Novembre Raccomandazioni per il Business Continuity Management (BCM)

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Novembre 2007. Raccomandazioni per il Business Continuity Management (BCM)"

Transcript

1 Novembre 2007 Raccomandazioni per il Business Continuity Management (BCM)

2 Raccomandazioni per il Business Continuity Management (BCM) Indice 1. Premessa e obiettivi Relazione con il gruppo di lavoro «BCP Piazza finanziaria svizzera» Indicazioni generali Condizioni quadro Fondamenti Ambito di applicazione e possibili scenari Raccomandazioni Definizione ed estensione Componenti Responsabilità Business Recovery Planning e sua verifica Business Impact Analysis (standard minimo obbligatorio) Business Continuity Strategy (standard minimo obbligatorio) Business Continuity Planning Business Continuity Review Business Continuity Test Gestione delle crisi Reportistica, comunicazione, formazione Reportistica Comunicazione Formazione e sensibilizzazione Entrata in vigore e disposizioni transitorie...8 Appendice A Glossario...9 Appendice B Scala di gravità degli eventi...11 Appendice C Andamento di una crisi...12 Appendice D Fonti di riferimento...13 Raccomandazioni della ASB per il Business Continuity Management (BCM) 1

3 1. Premessa e obiettivi Molti degli eventi accaduti negli ultimi anni, in particolare gli atti terroristici e le minacce di pandemia, hanno messo in evidenza la vulnerabilità degli operatori e dei sistemi del mercato finanziario. Di pari passo si sono acuite la sensibilità e l attenzione verso avvenimenti del genere e le loro possibili conseguenze. A livello internazionale e nazionale le associazioni di categoria hanno diramato direttive e raccomandazioni nell ambito del Business Continuity Management (BCM), formulando delle linee guida valide sia per gli operatori delle piazze finanziarie che per le autorità di sorveglianza. La Commissione federale delle banche (CFB) considera un adeguato Business Continuity Management uno dei requisiti indispensabili per l ottenimento da parte di una banca dell autorizzazione a svolgere la propria attività, conformemente a quanto disposto all art. 3 della legge sulle banche. La CFB appoggia l emanazione di una normativa autonoma a cura dall Associazione svizzera dei banchieri (ASB). La presente autoregolamentazione dell ASB, destinata ai suoi membri, contiene una serie di raccomandazioni («best practice») per l allestimento di un BCM in seno a ogni istituto che deve tenere conto degli aspetti peculiari della situazione specifica, soprattutto per quanto attiene la situazione di rischio e la rilevanza sistemica dei singoli istituti. Le indicazioni contenute in questo testo sono da intendere quali raccomandazioni senza carattere vincolante, così come definite dalla Circolare CFB 04/2 Norme di autoregolamentazione come standard minimo. Uniche eccezioni sono lo svolgimento di una Business Impact Analysis (paragrafo 5.4.1) e la definizione della Business Continuity Strategy (paragrafo 5.4.2). Questi due importanti aspetti sono considerati dalla CFB quale standard minimo obbligatorio. L ambito di applicazione delle presenti raccomandazioni si estende a tutte le banche e a tutti i commercianti di valori mobiliari (in seguito: istituti). Non sono contemplati gli effetti delle raccomandazioni sul rapporto di diritto civile tra l istituto e i propri clienti. 2. Relazione con il gruppo di lavoro «BCP Piazza finanziaria svizzera» 2.1 Indicazioni generali Per far fronte a eventuali disfunzioni impreviste che sorgono all interno della rete del sistema finanziario è necessario che tutti i principali operatori intervengano in modo coordinato e solo dopo aver definito, armonizzato e applicato le procedure del caso. Nel dicembre 2003 è stato istituito in Svizzera il «BCP Piazza finanziaria svizzera», un gruppo di lavoro composto da rappresentanti degli interessi del mondo finanziario e presieduto dalla Banca nazionale svizzera (BNS), che si prefigge di verificare e valutare il Business Continuity Planning dei singoli istituti e provider di infrastrutture sulla piazza finanziaria svizzera. Il controllo si è concentrato sui processi che possono pregiudicare la stabilità del mercato finanziario. Partendo da un analisi preliminare dei rischi, il gruppo di lavoro ha individuato due processi critici in termini di sicurezza: i «pagamenti di grossi importi tramite SIC» e la «raccolta di liquidità con operazioni Repo». In quest ottica, gli altri settori delicati quali il regolamento dei pagamenti retail, l approvvigionamento di contante da parte della popolazione e la negoziazione di borsa sono stati ritenuti non prioritari. Sulla scorta delle risultanze degli esami svolti, la BNS ha sollecitato le infrastrutture centrali Telekurs / SIC e SIS a integrare i requisiti relativi al BCM nei propri dispositivi contrattuali con i partecipanti al sistema. Raccomandazioni della ASB per il Business Continuity Management (BCM) 2

4 2.2 Condizioni quadro In linea con le prescrizioni in materia impartite dal Federal Reserve System (Fed, vedi appendice D), il gruppo di lavoro ha proceduto a fissare i seguenti requisiti per i due processi principali «pagamenti di grossi importi tramite SIC» e «raccolta di liquidità con operazioni Repo» (vedi definizioni nell appendice A): Partecipanti al sistema finanziario Obiettivi di recovery RTO = Recovery Time Objective RPO = Recovery Point Objective Infrastrutture centrali (BNS, SIC e SIS) RTO <= 2h RPO = 0 Partecipanti critici al sistema RTO <= 4h RPO = 0 Altri partecipanti al sistema RTO <= 24h Si considerano «critici» i partecipanti al sistema che detengono in SIC una quota di mercato pari o superiore al 20%. Tutti gli altri sono catalogati, in base a questa terminologia, come «altri partecipanti al sistema». I vincoli temporali per i partecipanti al sistema (critici e non) si riferiscono esplicitamente ai due processi principali «pagamenti di grossi importi tramite SIC» e «raccolta di liquidità con operazioni Repo». Per il loro rispetto è consentito ricorrere a processi alternativi. Occorre rilevare che le crisi e la loro gestione possono protrarsi per più giorni o più settimane ed è pertanto essenziale predisporre le necessarie capacità. Il termine di 24 ore applicato agli altri partecipanti al sistema è un indicazione standard che i singoli istituti possono adeguare in funzione della propria strategia specifica BCM (valutazione documentata dei rischi). In questo contesto sono determinanti anche le circolari della CFB «Sorveglianza e controllo interno» (circ. CFB 06/6) e «Esigenze di fondi propri relative ai rischi operativi» (circ. CFB 06/3). Il contenuto esatto degli obiettivi di recovery è specificato nelle clausole tecniche dei contratti stipulati tra i provider delle infrastrutture centrali e i partecipanti al sistema. 3. Fondamenti Le presenti raccomandazioni si basano su diverse norme analoghe (vedi sintesi nell appendice D). In particolare si orientano agli «High-Level Principles for Business Continuity» varati dal Joint Forum e dal Comitato di Basilea per la vigilanza bancaria (Basel Committee on Banking Supervision, Bank for International Settlements, agosto 2006, I fondamenti degli «High-Level Principles» possono essere riassunti come segue: 1. Gli operatori del mercato finanziario e le autorità di sorveglianza devono disporre di un Business Continuity Management globale ed efficiente. La responsabilità della Business Continuity ricade sul Consiglio di amministrazione (Board of Directors) e sulla direzione (Senior Management). 2. Gli operatori del mercato finanziario e le autorità di sorveglianza devono inserire nel loro Business Continuity Management i rischi di disfunzioni a forte impatto operativo. 3. Gli operatori del mercato finanziario devono sviluppare degli obiettivi di recovery che tengano conto della loro rilevanza sistemica e dei rischi che essi rappresentano per l intero sistema finanziario. 4. Il Business Continuity Planning degli operatori del mercato finanziario e delle autorità di sorveglianza deve definire delle misure atte a garantire la comunicazione interna ed esterna in caso di interruzioni prolungate dell attività operativa. 5. Qualora le interruzioni dell attività operativa comportino implicazioni internazionali, occorre che i piani informativi prevedano anche comunicazioni con le autorità di sorveglianza estere. Raccomandazioni della ASB per il Business Continuity Management (BCM) 3

5 6. Gli operatori del mercato finanziario e le autorità di sorveglianza devono sottoporre il loro Business Continuity Planning a test periodici, per verificarne l efficacia e l affidabilità ed eventualmente adeguare di conseguenza il Business Continuity Management. 7. Si raccomanda alle autorità di sorveglianza di valutare, nel quadro di un monitoraggio costante, il Business Continuity Management degli istituti sottoposti al loro controllo. 4. Ambito di applicazione e possibili scenari Gli istituti devono considerare tutti i principali scenari che possono portare l azienda a una crisi. Per «crisi» si intende una situazione di emergenza che richiede decisioni critiche e che esula dalle normali competenze direttive e decisionali e non può essere gestita con i mezzi ordinari. In questa accezione, gli «incidenti» non sono oggetto delle presenti raccomandazioni («Availability Management», vedi definizioni nelle appendici A e B). Esempi di situazioni di crisi: eventi a carattere «accidentale» come incendi o esplosioni atti di matrice terroristica, sabotaggi catastrofi naturali come inondazioni o terremoti assenza massiccia di personale (ad es. a causa di una pandemia) avaria degli impianti tecnici degli edifici e/o di quelli di alimentazione energetica (ad es. elettricità) interruzione dei sistemi o delle infrastrutture IT (errori dell hardware o dei software) interruzione dei sistemi di comunicazione o defezione dei provider telecom assenza dei fornitori esterni (vedi Outsourcing), ad es. provider nel settore delle informazioni. Gli istituti devono individuare, nel quadro del BCM, i pericoli più gravi e i tipi di crisi, definendoli e valutandoli in base al loro impatto (scala di gravità) e alla loro probabilità. Questi eventi possono comportare in particolare l indisponibilità di collaboratori e/o di elementi infrastrutturali (soprattutto a livello direttivo, delle telecomunicazioni, degli edifici e delle postazioni di lavoro) necessari per lo svolgimento di funzioni operative critiche. Non è inoltre da escludere che eventuali problemi nelle prestazioni informatiche o presso i provider delle infrastrutture possano causare interruzioni non tollerabili dei servizi critici. Per quanto riguarda il rischio di pandemie si rimanda agli scenari e alle raccomandazioni dell Ufficio federale della sanità pubblica (UFSP) e specificatamente al «Piano pandemico svizzero 2006» (cap. 8 «Pandemia e aziende») riportato al sito Il BCM deve garantire, nel modo migliore possibile, l osservanza delle disposizioni legali, normative, contrattuali e interne anche in caso di crisi. 5. Raccomandazioni 5.1 Definizione ed estensione Con l espressione Business Continuity Management (BCM) si designa un approccio su scala aziendale in grado di assicurare che, al verificarsi di eventi straordinari interni o esterni, le funzioni operative critiche continuino a essere svolte o vengano ripristinate nel più breve tempo possibile. Tra i suoi scopi il BCM mira a minimizzare i danni finanziari, legali o di reputazione conseguenti a tali eventi. Nel suo complesso il BCM deve garantire la continuità o la ripresa tempestiva dell attività operativa nelle situazioni di crisi. Il BCM concerne quindi, in linea di principio, tutti i settori Raccomandazioni della ASB per il Business Continuity Management (BCM) 4

6 operativi e organizzativi di un azienda. A questo proposito occorre fare una distinzione tra il Business Recovery Planning a monte e la gestione delle crisi effettivamente svolta. Nella Business Continuity Strategy l istituto definisce le proprie procedure generali in caso di perdita delle risorse critiche. Per farlo vengono individuate, nel contesto di una Business Impact Analysis, le risorse e i processi operativi che presentano una criticità e vengono fissati tempi congrui per il loro ripristino e la loro disponibilità. La Business Continuity Strategy costituisce la base per il Business Continuity Planning, che stabilisce (sotto forma di piani preventivi d intervento, check list e strumenti ausiliari di lavoro) le procedure per una ripresa rapida e ordinata dell attività operativa. La Business Continuity Strategy può costituire parte integrante della strategia operativa dell istituto. Nel caso in cui si intenda assumere intenzionalmente alcuni rischi residui, è obbligatorio farne menzione esplicita nella strategia. L allestimento e l attuazione di un BCM prevedono in particolare le seguenti operazioni: determinazione e fissazione dell estensione del BCM ancoraggio del BCM all interno dell organizzazione aziendale creazione di una struttura di governance in linea con l organizzazione aziendale definizione dei ruoli e delle responsabilità nel BCM delineazione degli scenari di crisi (vedi cap. 4) e delle ripercussioni sulle risorse dell azienda (base di pianificazione) individuazione delle risorse e dei processi operativi che presentano una criticità ed esame, nel quadro della Business Impact Analysis (BIA), delle conseguenze di eventuali interruzioni dell attività operativa definizione della Business Continuity Strategy per il trattamento generale di eventuali perdite di singole risorse dell architettura operativa redazione di Business Continuity Planning volti a ripristinare le risorse e i processi critici ai fini operativi dopo situazioni di crisi svolgimento di Business Continuity Review e di Business Continuity Test relativi ai Business Continuity Planning e all organizzazione della gestione delle crisi reportistica, comunicazione, formazione. 5.2 Componenti Una situazione di crisi è caratterizzata dall assenza totale o parziale di risorse oppure dall interruzione di uno o più processi. Per lo svolgimento regolare dei processi occorre in generale poter disporre delle seguenti risorse: collaboratori edifici IT/dati fornitori esterni. È quindi consigliabile, nel quadro del Business Recovery Planning, considerare in primo luogo la perdita di queste risorse. Il BCM deve contenere in particolare le seguenti componenti: Business Impact Analysis Individuazione dei processi operativi che presentano una criticità e delle relative risorse, identificazione e descrizione delle ripercussioni di eventuali interruzioni dell attività operativa in seguito alla perdita di una o più risorse critiche. Raccomandazioni della ASB per il Business Continuity Management (BCM) 5

7 Business Continuity Strategy Business Continuity Planning Business Continuity Testing Organizzazione della gestione delle crisi BCM Reporting BCM Training BCM Communication Definizione delle procedure generali in caso di perdita delle risorse critiche, decisioni fondamentali sull approntamento delle risorse sostitutive. Piano circostanziato relativo alle misure atte a garantire la continuazione dell attività operativa o la ripresa tempestiva dei processi critici. Pianificazione dettagliata delle procedure e delle responsabilità in caso di perdita di risorse critiche. Verifica a intervalli periodici dei Business Continuity Planning sotto il profilo della loro implementazione, efficacia e attualità. L organizzazione della gestione delle crisi ha lo scopo di approntare un apposito management nei casi di emergenza che affronti e risolva con efficacia le situazioni di crisi. Reportistica sulle attività del BCM e sullo stato degli interventi propedeutici per far fronte alle crisi operative (anche all attenzione del Consiglio di amministrazione e della direzione). Formazione tecnica dei collaboratori che hanno assunto delle funzioni nell ambito del BCM. Misure per la comunicazione interna ed esterna nei casi di crisi. 5.3 Responsabilità La responsabilità del BCM ricade sul Consiglio di amministrazione e sulla direzione dei singoli istituti (si veda al riguardo anche la circolare della CFB «Sorveglianza e controllo interno», circ. CFB 06/6). Il Consiglio di amministrazione deve farsi carico del controllo dell ottemperanza alla strategia BCM formalizzata per iscritto. La direzione provvede a realizzarla e disciplina le altre responsabilità, competenze e i flussi informativi mediante direttive e regolamenti interni. In particolare la direzione regola (previa autorizzazione del Consiglio di amministrazione) i propri rapporti con l organizzazione di crisi (unità di crisi). 5.4 Business Recovery Planning e sua verifica Business Impact Analysis (standard minimo obbligatorio) Ogni settore operativo deve determinare le proprie risorse e i propri processi critici. Nel quadro di un analisi dell impatto vengono valutate le ripercussioni sui processi critici ai fini operativi di una perdita totale o parziale delle relative risorse. La valutazione comprende anche le interconnessioni tra settori operativi (processi a monte/a valle) e i rapporti di dipendenza dai provider esterni (outsourcing). L analisi deve permettere di ottenere i seguenti risultati: Raccomandazioni della ASB per il Business Continuity Management (BCM) 6

8 grado auspicato di ripristino dei processi critici ai fini operativi periodo massimo di tempo per il ripristino dei processi critici ai fini operativi consistenza minima di risorse (sostitutive), in termini di edifici, collaboratori, IT/dati, provider esterni, che in caso di crisi devono essere disponibili per raggiungere il grado auspicato di ripristino. La frequenza dell aggiornamento della Business Impact Analysis dipende soprattutto dalla situazione di rischio dell istituto Business Continuity Strategy (standard minimo obbligatorio) La Business Continuity Strategy stabilisce le linee direttrici da seguire per il conseguimento da parte dell azienda degli obiettivi di recovery fissati nella Business Impact Analysis per gli scenari delineati e per le relative ripercussioni sulle risorse. La strategia deve essere formulata per iscritto Business Continuity Planning Il Business Continuity Planning descrive le procedure necessarie per il ripristino o la continuazione dei processi critici ai fini operativi (inclusa l osservanza delle disposizioni legali, normative, contrattuali e interne), le soluzioni di rimpiazzo e le risorse sostitutive minime per realizzarle. I piani devono contenere almeno i seguenti elementi: descrizione del caso di applicazione (scenario scatenante), procedure e repertorio delle misure con le rispettive priorità, risorse sostitutive necessarie e indicazione dell organizzazione di crisi con le specifiche responsabilità e competenze. È opportuno fissare la periodicità con cui il Business Continuity Planning sarà sottoposto ad aggiornamento. Modifiche sostanziali dell attività operativa esigono una revisione della pianificazione Business Continuity Review Le Business Continuity Review contengono un inventario della documentazione BCM elaborata dai singoli settori operativi e una valutazione della sua conformità ai criteri di esame prestabiliti. È consigliabile definire dei criteri di esame coerenti e un chiaro processo per il monitoraggio e l espletamento dei punti in sospeso Business Continuity Test I Business Continuity Test servono a esaminare e verificare l implementazione del Business Continuity Planning e la capacità dell organizzazione della gestione delle crisi. Il contenuto e la frequenza dei singoli test devono essere fissati in funzione della valutazione dei rischi (Business Impact Analysis). L aggregazione dei risultati dei test delle singole unità organizzative permette di valutare la capacità dell intero istituto di far fronte alle situazioni di crisi. Si raccomanda di coordinare le singole attività di test inserendole in un piano sistematico e di prevedere una reportistica omogenea, oltre a un processo di monitoraggio e rimozione delle carenze. 5.5 Gestione delle crisi Si deve mirare ad approntare un apposito management nei casi di emergenza che affronti e risolva con efficacia e tempestività le situazioni di crisi. In tali circostanze, che richiedono decisioni critiche nonché misure e competenze che vanno oltre la normale amministrazione, si ricorre all attivazione di una (o più) unità di crisi che assume la gestione dell emergenza fino al ristabilimento della situazione normale. Raccomandazioni della ASB per il Business Continuity Management (BCM) 7

9 È consigliabile disciplinare preventivamente in modo chiaro le modalità di attivazione, le responsabilità e le competenze dell unità di crisi, adeguando l organizzazione della gestione delle crisi all attività operativa e all assetto geografico dell istituto. Occorre prestare particolare attenzione a garantire, nel miglior modo possibile, la reperibilità dei responsabili designati, anche nelle situazioni di crisi. 5.6 Reportistica, comunicazione, formazione Reportistica Le attività del BCM e, in generale, lo stato degli interventi propedeutici per far fronte alle situazioni di crisi devono essere oggetto di rapporti redatti a cadenza periodica ai vari livelli, destinati al Consiglio di amministrazione e alla direzione. In essi devono essere riportati in particolare i risultati delle Business Continuity Review e dei Business Continuity Test Comunicazione La comunicazione ricopre un ruolo primario nella gestione delle crisi. L allestimento sistematico e accurato di modelli concettuali e piani di comunicazione (verso l interno e verso l esterno) nei casi di crisi esige quindi la massima cura. Occorre in special modo mantenere un grado elevato di professionalità e salvaguardare la credibilità e la fiducia dei partner nell istituto. I piani di comunicazione devono indicare le persone di contatto in caso di crisi (elenco con nomi e numeri di telefono delle autorità di sorveglianza, collaboratori, media, clienti, controparti, fornitori ecc.). Se la crisi diviene di portata internazionale è necessario che la comunicazione venga orientata di conseguenza. L autorità di sorveglianza deve essere debitamente informata su un eventuale situazione di crisi o sull istituzione di un unità di crisi Formazione e sensibilizzazione Deve essere garantita un adeguata istruzione dei collaboratori, in modo che siano perfettamente al corrente dei loro compiti, delle loro responsabilità e competenze nell ambito delle rispettive attività del BCM. Occorre quindi prevedere una formazione ad hoc dei nuovi assunti e aggiornamenti periodici delle conoscenze del personale in servizio. Un attenzione particolare deve essere dedicata alla formazione dei membri dell organizzazione di crisi. È inoltre necessario far sì, con l aiuto di una costante campagna d informazione, che tutti i collaboratori siano sensibilizzati sull importanza del BCM e ne seguano progressivamente l evoluzione. 6. Entrata in vigore e disposizioni transitorie Le presenti raccomandazioni sono state emanate dal Consiglio d amministrazione dell ASB con decisione del 18 giugno 2007 è approvate dalla CFB in data 19 ottobre Entrano in vigore il 1 gennaio Si raccomanda a gli istituti ad applicare le presenti raccomandazioni entro il 31 dicembre Raccomandazioni della ASB per il Business Continuity Management (BCM) 8

10 Appendice A Glossario Availability Management: procedura comprendente la definizione, l analisi, la pianificazione, la misurazione e l ottimizzazione di tutti gli aspetti che influiscono sulla disponibilità dei servizi informatici. L Availability Management garantisce che l infrastruttura IT nel suo complesso, vale a dire tutti i processi, tool e compiti ecc. in ambito informatico, corrispondano ai canoni stabiliti nei Service Level Agreement per quanto concerne la disponibilità. Gli eventi che pregiudicano tale disponibilità possono essere controllati mediante le usuali procedure gestionali e competenze decisionali. Backlog Processing: trattamento a posteriori di lavori non ancora evasi o accumulati a causa di un interruzione dei processi operativi o l adozione di processi alternativi. Business Continuity Management (BCM): approccio gestionale su scala aziendale (policy e standard) in grado di assicurare che, al verificarsi di un evento straordinario interno o esterno, le funzioni critiche continuino a essere svolte o vengano ripristinate nel più breve tempo possibile. Il BCM comprende le fasi di pianificazione, implementazione e controlling e si estende all intera sfera di pertinenza (settori, processi, tecniche) necessaria per garantire la continuità dei processi critici (ai fini operativi) dopo un evento straordinario o il ripristino dell operatività entro un periodo di tempo predefinito. Business Continuity Planning: piano preventivo circostanziato relativo alle misure (incl. check list e strumenti ausiliari) atte a garantire la continuazione dell attività operativa o la ripresa tempestiva e ordinata dei processi critici (ai fini operativi) in casi di emergenza. Business Continuity Reporting: reportistica (anche all attenzione del Consiglio di amministrazione e della direzione) sulle attività nell ambito del BCM e specificatamente sullo stato degli interventi propedeutici per far fronte alle crisi. Nei Business Continuity Reporting devono essere riportati in particolare i risultati delle Business Continuity Review e dei Business Continuity Test. Business Continuity Strategy: definizione delle procedure generali per il mantenimento di un attività operativa continuativa in caso di perdita delle risorse critiche (incl. determinazione del limite di tolleranza al rischio, analisi delle opzioni di manovra e delle decisioni fondamentali per l approntamento di risorse sostitutive). La Business Continuity Strategy poggia sulla Business Impact Analysis e costituisce la base per i Business Continuity Planning. Business Continuity Testing: verifica sistematica a intervalli periodici dei Business Continuity Planning, in particolare sotto il profilo della loro implementazione, efficacia e attualità. Business Impact Analysis (BIA): procedura di individuazione e di misurazione (quantitativa e qualitativa) delle ripercussioni di eventuali interruzioni dell attività operativa o di singole risorse o singoli processi. La BIA comprende in particolare l individuazione di risorse e processi critici (ai fini operativi) sulla scorta di un analisi dei rapporti di dipendenza e delle conseguenze nonché di una valutazione e classificazione dei potenziali danni. Business Recovery: ripristino di specifici processi e attività operative dopo un interruzione o misure da adottare in seguito a un evento dannoso (vedi Business Continuity Planning). Business Resumption: soluzioni transitorie per i processi finalizzate alla ripresa dell attività operativa. Tali soluzioni possono essere realizzate in varie tappe fino alla normalizzazione dell attività operativa o al ripristino della piena capacità. Crisi: situazione di emergenza che richiede decisioni critiche e che esula dalle normali competenze direttive e decisionali e non può essere gestita con i mezzi ordinari. Raccomandazioni della ASB per il Business Continuity Management (BCM) 9

11 Incidente: evento che causa un interruzione dell attività operativa, una perdita e/o una limitazione della qualità dei servizi erogati. A differenza della crisi, il guasto può essere gestito nel quadro dell Availability Management. Processi critici (ai fini operativi): processi di un azienda la cui interruzione compromette fortemente o rende impossibile la continuazione dell erogazione dei servizi alla clientela, l osservanza degli obblighi legali dell azienda e/o la gestione delle posizioni a rischio, causando un danno critico (diretto o indiretto). Recovery Point Objective (RPO): valore definito pari alla perdita massima di dati sostenibile in caso di crisi. Recovery Time Objective (RTO): periodo definito entro il quale i processi critici (ai fini operativi) devono essere ripristinati. Risorse critiche: risorse di un azienda (personale, edifici, IT/dati, fornitori esterni ecc.) che, in caso di defezione, comportano l interruzione o la perdita di processi operativi (critici). Le risorse critiche vengono identificate nel quadro della Business Impact Analysis. Unità di crisi: team a cui viene affidata la responsabilità di far fronte a una crisi fino al ristabilimento della situazione ordinaria (minimizzazione dei danni economici e dei rischi d immagine). Raccomandazioni della ASB per il Business Continuity Management (BCM) 10

12 Appendice B Scala di gravità degli eventi A seconda della gravità delle conseguenze risultanti da uno o più eventi dannosi, si opera una distinzione tra incidente, incidente grave, crisi e calamità. Il Business Continuity Management concerne esclusivamente la prevenzione delle crisi o delle calamità e la gestione delle crisi. Calamità Crisi Crisis Management Calamità: incidente di ampia portata che ha un impatto critico sulla società e influisce sul suo sistema di valori è definito calamità dal team responsabile della gestione delle crisi. Le calamità sono per lo più gestite attuando piani di ripristino dell operatività. Crisi: evento aziendale che richiede decisioni cruciali e che non può essere risolto tramite le tecniche di gestione e le facoltà decisionali consuete. Incidente grave Incidente Attività consueta (ad es. Availability Management) Incidente grave: conseguenza di uno o più incidenti, dei quali eventualmente non si conosce la causa, ma che hanno un impatto significativo sull operatività aziendale. Incidente: evento che provoca (o può provocare) un interruzione di attività, un guasto, una perdita o una riduzione della qualità del servizio. Quando si viene a conoscenza del danno non è solitamente possibile specificare con esattezza il tipo e la gravità dell incidente. Raccomandazioni della ASB per il Business Continuity Management (BCM) 11

13 Appendice C Andamento di una crisi Andamento di una crisi in caso di Impact Type «Perdita di IT/dati» 100% Ultimo backup consistente Calamità Business Resumption Fase n Fase 2 Fase 1 Tempo Periodo di tempo con perdita di dati RPO Recovery Point Objective (in ore) Periodo di tempo con indisponibilità degli applicativi RTO Recovery Time Objective (in ore) Raccomandazioni della ASB per il Business Continuity Management (BCM) 12

14 Appendice D Fonti di riferimento Nell implementazione della Business Continuity Strategy e del Business Continuity Planning possono essere consultate, tra l altro, le seguenti norme (l elenco non è esaustivo): Basel Committee on Banking Supervision: High-Level Principles for Business Continuity, Bank for International Settlements, agosto 2006, Financial Services Authority (FSA): Business Continuity Management - Practice Guide, 2006, Australian Prudential Regulatory Authority (APRA): Prudential Standard APS 232 «Business Continuity Management» e Guidance Note 232.1, aprile 2005, British Standards Organisation: The Guide to Business Continuity Management, Publicly Available Specification PAS 56:2003, 2003, Federal Reserve System (Fed): Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System, 2003, Information Security Forum: Aligning Business Continuity and Information Security, marzo 2006, Segretariato di Stato dell economia (seco): Manuale in caso di pandemia, (in corso di stampa) Ufficio federale della sanità pubblica (UFSP): Influenza Piano pandemico svizzero 2006, (si prevede un aggiornamento continuo) Raccomandazioni della ASB per il Business Continuity Management (BCM) 13

15 Associazione Svizzera dei Banchieri Aeschenplatz 7 Casella postale 4182 CH-4002 Basilea T F

Agosto 2013 Raccomandazioni per il Business Continuity Management (BCM)

Agosto 2013 Raccomandazioni per il Business Continuity Management (BCM) Agosto 2013 Raccomandazioni per il Business Continuity Management (BCM) 1 Premessa e obiettivi... 2 2 Basi... 3 3 Ambito di applicazione e fattori di pericolo... 4 4 Raccomandazioni... 6 4.1 Definizione

Dettagli

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Il Nuovo Codice dell Amministrazione Digitale: opportunità per i cittadini, adempimenti per le amministrazioni Napoli, 28 aprile 2011 LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Introduzione alla

Dettagli

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia

BANCA D ITALIA AIEA 2007. Relatore: Tullio Prà Servizio Vigilanza sugli Enti Creditizi Banca d Italia XXI Convegno Nazionale Information Systems Auditing Accademia Navale di Livorno, 24-25 Maggio 2007 La Continuità operativa nel sistema bancario italiano Relatore: Tullio Prà Servizio Vigilanza sugli Enti

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

S.C. GESTIONE EMERGENZE ISTRUZIONI OPERATIVE

S.C. GESTIONE EMERGENZE ISTRUZIONI OPERATIVE iii S.C. GESTIONE EMERGENZE PROGETTO FORMATIVO SVILUPPO DELLE PROCEDURE PER L IMPLEMENTAZIONE DELLA CONTINUITÀ OPERATIVA NELLA ASL 3 GENOVESE (BUSINESS CONTINUITY) ISTRUZIONI OPERATIVE Codice: GEN-DS-IL-

Dettagli

BUSINESS CONTINUITY MANAGEMENT. Il nostro piano C in situazioni di emergenza e di crisi

BUSINESS CONTINUITY MANAGEMENT. Il nostro piano C in situazioni di emergenza e di crisi BUSINESS CONTINUITY MANAGEMENT I PLANZER I 2010 BUSINESS CONTINUITY MANAGEMENT Il nostro piano C in situazioni di emergenza e di crisi La sicurezza non è una dimensione assoluta. Un piano di gestione del

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Continuità operativa e disaster recovery nella pubblica amministrazione

Continuità operativa e disaster recovery nella pubblica amministrazione Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Guida alla redazione del Business Continuity Plan per gli intermediari finanziari

Guida alla redazione del Business Continuity Plan per gli intermediari finanziari www.compliancenet.it www.prometeomc.it Guida alla redazione del Business Continuity Plan per gli intermediari finanziari 22 luglio 2010 - versione 1.0 http://www.compliancenet.it/content/guida-business-continuity

Dettagli

Direzione ICT. KeyClient Cards & Solutions. Manuale Business Continuity Management. Versione 1.2. Manuale BCM

Direzione ICT. KeyClient Cards & Solutions. Manuale Business Continuity Management. Versione 1.2. Manuale BCM KeyClient Cards & Solutions Direzione ICT Manuale Business Continuity Management Versione 1.2 Pagina 1 di 35 Pagina lasciata intenzionalmente in bianco Pagina 2 di 35 Indice 1 INTRODUZIONE... 4 2 AMBITO

Dettagli

Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 UNIMATICA S.p.A.

Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 UNIMATICA S.p.A. Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 pag. 1 di 12 Revisione Data Motivo Revisione Redatto da Approvato da 1.0 03/10/2009 Emissione Andrea

Dettagli

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES 1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire

Dettagli

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2 Garantire la continuità operativa in caso di interruzioni, siano esse dovute a incidenti gravi o inconvenienti minori, rappresenta oggi un requisito fondamentale per qualsiasi organizzazione che opera

Dettagli

Piano di Continuità Operativa ICT

Piano di Continuità Operativa ICT LOGO DELL AMMINISTRAZIONE Piano di Continuita Operativa ICT Esempio di modello generale X/XX/201X F I R M E Unità/Ruolo Nominativo Firma PREPARATO DA: CONTROLLATO DA: APPROVATO DA: AUTORIZZATO DA: 2 LISTA

Dettagli

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI 66 Allegato A Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI Gli organi aziendali assumono un ruolo fondamentale per la definizione di

Dettagli

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi

Seminari Eucip, Esercizio e Supporto di Sistemi Informativi Seminari Eucip, Esercizio di Sistemi Informativi Service Delivery and Support Dipartimento di Informtica e Sistemistica Università di Roma La Sapienza ITIL.1 Relazioni con il.2 Pianificazione.3 Gestione

Dettagli

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Procedure d emergenza e Business Continuity Plan Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Loreto Ottobre 2011 La business continuity è in sostanza l insieme di attività

Dettagli

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche

Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Seminario tecnico - Commissione ICT L affidabilità delle strutture ICT critiche Parte 2 - Architetture ICT e soluzioni organizzative per BC e DR, standard, normativa banche e PA Lead Auditor ISO 22301

Dettagli

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia

RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia con il sostegno di propongono il percorso formativo RISK & CRISIS MANAGEMENT come fronteggiare eventi imprevedibili con prontezza ed efficacia sede del corso: ISFOR 2000, via Pietro Nenni 30, Brescia periodo

Dettagli

BUSINESS CONTINUITY. Newsletter n. 8 2014. Know how in pillole: Dicembre 2014. Che cosa si intende per Business Continuity?

BUSINESS CONTINUITY. Newsletter n. 8 2014. Know how in pillole: Dicembre 2014. Che cosa si intende per Business Continuity? Care Colleghe, Cari Colleghi, prosegue la serie delle Newsletter legate agli Schemi di Certificazione di AICQ SICEV esistenti o in fase di costituzione. Questa volta la pillola formativa si riferisce alla

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED

Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Valutazione e gestione del rischio - A cura del Dottor Antonio Guzzo, Responsabile CED Quando parliamo di analisi dei rischi esaminiamo il cosiddetto concetto di information security risk management. Per

Dettagli

Luglio 2014 Direttive concernenti i requisiti minimi per i finanziamenti ipotecari

Luglio 2014 Direttive concernenti i requisiti minimi per i finanziamenti ipotecari Luglio Direttive concernenti i requisiti minimi per i finanziamenti ipotecari Sommario Introduzione... 2 1. Ambito di applicazione... 3 2. Requisiti minimi... 3 2.1 Mezzi propri... 3 2.2 Ammortamento...

Dettagli

Luglio 2014 Direttive per la verifica, la valutazione e la gestione di crediti garantiti da pegno immobiliare

Luglio 2014 Direttive per la verifica, la valutazione e la gestione di crediti garantiti da pegno immobiliare Luglio 2014 Direttive per la verifica, la valutazione e la gestione di crediti garantiti da pegno immobiliare Sommario Introduzione... 2 1. Principi per l'allestimento di norme bancarie interne... 3 2.

Dettagli

The ITIL Foundation Examination

The ITIL Foundation Examination The ITIL Foundation Examination Esempio di Prova Scritta A, versione 5.1 Risposte Multiple Istruzioni 1. Tutte le 40 domande dovrebbero essere tentate. 2. Le risposte devono essere fornite negli spazi

Dettagli

Urbi DR-ASP. Descrizione servizio di DR per ASP. Aprile 2012

Urbi DR-ASP. Descrizione servizio di DR per ASP. Aprile 2012 Urbi DR-ASP Aprile 2012 Descrizione servizio di DR per ASP PA DIGITALE Spa Documento Riservato Ultima Revisione luglio 2012 E fatto divieto la copia, la riproduzione e qualsiasi uso di questo P.1/3 Premessa...

Dettagli

Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo

Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo Continuità operativa e Disaster recovery Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo Alcuni concetti Gestione

Dettagli

EasyGov Solutions Srl. Start-up del Politecnico di Milano

EasyGov Solutions Srl. Start-up del Politecnico di Milano EasyGov Solutions Srl Start-up del Politecnico di Milano Continuità Operativa ICT e Disaster Recovery 2 Il contesto - 1 Continuità operativa Generale Persone, Impianti, Infrastrutture, documenti, norme,

Dettagli

Il Regolamento si compone di 41 articoli, suddivisi in nove capi.

Il Regolamento si compone di 41 articoli, suddivisi in nove capi. RELAZIONE REGOLAMENTO N. 20 DEL 26 MARZO 2008 RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI, COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE, AI

Dettagli

SICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY

SICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY SICUREZZA ARCHIVI DIGITALI DISASTER RECOVERY Venezia 19 maggio 2011 Scenario di contesto Documenti - solo digitali - digitali e analogici Archivi - solo digitali - digitali e analogici 1 Archivio digitale

Dettagli

Business continuity per la PA, G. Pontevolpe

Business continuity per la PA, G. Pontevolpe Business continuity per la PA Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Programma Generalità sul disaster recovery Disaster recovery e sicurezza Aspetti

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

BSI Group Italia. Viviana Rosa Marketing & PR Manager BSI Group Italia

BSI Group Italia. Viviana Rosa Marketing & PR Manager BSI Group Italia BSI Group Italia Viviana Rosa Marketing & PR Manager BSI Group Italia Chi è BSI BSI nasce nel 1901 in Inghilterra come primo ente di normazione al mondo, riconosciuto dalla corona britannica e oggi, a

Dettagli

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301. P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a CERTIQUALITY La Gestione della Business Continuity : gli standard ISO 31000 ed ISO 22301 Dott. Nicola Gatta Direzione Marketing & Industry Management

Dettagli

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS

Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT. Certificato ITIL Foundation in IT Service Management SYLLABUS Qualifiche professionali per ITIL PRACTICES FOR SERVICE MANAGEMENT Certificato ITIL Foundation in IT Service Management SYLLABUS Page 1 of 11 IL CERTIFICATO ITIL FOUNDATION IN IT SERVICE MANAGEMENT La

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL A

Corso di Amministrazione di Sistema Parte I ITIL A Corso di Amministrazione di Sistema Parte I ITIL A Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici IT

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001

PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA. BS OHSAS 18001 (ed. 2007) 1/10 progetto Tecnico OHSAS 18001 PROGETTO TECNICO SISTEMA DI GESTIONE DELLA SICUREZZA IN CONFORMITÀ ALLA NORMA BS OHSAS 18001 (ed. 2007) Rev. 0 del 13/01/09 1/10 progetto Tecnico OHSAS 18001 Premessa La norma OHSAS 18001 rappresenta uno

Dettagli

Sicurezza informatica nelle Pubbliche Amministrazioni

Sicurezza informatica nelle Pubbliche Amministrazioni La continuitá operativa nelle Pubbliche Amministrazioni Bolzano, 28.02.2012 Dott. Giovanni Rellini Lerz Definizione di business continuity (BC) o continuità operativa (CO) (Da BS 25999-2:2007) Business

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Aldo Lupi Ancitel Lombardia

Aldo Lupi Ancitel Lombardia BUSINESS CONTINUITY E DISASTER RECOVERY PER LE PA: OBBLIGHI DI LEGGE, STRATEGIE E OPPORTUNITA I RELATORI TELECOM Enzo Mario Bagnacani-Top Clients& Public Sector - Marketing Responsabile Infrastructure

Dettagli

La Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA

La Guida ANFIA sul BCM Una presentazione in 7 punti. M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA La Guida ANFIA sul BCM Una presentazione in 7 punti M. Terzago, SKF Group, Coordinatore GdL ANFIA G. Celeri, Marsh Risk Consulting, Membro GdL ANFIA Milano, 15 Giugno, 2015 1) PERCHÈ QUESTA NUOVA GUIDA

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

INFORMATIVA DI GIUNTA

INFORMATIVA DI GIUNTA COPIA ATTI: 1787/3.6/2014/1 N. REP. GEN. 5/2014 INFORMATIVA DI GIUNTA Oggetto: Informativa in merito alla realizzazione del Piano di Continuità Operativa del Sistema Informativo della Provincia di Milano.

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Gianna Detoni, AFBCI Presidente di PANTA RAY BCI Italian Forum Leader 1 Milano, 13 ottobre 2015

Dettagli

2008 Regole di condotta per commercianti di valori mobiliari. applicabili all esecuzione di transazioni su titoli

2008 Regole di condotta per commercianti di valori mobiliari. applicabili all esecuzione di transazioni su titoli 008 Regole di condotta per commercianti di valori mobiliari applicabili all esecuzione di transazioni su titoli Indice Preambolo... 3 A Direttive generali... 4 Art. Base legale... 4 Art. Oggetto... 5 B

Dettagli

"QUANDO C'E' UNA META, ANCHE IL DESERTO DIVENTA STRADA"

QUANDO C'E' UNA META, ANCHE IL DESERTO DIVENTA STRADA Progettare oggi, significa apportare innovazione, semplicità, aumento della produttività, creare valore aggiunto durante le normale attività di lavoro, sempre senza generare attriti tra la produzione e

Dettagli

L ATTUAZIONE DELLA NORMA : ARTICOLO 50 bis

L ATTUAZIONE DELLA NORMA : ARTICOLO 50 bis L ATTUAZIONE DELLA NORMA : ARTICOLO 50 bis L ATTUAZIONE DELLA NORMA : ARTICOLO 50 bis DEL NUOVO CAD DEL NUOVO CAD Franco Ardito Programma di Continuità Operativa - CSI Piemonte Franco Ardito Programma

Dettagli

IBM i5/os: un sistema progettato per essere sicuro e flessibile

IBM i5/os: un sistema progettato per essere sicuro e flessibile IBM i5/os garantisce la continua operatività della vostra azienda IBM i5/os: un sistema progettato per essere sicuro e flessibile Caratteristiche principali Introduzione del software HASM (High Availability

Dettagli

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015)

MANDATO DELLA FUNZIONE AUDIT. (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) MANDATO DELLA FUNZIONE AUDIT (Approvato dal Consiglio di Amministrazione di Enel Green Power il 12 marzo 2015) 1 INDICE DEI CONTENUTI 1. INTRODUZIONE E FINALITA DEL DOCUMENTO 2. MISSIONE 3. AMBITO 4. PROFESSIONALITA

Dettagli

Direzione Centrale Sistemi Informativi

Direzione Centrale Sistemi Informativi Direzione Centrale Sistemi Informativi Missione Contribuire, in coerenza con le strategie e gli obiettivi aziendali, alla definizione della strategia ICT del Gruppo, con proposta al Chief Operating Officer

Dettagli

Pedranzini Fabrizio Gruppo di Lavoro ICT - CODAU. Gruppo di Lavoro ICT - 10 febbraio 2012 Art. 50 bis, continuità operativa, disaster recovery

Pedranzini Fabrizio Gruppo di Lavoro ICT - CODAU. Gruppo di Lavoro ICT - 10 febbraio 2012 Art. 50 bis, continuità operativa, disaster recovery Gruppo di Lavoro ICT - 10 febbraio 2012 Art. 50 bis, continuità operativa, disaster recovery Agenda dell incontro 2 A. Premesse: 1. Introduzione e sintesi del quadro normativo 2. Stato di avanzamento dei

Dettagli

LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE)

LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE) LA COSTRUZIONE DI UN SISTEMA DI CONTROLLO INTERNO (IL CASO DELLE COMPAGNIE DI ASSICURAZIONE) Dott. Werther Montanari Direttore Audit di Gruppo Società Cattolica di Assicurazione Soc. Coop. Verona, 9 dicembre

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Un metodo per garantire la continuità produttiva ed aumentare la resilienza dell impresa

Un metodo per garantire la continuità produttiva ed aumentare la resilienza dell impresa RISK MANAGEMENT & BUSINESS CONTINUITY Business Continuity per le imprese Un metodo per garantire la continuità produttiva ed aumentare la resilienza dell impresa PER LE IMPRESE VISITA IL SITO: www.exsafe.it

Dettagli

I criteri di valutazione/certificazione. Common Criteria e ITSEC

I criteri di valutazione/certificazione. Common Criteria e ITSEC Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato

GL Solutions. da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato ORBIT Overview GL Solutions da febbraio 2011 GL Group S.p.A. si espande: Circa 150 collaboratori 2 sedi (Milano e Roma) Circa 12 M fatturato Associata al Consorzio ABILab Certificazioni BS25999 IBM Business

Dettagli

CAPOGRUPPO BANCARIA Direttive e Manuali di Gruppo Direttive di Gruppo

CAPOGRUPPO BANCARIA Direttive e Manuali di Gruppo Direttive di Gruppo AZIENDA: BANCA MONTE DEI PASCHI DI SIENA SPA STRUTTURA EMANANTE: (6974) SERV.ORG. OPERATIVA CODICE TESTO: D 00992 002 DATA PUBBLICAZIONE: 12/10/2006 OGGETTO: Direttiva di Gruppo in materia di Business

Dettagli

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa

Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Il Sistema di Gestione della Business Continuity Un percorso obbligatorio per la resilienza organizzativa Gianna Detoni, AFBCI Presidente di PANTA RAY BCI Italian Forum Leader 1 Roma, 9 ottobre 2015 AGENDA

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity

CERTIQUALITY. Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Per una migliore qualità della vita CERTIQUALITY Gli standard ISO 31000 per il RiskManagement ed ISO 22301 per la certificazione dei Sistemi di Gestione della Business Continuity Dott. Nicola Gatta Direzione

Dettagli

Le aree funzionali ed i processi

Le aree funzionali ed i processi Le aree funzionali ed i processi Gestione Operativa ITIL Information Technology Infrastructure Library (ITIL) è un insieme di linee guida ispirate dalla pratica (Best Practice) nella gestione dei servizi

Dettagli

Giugno 2012 Direttive concernenti i requisiti minimi per i finanziamenti ipotecari

Giugno 2012 Direttive concernenti i requisiti minimi per i finanziamenti ipotecari Giugno 2012 Direttive concernenti i requisiti minimi per i finanziamenti ipotecari Sommario Introduzione... 2 1. Ambito di applicazione... 3 2. Requisiti minimi... 3 2.1 Mezzi propri... 3 2.2 Ammortamento...

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno

Il sistema di gestione dei dati e dei processi aziendali. Il sistema di controllo interno Il sistema di gestione dei dati e dei processi aziendali Il sistema di controllo interno Argomenti della lezione 1 - Controllo Interno: definizione e componenti 2 - Ambiente di controllo 3 - Valutazione

Dettagli

CONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT)

CONSIP SpA. Gara per l affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT) CONSIP S.p.A. Allegato 6 Capitolato tecnico Capitolato relativo all affidamento dei servizi di supporto strategico a Consip nel campo dell Information & Communication Technology (ICT) Capitolato Tecnico

Dettagli

ANALISI DI UN CASO DI EVOLUZIONE NELL ADOZIONE DELLA SOLUZIONE PROJECT AND PORTFOLIO MANAGEMENT DI HP.

ANALISI DI UN CASO DI EVOLUZIONE NELL ADOZIONE DELLA SOLUZIONE PROJECT AND PORTFOLIO MANAGEMENT DI HP. INTERVISTA 13 settembre 2012 ANALISI DI UN CASO DI EVOLUZIONE NELL ADOZIONE DELLA SOLUZIONE PROJECT AND PORTFOLIO MANAGEMENT DI HP. Intervista ad Ermanno Pappalardo, Lead Solution Consultant HP Software

Dettagli

Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing. Infracom case studies per la gestione tecnologica del rischio operativo

Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing. Infracom case studies per la gestione tecnologica del rischio operativo Aldo Serraglio Infracom Italia S.p.A. Business Unit ICT Outsourcing Infracom case studies per la gestione tecnologica del rischio operativo 1 Il Gruppo Infracom Competenze, Metodologie, Servizi ed Infrastrutture

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Allegato B DOCUMENTO DI SLA (Service Level Agreement) Colf&Badanti Web

Allegato B DOCUMENTO DI SLA (Service Level Agreement) Colf&Badanti Web Allegato B DOCUMENTO DI SLA (Service Level Agreement) Colf&Badanti Web 1 INDICE 1. DESCRIZIONE DEL SERVIZIO 3 2. SLA RELATIVO ALLA INFRASTRUTTURA PRIMARIA 3 2.1. Dati di targa... 3 2.2. Banda virtuale

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Business continuity management per le strutture che erogano servizi socio sanitari. Con il patrocinio di

Business continuity management per le strutture che erogano servizi socio sanitari. Con il patrocinio di Business continuity management per le strutture che erogano servizi socio sanitari Con il patrocinio di La Business Continuity o Continuità Operativa, è la capacità di un organizzazione di mantenere operative

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

NUOVE METODOLOGIE DI PREVENZIONE INCENDI

NUOVE METODOLOGIE DI PREVENZIONE INCENDI NUOVE METODOLOGIE DI PREVENZIONE INCENDI FIRE SAFETY ENGINEERING E RISK MANAGEMENT: La protezione antincendio all interno di un disegno di risk management Bologna - 29 novembre 2003 Ing. Lucio Silvio Casati

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

Vision strategica della BCM

Vision strategica della BCM Vision strategica della BCM BCM Ticino Day 2015 Lugano 18 settembre 2015 Susanna Buson Business Continuity Manager and Advisor CBCP, MBCI Agenda Business Continuity vs Business Resilience Business Continuity

Dettagli

Averi non rivendicati

Averi non rivendicati Giugno 2015 Averi non rivendicati Un informazione dell Associazione svizzera dei banchieri Introduzione Accade talvolta che i rapporti dei clienti con la banca si interrompano e che, pertanto, gli averi

Dettagli

STANDARD DI SORVEGLIANZA PER SISTEMI DI PAGAMENTO AL DETTAGLIO IN EURO Risposte ai commenti pervenuti nel quadro della procedura di consultazione

STANDARD DI SORVEGLIANZA PER SISTEMI DI PAGAMENTO AL DETTAGLIO IN EURO Risposte ai commenti pervenuti nel quadro della procedura di consultazione BANCA CENTRALE EUROPEA STANDARD DI SORVEGLIANZA PER SISTEMI DI PAGAMENTO AL DETTAGLIO IN EURO Risposte ai commenti pervenuti nel quadro della procedura di consultazione L 8 luglio 2002 l Eurosistema ha

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi Approvate dal Consiglio di Amministrazione dell 11 marzo 2014 1 1 Ultimo aggiornamento in data 3 marzo 2016. 2 Sommario

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

del 30 novembre 2012 (Stato 1 gennaio 2013)

del 30 novembre 2012 (Stato 1 gennaio 2013) Ordinanza sulla liquidità delle banche (Ordinanza sulla liquidità, OLiq) 952.06 del 30 novembre 2012 (Stato 1 gennaio 2013) Il Consiglio federale svizzero, visti gli articoli 4 capoverso 2, 10 capoverso

Dettagli

ISO20000: il percorso di Poste Italiane verso la certificazione

ISO20000: il percorso di Poste Italiane verso la certificazione ISO20000: il percorso di Poste Italiane verso la certificazione Cristina Imperi Torino, 3 Luglio 2008 Il Profilo del Gruppo Poste Italiane 1 Poste Italiane è una delle realtà di servizi al cittadino e

Dettagli

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it

IS Governance. Francesco Clabot Consulenza di processo. francesco.clabot@netcom-srl.it IS Governance Francesco Clabot Consulenza di processo francesco.clabot@netcom-srl.it 1 Fondamenti di ISO 20000 per la Gestione dei Servizi Informatici - La Norma - 2 Introduzione Che cosa è una norma?

Dettagli

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi

ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi ERG S.p.A. Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi Approvate dal Consiglio di Amministrazione dell 11 marzo 2014 1 Sommario 1. Il Sistema di Controllo Interno e di

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Valutazione Ambientale Strategica del Programma Operativo Regionale 2007-2013

Valutazione Ambientale Strategica del Programma Operativo Regionale 2007-2013 UNIONE EUROPEA REGIONE CALABRIA REPUBBLICA ITALIANA Valutazione Ambientale Strategica del Programma Operativo Regionale 2007-2013 (Fondo FESR) MISURE PER IL MONITORAGGIO AMBIENTALE DEL POR (ai sensi degli

Dettagli

Linee guida per la regolamentazione dei mercati finanziari

Linee guida per la regolamentazione dei mercati finanziari 3 luglio 2013 Linee guida per la regolamentazione dei mercati finanziari Einsteinstrasse 2, 3003 Berna Tel. +41 (0)31 327 91 00, fax +41 (0)31 327 91 01 www.finma.ch A18124 Indice Obiettivi della regolamentazione

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

tt CLOUD THINK HIGHER WORK LIGHTER

tt CLOUD THINK HIGHER WORK LIGHTER tt CLOUD THINK HIGHER WORK LIGHTER tt CLOUD SERVIZI DI HOSTING Oggi sono sempre di più le piccole e medie imprese che scelgono di virtualizzare la capacità di un server e le applicazioni aziendali risparmiando

Dettagli

L esperienza d integrazione in SSC

L esperienza d integrazione in SSC Roma, 10 dicembre 2010 Centro Congressi Cavour L esperienza d integrazione in SSC Approcci multimodello nelle pratiche aziendali Il presente documento contiene informazioni e dati di S.S.C. s.r.l., pertanto

Dettagli

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere le applicazioni sempre disponibili: dalla gestione quotidiana al ripristino in caso di guasto

Dettagli

IL SAFETY MANAGEMENT SYSTEM PER I PROVIDER ATM SULLA BASE DEI REQUISITI EUROCONTROL

IL SAFETY MANAGEMENT SYSTEM PER I PROVIDER ATM SULLA BASE DEI REQUISITI EUROCONTROL IL SAFETY MANAGEMENT SYSTEM PER I PROVIDER ATM SULLA BASE DEI REQUISITI EUROCONTROL Natalia Distefano*, Giuseppe Falsaperla**, Salvatore Leonardi*, Salvatore Montessuto*** * D.I.C.A. Università degli Studi

Dettagli

PROGETTO TECNICO SISTEMA DI GESTIONE AMBIENTALE IN CONFORMITÀ ALLA NORMA. UNI EN ISO 14001 (ed. 2004) 1/9 progetto Tecnico ISO 14001-2004

PROGETTO TECNICO SISTEMA DI GESTIONE AMBIENTALE IN CONFORMITÀ ALLA NORMA. UNI EN ISO 14001 (ed. 2004) 1/9 progetto Tecnico ISO 14001-2004 PROGETTO TECNICO SISTEMA DI GESTIONE AMBIENTALE IN CONFORMITÀ ALLA NORMA UNI EN ISO 14001 (ed. 2004) Rev. 01 del 30/09/06 1/9 progetto Tecnico ISO 14001-2004 La Norma Internazionale UNI EN ISO 14001 specifica

Dettagli

Catalogo Corsi. Aggiornato il 16/09/2013

Catalogo Corsi. Aggiornato il 16/09/2013 Catalogo Corsi Aggiornato il 16/09/2013 KINETIKON SRL Via Virle, n.1 10138 TORINO info@kinetikon.com http://www.kinetikon.com TEL: +39 011 4337062 FAX: +39 011 4349225 Sommario ITIL Awareness/Overview...

Dettagli

Gestione Operativa e Supporto

Gestione Operativa e Supporto Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_1 V1.0 Gestione Operativa e Supporto Il contenuto del documento è liberamente utilizzabile dagli studenti, per

Dettagli