${[ { titolo:'Analisi del contesto (§4)', freq:'Annuale o a variazione', come:'Identificare le parti interessate (clienti, fornitori, autorità), i fattori interni ed esterni che influenzano l\'azienda. Strumenti: SWOT, PESTLE. Documentare in una matrice delle parti interessate.', docs:'Matrice parti interessate, analisi SWOT', warn:'' }, { titolo:'Politica per la Qualità (§5.2)', freq:'Definita una volta, rivista annualmente', come:'Redigere un documento firmato dall\'Alta Direzione che dichiari l\'impegno alla qualità e al miglioramento continuo. Deve essere comunicata a tutto il personale e affissa in sede.', docs:'Documento Politica Qualità firmato', warn:'Deve includere impegno al miglioramento e soddisfazione requisiti' }, { titolo:'Obiettivi per la Qualità (§6.2)', freq:'Definiti annualmente, monitorati trimestralmente', come:'Fissare obiettivi misurabili (KPI) per ogni funzione rilevante. Ogni obiettivo deve avere: responsabile, risorse, scadenza, metodo di monitoraggio. Usare la sezione "Obiettivi & KPI" di questo gestionale.', docs:'Piano obiettivi qualità, report KPI', warn:'Devono essere coerenti con la Politica Qualità' }, { titolo:'Gestione rischi e opportunità (§6.1)', freq:'Annuale, aggiornamento su eventi significativi', come:'Identificare i rischi per ogni processo (es. ritardi fornitore, errori produzione). Valutare probabilità × impatto. Pianificare azioni di trattamento. Non è richiesta una procedura formale, ma la documentazione è raccomandata.', docs:'Registro rischi, piano di trattamento', warn:'' }, { titolo:'Controllo dei processi (§8.1)', freq:'Continuo', come:'Definire e documentare le istruzioni operative per ogni processo critico (produzione, acquisti, spedizioni). Verificare che vengano seguite con ispezioni a campione. Registrare gli esiti dei controlli.', docs:'Procedure operative, istruzioni di lavoro, registrazioni di controllo', warn:'' }, { titolo:'Gestione fornitori (§8.4)', freq:'Valutazione annuale, monitoraggio continuo', come:'Creare un albo fornitori con criteri di qualificazione (certificazioni, audit, storico performance). Valutare i fornitori critici almeno una volta l\'anno con un questionario o audit. Documentare i risultati.', docs:'Albo fornitori qualificati, schede di valutazione fornitore', warn:'Obbligatorio per forniture che impattano la qualità del prodotto finale' }, { titolo:'Monitoraggio soddisfazione cliente (§9.1.2)', freq:'Almeno annuale', come:'Somministrare questionari di soddisfazione ai clienti principali. Analizzare reclami e feedback. Calcolare un indice di soddisfazione. Presentare i risultati nel riesame della direzione.', docs:'Questionari, report soddisfazione cliente, registro reclami', warn:'' }, { titolo:'Audit interno (§9.2)', freq:'Almeno 1 ciclo completo per anno', come:'Pianificare gli audit con almeno 2 mesi di anticipo. L\'auditor NON può auditare il proprio reparto. Usare checklist basate sui requisiti della norma. Registrare le evidenze e le non conformità. Emettere rapporto di audit. Seguire le azioni correttive.', docs:'Piano audit, checklist, rapporti di audit, registro NC', warn:'L\'auditor deve essere formato — documentare la competenza' }, { titolo:'Riesame della Direzione (§9.3)', freq:'Almeno 1 volta l\'anno (tipicamente fine anno)', come:'Convocare la riunione con l\'Alta Direzione. L\'ordine del giorno DEVE includere: risultati audit, feedback clienti, performance dei processi, conformità prodotti, NC e azioni correttive, risorse, obiettivi. Verbalizzare con decisioni e azioni assegnate.', docs:'Verbale riesame della direzione firmato dal top management', warn:'Senza verbale firmato l\'ente certificatore non accetta il riesame' }, { titolo:'Gestione NC e Azioni Correttive (§10.2)', freq:'A ogni non conformità rilevata', come:'Registrare immediatamente la NC. Analizzare la causa radice (5 Perché, Ishikawa). Definire l\'azione correttiva con responsabile e scadenza. Verificare l\'efficacia dopo l\'implementazione. Chiudere la NC. Usare la sezione "Non Conformità" di questo gestionale.', docs:'Registro NC, report analisi causa radice, verifica efficacia', warn:'Non confondere "correzione" (risolve il sintomo) con "azione correttiva" (elimina la causa)' }, ].map(a=>` `).join('')}

${[ ['Scopo del SGQ','Documento che definisce i confini e l\'applicabilità del sistema'], ['Politica per la Qualità','Firmata dall\'Alta Direzione, comunicata al personale'], ['Obiettivi per la qualità','Con indicatori, responsabili e scadenze'], ['Competenze del personale','CV, diplomi, attestati di formazione'], ['Risultati di monitoraggio e misura','Registrazioni di controllo, collaudi, ispezioni'], ['Programma audit interni','Piano audit annuale'], ['Rapporti di audit interno','Con evidenze, NC rilevate, raccomandazioni'], ['Risultati riesame della direzione','Verbale firmato con decisioni e azioni'], ['Registro non conformità','Con causa, azione correttiva e verifica efficacia'], ['Prove di taratura strumenti di misura','Se si usano strumenti per verifiche di qualità'], ].map(([t,d])=>``).join('')}

${[ { titolo:'Registro degli aspetti e impatti ambientali (§6.1.2)', freq:'Annuale + aggiornamento a variazioni', come:'Elencare tutte le attività/prodotti/servizi. Per ognuno identificare gli aspetti (emissioni aria, scarichi acqua, rifiuti, rumore, consumo energia/acqua, contaminazione suolo). Valutarli in condizioni normali, anomale ed emergenza. Determinare quali sono "significativi" con una matrice di valutazione.', docs:'Registro aspetti/impatti, matrice di significatività', warn:'Considerare anche aspetti indiretti (es. attività appaltatori, trasporti)' }, { titolo:'Registro conformità legale (§6.1.3)', freq:'Aggiornamento semestrale', come:'Identificare tutte le leggi, regolamenti e prescrizioni volontarie applicabili (D.Lgs 152/06 Testo Unico Ambiente, autorizzazioni AIA/AUA, regolamenti comunali). Per ciascuna verificare lo stato di conformità e documentare le evidenze. Assegnare un responsabile per ogni adempimento.', docs:'Registro conformità legale, check conformità periodica', warn:'Non conformità legali = rischio certificazione e sanzioni amministrative' }, { titolo:'Obiettivi e programmi ambientali (§6.2)', freq:'Definiti annualmente', come:'Per ogni aspetto significativo definire un obiettivo di miglioramento misurabile (es. "ridurre produzione rifiuti del 10% entro dicembre"). Assegnare risorse, responsabile e scadenza. Monitorare trimestralmente e riportare nel riesame della direzione.', docs:'Piano obiettivi ambientali, report avanzamento', warn:'' }, { titolo:'Controlli operativi ambientali (§8.1)', freq:'Continuo', come:'Per ogni aspetto significativo definire procedure di controllo operative: gestione rifiuti (differenziazione, formulari FIR, registro carico/scarico), manutenzione impianti, istruzioni per le emergenze. Il personale deve essere formato e consapevole.', docs:'Procedure gestione rifiuti, istruzioni operative, formulari FIR', warn:'Il registro carico/scarico rifiuti è obbligatorio per legge in Italia' }, { titolo:'Preparazione e risposta alle emergenze (§8.2)', freq:'Piano definito una volta, test annuale', come:'Identificare le possibili emergenze ambientali (sversamento sostanze, incendio, allagamento). Per ognuna redigere una procedura di risposta con: chi avvisare, come contenere il danno, come ripristinare. Effettuare almeno una simulazione annua e documentarla.', docs:'Piano emergenze ambientali, verbale simulazione', warn:'' }, { titolo:'Monitoraggio prestazioni ambientali (§9.1)', freq:'Continuo, report trimestrale', come:'Misurare i consumi (energia, acqua, materie prime), le emissioni e la produzione di rifiuti. Confrontare con gli obiettivi fissati. Usare indicatori di prestazione ambientale (EPA). Riportare i trend nel riesame della direzione.', docs:'Registro consumi, report EPA, schede di monitoraggio', warn:'' }, { titolo:'Audit interno SGA (§9.2)', freq:'Almeno 1 ciclo completo per anno', come:'Auditare tutti i processi con impatto ambientale significativo. Verificare: conformità alla norma, conformità legale, efficacia dei controlli operativi. Documentare con checklist, rapporto di audit e registro NC ambientali.', docs:'Piano audit, checklist ambientale, rapporti di audit', warn:'' }, { titolo:'Riesame della Direzione SGA (§9.3)', freq:'Annuale (può coincidere con riesame SGQ)', come:'Includere nell\'ordine del giorno: risultati monitoraggio EPA, stato conformità legale, obiettivi ambientali, risultati audit, reclami parti interessate, opportunità di miglioramento. Verbalizzare con decisioni su risorse e obiettivi futuri.', docs:'Verbale riesame direzione con sezione ambientale', warn:'' }, ].map(a=>` `).join('')}

${[ ['MUD — Modello Unico Dichiarazione','Dichiarazione annuale rifiuti prodotti. Scadenza: 30 aprile ogni anno. Obbligatorio per produttori di rifiuti speciali.'], ['Registro carico/scarico rifiuti','Tenuta obbligatoria per chi produce rifiuti speciali. Aggiornamento entro 10 gg lavorativi da ogni operazione.'], ['Formulario Identificazione Rifiuti (FIR)','Obbligatorio per ogni trasporto di rifiuti. 4 copie: produttore, trasportatore (2), destinatario. Conservare copia per 5 anni.'], ['RENTRI','Dal 2024: sistema informatico nazionale per tracciabilità rifiuti. Sostituirà progressivamente i registri cartacei.'], ['AUA — Autorizzazione Unica Ambientale','Per PMI: autorizzazione unica che sostituisce diverse autorizzazioni settoriali. Validità 15 anni.'], ['SISTRI / RENTRI','Sistema di tracciabilità informatica dei rifiuti. Verificare l\'applicabilità alla propria categoria di rifiuti prodotti.'], ].map(([t,d])=>``).join('')}

${[ ['Riservatezza','Le informazioni sono accessibili solo a chi è autorizzato','var(--teal)'], ['Integrità','Le informazioni sono accurate e complete e non modificate senza autorizzazione','var(--teal)'], ['Disponibilità','Le informazioni sono accessibili quando serve a chi ne ha diritto','var(--teal)'], ['93 Controlli','Allegato A: Organizzativi (37), Persone (8), Fisici (14), Tecnologici (34)','var(--teal)'], ].map(([t,d,c])=>``).join('')}

${[ { titolo:'Scoping — Definizione del perimetro ISMS (§4.3)', freq:'Una tantum + revisione annuale', come:'Definire esattamente quali informazioni, sistemi, sedi e processi rientrano nell\'ISMS. Documentare chiaramente cosa è incluso ed escluso e la motivazione. Il perimetro può essere tutta l\'azienda o solo una divisione.', docs:'Documento di scoping ISMS', warn:'Un perimetro troppo ristretto può essere contestato dall\'ente di certificazione' }, { titolo:'Risk Assessment (§6.1.2)', freq:'Annuale + aggiornamento su eventi', come:'1) Inventariare tutti gli asset informativi (hardware, software, dati, persone, sedi). 2) Identificare le minacce e vulnerabilità per ogni asset. 3) Calcolare il rischio (probabilità × impatto). 4) Classificare: rischi accettabili vs da trattare. Usare la sezione "Rischi" di questo gestionale.', docs:'Inventario asset, registro rischi, matrice di valutazione', warn:'Documentare il metodo di valutazione del rischio e applicarlo coerentemente' }, { titolo:'Risk Treatment Plan — Piano di trattamento (§6.1.3)', freq:'Annuale, aggiornamento continuo', come:'Per ogni rischio non accettabile scegliere: Mitigare (implementare controllo), Trasferire (assicurazione), Evitare (eliminare attività), Accettare (con firma del responsabile). Documentare l\'azione, il responsabile, la scadenza e il rischio residuo atteso.', docs:'Piano di trattamento rischi (RTP)', warn:'' }, { titolo:'Dichiarazione di Applicabilità — SoA (§6.1.3d)', freq:'Annuale', come:'Per tutti i 93 controlli dell\'Allegato A specificare: Applicabile/Non applicabile, Motivazione, Stato di implementazione. È il documento più importante per l\'ente certificatore. Deve essere approvato dall\'Alta Direzione.', docs:'Statement of Applicability (SoA) firmato', warn:'Ogni controllo NON applicabile deve avere una giustificazione documentata' }, { titolo:'Politica per la Sicurezza delle Informazioni (§5.2)', freq:'Revisione annuale', come:'Documento di alto livello (1-2 pagine) firmato dall\'Alta Direzione che definisce l\'approccio dell\'organizzazione alla sicurezza. Deve essere comunicata a tutto il personale e ai fornitori rilevanti. Deve includere obiettivi e impegni specifici.', docs:'Politica ISMS firmata, evidenza comunicazione', warn:'' }, { titolo:'Gestione degli accessi (Controllo A.5.15)', freq:'Continuo', come:'Implementare il principio del minimo privilegio: ogni utente ha solo i permessi strettamente necessari. Procedure per: on-boarding (assegnazione accessi), variazioni di ruolo, off-boarding (revoca immediata). Revisione periodica dei privilegi (almeno semestrale).', docs:'Procedura gestione accessi, matrice ruoli/permessi, log revisioni', warn:'Gli account di ex dipendenti con accessi attivi sono una NC grave' }, { titolo:'Gestione incidenti di sicurezza (§6.1 / A.5.24-26)', freq:'A ogni incidente + test annuale piano', come:'Definire cosa costituisce un "incidente" (data breach, attacco, errore umano, guasto). Procedure di: rilevazione, classificazione, risposta, notifica (GDPR: entro 72h al Garante se breach dati personali), ripristino e lesson learned. Tenere un registro degli incidenti.', docs:'Procedura gestione incidenti, registro incidenti, modulo di notifica', warn:'Data breach dati personali: obbligo notifica al Garante entro 72 ore (GDPR Art.33)' }, { titolo:'Business Continuity / Backup (A.8.13-8.14)', freq:'Piano definito, test semestrale', come:'Definire RPO (quanti dati posso perdere) e RTO (in quanto tempo ripristino). Implementare backup regolari (3-2-1: 3 copie, 2 media diversi, 1 offsite). Testare il ripristino periodicamente documentando i risultati. Piano di continuità operativa per i processi critici.', docs:'Piano di backup, procedure BC/DR, verbali test ripristino', warn:'Un backup non testato NON è un backup' }, { titolo:'Formazione e consapevolezza (§7.2-7.3)', freq:'Almeno annuale per tutto il personale', come:'Formare TUTTO il personale sui rischi di sicurezza (phishing, password, dispositivi mobili, scrivania pulita). Documentare: chi ha partecipato, quando, con quale contenuto. Testare periodicamente con simulazioni phishing o quiz. Formare in modo specifico i ruoli con accesso privilegiato.', docs:'Piano formazione sicurezza, registro presenze, attestati', warn:'' }, { titolo:'Audit interno ISMS (§9.2)', freq:'Almeno 1 ciclo per anno', come:'Auditare: conformità alla norma, conformità al SoA, efficacia dei controlli implementati. L\'auditor deve essere competente e indipendente. Documentare con checklist, rapporto di audit e registro NC. Seguire le azioni correttive fino alla chiusura.', docs:'Programma audit, checklist ISO 27001, rapporti di audit', warn:'' }, ].map(a=>` `).join('')}

${[ ['Registro trattamenti (GDPR Art.30)','Obbligatorio indipendentemente dalla ISO 27001. Documenta chi tratta dati, per quale scopo, con quale base legale, per quanto tempo.'], ['DPIA — Valutazione impatto (GDPR Art.35)','Obbligatoria per trattamenti ad alto rischio. Complementare al risk assessment ISO 27001.'], ['Nomina DPO','Obbligatoria per PA, trattamenti su larga scala di dati sensibili o monitoraggio sistematico.'], ['Informative privacy','Obbligatorie per tutti i trattamenti. La ISO 27001 aiuta a garantire che i dati siano protetti come promesso nell\'informativa.'], ].map(([t,d])=>``).join('')}