Le potenziali debolezze dei sistemi di gestione della SSL
Uno dei più frequenti malintesi in ordine alla corretta soddisfazione del requisito di cui al punto 9.1.2 è rappresentato dal fatto che esso riguardi, ad esempio, che il registro legale sia aggiornato e che tutta la legislazione eventualmente modificata sia sta considerata piuttosto che aspetti come:
- la frequenza della valutazione della conformità;
- l’azione concreta rispetto alla valutazione della conformità;
- il mantenimento della conoscenza e della comprensione del proprio stato di conformità;
- la valutazione delle informazioni documentate quali evidenza della conformità;
L’aggiornamento del registro legale e più in generale il rispetto delle normative cogenti aggiornate alle ultime modifiche è, infatti, già oggetto del requisito di cui al punto 6.1.3 ovvero la “Determinazione dei requisiti legali e di altri requisiti”.
Quest’ultimo considera elementi come:
- l’identificazione e la possibilità di avere accesso agli obblighi di conformità applicabili aggiornati;
- la determinazione di come questi obblighi si applicano all’Organizzazione;
- la rilevanza di tali requisiti legali e di altro tipo quando questi vengono implementati, mantenuti o quando si migliora il sistema di gestione della SSL;
Il punto 9.1.2, ovvero la “Valutazione della conformità”, richiede invece che l’Organizzazione prenda in considerazione:
- come e quanto spesso si verificherà se sono soddisfatti i requisiti di un determinato articolo di legge/obbligo e come il relativo processo determini con quale frequenza ciò avverrà;
- come effettuare una valutazione rispetto ai requisiti applicabili o ad altri impegni per verificare se essi sono soddisfatti. In caso contrario, potrebbe essere necessario intraprendere qualsiasi azione necessaria per raggiungere la conformità;
- come essa verrà a conoscenza del fatto che, nel momento in cui un requisito dovesse cambiare, sia necessario introdurre delle modifiche e se e come esse influiranno sulla conformità. Se si apporta una modifica ad una operazione, potrebbe essere necessario valutare infatti se si continuano a soddisfare tutti i requisiti, sia durante che dopo la modifica;
- che la valutazione debba essere comunque supportata da evidenze documentali/registrazioni circa il grado di conformità (lett. d. 9.1.2 “conservare informazioni documentate dei risultati della valutazione della conformità).
Info sull'autore