ISO 27001: un sistema integrato 9001-27001

Oggi raccontiamo l’esperienza di un’azienda cliente, leader nel mercato dei servizi di consulenza e progettazione di sistemi informatici per realtà aziendali.

La realtà nasce nel 1977 nell’ambito della fornitura di servizi informatici per le PMI (piccole-medie imprese) e la soddisfazione del cliente ha fin da subito un valore molto elevato per la Direzione.

Per questo l’azienda, molti anni fa, ha scelto di aderire alla norma ISO 9001 – Sistema di Gestione per la Qualità. Con il progresso tecnologico e l’aumento di richiesta da parte del mercato, ha deciso di conformarsi ad un ulteriore standard internazionale per la sicurezza delle informazioni, la ISO 27001.

L’attività di consulenza e di supporto al cliente è stata quella di integrare i due Sistemi di Gestione, ovvero di creare un sistema integrato ISO 9001-27001.

 

Che cos’è un sistema di gestione integrato?

Un sistema integrato è un impianto unico di documenti, procedure ed evidenze progettato per conformare le attività aziendali a due o più norme volontarie (o standard).

Le norme tecniche più adottate sono quelle della famiglia ISO, l’organismo internazionale di standardizzazione, il quale si occupa di delineare norme specifiche in tantissimi settori.

L’aggiornamento delle norme ISO per i Sistemi di Gestione, in particolare tramite la revisione della struttura di tale norme, ha aiutato in questo processo. Attualmente questi standard si presentano con la stessa «High Level Structure» (Struttura di Alto Livello), suddivisa in 10 punti norma:

1. Scopo
2. Riferimenti Normativi
3. Termini e Definizioni
4. Contesto dell’Organizzazione
5. Leadership
6. Pianificazione
7. Supporto
8. Attività Operative
9. Valutazione delle Prestazioni
10. Miglioramento

Uno degli obiettivi di tale aggiornamento è proprio quello di facilitare la standardizzazione e l’integrazione di più sistemi di gestione, agevolando il raffronto dei punti norma. Inoltre, la nuova struttura permette di valutare se lo stesso punto norma offre le stesse indicazioni e requisiti per due differenti sistemi di gestione.

Nel caso preso in esame, si è deciso di integrare al Sistema di Gestione della Qualità quello relativo alla Sicurezza delle Informazioni. Vediamo insieme quali possono essere i benefici nel costruire un impianto condiviso.

 

I vantaggi di un sistema integrato

Nel momento in cui si decide di adottare un Sistema di Gestione integrato, l’azienda sceglie di avviare un processo di integrazione e ottimizzazione dei processi aziendali.

Possiamo riassumere di seguito i possibili vantaggi di un Sistema di Gestione Integrato:

• Riduzione delle ridondanze e delle duplicazioni delle operazioni
• Eliminazione della sovrapposizione delle procedure
• Ottimizzazione del tempo dedicato (sia da parte della Direzione sia da parte dei dipendenti)
• Aumento dell’efficienza dei processi tramite una migliore gestione delle risorse
• Possibilità di svolgere un unico audit nelle aree di sovrapposizione delle norme
• Avere un maggior vantaggio competitivo sul mercato
• Ottimizzazione dei costi di manutenzione del Sistema

 

Il processo di integrazione

Per ottenere un percorso di integrazione valido non esiste una strada migliore. Possono essere individuate, però, diverse modalità, da scegliersi in base al contesto aziendale[1]:

1. Si progetta fin dall’inizio la costruzione di un’integrazione multi norma;
2. Partendo dalla presenza di due o più sistemi di gestione esistenti e che operano in parallelo, si procede con l’integrazione successiva degli stessi;
3. Si integra gradualmente un nuovo Sistema di Gestione a un impianto già ben consolidato.

L’azienda cliente, nello specifico, ha adottato nel 2010 il primo Sistema per la Qualità, andando a integrare nel 2016 il Sistema di Gestione per la Sicurezza delle Informazioni.

In questo modo, si partiva da un impianto solido e rodato, al quale è stato più semplice aggiungere i requisiti aggiuntivi specifici richiesti dalla certificazione ISO 27001, poiché si è potuto sfruttare il lavoro già implementato per la ISO 9001.

Ma non si è fermata qui. Nel corso del 2021, l’azienda ha proceduto con l’adesione integrativa al Sistema Integrato delle norme ISO 27017 “Controlli di sicurezza per gli utilizzatori e i fornitori di servizi cloud” e ISO 27018 “Controlli per i fornitori di servizi cloud pubblici che agiscono come responsabili del trattamento”, garantendo ai propri clienti una maggiore sicurezza e tutela delle informazioni gestite.

 

Conclusioni

Non sempre aderire agli standard internazionali è sinonimo di efficienza e miglioramento dei processi aziendali.

Molte volte si assiste alla tenuta di Sistemi di Gestione di “facciata”, che sulla carta rappresentano un modello da seguire, ma che poi non hanno un riscontro positivo nell’operatività quotidiana. Il segreto di un Sistema di Gestione integrato solido si ritrova nell’importanza di capire qual è il momento giusto per aderire a nuovi standard, verificando e valutando la maturità dei sistemi già in essere e il livello di interiorizzazione nei processi aziendali.

Vi abbiamo presentato un esempio da cui poter prendere ispirazione per programmare un catalogo dei processi aziendali certificati integrati. Ovviamente nel tempo possono sempre essere integrati ulteriori Sistemi di Gestione!

 

 

[1] Sul punto, si rinvia al Manuale predisposto dall’ISO sulla gestione dell’integrazione dei Sistemi di Gestione “The Integrated Use of Management System Standards (IUMSS)”. Cfr. ISO – The Integrated Use of Management System Standards (IUMSS).