Standards di Sicurezza e Percorsi di Certificazione

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Standards di Sicurezza e Percorsi di Certificazione"

Transcript

1 Standards di Sicurezza e Percorsi di Certificazione Firenze 19, 20 Maggio 2005 XIX Convegno Nazionale di Information System Auditing

2 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 2

3 Cos è uno standard di sicurezza IT? (per l utente) Un modo per definire i requisiti di sicurezza IT per alcune classi di prodotti IT: - Hardware - Software - Combinazione dei due (per lo sviluppatore/produttore) Un modo per descrivere le caratteristiche/potenzialità di sicurezza dei propri prodotti (per il valutatore) Uno strumento per misurare il livello di assicurazione/garanzia che può essere associato ad un particolare prodotto/servizio di sicurezza 3

4 Tipologie di standards di sicurezza (1/3) Per quanto riguarda gli aspetti tecnici: - TCSEC - ITSEC (1991) - ISO/IEC o Common Criteria (1999) - NIST-FIPS (per apparati crittografici) - NIST-HIPAA (per i sistemi informatici in ambito sanitario) Per quanto riguarda gli aspetti organizzativi: - ISO/IEC TR (GMITS) Guidelines for the Management of IT Security - BS ISO/IEC BS ISO/IEC 90003:2004 Software engineering. Guidelines for the application of ISO 9001:2000 to computer software 4

5 Tipologie di standards di sicurezza (2/3) ITSEC e ISO/IEC Tengono in considerazione tre aspetti fondamentali: In diretta relazione con gli obiettivi di riservatezza, integrità, disponibilità. E la logica applicazione delle politiche di sicurezza tecnica specifiche individuate. In pratica si realizza attraverso misure tecniche che contrastano le minacce. Funzionalità piano della garanzia Correttezza Efficacia E' il grado di rispondenza dell'implementazione della soluzione ICT ai requisiti espressi dalle Funzionalità. Indipendente dall'efficacia e dalle minacce. Strettamente dipendente dalla qualità della realizzazione e quindi dalla bontà del processo che l'ha governata. E' il grado in cui le misure tecniche contrastano le minacce da cui il sistema o prodotto si propone di difendersi. Ha significato solo in relazione ad un ben determinato insieme di minacce. 5

6 Tipologie di standards di sicurezza (3/3) Nel 1995 è stato definito lo standard BS ripreso nel 2000, nella sua prima parte, dalla norma ISO/IEC17799:... nel 2002 rivista la parte 2 ed introdotto l approccio Plan/Do/Check/Act Obiettivo BS7799: ottimizzazione rapporto costi/benefici delle misure di sicurezza. BS7799 parte I should Elenca le best practice suggerite per implementare un programma per la sicurezza delle informazioni BS 7799 parte II shall Elenca i processi ed i controlli per implementare e certificare un sistema di gestione della sicurezza delle informazioni 6

7 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 7

8 Business Consulting Services Standard Tecnici vs Standard Organizzativi ITSEC & ISO/IEC Criteri di valutazione formale della sicurezza IT di sistemi e prodotti non sono norme ma criteri: identificano le verifiche da eseguire nel corso della valutazione. formale: cioè basata su azioni note, imparziali, ripetibili, riproducibili (metodologie). hanno come oggetto le contromisure IT, anche se il contesto dell'ambiente di esercizio deve essere descritto con tutte le contromisure anche di altro genere. Valutare significa dare garanzia (assurance) per le funzionalità definita nel Target di Sicurezza 8 ISO/IEC 1:7799 Standard organizzativo per la Gestione della Sicurezza delle Informazioni Non fornisce elementi di valutazione oggettiva della sicurezza del sistema ICT, poiché: utilizza spesso termini come appropriato, adeguato e forme verbali condizionali quali dovrebbe, non richiede necessariamente che tutte le aree d'intervento, e le relative misure, siano soddisfatte. La valutazione è demandata alla competenza dell'auditor nello stabilire, per ogni punto d'intervento, se le relative misure siano appropriate.

9 Business Consulting Services Complementarietà degli standards BS7799 ISO/IEC Infrastruttura organizzativa 9 ITSEC ISO (CC) Standard di valutazione e metodologie Aspetti Tecnici Test d intrusione / vulnerabilità

10 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 10

11 Il percorso evolutivo degli standard ISO Canadian Initiatives NSA e NIST CTCPEC 3 93 US TCSEC 83, 85 NIST s MSFR 90 Federal Criteria 92 Common Criteria Project 93-- Common Criteria Common Criteria = Versione definitiva TCSEC 1985 European National & Regional Initiatives Avvio attività ISO 1990 ITSEC ISO Initiatives 92-- UE sponsor di ITSEC 1995 ISO IS standard ISO (ISO 15408)

12 Il percorso evolutivo degli standard ISO Riferimento Sicurezza risorse informative Primi 90s Standard britannico BS Standard ISO (ISO 17799) 2000 Pubblicazione Best Practice 1993 Specifiche sistema di gestione della sicurezza delle informazioni (part 2) 1998 Nuova parte 2 (BS7799-2/2002) Plan-Do- Check-Act

13 TCSEC Trusted Computer Systems Evaluation Criteria INTRODUCE IL CONCETTO DI "POLITICA DELLA SICUREZZA" COME GUIDA FORMALE, ESPLICITA E CONOSCIUTA ALLA ESECUZIONE DELLE CONTROMISURE Impatto implementativo ALTO LEGENDA classe D : Protezione minimale classe C 1 : Protezione discrezionale classe C 2 : Controllo accessi (discrezionale) classe B 1 : Classificazione degli oggetti (discrezionale) classe B 2 : Protezione strutturata (mandatoria) classe B 3 : Dominio sicuro (mandatoria) classe A 1 : Protezione verificabile (certificata) INTRODUCE IL CONCETTO DI "CONTROMISURA" COME ATTO A PROTEZIONE DEL BENE ADEGUATO AL VALORE DEL BENE E AL LIVELLO DI RISCHIO DELL'AGGRESSIONE Approccio basato sull analisi del disegno, dell implementazione, della documentazione e delle procedure Enfasi sui requisiti di Confidenzialita Pensato per sistemi operativi BASSO D B2 B1 C2 C1 B3 A1 Requisiti 13

14 ITSEC Information Technology Security Evaluation Criteria ORIENTATO ALLA VALUTAZIONE DI SISTEMI O DI PRODOTTI SPECIFICI INTRODUCE IL CONCETTO DI T.O.E. (TARGET OF EVALUATION): insieme del prodotto/sistema e la relativa documentazione utente soggetta a valutazione T. INTRODUCE IL CONCETTO DI SECURITY TARGET in cui il produttore stabilisce i criteri di sicurezza funzionale (Non forniti da ITSEC) FUNZIONALITA' DI SICUREZZA PREVISTE O. T. E. LIVELLO DI FIDUCIA (ASSURANCE) Valutazione "DISACCOPPIATA" tra le funzioni di sicurezza previste e il grado di fiducia, CONOSCENZA, sulla correttezza e sulla idoneità delle funzioni realizzate 14

15 ITSEC - Funzionalità di sicurezza (security requirements) e Livelli di Fiducia (assurance level) CLASSI FUNZIONALI : CRITERI DI VALUTAZIONE : Identification and authentication Access control { COSTRUZIONE EFFECTIVENESS OPERATIVITA' ROBUSTEZZA... FACILTA' D'USO... Audit Object reuse Accuracy Reliability of service Data exchange CORRECTNESS COSTRUZIONE {OPERATIVITA' AMBIENTE SVILUPPO LINGUAGGI... DOCUMENTAZIONE... C110 livelli di classificazionea E1 E6 Discrezionale Certificata 6 LIVELLI GERARCHICI E1-E6 15

16 Common Criteria Cos é un Common Criteria? Una struttura e un linguaggio comune per esprimere requisiti di sicurezza per prodotti/servizi IT (Parte 1) Raccolta di componenti e set di requisiti di sicurezza per prodotti/servizi IT (Parte 2 & 3) Come utilizzare un Common Criteria? Sviluppo di Profili di Protezione e di Target di Sicurezza, requisiti di sicurezza specifici per prodotti e sistemi IT Criterio di scelta di prodotti/sistemi IT da parte dell utilizzatore/acquirente Valutare prodotti e sistemi a fronte di requisiti conosciuti e accettati ( CONFIDENZA) IS : Criteri di Valutazione per la Sicurezza IT - Parte 1: Introduzione e modello generale, IS : Criteri di Valutazione per la Sicurezza IT - Parte 2: Requisiti di sicurezza funzionali, IS : Criteri di Valutazione per la Sicurezza IT - Parte 3: Requisiti di assicurazione della sicurezza,

17 Common Criteria - Tipologie dei requisiti 1. Requisiti funzionali (risponde alla domanda: cosa è in grado di fare un prodotto/sistema?) - fondamentali per definire i comportamenti in materia di sicurezza dei prodotti e sistemi informatici. I requisiti effettivamente implementati diventano così funzioni di sicurezza. 2. Requisiti di assicurazione (risponde alla domanda: è il prodotto/sistema costruito in maniera corretta/affidabile?) - fondamentali per stabilire la fiducia che si può riporre nelle funzioni di sicurezza sia in termini di correttezza di implementazione sia in termini di efficacia di soddisfare gli obiettivi propri delle stesse funzioni di sicurezza. 17

18 Comparazione tra ITSEC e Common Criteria I Common Criteria attingono agli standard precedenti prendendo i punti di forza dei vari standard. I Common Criteria abbandonano la flessibilità totale dell ITSEC e dei Federal Criteria nell utilizzo dei protection profile e delle classi di sicurezza predefinita. Per guidare gli utenti la definizione delle classi contiene informazioni circa gli obiettivi di sicurezza, i razionali, le minaccie, etc. La maggiore flessibilità dell ITSEC lo rende di più semplice utilizzo nel caso di valutazione di un sistema, mentre i Common Criteria sono più orientati alla valutazione di un prodotto I Common Criteria rimpiazzeranno l ITSEC 18

19 Tabella di corrispondenza TCSEC, ITSEC e CC TCSEC D - C1 C2 B1 B2 B3 A1 ITSEC E0 - E1 E2 E3 E4 E5 E6 CC - EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 19

20 Standard BS7799 BS Utilizzare un framework condiviso da tutti per sviluppare, implementare e monitorare le modalità di gestione della sicurezza per migliorare la fiducia nelle relazioni interaziendali BS Indica i requisiti per la certificazione di un.. sistema di gestione per la sicurezza delle informazioni 1. Politica di sicurezza 2. Organizzazione di sicurezza Pianificazione 3. Controllo e classificazione asset 127 controlli Obiettivi di controllo 4. Sicurezza personale 5. Sicurezza fisica 6. Operations and communication 7. Controllo accessi Valutazione ISMS Implementazione 8. Sviluppo e manutenzione sistemi 9. Business Continuity Management 10. Compliance Verifica 20

21 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 21

22 Il processo di Certificazione ISO Problem Report TOE Definition Developer /Sponsor Fornitore/Committente Deliverables CLEF/LVS Problem Report Evaluation Technical Report Certification Body Organismo Certificazione Certification Report Sponsor Il processo di certificazione dei CC e dell ITSEC è simile CLEF Commercial Evaluation Facility LVS Laboratorio per la Valutazione della Sicurezza TOE Target of Evaluation ODV Oggetto Della Valutazione ISCTI ( Istituto Superiore delle Comunicazioni e delle Tecnologie delle Informazioni) Organismo Certificatore 22

23 Il processo di Certificazione BS7799 Definizione delle Politiche Definizione dell Ambito Inventario Asset Classificazione Asset Risk Assessment Risk Management Selezione Controlli Allineamento e integrazione col Sistema Qualità SOA Redazione documentazione ISMS Risk treatment Plan Organizzazione di Sicurezza Procedure Business Continuity Plan Implementazione tecnologica Realizzazione Azienda Riesame della documentazione Creazione Creazione della della consapevolezza consapevolezza Prevalutazione Auditor(s) AI, Fase 1 Audit iniziale <13 settimane Gruppo di Audit Esperti tecnici (ev.) Mantenimento (chiusura NC) Mantenimento (chiusura NC) AI, Fase 2 Audit periodici < 13 settimane Certificato 23

24 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 24

25 DPCM 30 Ottobre 2003 G.U. n.98 del 27/4/2004 Approvazione dello Schema nazionale per la valutazione e certificazione della sicurezza nel settore della tecnologia dell informazione Normativa di Riferimento: ITSEC (Giugno 1991); ITSEM (Information Technology Security Evaluation Manual Settembre 1993); Raccomandazione del Consiglio dell UE (95/144/CE): concernente l applicazione dei criteri per la valutazione della sicurezza della tecnologia dell informazione (Aprile 1995); ISO/IEC (ver. 2.1 dei Common Criteria for Information Technology Security Evaluation ); ISO/IEC n : Codice di buona pratica per la gestione della sicurezza dell informazione (2000); UNI CEI EN ISO/IEC 17025:2000 concernente i requisiti generali per la competenza dei laboratori di prova e di taratura; UNI CEI EN 45011: concernente i requisiti generali relativi agli organismi che gestiscono sistemi di certificazione di prodotti 25

26 Dettagli sulla normativa Introduzione di uno SCHEMA NAZIONALE per la valutazione e certificazione di sistemi e prodotti informatici, in conformità con gli standard ITSEC e ISO/IEC 15408; Lo schema nazionale reca l insieme delle procedure e regole nazionali per la valutazione e la certificazione in conformità ai criteri europei ITSEC o standard ISO/IEC (Common Criteria); Identificazione nell Istituto Superiore delle Comunicazioni e delle Tecnologie dell Informazione (ISCTI) come Ente avente facoltà di accreditare i LVS (Laboratori per la Valutazione della Sicurezza); Identificazione negli ODV (Oggetti di Valutazione) degli elementi per i quali verrà richiesta la valutazione/certificazione; Descrizione del processo di richiesta, valutazione e certificazione degli ODV; Lo SCHEMA NAZIONALE non si applica per i sistemi e prodotti che trattino informazioni classificate (cfr. DPCM 11/4/2002). 26

27 DPCM 11/4/2002 G.U. n.131 del 6/6/2002 Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato Normativa di Riferimento: P.C.M - A.N.S. Normativa Unificata per la Tutela del Segreto di Stato Atto della Commissione europea del giugno 1991 con il quale sono stati stabiliti i criteri di valutazione della sicurezza dei sistemi informatici denominati "ITSEC Atto del Comitato di gestione dell'iso che recepisce quale International Standard ISO/IEC IS n , la versione 2.1 dei "Common Criteria" L ente di certificazione è l A.N.S (Autorità Nazionale per la Sicurezza) Centro di Valutazione Ce.Va. Competente per le valutazioni di sicurezza di un prodotto o un sistema. Viene accreditato dall A.N.S. 27

28 D. Lgs. 196/ 03 T.U. Privacy - Misure minime di sicurezza MISURE DI SICUREZZA I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta (cfr. art. 31) Nel quadro dei più generali obblighi di sicurezza di cui all art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. (cfr. art. 33) Responsabilità civile Responsabilità penale 28

29 Agenda Le capabilities e i Riferimenti in IBM VII I Standards di Sicurezza tecnici e organizzativi Lo stato dell arte VI II Caratteristiche degli standard Normativa e legislazione in tema di Sicurezza V IV III Il percorso evolutivo Processo di Certificazione 29

30 Lo stato dell arte dei prodotti certificati La lista dei prodotti certificati Common Criteria è in costante aggiornamento e può essere consultata all indirizzo: - I prodotti certificati ad oggi sono 241, suddivisi nelle seguenti tipologie: Access Control Devices and Systems 3 Boundary Protection Devices and Systems 42 Data Protection 13 Databases 13 Detection Devices and Systems 3 ICs, Smart Cards and Smart Card related Devices and Systems 61 Key Management Systems 16 Network and Network related Devices and Systems 16 Operating systems 31 Other Devices and Systems 43 Prodotti certificati nel Prodotti certificati nel

31 Lo stato dell arte dei prodotti IBM certificati La lista dei prodotti IBM certificati è in costante aggiornamento e può essere consultata all indirizzo: - - Di seguito alcuni dei prodotti certificati: - IBM Cryptographic chip for PC CC EAL3 - IBM 4758 Cryptographic Co-Processor NIST FISP Level 4 - Tivoli Access Manager for e-business CC EAL3+ - Tivoli Identity Manager for e-business on going (3Q) - Tivoli Amos on going (2Q) - IBM Directory Server CC EAL3 - IBM DB2 UDB CC EAL4 + - IBM DB2 Content Manager CC EAL3 - AIX 5L CC EAL4+ - ZSeries Logical Partition LPAR zseries 900 PR/SM CC EAL5 31

32 Le aziende che raggiungono la Certificazione BS7799 sono in rapida crescita Country Argentina Australia Austria Belgium Brazil China Colombia Czech Republic Denmark Egypt Finland Germany Greece Hong Kong Hungary Iceland India Ireland Isle of Man Italy Lebanon Lithuania n Le società certificate: situazione 2003 vs 2005 Country Luxemburg Japan Korea Macau Macedonia Malaysia Mexico Morocco Netherlands Norway Poland Qatar Romania Saudi Arabia Singapore Slovakia Slovenia South Africa Spain Sweden Switzerland Taiwan UAE UK USA Fonte: (dati aggiornati al ) n /9/03 TOTALE società certificate nel mondo /9/ /4/05 Società appartenenti al gruppo IBM certificate: IBM BCRS Italia (dicembre 2004) IBM BCRS Cina (ottobre 2004) 32

33 Le capabilities IBM in ambito Certificazione L IBM possiede due laboratori di Valutazione (Commercial Evaluation Facility CLEF) in UK ed in Canada per la preparazione del processo di certificazione sia per prodotti interni che esterni (ITSEC e Common Criteria). La Practice internazionale di Security&Privacy offre supporto metodologico e specialistico alle aziende per il percorso di Certificazione verso la norma BS

34 Riferimenti Common Criteria INFOSEC Raccomandazione CE del 7/4/1995 Computer Security Resource Center (CSRC) NIST 34

35 Struttura gerarchica dei Common Criteria: un esempio di Gerarchia La gerarchia dei requisiti funzionali e di assicurazione dei CC rappresenta una logica costruttiva che organizza i costituenti dei requisiti di sicurezza nei seguenti elementi: - Classe (ad es. FDP Protezione dei dati utente): un insieme di famiglie che condividono uno stesso focus. - Famiglia (ad. es. FDP_ACC Politica di Controllo Accessi): un gruppo di componenti che condividono obiettivi di sicurezza ma che possono differire in termini di enfasi e/o rigore. - Componente (ad. Es. FDP_ACC.1 Sottoinsieme di Controllo Accessi): l insieme elementare di sottoelementi che possono essere inclusi in un PP,ST o package. (Req. funzionali o di assicurazione) FAMIGLIA CLASSE FAMIGLIA Componente Componente Componente Flessibilità nel definire i requisiti PP o ST PP Project Profile (generico) ST Security Target (specifico) 35

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009

Qualification Program in Information Security Management according to ISO/IEC 27002. Cesare Gallotti Milano, 23 gennaio 2009 Qualification Program in Information Security Management according to ISO/IEC 27002 Cesare Gallotti Milano, 23 gennaio 2009 1 Agenda Presentazione Le norme della serie ISO/IEC 27000 La sicurezza delle

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

La certificazione della sicurezza ICT

La certificazione della sicurezza ICT La certificazione della sicurezza ICT Roma CNIPA, 30 maggio 2005 Le entità in gioco Common Criteria/ITSEC ACCREDITATORE NORMA DI RIFERIMENTO FORNITORE/TITOLARE OGG. DA CERTIFICARE FRUITORE DEI SERVIZI

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Nota Informativa dello Schema N. 1/13

Nota Informativa dello Schema N. 1/13 Organismo di Certificazione della Sicurezza Informatica Nota Informativa dello Schema N. 1/13 Modifiche alla LGP1 Novembre 2013 Versione 1.0 REGISTRAZIONE DELLE AGGIUNTE E VARIANTI L'elenco delle aggiunte

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

Standard per la Certificazione della Sicurezza dell Informazione

Standard per la Certificazione della Sicurezza dell Informazione Standard per la Certificazione della Sicurezza dell Informazione Ing. Emilio Montolivo Amtec-Securteam emilio.montolivo@elsagdatamat.it Roma, 17 aprile 2007 Parte 1 Concetti Introduttivi Che cos è la certificazione?

Dettagli

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

Processi di Gestione dei Sistemi ICT

Processi di Gestione dei Sistemi ICT Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A3_1 V1.1 Processi di Gestione dei Sistemi ICT Il contenuto del documento è liberamente utilizzabile dagli studenti,

Dettagli

AIVE Business Solutions. www.aive.com

AIVE Business Solutions. www.aive.com AIVE Business Solutions www.aive.com AIVE GROUP: Missione e Valori Missione Realizzare software e progetti che migliorano i processi operativi dei nostri clienti e incrementano la loro capacità competitiva

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

La norma EN 16001 a due anni dalla pubblicazione. Compliance & Risk Manager BSI Group Italia S.r.l.

La norma EN 16001 a due anni dalla pubblicazione. Compliance & Risk Manager BSI Group Italia S.r.l. La norma EN 16001 a due anni dalla pubblicazione Ing. Gian Luca Conti Ing. Gian Luca Conti Compliance & Risk Manager BSI Group Italia S.r.l. Siamo un organizzazione indipendente Presentazione BSI Non abbiamo

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

Lista delle descrizioni dei Profili

Lista delle descrizioni dei Profili Lista delle descrizioni dei Profili La seguente lista dei Profili Professionali ICT è stata definita dal CEN Workshop on ICT Skills nell'ambito del Comitato Europeo di Standardizzazione. I profili fanno

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

Centro di Valutazione della Difesa

Centro di Valutazione della Difesa Centro di Valutazione della Difesa II Reparto Informazioni e Sicurezza Ce.Va. Difesa: dipendenza ed ubicazione. Il Ce.Va Difesa è un articolazione del II Reparto (Informazioni e Sicurezza) dello Stato

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013

Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Sottotitolo Sinergie tra standard e cenni alla ISO/IEC 27013 Autore Fabio Guasconi Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile ad organizzazioni

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona - 2006 05 09 1 ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo INFOSECURITY - Verona - 2006 05 09 1 INFOSECURITY - Verona - 2006 05 09 2 Fornitori Istituzioni Clienti Sicurezza delle Informazioni

Dettagli

22 ottobre 2013 UNA GOLF HOTEL Cavaglià. Ing. Alberto Raffaldi Project Manager Soluzioni EDP

22 ottobre 2013 UNA GOLF HOTEL Cavaglià. Ing. Alberto Raffaldi Project Manager Soluzioni EDP 22 ottobre 2013 UNA GOLF HOTEL Cavaglià Ing. Alberto Raffaldi Project Manager Soluzioni EDP Microsoft: l evoluzione dell ERP 22 Ottobre 2013 - UNA Golf Hotel Cavaglià (BI) In qualsiasi tipo di azienda,

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

ISO 27000 family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo ISO 27000 family La GESTIONE DEI RISCHI Nei Sistemi di Gestione Autore: R.Randazzo La Norme che hanno affrontato il Tema della gestione dei rischi Concetto di Rischio Agenda Il Rischio all interno della

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

ISO 9001. Cosa si nasconde concretamente dietro a questa sigla? Evento CC-Ti ISO 9001: utilità, attualità e successione aziendale

ISO 9001. Cosa si nasconde concretamente dietro a questa sigla? Evento CC-Ti ISO 9001: utilità, attualità e successione aziendale ISO 9001 Cosa si nasconde concretamente dietro a questa sigla? Evento CC-Ti ISO 9001: utilità, attualità e successione aziendale Lugano, 24 ottobre 2013 Ing. Marcello A. Bettini (Regional Manager Regione

Dettagli

Bundled benefits. Your payments in future-proof hands. Guido Gatti 15 Ottobre 2013. Classification: Open

Bundled benefits. Your payments in future-proof hands. Guido Gatti 15 Ottobre 2013. Classification: Open Bundled benefits Your payments in future-proof hands Guido Gatti 15 Ottobre 2013 Classification: Open Status: Final Full service, flexible solutions Dual processor: card & payment processing Complete and

Dettagli

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori Struttura della norma ISO/IEC 17025 1. Scopo 2. Riferimenti normativi 3. Termini e definizioni 4. Requisiti gestionali

Dettagli

KRESTON GV Italy Audit Srl The new brand, the new vision

KRESTON GV Italy Audit Srl The new brand, the new vision KRESTON GV Italy Audit Srl The new brand, the new vision Chi siamo Kreston GV Italy Audit Srl è il membro italiano di Kreston International, network internazionale di servizi di revisione, di corporate

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 IT Governance: scelte e soluzioni Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010 Agenda 1. Presentazione 2. IT Governance 3. I quadri di riferimento 4. Le attività di controllo 5. Privacy

Dettagli

Archiviazione elettronica e Gestione della conoscenza Dott. Timur Khoussainov Toffoletto De Luca Tamajo e Soci Studio Legale

Archiviazione elettronica e Gestione della conoscenza Dott. Timur Khoussainov Toffoletto De Luca Tamajo e Soci Studio Legale Archiviazione elettronica e Gestione della conoscenza Toffoletto De Luca Tamajo e Soci Studio Legale Bologna, 30 ottobre 2015 CHE COS È (PER NOI) LA CONOSCENZA? Toffoletto De Luca Tamajo e Soci 2015 2

Dettagli

Adoption and take up of standards and profiles for e-health Interoperability

Adoption and take up of standards and profiles for e-health Interoperability Adoption and take up of standards and profiles for e-health Interoperability Gilda De Marco, Assinter/INSIEL, Italy based on a presentation by Ib Johanson, MedCom, DK Antilope ANTILOPE Rete Tematica Promuovere

Dettagli

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari

RSM01. Pag. 1/9 Rev.03. Regolamento VSSM. E. Stanghellini R. De Pari. S. Ronchi R. De Pari 03 11/02/2015. S. Ronchi R. De Pari Pag. 1/9 03 11/02/2015 Modificata da EA a IAF la denominazione dei Settori merceologici. S. Ronchi R. De Pari E. Stanghellini R. De Pari 02 03/01/2014 Modificata ragione sociale 01 10/04/2012 Aggiornamento

Dettagli

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer» La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza

Dettagli

SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO

SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO Liceo Scientifico Galileo Galilei -Trento - SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO BS OHSAS 18001:2007 Maggio 2012 Maurizio Adami 1 Popolazione scolastica anno scolastico 2011/12 Docenti

Dettagli

IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO

IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO IL SISTEMA ASSICURAZIONE QUALITA DI ATENEO Dott.ssa Lucia Romagnoli Ancona, 15 luglio 2015 maggio 2007 UNIVPM ottiene la certificazione del proprio Sistema di Gestione per la Qualità (SGQ) ai sensi della

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1 Organizzare la sicurezza, ovvero come legare il cane al palo Pierluigi D Ambrosio p.dambrosio@businesssecurity.it 2002-2014 Business Security 1 Problema: Possiedo un cane, un palo, della corda, della catena

Dettagli

ISO/IEC 17025 : 2005 per i Laboratori di Prova

ISO/IEC 17025 : 2005 per i Laboratori di Prova ISO/IEC 17025 : 2005 per i Laboratori di Prova Perugia, 30 giugno 2005 D.ssa Daniela Vita ISO/IEC 17025:2005 1 Differenza tra UNI EN ISO 9001:2000 e ISO/IEC 17025:2005 La norma UNI EN ISO 9001:2000 definisce

Dettagli

Sistemi Qualità e normativa

Sistemi Qualità e normativa Università di Bergamo Facoltà di Ingegneria INGEGNERIA DEL SOFTWARE Paolo Salvaneschi B2_1 V2.1 Sistemi Qualità e normativa Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma Il Risk Management Integrato in eni Stefano Leofreddi Senior Vice President Risk Management Integrato 1 Ottobre 2014, Roma Indice - Sviluppo del Modello RMI - Governance e Policy - Processo e Strumenti

Dettagli

Information Systems Audit and Control Association

Information Systems Audit and Control Association Information Systems Audit and Control Association Certificazione CISA Certified Information Systems Auditor CISM Certified Information Security Manager La certificazione CISA storia C I S l ISACA propone

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM 2 A I E A Costituita a Milano nel 1979 Finalità:

Dettagli

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management 2015 Summary Chi siamo Il modello operativo di Quality Solutions Contesto di riferimento Framework Lo standard

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT SYSTEMS) AUDITOR/RESPONSABILI GRUPPO DI AUDIT srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ITSMS (IT SERVICE MANAGEMENT

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

Termini e Definizioni

Termini e Definizioni Convegno L ACCREDITAMENTO DEI LABORATORI PER LA SICUREZZA ALIMENTARE Roma 25-26 ottobre 2005 GESTIONE della DOCUMENTAZIONE Petteni A. & Pistone G. Termini e Definizioni GESTIONE Attività coordinate per

Dettagli

http://it.linkedin.com/in/marialberto Napoli 07/06/2013 - Alberto Mari (Sicev 265 - Apco CMC 0512-A)

http://it.linkedin.com/in/marialberto Napoli 07/06/2013 - Alberto Mari (Sicev 265 - Apco CMC 0512-A) 1 Seminario Aggiornamento Valutatori SICEV Intervento Dai Sistemi di Gestione al Modello di Organizzazione, Gestione e Controllo secondo il DLgs. 231/2001 Napoli 07/06/2013 - Alberto Mari (Sicev 265 -

Dettagli

ASTRA ATTUAZIONE DEL PROGRAMMA DI VALUTAZIONE DELLA SICUREZZA DEGLI AEROMOBILI

ASTRA ATTUAZIONE DEL PROGRAMMA DI VALUTAZIONE DELLA SICUREZZA DEGLI AEROMOBILI ATTUAZIONE DEL PROGRAMMA DI VALUTAZIONE DELLA SICUREZZA DEGLI AEROMOBILI STRANIERI DA PARTE DEGLI STATI MEMBRI DELL ECAC EUROPEAN CIVIL AVIATION CONFERENCE. CHE COSA È L ECAC? L ECAC è una organizzazione

Dettagli

-CERTIFICAZIONE DI SISTEMA UNI EN ISO 9001- STRUMENTO DI QUALIFICAZIONE DELLE IMPRESE NEGLI APPALTI PUBBLICI

-CERTIFICAZIONE DI SISTEMA UNI EN ISO 9001- STRUMENTO DI QUALIFICAZIONE DELLE IMPRESE NEGLI APPALTI PUBBLICI -CERTIFICAZIONE DI SISTEMA UNI EN ISO 9001- STRUMENTO DI QUALIFICAZIONE DELLE IMPRESE NEGLI APPALTI PUBBLICI Norma ISO 9001 e sue applicazioni Iter di certificazione e sistema di accreditamento Sistemi

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

IS Governance in action: l esperienza di eni

IS Governance in action: l esperienza di eni IS Governance in action: l esperienza di eni eni.com Giancarlo Cimmino Resp. ICT Compliance & Risk Management Contenuti L ICT eni: mission e principali grandezze IS Governance: il modello organizzativo

Dettagli

MERCURI INTERNATIONAL

MERCURI INTERNATIONAL MERCURI INTERNATIONAL 1 Mercuri International Mercuri International parla solo ed esclusivamente di vendite Mercuri International è una società specializzata nella consulenza e nel training in area vendite.

Dettagli

LA CONSERVAZIONE DELLA MEMORIA DIGITALE FIGURE PROFESSIONALI E RESPONSABILITÀ

LA CONSERVAZIONE DELLA MEMORIA DIGITALE FIGURE PROFESSIONALI E RESPONSABILITÀ LA CONSERVAZIONE DELLA MEMORIA DIGITALE FIGURE PROFESSIONALI E RESPONSABILITÀ ANAI Marche, 3 marzo 2015 [Art. 5, c. 3, DPCM 3/12/2013] - Le pubbliche amministrazioni realizzano i propri processi di conservazione

Dettagli

La CERTIFICAZIONE DEI SISTEMI DI GESTIONE AZIENDALE

La CERTIFICAZIONE DEI SISTEMI DI GESTIONE AZIENDALE La CERTIFICAZIONE DEI SISTEMI DI GESTIONE AZIENDALE CERTIQUALITY Via. G. Giardino, 4 - MILANO 02.806917.1 SANDRO COSSU VALUTATORE SISTEMI DI GESTIONE CERTIQUALITY Oristano 27 Maggio 2008 GLI STRUMENTI

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

PROFILO AZIENDALE 2011

PROFILO AZIENDALE 2011 PROFILO AZIENDALE 2011 NET STUDIO Net Studio è un azienda che ha sede in Toscana ma opera in tutta Italia e in altri paesi Europei per realizzare attività di Consulenza, System Integration, Application

Dettagli

Telex telecomunicazioni. Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali

Telex telecomunicazioni. Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali Telex telecomunicazioni Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali Agenda 1 azienda 2 organizzazione 3 offerta 4 partner 5 referenze Storia Azienda Nasce 30 anni fa Specializzata

Dettagli

Claudia Gistri Giancarlo Caputo CERTIQUALITY

Claudia Gistri Giancarlo Caputo CERTIQUALITY I requisiti per la certificazione del sistema di gestione sicurezza Claudia Gistri Giancarlo Caputo CERTIQUALITY Seminario La gestione ed il controllo del Rischio Industriale Bergamo, 20 dicembre 2005

Dettagli

TÜV Italia s.r.l. - TÜV SÜD Group

TÜV Italia s.r.l. - TÜV SÜD Group 1 di 7 INDICE 1. Scopo ed entrata in vigore 2. Campo di applicazione 3. Termini e definizioni 4. Responsabilità 5. Controllo del regolamento 6. Iter di certificazione 6.1 Generalità 6.2 Modalità di svolgimento

Dettagli

MANUALE DELLA QUALITÀ DI

MANUALE DELLA QUALITÀ DI MANUALE DELLA QUALITÀ Pag. 1 di 13 MANUALE DELLA QUALITÀ DI Copia master Copia in emissione controllata (il destinatario di questo documento ha l obbligo di conservarlo e di restituirlo, su richiesta della

Dettagli

Progetto di Information Security

Progetto di Information Security Progetto di Information Security Pianificare e gestire la sicurezza dei sistemi informativi adottando uno schema di riferimento manageriale che consenta di affrontare le problematiche connesse alla sicurezza

Dettagli

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance

LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance LA GESTIONE DELLA SICUREZZA CON IBM Security Identity Governance IDENTITY & ACCESS MANAGEMENT L approccio Engineering ai progetti Fa parte del contesto più ampio delle tematiche legate alla sicurezza (secure

Dettagli

Catalogo Corsi. Aggiornato il 16/09/2013

Catalogo Corsi. Aggiornato il 16/09/2013 Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...

Dettagli

Il Regolamento REACh e la Check Compliance: proposta di Linee Guida

Il Regolamento REACh e la Check Compliance: proposta di Linee Guida Il Regolamento REACh e la Check Compliance: proposta di Linee Guida Piero Franz- Certiquality Bologna - 20 Giugno 2011 CERTIQUALITY IN ITALIA SEDE DI MILANO UFFICIO DI VENEZIA FONDATO NEL 1989 CERTIQUALITY

Dettagli

Agenda. 10:00-10:15 Benvenuto e Introduzione. 10:15-10:45 Rinnovare l innovazione. 10:45-11:15 Innovare con successo : Fast To Market

Agenda. 10:00-10:15 Benvenuto e Introduzione. 10:15-10:45 Rinnovare l innovazione. 10:45-11:15 Innovare con successo : Fast To Market Agenda 10:00-10:15 Benvenuto e Introduzione Manlio Rizzo - Managing Partner and CEO AchieveGlobal Italia Fabio Raho - Sr. Solution Strategist Governance CA-Italy 10:15-10:45 Rinnovare l innovazione Nicola

Dettagli

La condensazione della nuvola

La condensazione della nuvola La condensazione della nuvola BS ISO/IEC 27001: 2005 e cloud computing Come si trattano i gas? Rendendoli liquidi Comprimendoli e inserendoli in contenitori CONDENSANDOLI allora possono essere trattati,

Dettagli

Marco Salvato, KPMG. AIEA Verona 25.11.2005

Marco Salvato, KPMG. AIEA Verona 25.11.2005 Information Systems Governance e analisi dei rischi con ITIL e COBIT Marco Salvato, KPMG Sessione di studio AIEA, Verona 25 Novembre 2005 1 Information Systems Governance L'Information Systems Governance

Dettagli

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1)

Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC 20000-1) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS 27013 17/09/2012

Dettagli

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved. ISO/IEC 2700:2013 Principali modifiche e piano di transizione alla nuova edizione ISO/IEC 27001 La norma ISO/IEC 27001, Information technology - Security techniques - Information security management systems

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni Ente di normazione per le Tecnologie Informatiche e loro applicazioni Ente federato all UNI studiare ed elaborare norme nazionali,

Dettagli

Associazione Italiana Information Systems Auditors

Associazione Italiana Information Systems Auditors Associazione Italiana Information Systems Auditors Agenda AIEA - ruolo ed obiettivi ISACA - struttura e finalità La certificazione CISA La certificazione CISM La certificazione CGEIT 2 A I E A Costituita

Dettagli

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention

Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Il Sistema di Gestione per la Security: i controlli previsti dal D. Lgs 196/03 e quelli basati sulla BS 7799-2:2002 in logica di Loss Prevention Raoul Savastano Responsabile Security Services Kpmg Information

Dettagli

La certificazione CISM

La certificazione CISM La certificazione CISM Firenze, 19 maggio 2005 Daniele Chieregato Agenda Ruolo del Security Manager Certificati CISM Domini Requisiti Ruolo del Security Manager La gestione della Sicurezza Informatica

Dettagli

Sistemi Qualità e normativa

Sistemi Qualità e normativa Università di Bergamo Facoltà di Ingegneria INGEGNERIA DEL SOFTWARE Paolo Salvaneschi B2_1 V3.0 Sistemi Qualità e normativa Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti

Agenda. La protezione della Banca. attraverso la convergenza della Sicurezza Fisica e Logica. innovazione per nuovi progetti La protezione della Banca attraverso la convergenza della Sicurezza Fisica e Logica Roma, 21-22 Maggio 2007 Mariangela Fagnani (mfagnani@it.ibm.com) ABI Banche e Sicurezza 2007 2007 Corporation Agenda

Dettagli