Certificato IWZ - EIAC / IAF
Lingua: Language:

Continuità Operativa & Disaster Recovery (Sintesi)

Business Continuity & Disaster Recovery (Summary)

CERTIFICATO IWZ adotta misure per assicurare continuità dei servizi essenziali (pianificazione audit, comunicazioni, emissione certificati, gestione reclami/ricorsi) e per ripristinare operatività in caso di incidenti, indisponibilità o crisi.

CERTIFICATO IWZ applies measures to ensure continuity of essential services (audit planning, communications, certificate issuance, complaints/appeals handling) and to restore operations in case of incidents, outages or crises.

Obiettivo: minimizzare l’impatto su clienti e parti interessate, mantenendo integrità del processo di certificazione e tracciabilità.

Goal: minimize impact on clients and stakeholders while preserving integrity and traceability of the certification process.

Crisis Mgmt Backups Recovery Crisis Mgmt Backups Recovery

1. Ambito e servizi essenziali

1. Scope and essential services

  • Pianificazione e conduzione audit: inclusi audit in remoto ove applicabile.
  • Decisione e emissione certificati: workflow controllati e segregazione ruoli.
  • Comunicazioni ufficiali: esiti, non conformità, sorveglianze e rinnovi.
  • Gestione reclami/ricorsi: canali e tracciabilità.
  • Audit planning and execution: including remote techniques where applicable.
  • Decision and certificate issuance: controlled workflows and role segregation.
  • Official communications: outcomes, nonconformities, surveillance and recertification.
  • Complaints/appeals handling: channels and traceability.

2. Governance e responsabilità

2. Governance and responsibilities

È definita una governance per la gestione della continuità: ruoli, escalation e contatti per attivazione del piano. Le decisioni critiche (priorità ripristino, comunicazioni, riprogrammazione audit) sono gestite con approccio tracciabile.

Continuity governance is defined: roles, escalation paths and contacts to activate the plan. Critical decisions (recovery priorities, communications, audit rescheduling) are handled in a traceable manner.

3. Scenari considerati

3. Scenarios considered

  • Indisponibilità IT: outage, guasti, interruzioni provider.
  • Incidenti cyber: ransomware, compromissioni, accessi non autorizzati.
  • Eventi fisici: indisponibilità sedi, calamità, restrizioni di viaggio.
  • Impatto su personale: indisponibilità risorse chiave, turn-over, emergenze.
  • IT unavailability: outages, failures, provider disruptions.
  • Cyber incidents: ransomware, compromise, unauthorized access.
  • Physical events: site unavailability, disasters, travel restrictions.
  • People impact: key staff unavailability, turnover, emergencies.

4. Backup, ripristino e resilienza

4. Backups, recovery and resilience

Dove applicabile, sono implementate pratiche di backup e ripristino per sistemi e dati necessari alla continuità. I controlli possono includere: backup periodici, test di restore, gestione accessi, e misure per prevenire perdita o corruzione dati.

Where applicable, backup and recovery practices are implemented for systems and data required for continuity. Controls may include: periodic backups, restore testing, access management and measures to prevent data loss or corruption.

Area Area Controlli (sintesi) Controls (summary)
Dati e documenti Data and documents Backup, access control, minimizzazione copie locali, retention/distruzione ove applicabile. Backups, access control, minimizing local copies, retention/disposal where applicable.
Sistemi essenziali Essential systems Hardening, patching, monitoraggio, piani di ripristino e fallback. Hardening, patching, monitoring, recovery and fallback plans.
Comunicazioni Communications Canali alternativi, messaggistica tracciabile, escalation e contatti dedicati. Alternative channels, traceable messaging, escalation and dedicated contacts.

5. Ripristino operativo e riprogrammazione audit

5. Operational recovery and audit rescheduling

In caso di interruzioni, CERTIFICATO IWZ definisce priorità di ripristino e comunica ai clienti eventuali impatti. Gli audit possono essere riprogrammati o, ove applicabile, svolti con tecniche da remoto nel rispetto delle regole di certificazione.

In case of disruption, CERTIFICATO IWZ sets recovery priorities and communicates potential impacts to clients. Audits may be rescheduled or, where applicable, performed using remote techniques in accordance with certification rules.

6. Gestione crisi e comunicazioni

6. Crisis management and communications

  • Attivazione: trigger e escalation per eventi significativi.
  • Comunicazioni: aggiornamenti ai clienti con tempi e azioni previste.
  • Post-incident: analisi, azioni correttive e miglioramenti.
  • Activation: triggers and escalation for significant events.
  • Communications: client updates with timelines and planned actions.
  • Post-incident: analysis, corrective actions and improvements.

7. Test e miglioramento continuo

7. Testing and continual improvement

Dove applicabile, sono eseguiti test periodici (es. restore, esercitazioni, verifiche di procedure) e revisioni del piano. Incidenti e near-miss alimentano il ciclo di miglioramento.

Where applicable, periodic tests (e.g., restore tests, exercises, procedure checks) and plan reviews are performed. Incidents and near-misses feed the improvement cycle.

Per sicurezza informatica e trattamento dati: Sicurezza delle Informazioni | Data Processing.

For information security and data processing: Information Security | Data Processing.

Request BC/DR Details Rules for Certification