TÜV Italia

Informazioni per la qualifica degli Auditor

Schema Sicurezza delle Informazioni (ISO/IEC 27001)

Requisiti per la qualifica

Il candidato deve possedere i seguenti requisiti minimi documentabili:

▪ Istruzione universitaria o formazione professionale ad un livello equivalente all'istruzione universitaria; (5)

▪ 4 anni di esperienza lavorativa nell’ambito nell’information technology (di cui almeno due in ruoli o
funzioni afferenti la sicurezza delle informazioni, data protection o privacy).
▪ Partecipazione, con superamento di esame finale, a corso per Auditor / Lead Auditor relativo alla norma
ISO/IEC 27001 in edizione vigente (riconosciuto da Organismo di Certificazione del personale) (1)
▪ Competenze di cui al requisito 7.1.2.1 della norma ISO/IEC 27006:2015 (2)

Domanda di qualifica
Deve essere predisposta dal candidato sul form Q01.
Allegati obbligatori richiesti:
▪ Attestato del titolo di studio
▪ Curriculum vitae in formato europeo
▪ Attestato di superamento di corso per Auditor / Lead Auditor (vedere anche nota (1))
▪ Elenco degli audit (se effettuati) di 2° e 3° parte svolti nello schema in oggetto (riportato sul form Q01 o
su altro documento contenente almeno gli stessi campi).

Possono essere allegate altre evidenze utili a dimostrare conoscenze ed abilità di carattere generale o in
ambiti specifici (es.: attestazioni di qualifiche acquisite presso altri Organismi di Certificazione, registrazione
presso Organismi di certificazione del personale, referenze professionali, membership).
Qualora l’esperienza lavorativa documentata riguardi anche attività di tipo consulenziale, saranno oggetto di
valutazione ai fini della qualifica le sole consulenze “continuative” (quantificabili in giorni/anno all’interno di più
annualità per lo stesso cliente), da riportare nella tabella “Esperienza lavorativa” del modello Q01.

La domanda, composta dal Q01 e dagli allegati (obbligatori ed opzionali), deve essere trasmessa a
auditor.ms@tuvsud.com . Le domande incomplete non saranno processate.
L’esito della valutazione, insieme alle azioni necessarie per l’inserimento nel pool di auditor di TÜV Italia, sarà
comunicato all’indirizzo e-mail indicato nel form Q01.

Qualifica iniziale come Auditor e come Lead Auditor

L’inserimento nel team TÜV Italia in veste di Auditor (“A” o AVI) richiede:
▪ formazione di base TÜV Italia sulle modalità operative di conduzione dell’audit, di gestione della pratica di
certificazione, e di utilizzo del portale CommuniTUV e del gestionale i-Cert;
▪ esecuzione di almeno dieci giorni/auditor in veste di “TA” (“Trainee Auditor”) (3), con almeno un audit
completo (stage 1 e stage 2) o rinnovo e almeno un audit di sorveglianza, ed effettuazione di
monitoraggi(4) negli ultimi due audit eseguiti. Durante questa attività non è riconosciuto lo status di Auditor
ai fini della tempistica di audit fatturabile.

Q00-27001-r04 Pagina 1 di 4

(valido dal 14/06/2021)

 TÜV Italia
Informazioni per la qualifica degli Auditor
Schema Sicurezza delle Informazioni (ISO/IEC 27001)

Nel caso in cui il candidato sia iscritto ad un registro di Auditor come AVI, il training per Auditor può essere
ridotto a un giorno/auditor in veste di “TA”, con effettuazione di monitoraggio (4).
Il successivo training per il ruolo di Lead Auditor (“LA” o RGVI) richiede l’esecuzione di almeno dieci
giorni/auditor in veste di “TLA” (“Trainee Lead Auditor”) (3) con almeno un audit completo (stage 1 e stage 2) o
rinnovo e almeno un audit di sorveglianza, ed effettuazione di monitoraggi (4) negli ultimi due audit.
Nel caso in cui il candidato sia iscritto ad un registro di Auditor come RGVI, viene qualificato d’ufficio come
Auditor, ed il training per Lead Auditor può essere ridotto a un giorno/auditor in veste di “TLA”, con
effettuazione di monitoraggio (4) . Lo stato della qualifica è documentato in iCert.

Mantenimento della qualifica

La validità della qualifica è di cinque anni, durante i quali la risorsa deve:
▪ effettuare almeno 4 audit nello schema su incarico TÜV Italia;
▪ partecipare ad almeno due meeting di Experience Exchange di schema (meeting, videoconferenza,
training a distanza);
▪ ottenere valutazione positiva delle performance, che TÜV Italia effettuerà attraverso un mix di tecniche e
parametri (qualità delle pratiche, tempistiche di caricamento, numero di rejection, eventuale monitoraggio
in campo).
Deviazioni accertate rispetto agli standard operativi sopra riportati possono comportare la sospensione della
qualifica.

Estensione della qualifica ad altri settori / aree tecniche

Dato che l’accreditamento rilasciato da Accredia riguarda tutti i settori IAF (stante la trasversalità dei principi di
gestione della sicurezza delle informazioni rispetto ai settori merceologici delle Organizzazioni), la qualifica
iniziale viene rilasciata da TÜV Italia per tutti i settori e non prevede estensioni ad altri settori.

Qualifica di auditor già qualificati in altri schemi per TÜV Italia

Il candidato deve possedere i requisiti 3 e 4 di cui al paragrafo “Requisiti per la qualifica”.
Verrà quindi qualificato secondo i criteri esposti nella tabella sottostante:
Qualifica già posseduta
dal candidato per TÜV Qualifica attribuita Qualifica come A Qualifica come LA
Italia
Completare il percorso di qualifica come
A in almeno 1 schema indicato nel paragrafo “Qualifica iniziale come
Auditor e come Lead Auditor”
Dopo monitoraggio(4) Effettuare 5 giorni (in almeno 2 audit) in qualità
LA in 1 schema TA nel nuovo schema positivo condotto di A con monitoraggio (4) positivo in occasione
durante il primo audit. dell’ultimo audit, da condurre come TLA
Effettuare 3 giorni in qualità di A con
LA in 2 schemi monitoraggio (4) positivo in occasione dell’ultimo
audit, da condurre come TLA

Q00-27001-r04 Pagina 2 di 4

(valido dal 14/06/2021)

 TÜV Italia
Informazioni per la qualifica degli Auditor
Schema Sicurezza delle Informazioni (ISO/IEC 27001)

Effettuare 2 giorni in qualità di A con

LA in 3 o più schemi monitoraggio (4) positivo in occasione dell’ultimo
audit, da condurre come TLA
Nel caso in cui, sulla base delle evidenze fornite dal candidato e dell’eventuale intervista tecnica, il
Coordinatore Tecnico non ritenga l’esperienza maturata nelle attività di audit per lo schema sufficiente alla
qualifica secondo le indicazioni della tabella, potrà indicare un diverso percorso di affiancamento
condividendolo con il candidato stesso.

Qualifica per TÜV Italia di auditor già qualificati da altri Organismi di Certificazione
Il candidato deve possedere i requisiti di cui al paragrafo “Requisiti per la qualifica”. Dovrà inoltre dimostrare di
avere effettuato attività di training in campo almeno pari a quanto previsto per il training TÜV Italia.
Verrà quindi qualificato in base ai criteri esposti nella tabella seguente:
Qualifica già posseduta
dal candidato per altro Qualifica attribuita Qualifica come A Qualifica come LA
OdC
Dopo monitoraggio (4) Completare il percorso di qualifica come
A TA positivo condotto indicato nel paragrafo “Qualifica iniziale come
durante il primo audit. Auditor e come Lead Auditor”
Effettuare 1 audit come TLA con monitoraggio
LA A // (4) positivo.

Dato che l’accreditamento rilasciato da Accredia riguarda tutti i settori IAF (stante la trasversalità dei principi di
gestione della sicurezza delle informazioni rispetto ai settori merceologici delle Organizzazioni), la qualifica
iniziale viene rilasciata da TÜV Italia per tutti i settori e non prevede estensioni ad altri settori.
Nel caso in cui, sulla base dell’intervista tecnica o sulla base dei risultati del primo monitoraggio effettuato, il
Coordinatore Tecnico lo ritenga necessario, potrà indicare un diverso percorso di qualifica condividendolo con
il candidato stesso.

Modifiche ai requisiti
Ogni modifica in deroga ai requisiti enunciati nel presente documento sarà oggetto di decisione da parte del
Coordinatore Tecnico di schema e di comunicazione scritta da parte del Technical Support.

Note
(1) Se il candidato è in possesso di attestato di superamento di corso di almeno 32h relativo ad altro schema di certificazione,
oppure del modulo generale per gestione audit di 3° parte, è sufficiente attestazione di un corso di 24h specifico per lo schema
Sicurezza delle Informazioni. Se il corso specifico per lo schema non è riferito all’edizione vigente della norma, deve essere
integrato da attestato di corso di upgrade riconosciuto.
(2) Si riporta l’elenco delle competenze richieste dalla norma ISO/IEC 27006:2015:
- Terminologia, principi, prassi e tecniche della gestione per la sicurezza delle informazioni
- Norme e leggi per la gestione della sicurezza delle informazioni
- Prassi di gestione degli affari
- Settore d’affari del cliente
- Prodotti, servizi, processi ed organizzazioni del cliente

Q00-27001-r04 Pagina 3 di 4

(valido dal 14/06/2021)

 TÜV Italia
Informazioni per la qualifica degli Auditor
Schema Sicurezza delle Informazioni (ISO/IEC 27001)
(3) L’affiancamento del “TA” e del “TLA” deve essere fatto nell’ambito di audit in campo per almeno il 50% delle giornate stabilite.
Eventuali deroghe devono essere autorizzate dal Coordinatore Tecnico di schema.
(4) I monitoraggi con valutazione (eseguiti cioè ai fini della attribuzione della qualifica) potranno essere svolti da remoto.
(5) Possesso di istruzione o formazione professionale ad un livello equivalente all'istruzione universitaria dimostrabile attraverso:
Corsi di Istruzione e Formazione Tecnica Superiore (IFTS) ovvero percorsi di alta formazione professionale post-diploma,
realizzati in sinergia fra centri di formazione professionale, istituti superiori, imprese e università.
Frequenza a corsi universitari (documentata effettuazione di esami universitari sostenuti).
Possesso di certificazioni tecniche specifiche e altamente qualificanti, relative alla sicurezza informatica, come ad esempio:
CompTIA Security +
CompTIA CASP
CCNA Security - Cisco Certified Network Associate
CCNP Security - Cisco Certified Network Professional
CEH - Certified Ethical Hacker
CISA -Certified Information Systems Auditor
CISM - Certified Security Manager (CISM )
CISSP - Certified Security Systems Professional Professional
CCSP - Certified Cloud Systems Professional
CSSLP - Certified Secure Software Lifecycle Professional

Q00-27001-r04 Pagina 4 di 4

(valido dal 14/06/2021)