La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria"

Transcript

1 La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria Catania 22 Settembre 2006

2 Presentazione Relatore Nome: Ombretta Palma Azienda: Siemens Informatica Divisione: SOL ISS Posizione: Project Manager Principali esperienze maturate nell IS: Consulenza specialistica in ambito Sicurezza Informatica per Clienti Enterprise (Telco Operator, Industry, Utilities, Pubblica Amministrazione, etc.) Certificazioni CISA, CISM, Lead Assessor BS7799 Esperienza consolidata nell Information Security maturata attraverso la conduzione e la partecipazione a progetti di analisi dei rischi, realizzazione di Sistemi di Gestione della Sicurezza delle Informazioni e supporto alla loro Certificazione BS7799-2:2002, definizione ed implementazione di Corporate Information Security Policy, Departmental Security Policy, etc., Consulenza su Business Continuity e Disaster Recovery Page 2 22 Settembre 2006 Siemens Business Services

3 Sicurezza delle Informazioni L informazione è un asset di vitale importanza per il business, in ogni Organizzazione sia che si tratti di una grande impresa privata che di una PMI o di una Pubblica Amministrazione L informazione, quindi, deve essere opportunamente protetta. Per Sicurezza delle Informazioni si intende la salvaguardia di Riservatezza (assicurare che l informazione sia accessibile solo agli utenti autorizzati) Integrità (assicurare che l informazione venga modificata solo da utenti e processi autorizzati salvaguardando l accuratezza e la completezza dei dati e dei metodi di elaborazione) Disponibilità (assicurare che gli utenti autorizzati abbiano accesso all informazione quando richiesto) Page 3 22 Settembre 2006 Siemens Business Services

4 Introduzione allo standard Che cos è l ISO/IEC 27001:2005? E uno standard internazionale derivante dal riconoscimento da parte dell ISO/IEC dello standard de facto BS (British Standard) 7799 Parte 2 in materia di sicurezza delle informazioni (Information Security) pubblicato, prima del riconoscimento ISO, dal British Standard Institute (BSI) in collaborazione con diversi rappresentanti del mondo imprenditoriale Il British Standard si suddivide in due parti: BS 7799 Parte 1: Code of practice for information security management BS 7799 Parte 2: Specification for Information Security Management Systems Page 4 22 Settembre 2006 Siemens Business Services

5 Introduzione allo standard La parte 1 del BS 7799 è stata standardizzata nel 2000 dall Ente Internazionale ISO/IEC: International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 17799:2000(E) Code of Practice for Information Security Management La parte 2, è stata standardizzata dal medesimo ente nel 2005: International Organization for Standardization and International Electrotechnical Commission, ISO/IEC 27001:2005 Information Technology - Security techniques - Information security management systems - Requirements Page 5 22 Settembre 2006 Siemens Business Services

6 SGSI o ISMS Che cos è un SGSI? Un Sistema per la Gestione della Sicurezza delle Informazioni (SGSI) o Information Security Management System (ISMS) è un processo per la gestione delle informazioni aziendali (interne e dei propri Clienti e Business Partner) finalizzato a garantirne i requisiti di riservatezza, integrità e disponibilità Page 6 22 Settembre 2006 Siemens Business Services

7 In cosa consiste un SGSI Un SGSI non è un semplice insieme di controlli di sicurezza ma è un Sistema di Gestione che, con un insieme di feedback loops, permette di controllare e monitorare la sicurezza dei sistemi e, più in generale, la sicurezza del patrimonio informativo aziendale Un SGSI si compone, quindi, di: ruoli e responsabilità organizzative politiche di sicurezza procedure operative istruzioni controlli fisici (relativi all ambiente di lavoro ed alle attrezzature...) controlli logici (relativi ai servizi ICT...) cultura Page 7 22 Settembre 2006 Siemens Business Services

8 SGSI Certificabile Un SGSI può essere certificato secondo lo standard ISO/IEC 27001:2005 Ma prima occorre implementarlo ed assicurarsi che funzioni in modo efficace ed efficiente seguendo le indicazioni dello standard ISO/IEC e dello standard ISO/IEC 17799! Page 8 22 Settembre 2006 Siemens Business Services

9 Il Processo di Information Security Management Fonte: ISO/IEC 27001:2005 Page 9 22 Settembre 2006 Siemens Business Services

10 SGSI:Le Fasi del Processo 1. Fase Plan (Establish the ISMS) definizione ambito, scopo del SGSI, analisi dei rischi e scelta dei controlli di sicurezza da implementare 2. Fase Do (Implement and Operate the ISMS) 3. Fase Check (Monitor and Review the ISMS) 4. Fase Act (Maintain and Improve the ISMS) Page Settembre 2006 Siemens Business Services

11 SGSI: Fase Plan Definire lo scopo e l ambito del SGSI in funzione delle caratteristiche del business, tecnologia, organizzazione, etc. Definire la Politica di Sicurezza Definire un approccio sistematico al Risk Assessment, adeguato ai requisiti di business, legali, etc. Analisi e Gestione del Rischio: identificare i rischi valutare i rischi identificare e valutare le opzioni per il trattamento del rischio identificare le strategie per il trattamento del rischi selezionare i controlli di sicurezza che riducano l esposizione al rischio Page Settembre 2006 Siemens Business Services

12 Definizione dell Ambito di Applicazione Il primo step per la definizione di un SGSI è la definizione dell ambito di applicazione (scope) del SGSI Bisogna delimitare con maggiore precisione possibile l ambito fisico, logico ed organizzativo del SGSI Ai fini della Certificazione ISO/IEC del SGSI deve essere predisposto un documento che descriva l ambito di applicazione identificato e le interfacce dell ambito verso l interno e verso l esterno dell Organizzazione stessa. Page Settembre 2006 Siemens Business Services

13 Definizione dell Ambito di Applicazione Per individuare e descrivere l ambito di applicazione del SGSI occorre procedere attraverso successive analisi di maggiore dettaglio: Analisi dei Processi dell Area d Intervento: occorre rilevare tutti i processi attivi e le procedure operative utilizzate nell area d intervento. Censimento Interazioni ed Interfacce dell Area d Intervento: si devono individuare ed analizzare tutte le interazioni e le interfacce logiche e fisiche tra l area d intervento considerata e l esterno. Definizione dell Ambito Fisico, Logico ed Organizzativo del SGSI: si deve identificare, definire e descrivere in modo puntuale l ambito operativo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni. Page Settembre 2006 Siemens Business Services

14 Definizione della Security Policy L Organizzazione, in modo rispondente alle esigenze di business, settore di mercato e tipo di offerta, obiettivi, etc. deve definire la propria Politica di Sicurezza La Politica di Sicurezza non è un documento operativo bensì è una comunicazione breve e chiara che è disponibile a tutto il personale e che illustra gli indirizzi della Direzione/ Management in materia di Information Security Page Settembre 2006 Siemens Business Services

15 La Secutiy Policy nello standard In libera traduzione dallo standard: A.5 Security Policy A.5.1 Information Security Policy Obiettivo: Fornire indirizzo gestionale e supporto all information security in accordo con i requisiti di business e con le leggi ed i requisiti normativi applicabili. A Documento di Information Security Policy A Revisione dell Information Security Policy Controllo: Un documento di Politica di Sicurezza delle Informazioni deve essere approvato dal management. Successivamente, il documento di Politica di Sicurezza deve essere comunicato e pubblicato, nel modo appropriato, a tutti i dipendenti ed alle parti esterne di rilievo. Controllo: Al fine di mantenere idonea, adeguata ed efficace la Politica di Sicurezza, essa deve essere revisionata sia periodicamente che in caso di cambiamenti significativi. Page Settembre 2006 Siemens Business Services

16 Security Policy In dettaglio, la Politica di Sicurezza include: 1. framework degli obiettivi, principi di azione sugli aspetti di information security 2. considerazioni circa i requisiti di business, legali e normativi 3. contesto organizzativo per la gestione del rischio 4. criteri per la valutazione del rischio La Politica di Sicurezza deve essere firmata dall Executive Management Page Settembre 2006 Siemens Business Services

17 L Analisi del Rischio Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell esposizione al rischio degli asset informativi Analisi del Rischio Gestione del Rischio Gestione del rischio: Processo sistematico successivo all analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello residuo ritenuto accettabile ed accettato Page Settembre 2006 Siemens Business Services

18 Il concetto di Rischio Che cos è il Rischio? Il Rischio rappresenta la probabilità che una minaccia, sfruttando una vulnerabilità, generi un impatto negativo sugli asset informativi aziendali Il Rischio può essere espresso come il prodotto scalare dell Impatto (ovvero della gravità delle conseguenze) di un evento di minaccia per la probabilità di accadimento di tale evento R = I X P Page Settembre 2006 Siemens Business Services

19 Il Processo di Analisi del Rischio I principali step dell Analisi del Rischio sono: Identificazione e Valutazione degli asset (rif. Asset Inventory) Identificazione e Valutazione delle Minacce applicabili agli asset Identificazione e Valutazione delle Vulnerabilità degli asset Valutazione dell esposizione esposizione al Rischio Page Settembre 2006 Siemens Business Services

20 Identificazione degli Asset Devono essere identificati tutti gli asset che costituiscono il patrimonio informativo dell Organizzazione Le principali tipologie di asset che devono essere individuate sono: Asset Informativi (Dati/Informazioni e Documenti in forma cartacea e/o elettronica) Es.: Appunti con info del cliente, documentazione relativa alle Offerte, documentazione di Progetto, etc. Asset Software (applicativi e S.O. di supporto) Es.: Win 2000, Linux, SAP R/3, Exchange, etc. Asset Fisici (sistemi hardware di supporto) Es.: server, desktop, laptop, router, firewall, etc. ma anche cassettiere, armadiature, locali, etc. Page Settembre 2006 Siemens Business Services

21 Valutazione degli Asset Gli asset devono essere valutati tentando di valorizzare in maniera quantitativa o qualitativa l impatto che deriverebbe da una relativa compromissione in termini di perdita di confidenzialità, integrità e disponibilità. In pratica, bisogna valutare gli eventuali impatti che potrebbero essere determinati qualora: Gli Asset Informativi siano pubblicati, modificati, parzialmente corrotti, distrutti, resi indisponibili, etc. Gli Asset Software siano distrutti, parzialmente corrotti, o ceduti, resi indisponibili, etc. Gli Asset Fisici siano distrutti, parzialmente danneggiati, etc. Page Settembre 2006 Siemens Business Services

22 Asset Inventory L Asset inventory è, quindi, il primo step dell Analisi dei Rischi Il documento di Asset Inventory è di fondamentale importanza ai fini della Certificazione ISO/IEC Il doc dei cespiti aziendali (componente dell Asset Inventory) deve essere costantemente mantenuto aggiornato! Page Settembre 2006 Siemens Business Services

23 Valutazioni di criticità Le figure aziendali coinvolte nei processi censiti dovranno effettuare le valutazioni di criticità degli asset informativi in termini di: Criticità (importanza dell asset all interno del processo) Riservatezza Integrità Disponibilità Page Settembre 2006 Siemens Business Services

24 Identificazione delle Minacce Occorre identificare l insieme delle possibili minacce che si possono considerare (possono verificarsi) per gli asset del sistema ad esempio minacce: Naturali (es. terremoti, uragani, allagamenti, etc.); Tecnologiche (es. virus, malfunzionamenti, etc.); Sociali (es. scioperi, manifestazioni, etc.); Umane: Interne: Volontarie (es. frodi da interni, intercettazione documenti, etc.); Involontarie (es. manipolazioni dei dati, etc.); Esterne: Volontarie (es. frodi da esterni, attacchi informatici, etc.); Involontarie (es. virus, etc.). Page Settembre 2006 Siemens Business Services

25 Identificazione delle Vulnerabilità Le Vulnerabilità sono le debolezze proprie degli asset e/o dei relativi sistemi di supporto. Esempi di vulnerabilità nei tre domini sono: Dominio Logico: assenza di patch e/o di hotfix nei S.O., password di bassa complessità degli utenti e degli Amministratori, etc. Dominio Fisico: assenza di un controllo degli accessi (tornelli con badge) per la sala CED, assenza di allarmi anti-intrusione perimetrale negli uffici, etc. Dominio Organizzativo: sovrapposizione di ruoli e/o responsabilità in materia di IS, mancanza di formalizzazione delle procedure di Business Continuity, etc. Page Settembre 2006 Siemens Business Services

26 Valutazione delle Minacce e delle Vulnerabilità Occorre effettuare una valutazione del Livello di Minaccia che può essere espresso come la probabilità che la Minaccia si concretizzi impattando sull asset Le Vulnerabilità devono essere valutate in funzione della facilità con cui una Minaccia può impattare sugli asset sfruttando la presenza di tale Vulnerabilità Anche questa è una valutazione di tipo probabilistico Page Settembre 2006 Siemens Business Services

27 Valutazione del rischio In funzione dei valori determinati precedentemente si determina con un opportuno algoritmo (semplice o complesso) la misura di esposizione al Rischio La Misura di esposizione al Rischio o livello di esposizione al Rischio è indice di quali asset siano critici e maggiormente vulnerabili, in tal modo si potrà intervenire efficacemente (Gestione del Rischio) per identificare i migliori controlli di sicurezza Page Settembre 2006 Siemens Business Services

28 Esempio di applicazione Step 1 Identificazione Asset: Id0001: Documento di offerta (standard aziendale) Id0011: Server di Archiviazione dei Documenti (serverdoc01) Id0013: Software S.O. Ms Windows Server 2003 (1 licenza) Id0018: Software Applicativo Ms Office (1 licenza) Valutazione Asset: Id0001: Valore Alto Id0011: Valore Alto Id0013: Valore Basso Id0018: Valore Basso Page Settembre 2006 Siemens Business Services

29 Esempio di Applicazione Step 2 Identificazione Minacce: Lista delle Minacce Applicabili per asset Id0001: Mi0001: Spionaggio industriale Mi0009: Perdita d integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk) Valutazione Minacce: Valutazione delle Minacce Applicabili per asset Id0001: Mi0001: Spionaggio industriale: Valore Medio (Doc abbastanza competitivo) Mi0009: Perdita d integrità dovuto ad errore hardware del supporto di memorizzazione (Hard disk): Valore Basso (Raid 5 implementato) Page Settembre 2006 Siemens Business Services

30 Esempio di Applicazione Step 3 Identificazione Vulnerabilità: Lista delle Vulnerabilità per asset Id0001: Vu0008: Assenza del Label di Classificazione (Documento Confidenziale) Valutazione Vulnerabilità: Valutazione delle Vulnerabilità per asset Id0001: Vu0008: Assenza del Label di Classificazione (Documento Confidenziale): Valore Alto Page Settembre 2006 Siemens Business Services

31 Esempio di Applicazione: Output Valore Asset Id0001: alto Valore Minaccia Mi0001: medio Valore Vulnerabilità Vu0008: alto Livello Minaccia Basso (0) Medio (1) Alto (2) Livello Vulnerabilità B 0 M 1 A 2 B 0 M 1 A 2 B 0 M 1 A 2 Basso (0) Valore Asset Medio (1) Alto (2) Il valore di esposizione al rischio è 5 (Alto)! Legenda: 0-2 Rischio basso; 3-4 Rischio medio; 5-6 Rischio alto Page Settembre 2006 Siemens Business Services

32 Gestione dei Rischi Analisi del rischio: Processo sistematico di analisi finalizzato alla valutazione dell esposizione al rischio degli asset informativi Analisi del Rischio Gestione del Rischio Gestione del rischio: Processo sistematico successivo all analisi del rischio che identifica come abbassare il livello di esposizione al rischio ad un livello ritenuto accettabile e accettato Page Settembre 2006 Siemens Business Services

33 Gestione del Rischio Il processo di Gestione del Rischio consiste nell identificazione delle contromisure di sicurezza (fisica, logica ed organizzativa) che consentano di ridurre il livello di Rischio ad un livello che è ritenuto accettabile dall Organizzazione Il Rischio può essere gestito: implementando opportuni contromisure / controlli di sicurezza trasferendo il rischio (con opportune di polizze, con contratti di outsourcing, etc.) Page Settembre 2006 Siemens Business Services

34 Selezione delle Contromisure Le Contromisure possono abbassare il livello di rischio agendo su: Riduzione della probabilità di attacco e/o d incidente Riduzione delle vulnerabilità del sistema Riduzione dell impatto di un attacco e/o incidente Identificazione tempestiva dell occorrenza di un attacco e/o incidente Agevolazione del Recovery in seguito all occorrenza di un attacco e/o incidente di sicurezza Page Settembre 2006 Siemens Business Services

35 Scelta delle Contromisure Nella Scelta delle Contromisure bisognerà procedere con cognizione facendo opportune valutazioni di tipo Costi/Benefici Se l implementazione di una contromisura ha un costo di Euro ma riduce l esposizione al rischio (con un impatto stimato da Euro a Euro), si potrebbe ritenere che tale implementazione non risulta conveniente! Page Settembre 2006 Siemens Business Services

36 Classi di Contromisure Per l elenco delle contromisure di sicurezza si faccia riferimento all ISO/IEC Annex A o all ISO/IEC da cui sono tratti i seguenti in libera traduzione: Security Policy Organizzazione dell Information Security Gestione degli Asset Sicurezza delle Risorse Umane Sicurezza Fisica e Ambientale Gestione delle Comunicazioni e dell e attività di Esercizio Controllo Accessi Acquisizione, Sviluppo e Manutenzione di sistemi informativi Gestione degli Incidenti di Sicurezza delle Informazioni Gestione della Business Continuity Conformità Tale elenco di controlli non è esaustivo, né tutti i controlli risultano mandatori Page Settembre 2006 Siemens Business Services

37 Cosa fare e non come fare! Ciascuno dei controlli ISO/IEC definisce l obiettivo da perseguire COSA FARE Viene lasciata all Organizzazione piena libertà di implementazione dei controlli COME FARE Del resto, la tecnologia dei controlli di sicurezza cambia velocemente e sarebbe stato limitante vincolare l Organizzazione ad implementare una soluzione di sicurezza secondo una particolare tecnologia e/o propria di un particolare Produttore... Page Settembre 2006 Siemens Business Services

38 Risultati della Gestione del Rischio I Risultati della Gestione del Rischio devono essere esposti in modo sintetico, efficace ed adeguato al target cui sono rivolti Il Management deve avallare il livello di rischio residuo che diverrà il livello di rischio accettato dall Organizzazione L attività di Analisi e Gestione del Rischio dovrà essere ripetuta periodicamente e all occorrenza nel caso in cui si verifichino cambiamenti sostanziali negli obiettivi di business, infrastruttura tecnologica, etc. secondo il noto approccio ciclico Plan Do Check Act Page Settembre 2006 Siemens Business Services

39 Statement of Applicability Lo Statement of Applicability (Dichiarazione di Applicabilità) è un documento di rilevante importanza ai fini della Certificazione BS 7799 del SGSI in essere nell Organizzazione Tale documento, che deve essere costantemente mantenuto aggiornato, indica per ciascuno dei controlli ISO/IEC se applicato se non applicabile (e perché) se risulta non applicato (e perché) In particolare, un controllo ISO/IEC potrebbe risultare: Non applicabile ad es. a causa di problemi tecnologici (l event logging potrebbe non essere supportato da un applicativo legacy) Non applicato ad es. a causa del costo d implementazione (ci sono reali problemi di budget) Page Settembre 2006 Siemens Business Services

40 SGSI: Fase Do 1. Fase Plan (Establish the ISMS) 2. Fase Do (Implement and operate the ISMS) implementazione dei controlli di sicurezza identificati (ambiti logico, fisico ed organizzativo) 3. Fase Check (Monitor and Review the ISMS): 4. Fase Act (Maintain and improve the ISMS) Page Settembre 2006 Siemens Business Services

41 Security Controls e Tecnologie di Sicurezza L ISO/IEC è svincolato dai prodotti di sicurezza (fornisce delle raccomandazioni su cosa fare) e dai relativi Produttori (non entra nel merito di come fare). Sarà cura del Responsabile del SGSI opportunamente supportato dalla collaborazione di Security Architect, System Administrator, Network Administrator, etc. ad identificare le tecnologie che riescono a garantire i controlli di sicurezza identificati nel rispetto del budget assegnato In genere, un prodotto di sicurezza fornisce, nello stesso tempo, più controlli di sicurezza ma necessita di un opportuna configurazione. Ad es., Ms Win 2000 è un sw, esattamente un S.O. che implementa il log-on, logging, controllo d integrità dei dati in input, etc. Page Settembre 2006 Siemens Business Services

42 SGSI: Framework Documentale Il SGSI deve essere strutturato in un insieme di documenti, politiche, procedure, report, modulistica, etc. di facile consultazione. In particolare, le procedure che sono rivolte ai dipendenti durante l espletamento delle normali attività lavorative devono essere concise ed efficaci Page Settembre 2006 Siemens Business Services

43 SGSI: Documenti Formali Il SGSI certificabile secondo la norma ISO deve avere i principali documenti formali di seguito elencati: Ambito di applicazione del SGSI Manuale del SGSI Politica di Sicurezza Piano di Gestione del Rischio Piano di Gestione dei Log Statement of Applicability (SoA)... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

44 SGSI:Procedure Il SGSI certificabile secondo la norma BS 7799 deve avere, se applicabili, le principali procedure gestionali come quelle di seguito elencate: Procedura utente Formazione e Addestramento utente Amministrazione dei server di produzione e dei sistemi di sicurezza di supporto Back-up Business Continuity/Disaster Recovery Incident Handling Gestione degli Accessi Verifiche Ispettive... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

45 SGSI: Ulteriori Documenti Il SGSI certificabile secondo la norma BS 7799 deve avere l ulteriore documentazione relativa a: Comunicazioni interne relative alle decisioni prese e alle nomine effettuate Verbali delle riunioni degli organi di controllo Modulistica per Verifiche Ispettive Manuale di Qualità Contratti di Outsourcing con la definizione degli SLA di sicurezza Log forniti dall Outsourcer Log dei sistemi di produzione amministrati Registrazioni varie (Accessi, utilizzo delle macchine di lab, etc.)... N.B.: l elenco non è esaustivo! Page Settembre 2006 Siemens Business Services

46 Sicurezza Organizzativa L infrastruttura Organizzativa ha un peso rilevante in tutte le Aziende Private e Pubblica Amministrazione ed essenziale per il raggiungimento degli obiettivi di Business L ISO/IEC sancisce che l infrastruttura Organizzativa deve rendersi responsabile della Sicurezza delle Informazioni e più precisamente deve essere coinvolta attivamente nel continuo processo di Information Security dell Organizzazione Page Settembre 2006 Siemens Business Services

47 Gli attori coinvolti I vari attori coinvolti nel processo di IS sono: Struttura Organizzativa di IS Executive Management Responsabili di B.U. e/o Divisioni System Administrator, Network Administrator, DB Administrator, etc. Dipendenti Outsourcer / Fornitori / Business Partner Ciascuno ha un ruolo cruciale nel mantenere elevato il livello di sicurezza perché il livello di sicurezza di una Catena è determinato dal livello di sicurezza del più debole degli anelli: in un SGSI il fattore umano è quello più debole Page Settembre 2006 Siemens Business Services

48 SGSI:Fase Check 1. Fase Plan (Establish the ISMS) 2. Fase Do (Implement and Operate the ISMS) 3. Fase Check (Monitor and Review the ISMS): misurazione delle performance del SGSI: Management Review Raccolta ed Analisi delle registrazioni/log Monitoring degli Incidenti di Sicurezza (Incident Handling) 4. Fase Act (Maintain and Improve the ISMS) Page Settembre 2006 Siemens Business Services

49 Fase Check: Management Review Management review su una base regolare (almeno una volta l anno) per assicurare che lo scopo rimanga adeguato ed i miglioramenti del SGSI siano identificati Deve, altresì, essere rivisto il livello di rischio residuo e ritenuto accettabile dall organizzazione, anche, a seguito di modifiche sostanziali nell Organizzazione, tecnologie, minacce identificate, etc. Page Settembre 2006 Siemens Business Services

50 SGSI Fase Check:Raccolta e analisi delle registrazioni Si devono regolarmente raccogliere le registrazioni e log che daranno le indicazioni sul reale funzionamento e sull efficacia del SGSI implementato. L analisi di registrazioni e log e lo sviluppo di appositi indicatori di performance, aiuterà l identificazione delle misure correttive e migliorative Page Settembre 2006 Siemens Business Services

51 SGSI Fase Check: Monitoring degli incidenti di sicurezza Un importante fonte di informazioni che non deve essere assolutamente trascurata è costituita dallo storico degli incidenti di sicurezza che sono stati rilevati: falsi positivi incidenti di sicurezza chiusi incidenti di sicurezza aperti... Page Settembre 2006 Siemens Business Services

52 Verifiche Periodiche Il sistema dovrà essere sottoposto a verifiche periodiche: ai processi da parte del responsabile e/o proprietario del processo al fine di verificare l efficacia dei controlli rispetto alle normative di sicurezza e alla politica di sicurezza alle nuove tecnologie che sono introdotte (almeno ogni sei mesi) o al momento dell introduzione di tecnologie che comportino innovazioni rilevanti ispettive interne ( audit ): devono essere condotte indagini, soprattutto, sugli aspetti organizzativi del SGSI (l ispettore pur essendo interno all azienda deve condurre la verifica in autonomia e deve essere esterno rispetto al settore o al processo da valutare e indipendente dalle persone che ci lavorano) Page Settembre 2006 Siemens Business Services

53 SGSI:Miglioramento delle prestazioni Fase Plan (Establish the ISMS) Fase Do (Implement and Operate the ISMS) Fase Check (Monitor and Review the ISMS): Fase Act (Maintain and Improve the ISMS) implementazione di eventuali azioni correttive e migliorative Page Settembre 2006 Siemens Business Services

54 SGSI:Fase Act Implementare i miglioramenti identificati Intraprendere tutte le azioni preventive e correttive, apprendendo dal passato e dagli errori commessi Comunicare e condividere con le parti interessate le azioni intraprese Assicurare che vengano raggiunti gli obiettivi dichiarati Page Settembre 2006 Siemens Business Services

55 Start dell Iter di Certificazione Dopo aver revisionato ed affinato opportunamente il SGSI l organizzazione può fare domanda di certificazione ad un OdC (Organismo di Certificazione) che sia accreditato, in Italia, dal SINCERT Nella domanda di certificazione l organizzazione deve specificare l ambito di applicazione del SGSI e fornire tutte le informazioni necessarie all OdC affinché possa essere effettuata una relativa stima dei costi Page Settembre 2006 Siemens Business Services

56 Processo di Certificazione Ricezione Domanda Apertura Pratica Esame Documentale OK NO Verifiche supplementari SI Invio Programma di Valutazione Effettuazione Valutazione Rapporto Verifica Ispettiva OK NO Verifiche supplementari SI Proposta di Certificazione Esame da parte del Comitato tecnico Fonte: Sincert Rilascio Certificazione Page Settembre 2006 Siemens Business Services

57 Approfondimenti BS 7799 Parte 1: Code of practice for information security management BS 7799 Parte 2: Specification for Information Security Management Systems ISO/IEC 17799:2000(E) Code of Practise for Information Security Management BSI, Guide to BS 7799 Risk Assessment and Management, ISBN BSI, Guide on the selection of BS 7799 controls, ISBN BSI, Guide to BS 7799 Auditing, ISBN BSI, Preparing for BS certification Page Settembre 2006 Siemens Business Services

58 Link BS 7799 URL: ISO/IEC URL: European co-operation for Accreditation URL: SINCERT URL: RINA URL: itservices.rina.org/iso/ CLUSIT URL: Page Settembre 2006 Siemens Business Services

59 Certificazione della Sicurezza nel settore della tecnologia dell Informazione secondo ITSEC o Common Criteria La sicurezza nel settore della tecnologia dell informazione consiste nella protezione della riservatezza, integrità e disponibilità delle informazioni mediante il contrasto delle minacce originate dall uomo o dall ambiente, al fine di impedire, a coloro che non siano stati autorizzati, l accesso, l utilizzo, la divulgazione, la modifica delle informazioni stesse, e di garantirne l accesso e l utilizzo a coloro che siano stati autorizzati. Fonte: LGP1 - Descrizione dello Schema Nazionale Page Settembre 2006 Siemens Business Services

60 Certificazione della Sicurezza nel settore della tecnologia dell Informazione secondo ITSEC o Common Criteria Il Decreto del Ministro per l'innovazione e le tecnologie e del Ministro delle comunicazioni (17/02/2005) ha identificato le: "Linee guida provvisorie per l'applicazione dello schema nazionale per la valutazione e certificazione di sicurezza nel settore della tecnologia dell'informazione (LGP), che entro 12 mesi dovranno essere pubblicate nella versione definitiva di Linee Guida Definitive (LGD) dall OCSI. L Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCTI) del Ministero delle Comunicazioni è l Organismo di Certificazione della Sicurezza nel settore della tecnologia dell Informazione (OCSI). Lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione si compone dell insieme delle procedure e delle regole necessarie per la valutazione e la certificazione, in conformità ai criteri europei ITSEC o ai Common Criteria (CC). Page Settembre 2006 Siemens Business Services

Nota Informativa dello Schema N. 1/13

Nota Informativa dello Schema N. 1/13 Organismo di Certificazione della Sicurezza Informatica Nota Informativa dello Schema N. 1/13 Modifiche alla LGP1 Novembre 2013 Versione 1.0 REGISTRAZIONE DELLE AGGIUNTE E VARIANTI L'elenco delle aggiunte

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Accreditamento degli LVS e abilitazione degli Assistenti

Accreditamento degli LVS e abilitazione degli Assistenti Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione Organismo di Certificazione Accreditamento degli LVS e abilitazione

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

La certificazione della sicurezza ICT

La certificazione della sicurezza ICT La certificazione della sicurezza ICT Roma CNIPA, 30 maggio 2005 Le entità in gioco Common Criteria/ITSEC ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Standard per la Certificazione della Sicurezza dell Informazione

Standard per la Certificazione della Sicurezza dell Informazione Standard per la Certificazione della Sicurezza dell Informazione Ing. Emilio Montolivo Amtec-Securteam emilio.montolivo@elsagdatamat.it Roma, 17 aprile 2007 Parte 1 Concetti Introduttivi Che cos è la certificazione?

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno In questi ultimi anni gli investimenti

Dettagli

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ per le aziende con esigenze di valutazione/ certificazione

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE

Sistema di gestione UNI EN ISO 9001. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 DEMO PROCEDURE WINPLE Sistema di gestione UNI EN ISO 9001 MANUALE DI QUALITÀ INTRODUZIONE MAN-00 Organizzazione AZIENDA s.p.a. C.so Garibaldi, n. 56-00195 Roma (RM) Tel. 0612345678 - Fax. 061234567 Web : www.nomeazienda.it

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1 Organizzare la sicurezza, ovvero come legare il cane al palo Pierluigi D Ambrosio p.dambrosio@businesssecurity.it 2002-2014 Business Security 1 Problema: Possiedo un cane, un palo, della corda, della catena

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

La Politica Integrata del Gruppo Terna

La Politica Integrata del Gruppo Terna La Politica Integrata del Gruppo Terna Il Gruppo Terna ritiene indispensabili per lo sviluppo delle proprie attività, la qualità dei propri processi, la tutela dell ambiente, la salute e la sicurezza dei

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Certificazione Sistemi di Gestione della Sicurezza delle Informazioni. Norma ISO 27001

Certificazione Sistemi di Gestione della Sicurezza delle Informazioni. Norma ISO 27001 Certificazione Sistemi di Gestione della Sicurezza delle Informazioni Norma ISO 27001 Certificazione Sistemi di Gestione della Sicurezza Il CSQ, grazie alla vasta esperienza maturata nei maggiori contesti

Dettagli

LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION)

LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) PDCA Srl, partner di Security Brokers SCpA LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) Sommario

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione

Company Management System SIA - Processi e Sistemi di Gestione Company Management System SIA - Processi e Sistemi di Gestione Redatto da: Verificato da: Approvato da: Stefano Canetta RGO Lorenzo Verducci HRO Alessandra Carazzina RGO David Neumarker HRO Marco Ornito

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione

La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione La sicurezza globale delle informazioni e la certificazione: ambiti di applicazione Daniele Perucchini Fondazione Ugo Bordoni OCSI Resp. sezione "Progetti speciali" Check Point Achieves Prominent EAL 4

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

TÜV Italia s.r.l. - TÜV SÜD Group

TÜV Italia s.r.l. - TÜV SÜD Group 1 di 9 INDICE 1. Scopo ed entrata in vigore 2. Campo di applicazione 3. Termini e definizioni 4. Responsabilità 5. Controllo del regolamento 6. Iter di certificazione 6.1 Generalità 6.2 Modalità di svolgimento

Dettagli

Ministero dello Sviluppo Economico

Ministero dello Sviluppo Economico Ministero dello Sviluppo Economico Comunicazioni Istituto Superiore C.T.I. Rapporto di Certificazione Gestione dei dati sanitari, infermerie e CMD Versione 1.1 Ottobre 2008 Questa pagina è lasciata intenzionalmente

Dettagli

Il punto di vista della conformità e della certificazione volontaria

Il punto di vista della conformità e della certificazione volontaria SICUREZZA CONTINUITÀ OPERATIVA Il punto di vista della conformità e della certificazione volontaria ROMA - FORUM PA - 18 MAGGIO 2012 1 I Sistemi di Gestione e le norme ISO: un percorso virtuoso Da giovane

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl Riferimenti al progetto WP 05 Sicurezza dell ambiente della piattaforma, della informazioni e de dati - Rif. documenti:

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Usare il Cloud in sicurezza: spunti tecnici

Usare il Cloud in sicurezza: spunti tecnici Usare il Cloud in sicurezza: spunti tecnici Cesare Gallotti Milano, 24 gennaio 2012 Sotto licenza Creative Commons creativecommons.org/licenses/by-nc/2.5/it/ 1 Agenda Presentazione relatore Definizioni

Dettagli

AUDIT DEI SISTEMI DI GESTIONE ISO/IEC 27001 E ISO/IEC 20000-1: PECULIARITÀ, APPROCCI POSSIBILI, INTEGRAZIONE, FORMAZIONE DEGLI AUDITOR

AUDIT DEI SISTEMI DI GESTIONE ISO/IEC 27001 E ISO/IEC 20000-1: PECULIARITÀ, APPROCCI POSSIBILI, INTEGRAZIONE, FORMAZIONE DEGLI AUDITOR Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legati agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce agli Audit dei Sistemi di Gestione

Dettagli

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security

L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA. The OWASP Foundation. Stefano Di Paola. CTO Minded Security L'analisi di sicurezza delle applicazioni web: come realizzare un processo nella PA Stefano Di Paola CTO Minded Security OWASP Day per la PA Roma 5, Novembre 2009 Copyright 2009 - The OWASP Foundation

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari Pag. 1/9 03 11/02/2015 Modificata da EA a IAF la denominazione dei Settori merceologici. S. Ronchi R. De Pari E. Stanghellini R. De Pari 02 03/01/2014 Modificata ragione sociale 01 10/04/2012 Aggiornamento

Dettagli

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona

www.fire-italia.org Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona La norma ISO 50001 Valentina Bini, FIRE INFODAY Regione Marche 18 febbraio 2013, Ancona I problemi dell energy management Fondamentalmente l EM è richiesto per risparmiare sui costi aziendali. Costi sempre

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.)

Servizi. Gennaio 2013. Corylus S.p.A. (Gruppo IVU S.p.A.) Servizi Gennaio 2013 Corylus S.p.A. (Gruppo IVU S.p.A.) Sede Legale: Via La Spezia, 6 00182 Roma Sede Operativa: Via Tre Cannelle, 5 00040 Pomezia (RM) - Tel. +39.06.91997.1 - Fax +39.06.91997.241 - sales@scorylus.it

Dettagli

Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231

Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Oracle Italia S.r.l. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Pag. 234 di 13 27/05/2010 PARTE SPECIALE E : REATI DI CRIMINALITÀ INFORMATICA La presente

Dettagli

LA BUSINESS UNIT SECURITY

LA BUSINESS UNIT SECURITY Security LA BUSINESS UNIT SECURITY FABARIS È UN AZIENDA LEADER NEL CAMPO DELL INNOVATION SECURITY TECHNOLOGY. ATTINGIAMO A RISORSE CON COMPETENZE SPECIALISTICHE E SUPPORTIAMO I NOSTRI CLIENTI AD IMPLEMENTARE

Dettagli

La sicurezza ( BS7 7 9 9 ) integrata

La sicurezza ( BS7 7 9 9 ) integrata La sicurezza (BS7799) integrata tramite l analisi dei processi aziendali nel Sistema Qualità Sicurezza, Qualità e Auditing: sempre maggiori le sinergie Giorgio Beghini O.S.T. Organizzazione Sistemi Tecnologie

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

I servizi ICT per le aziende

I servizi ICT per le aziende I servizi ICT per le aziende TÜV Italia - Gruppo TÜV SÜD Il gruppo TÜV SÜD e TÜV Italia L obiettivo della sicurezza fa parte del DNA del nostro ente e della nostra casa madre TÜV SÜD, già partendo dal

Dettagli

MODALITÀ E CRITERI PER IL RINNOVO DELLA CERTIFICAZIONE NEL SETTORE SECURITY

MODALITÀ E CRITERI PER IL RINNOVO DELLA CERTIFICAZIONE NEL SETTORE SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: rinnovo@cepas.it Sito internet: www.cepas.eu PROCEDURA GESTIONALE sigla: PG21 Pag. 1 di 5 DELLA CERTIFICAZIONE NEL SETTORE 3

Dettagli

CATALOGO CORSI 2015. In.Co.S srl International Consultant Service Via Guastalla 6 10124 Torino Italy info@incos-consulting.com Mob: +39 349 2577085

CATALOGO CORSI 2015. In.Co.S srl International Consultant Service Via Guastalla 6 10124 Torino Italy info@incos-consulting.com Mob: +39 349 2577085 CATALOGO CORSI 2015 INDICE CORSI APPROVATI DA ENTE DI CERTIFICAZIONE DELLE COMPETENZE ACCREDITATO ISO/IEC 17024... 3 ISO 9001:08 SISTEMI DI GESTIONE QUALITÀ... 4 ISO 22000:05 SISTEMI DI GESTIONE DELLA

Dettagli

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved. ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems

Dettagli

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF,

Dettagli

RSI 01. Pag. 1/12 Rev.04. Regolamento VSSI. S. Ronchi R. De Pari. F. Banfi R. De Pari 04 11/02/2015

RSI 01. Pag. 1/12 Rev.04. Regolamento VSSI. S. Ronchi R. De Pari. F. Banfi R. De Pari 04 11/02/2015 Pag. 1/12 04 11/02/2015 Modificata da EA a IAF la denominazione dei Settori merceologici. S. Ronchi R. De Pari F. Banfi R. De Pari 03 01/09/2014 Inserite Note 2 e 3 in para 4.1. Modifiche a seguito di

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL

LE NOVITÀ DELL EDIZIONE 2011 DELLO STANDARD ISO/IEC 20000-1 E LE CORRELAZIONI CON IL FRAMEWORK ITIL Care Colleghe, Cari Colleghi, prosegue la nuova serie di Newsletter legata agli Schemi di Certificazione di AICQ SICEV. Questa volta la pillola formativa si riferisce alle novità dell edizione 2011 dello

Dettagli

Information Systems Audit and Control Association

Information Systems Audit and Control Association Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone

Dettagli

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2 Garantire la continuità operativa in caso di interruzioni, siano esse dovute a incidenti gravi o inconvenienti minori, rappresenta oggi un requisito fondamentale per qualsiasi organizzazione che opera

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Gianna Detoni, AFBCI Presidente di PANTA RAY BCI Italian Forum Leader 1 Milano, 13 ottobre 2015

Dettagli

Informazioni essenziali sulla Certificazione dei sistemi di gestione

Informazioni essenziali sulla Certificazione dei sistemi di gestione 1 / 10 Certificazione dei Sistemi di Gestione Il certificato ottenuto da un Organizzazione che abbia fatto richiesta di Certificazione conferma che tale Organizzazione abbia implementato e mantenuto il

Dettagli

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159

Versione 3.2 Dicembre,2013. MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 MAIN OFFICE Via al Porto Antico 7 - Edificio Millo 16128 GENOVA Phone. 010 5954946 Fax. 010 8680159 OPERATIONAL OFFICES GENOVA MILANO ROMA TORINO NETWORK INTEGRATION and SOLUTIONS srl www.nispro.it Per

Dettagli

Unità Didattica S ISO 27001 SGSI. Docente: Ing. Rutilio Mazza

Unità Didattica S ISO 27001 SGSI. Docente: Ing. Rutilio Mazza Unità Didattica S ISO 27001 SGSI Docente: Ing. Rutilio Mazza Cosa significa SGSI Sistema (modo di operare - metodo) Gestione (organizzazione - coordinamento di risorse in processi e attività) Sicurezza

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

nova systems roma Company Profile Business & Values

nova systems roma Company Profile Business & Values nova systems roma Company Profile Business & Values Indice 1. CHI SIAMO... 3 2. I SERVIZI... 3 3. PARTNERS... 3 4. REFERENZE... 4 4.1. Pubblica Amministrazione... 4 4.2. Settore bancario... 7 4.3. Servizi

Dettagli