Cos’e’ la certificazione Iso 50001

on . Postato in News

La certificazione Iso 50001 appartiene alla grande famiglia delle norme di certificazione volontaria sviluppata da Iso, organizzazione internazionale di normazione ufficialmente riconosciuta. A cosa serve l'Iso 50001? Si tratta di uno standard che interessa tutte le organizzazioni di impresa riguardante i requisiti per i sistemi di gestione di energia. La certificazione Iso 50001 propone un sistema efficiente e normato per impianti industriali, installazioni commerciali, ma anche istituzionali, governative, e più in generale l'intera filiera produttiva di organizzazioni per gestire l'energia, nel settore pubblico come in quello privato, utile a piccole e medie imprese come alle grandi aziende multinazionali, tanto nella produzione manifatturiera quanto in quella di servizi.

Funzionamento della Iso 50001

La certificazione 50001 fornisce alle organizzazioni del settore pubblico e privato strategie di gestione per aumentare e migliorare l'efficienza energetica, una delle questioni più urgenti del nostro tempo a tutti i livelli, come cittadini e come imprese. Non solo ha come fine utile tutelare l'ambiente, ma a un primo impatto immediato permette di diminuire i costi legati ai consumi energetici in maniera considerevole. Il certificato Iso 50001 ha come scopo quello di fornire alle organizzazioni un quadro internazionalmente riconosciuto per lavorare all'integrazione dell'efficienza energetica nelle sue pratiche di gestione, mediante appunto una norma unica per la sua applicazione in tutta l'organizzazione di impresa, che funziona attraverso una metodologia che porta all'identificazione delle criticità e alle strategie di risoluzione.

Le finalita’

  • Aiutare le imprese a sfruttare al meglio le proprie attuali attività di consumo energetico
  • Adottare criteri trasparenti e facilitare la comunicazione sulla gestione delle risorse energetiche
  • Promuovere migliori strategie di gestione dell'energia rafforzando le buone condotte di gestione
  • Sostenere le installazioni nella valutazione dando priorità alla applicazione di nuove tecnologie di efficienza energetica
  • Fornire una struttura per promuovere l'efficienza energetica su tutta la catena di fornitura
  • Semplificare il miglioramento di gestione dell'energia sui progetti di riduzione di emissioni nocive
  • Favorire l'integrazione con altri sistemi di gestione organizzativa, quali l'ambiente, la salute e la sicurezza 

I requisiti

La normativa Iso 50001 opera allo scopo di migliorare la reputazione di un'azienda e fornire una serie di benefici importanti per la propria azione quotidiana lungo tuta la filiera produttiva, implementando con apposite migliorie la catena organizzativa laddove se ne riscontri la necessità. In particolare, la norma ISO 50001 segue il processo "Plan-Do-Check-Act", che comporta come fine ultimo il miglioramento continuo del sistema di gestione energetica. Tali peculiarità permettono alle organizzazioni di integrare la gestione dell'energia, arrivando a un complessivo miglioramento circa la gestione della qualità, fornendo un insieme di requisiti che consente a ogni singola organizzazione aziendale di:

  • Sviluppare una politica ragionata orientata all'efficienza energetica
  • Individuare obiettivi e fissare risultati da raggiungere
  • Utilizzare i dati per migliorare la comprensione e prendere decisioni in merito all'uso e consumo di energia
  • Misurare i risultati ottenuti
  • Esaminare l'efficacia delle politiche strategiche
  • Migliorare costantemente la gestione dell'energia

I benefici

Avendo a che fare con un tema cruciale quale l'efficienza energetica e l'impatto ambientale, la normativa Iso 50001 risulta determinante per le operazioni di un'organizzazione di impresa, e può comportare ampi benefici a fronte di un costo considerevole come quello legato alla gestione energetica. Non dimentichiamo che oltre alla mera operatività di un'azienda, l'energia può imporre costi ambientali e sociali notevoli a causa dell'esaurimento delle risorse e può contribuire a problematiche quali il mutamento climatico. Lo sviluppo e la distribuzione di tecnologie da fonti di energie nuove e rinnovabili può richiedere un investimento iniziale di tempo e denaro rilevante, ma  nel corso del tempo, in virtù di una consonanza con le politiche di governo e le impellenze della realtà economica globale, possono comportare un uso più virtuoso ed efficiente dell'energia, a tutti i livelli.

Miscela gas-idrogeno, la lettera aperta dell’industria all’UE

on . Postato in News

 

Retrofitting e repurposing dell’infrastruttura del gas esistente sono soluzioni che abbattono più gas serra a un costo sistemico minore per i paesi del sud e dell’est Europa, scrivono i firmatari.

90 aziende chiedono a Bruxelles l’ok per il blending di idrogeno e gas

Lasciateci miscelare idrogeno e gas come misura di provvisoria, altrimenti resteremo indietro con la transizione. Lo chiedono alla Commissione europea 90 tra compagnie energetiche, produttori di componenti come elettrolizzatori e fuel cell, e operatori del settore gas in una lettera aperta indirizzata al vice presidente Frans Timmermans.  
La ragione? Molti paesi dell’Europa meridionale e orientale hanno una infrastruttura gasiera sviluppata ma inadatta a trasportare idrogeno puro, e vorrebbero appoggiarsi a questa invece di mettere in campo una rete completamente dedicata al nuovo vettore energetico.

Le reti esistenti di trasmissione e distribuzione del gas, insieme alle strutture associate ad esse collegate, costituiranno un fattore abilitante essenziale per realizzare la decarbonizzazione dell’economia europea e gli obiettivi della strategia dell’UE per l’idrogeno”, si legge nella lettera, pubblicata dal portale Euractiv. “L’adeguamento [retrofitting] e il riutilizzo[repurposing] delle reti del gas esistenti possono essere combinati e integrati con la costruzione di una nuova infrastruttura dedicata all’idrogeno, in modo che tre opzioni di distribuzione dell’idrogeno possano coesistere ove necessario”, ragionano i firmatari.

Mentre il retrofitting richiede delle modifiche limitate alla rete per renderla in grado di supportare una miscelazione di gas e idrogeno, il repurposing prevede invece un intervento più massiccio che riconverte integralmente l’infrastruttura per trasportare solo H2.
Il vantaggio della miscelazione come soluzione transitoria, sostengono i firmatari tra cui figurano Italgas e Snam, è di permettere di avviare la transizione e di incrementare gradualmente la produzione di idrogeno seguendo un modello decentralizzato. Una soluzione ottimale, spiegano, per riuscire a far partire la produzione di H2 già nel breve periodo.

L’uso di miscele di gas e idrogeno nel breve e medio periodo, argomentano, consentirebbe di ottenere “una maggiore riduzione dei gas serra a un costo sistemico inferiore” rispetto a una soluzione diversa, in cui fosse necessario creare una nuova infrastruttura dedicata esclusivamente all’idrogeno. In questo modo, concludono, si riuscirebbe a “rafforzare la capacità di produzione di idrogeno” e al tempo stesso “sviluppare economie di scala” che metteranno i paesi del sud e dell’est europeo sui binari della transizione energetica definiti dalla strategia UE sull’idrogeno.

 

 

Sicurezza delle informazioni, cosa prevede la nuova ISO/IEC 27002:2021

on . Postato in News

 

Entro fine 2021 dovrebbe essere pubblicata la nuova versione della ISO/IEC 27002, la norma che descrive i controlli per la sicurezza delle informazioni. Essa avrà nome “ISO/IEC 27002:2021 – Information security,  cybersecurity and privacy protection — Information security controls”. Essa sostituirà la ISO/IEC 27002:2013, attualmente in vigore.

 

ISO/IEC 27002: capitoli e categorie

 

La ISO/IEC 27002:2013 organizza i controlli in 14 capitoli (da “Politiche per la sicurezza delle informazioni” a “Conformità”). Questi capitoli sono a loro volta suddivisi in categorie (a ciascuna delle quali corrisponde un obiettivo) di cui fanno poi parte i controlli.

La futura ISO/IEC 27002 suddivide invece i controlli in 4 categorie senza ulteriori divisioni e senza alcuna relazione esplicita con obiettivi di sicurezza. I capitoli sono i seguenti:

  1. controlli organizzativi;

  2. controlli relativi alle persone;

  3. controlli di tipo fisico;

  4. controlli di tipo tecnologico.

 

Questa scelta avrà degli impatti negativi perché oggi molti documenti prendono a modello l’impostazione in 14 capitoli della ISO/IEC 27002:2013, assicurando quindi una omogeneità di lettura (si pensi, a solo titolo di esempio, alla bozza di criteri di valutazione dei fornitori di servizi cloud diffusa da ENISA ). In futuro potrà quindi essere più difficile individuare una chiave di lettura comune alle tante pubblicazioni relative alla sicurezza delle informazioni.

Va invece sottolineato un effetto positivo di questa impostazione: è stato possibile eliminare molte ridondanze nei controlli.
Un altro effetto positivo, anche se meno evidente se non per il risultato finale, è che le sessioni di redazione si sono potute concentrare sul testo di descrizione e guida dei controlli e non sul loro posizionamento. 
La futura ISO/IEC 27002 sarà quindi sicuramente scritta meglio e più completa della precedente.

 

 

ISO/IEC 27002: i controlli

 

La ISO/IEC 27002:2013 riporta 114 controlli. La futura versione ne riporterà 93.

Un’accusa spesso rivolta alle ISO/IEC 27001 e ISO/IEC 27002 è che l’elenco dei controlli è troppo lungo. Si tenga conto che altre pubblicazioni (incluso il NIST CFS) ne riportano anche di più. I redattori si sono comunque impegnati a ridurre le ripetizioni e ad accorpare i controlli dove ritenuto opportuno.

Alcuni controlli accorpati sono quelli relativi a:

  • trasferimento delle informazioni;

  • gestione delle informazioni di autenticazione;

  • gestione dei diritti di accesso;

  • continuità operativa;

  • dispositivi di memorizzazione dei dati;

  • logging;

  • gestione dei cambiamenti.

 

Un esempio particolare è il controllo al punto 18.1.5 sulla regolamentazione dei controlli crittografici, troppo spesso non interpretato correttamente (soprattutto se si considerano gli altri due controlli relativi alla crittografia, che saranno anch’essi accorpati tra loro) e ad esso accorpato con il controllo più generale relativo all’identificazione dei requisiti legali, di regolamenti e contrattuali.

 

Sono stati aggiunti nuovi controlli, come necessario considerando gli aggiornamenti tecnologici di questi anni:

  • raccolta di informazioni sulle minacce (threat intelligence);

  • uso dei servizi cloud;

  • ICT nella continuità operativa (per meglio specificare l’ambito della continuità nella sicurezza delle informazioni ed evitare l’uso delle ISO/IEC 27001 e ISO/IEC 27002 al posto della ISO 22301);

  • monitoraggio della sicurezza fisica;

  • gestione della configurazione;

  • cancellazione delle informazioni;

  • mascheramento dei dati;

  • prevenzione dalla fuga (leakage) di dati.

  • monitoraggio delle attività;

  • filtri web;

  • codifica sicura.

 

Alcuni controlli, palesemente, erano già presenti nella ISO/IEC 27002:2013, ma non sufficientemente evidenziati. Un esempio è quello relativo al monitoraggio delle attività, che nella ISO/IEC 27001:2013 era “incluso” nel controllo relativo al logging. Molti controlli hanno cambiato titolo per renderlo più chiaro o più significativo. Alcuni esempi:

 

  • Identity management” per i controlli di registrazione degli utenti;

  • Information security during disruption”, per rendere più chiaro il precedente “Information security continuity”;

  • Remote working” al posto del più limitativo (almeno in Italia) “Teleworking”;

  • User endpoint devices” al posto del più limitativo “Mobile device policy”.

 



 

Attributi dei controlli

 

Una notevole novità della futura ISO/IEC 27002 è rappresentata dagli “attributi” che possono essere assegnati ai controlli.

L’idea è quella di permettere agli utilizzatori di riordinare e raggruppare i controlli secondo vistein accordo alle proprie specifiche esigenze. Questo, come già detto in precedenza, avrà come impatto negativo la perdita di omogeneità tra le pubblicazioni relative alla sicurezza delle informazioni, ma lascerà una maggiore flessibilità agli utilizzatori.

Intuitivamente è possibile assegnare a ogni controllo alcune etichette. Se controlli ed etichette sono riportati su fogli di calcolo o database, come sempre più spesso succede, la creazione di viste sarà molto semplice (anche se dovremo valutarne l’effettiva utilità).

Lo standard presenta alcuni esempi di attributi. Tre esempi:

 

  • tipologia di controllo: preventivo, di rilevazione, correttivo;

  • proprietà di sicurezza: riservatezza, integrità, disponibilità;

  • concetti di sicurezza cyber: identificare, proteggere, rilevare, rispondere, ripristinare.

 

Un altro esempio ripropone un raggruppamento dei controlli simile a quello della ISO/IEC 27002:2013: governo, gestione degli asset, sicurezza del personale, sicurezza fisica, eccetera.

 

I rapporti con la ISO/IEC 27001

 

La ISO/IEC 27001 sarà aggiornata tra qualche anno. I lavori di aggiornamento sono appena partiti e la pubblicazione non avverrà prima del 2024.

 

Questo vuol dire che l’appendice A della norma rimarrà invariata e, come conseguenza, le organizzazioni che intendono certificarsi ISO/IEC 27001 dovranno sempre presentare l’elenco dei controlli esclusi basandosi sulla ISO/IEC 27002:2013 e non sulla nuova versione

Diverso è invece il discorso per quanto riguarda la dichiarazione di applicabilità (o statement of applicability). Infatti, l’attuale normativa non richiede che tale documento debba essere redatto sulla base dei controlli nell’appendice A. Può infatti essere presentato seguendo altri elenchi di controlli, anche elaborati internamente, purché altrettanto esaustivi dell’appendice A.

Alcune riflessioni necessarie

  1. sono rare le organizzazioni che non usano l’appendice A proprio perché questa è esaustiva e l’elaborazione di un’alternativa non darebbe benefici tangibili (e gli auditor richiederebbero comunque una tabella di relazione con l’appendice A);

  2. molti altri elenchi non sono utilizzabili perché non altrettanto esaustivi (per esempio il NIST CFS e il loro recepimento come misure minime promosse da AgID, visto che trattano solo di sicurezza informatica).

Sarà quindi possibile presentare la dichiarazione di applicabilità basata sulla futura ISO/IEC 27002, purché accompagnata da un elenco dei controlli esclusi basato però sull’attuale ISO/IEC 27002:2013. La soluzione è un po’ macchinosa, ma permetterebbe di essere allineati con l’evoluzione delle normative.

 

 

 

 

QS ED ASSOSISTEMA - LINEE GUIDA RABC

on . Postato in News

L’adesione ad Assosistema

QS aderisce la prima volta al protocollo d’intesa Assosistema nel 2017 e siglandolo si è impegnato a fare riferimento alle linee guida RABC Assosistema per la verifica di certificazione UNI EN ISO 14065 - Tessili trattati in lavanderia - presso le aziende.

Come per ogni settore, l’obiettivo per QS è quello di individuare le migliori modalità di garanzia di efficacia della certificazione, ed in questo caso la scelta di aderire a tale protocollo è proprio per lo scopo di assicurare alle organizzazioni una verifica coordinata sull'implementazione del sistema di controllo e analisi dei rischi della biocontaminazione (Risk Analysis and Biocontamination Control – RABC).

In questa maniera QS garantisce una certificazione che in questo settore (prodotti tessili igienicamente sicuri nell’ambito sanità, industria e turismo) rappresenta elemento di distinzione e credibilità e dunque i clienti certificati possono fornire alle parti interessati un servizio ottimale e un maggiore controllo del processo di lavaggio e sanificazione.

 

I Certificati ISO 14065 emessi da QS avranno dunque il "bollino di adesione ad ASSOSISTEMA" come garazia di conformità in questo settore

 

Utilizziamo cookie tecnici, nostri e di terze parti, per migliorare la vostra esperienza di navigazione sulle pagine di questo sito; continuando a navigare sul nostro sito senza modificare le impostazioni dei cookie, l’Utente ne accetta l’utilizzo da parte di QS QUALITY SERVICES LTD, in accordo alla nostra politica sui cookies.
Informativa Cookie e privacy Ok