regolamenti e contrattuali.

 

Sono stati aggiunti nuovi controlli, come necessario considerando gli aggiornamenti tecnologici di questi anni:

  • raccolta di informazioni sulle minacce (threat intelligence);

  • uso dei servizi cloud;

  • ICT nella continuità operativa (per meglio specificare l’ambito della continuità nella sicurezza delle informazioni ed evitare l’uso delle ISO/IEC 27001 e ISO/IEC 27002 al posto della ISO 22301);

  • monitoraggio della sicurezza fisica;

  • gestione della configurazione;

  • cancellazione delle informazioni;

  • mascheramento dei dati;

  • prevenzione dalla fuga (leakage) di dati.

  • monitoraggio delle attività;

  • filtri web;

  • codifica sicura.

 

Alcuni controlli, palesemente, erano già presenti nella ISO/IEC 27002:2013, ma non sufficientemente evidenziati. Un esempio è quello relativo al monitoraggio delle attività, che nella ISO/IEC 27001:2013 era “incluso” nel controllo relativo al logging. Molti controlli hanno cambiato titolo per renderlo più chiaro o più significativo. Alcuni esempi:

 

  • Identity management” per i controlli di registrazione degli utenti;

  • Information security during disruption”, per rendere più chiaro il precedente “Information security continuity”;

  • Remote working” al posto del più limitativo (almeno in Italia) “Teleworking”;

  • User endpoint devices” al posto del più limitativo “Mobile device policy”.

 



 

Attributi dei controlli

 

Una notevole novità della futura ISO/IEC 27002 è rappresentata dagli “attributi” che possono essere assegnati ai controlli.

L’idea è quella di permettere agli utilizzatori di riordinare e raggruppare i controlli secondo vistein accordo alle proprie specifiche esigenze. Questo, come già detto in precedenza, avrà come impatto negativo la perdita di omogeneità tra le pubblicazioni relative alla sicurezza delle informazioni, ma lascerà una maggiore flessibilità agli utilizzatori.

Intuitivamente è possibile assegnare a ogni controllo alcune etichette. Se controlli ed etichette sono riportati su fogli di calcolo o database, come sempre più spesso succede, la creazione di viste sarà molto semplice (anche se dovremo valutarne l’effettiva utilità).

Lo standard presenta alcuni esempi di attributi. Tre esempi:

 

  • tipologia di controllo: preventivo, di rilevazione, correttivo;

  • proprietà di sicurezza: riservatezza, integrità, disponibilità;

  • concetti di sicurezza cyber: identificare, proteggere, rilevare, rispondere, ripristinare.

 

Un altro esempio ripropone un raggruppamento dei controlli simile a quello della ISO/IEC 27002:2013: governo, gestione degli asset, sicurezza del personale, sicurezza fisica, eccetera.

 

I rapporti con la ISO/IEC 27001

 

La ISO/IEC 27001 sarà aggiornata tra qualche anno. I lavori di aggiornamento sono appena partiti e la pubblicazione non avverrà prima del 2024.

 

Questo vuol dire che l’appendice A della norma rimarrà invariata e, come conseguenza, le organizzazioni che intendono certificarsi ISO/IEC 27001 dovranno sempre presentare l’elenco dei controlli esclusi basandosi sulla ISO/IEC 27002:2013 e non sulla nuova versione

Diverso è invece il discorso per quanto riguarda la dichiarazione di applicabilità (o statement of applicability). Infatti, l’attuale normativa non richiede che tale documento debba essere redatto sulla base dei controlli nell’appendice A. Può infatti essere presentato seguendo altri elenchi di controlli, anche elaborati internamente, purché altrettanto esaustivi dell’appendice A.

Alcune riflessioni necessarie

  1. sono rare le organizzazioni che non usano l’appendice A proprio perché questa è esaustiva e l’elaborazione di un’alternativa non darebbe benefici tangibili (e gli auditor richiederebbero comunque una tabella di relazione con l’appendice A);

  2. molti altri elenchi non sono utilizzabili perché non altrettanto esaustivi (per esempio il NIST CFS e il loro recepimento come misure minime promosse da AgID, visto che trattano solo di sicurezza informatica).

Sarà quindi possibile presentare la dichiarazione di applicabilità basata sulla futura ISO/IEC 27002, purché accompagnata da un elenco dei controlli esclusi basato però sull’attuale ISO/IEC 27002:2013. La soluzione è un po’ macchinosa, ma permetterebbe di essere allineati con l’evoluzione delle normative.

 

 

 

 

QS ASSISTE LE IMPRESE NELLA RIPARTENZA

Scritto da Super User on . Postato in News

 

Alla luce del nuovo contesto emergenza e post emergenza COVID19, le organizzazioni si stanno focalizzando sul riavvio delle loro attività sentendo il bisogno di dare garanzie ai propri dipendenti e al tempo stesso di tutelare il business da eventuali problematiche (interruzioni della produzione e/o servizio/sfiducia dei fornitori/dei clienti/della comunità), pertanto QS QUALITY SERVICES LTD ha implementato un insieme di verifiche di terza parte in remoto e/o sul campo relative alla CONFORMITÀ dei provvedimenti messi in atto per la salute e la sicurezza negli ambienti di lavoro . Implementare le norme, protocolli e linee guida applicabili ed un codice comportamentale nelle aziende e negli uffici, come strumento di gestione del rischio, gioverà non solo alla salute e sicurezza dei lavoratori e alla relativa responsabilità del datore di lavoro, ma anche a tutte le parti interessate che potrebbero entrare direttamente o indirettamente in contatto con la stessa organizzazione.

 

A seguito della valutazione sarà rilasciato un RAPPORTO DI CONFORMITÀ che potrà essere utilizzato per far fronte alle innumerevoli richieste di garanzia provenienti da tutte le Parti Interessate, nonché potrà far emergere eventuali lacune che potrebbero metter a rischio l’organizzazione (modalità di accesso fornitori esterni, rischio biologico, cyber security per lo smart working, policy, procedure di pulizia e manutenzione impianti, ecc.).

 

Infine, si procederà con l’emissione di un ATTESTATO “HEALTH CONFORMITY” utilizzabile per dimostrare il rispetto dei requisiti e dei protocolli nonché il massimo impegno da parte dell’azienda.

 

 

 

ITER DI CONFORMITA’

 

Il servizio potrà essere erogato in due modalità diverse, in base alle necessità del cliente ed alla complessità e dei rischi dell’organizzazione richiedente:

 

 

 

STAGE 1 Verifica documentale: viene condotta la verifica della documentazione prodotta dal cliente (Piano di Prevenzione, procedure, DVR, protocolli, ecc…). A seguito del positivo esito della verifica si procede con la attestazione della conformità documentale.

 

 

 

STAGE 2 Verifica on-site e/o remoto: dopo il controllo della documentazione prodotta dal cliente, si può procedere con un audit on-site, per la verifica in loco della corretta applicazione dei protocolli oppure in remoto fornendo precise evidenze (es. videoconferenza).

 

 

 

Al termine dei due stage di controllo, verrà rilasciato un RAPPORTO DI CONFORMITÀ, con le eventuali azioni da attuare per colmare le lacune evidenziate dalla verifica documentale e/o dall’audit on-site/remoto.

 

L’ATTESTATO FINALE verrà rilasciato quando l’organizzazione avrà risolto le eventuali carenze emerse e risulterà conforme.

 

 

 

L’attestazione di conformità avrà durata di un anno al termine del quale si potrà decidere se rinnovarla e dimostrare il mantenimento dei requisiti di conformità.

 

 

 

Coloro che fossero interessati potranno contattare Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.">Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.">Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. per ottenere informazioni dettagliate su modalità di svolgimento, tempistiche e costi.

 

Utilizziamo cookie tecnici, nostri e di terze parti, per migliorare la vostra esperienza di navigazione sulle pagine di questo sito; continuando a navigare sul nostro sito senza modificare le impostazioni dei cookie, l’Utente ne accetta l’utilizzo da parte di QS QUALITY SERVICES LTD, in accordo alla nostra politica sui cookies.
Informativa Cookie e privacy Ok