S.C. GESTIONE EMERGENZE ISTRUZIONI OPERATIVE

Transcript

1 iii S.C. GESTIONE EMERGENZE PROGETTO FORMATIVO SVILUPPO DELLE PROCEDURE PER L IMPLEMENTAZIONE DELLA CONTINUITÀ OPERATIVA NELLA ASL 3 GENOVESE (BUSINESS CONTINUITY) ISTRUZIONI OPERATIVE Codice: GEN-DS-IL- continuità-00 Rev.00 Data: 15/03/2011 Approvato Redatto Funzione Responsabile Firma Data S. C Gestione Dottoressa Emergenze Speranza Sensi 15 marzo 2011 S. C. Gestione Dottoressa Emergenze Speranza Sensi 15 marzo 2011 Dottor Gaetano Dottore Dottoressa Stefania Venuti Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 1/71

2 REVISIONI Rev. Data Redattore/i - firma/e Descrizione 0.0 Commenti e osservazioni al documento da ritornare a: S.C. Gestione Emergenze Segnalazione inviata da: data: Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 2/71

3 1. INDICE 1. INDICE Pagina 3 2. SCOPO Pagina 4 3. DOCUMENTI DI RIFERIMENTO Pagina 5 4. DEFINIZIONI E ABBREVIAZIONI Pagina 7 5. PREMESSA Pagina BUSINESS CONTINUITY Pagina ASL 3 GENOVESE: MISSIONE E STRATEGIE Pagina BUSINESS CONTINUITY MANAGEMENT (BCM) PER LA CONTINUITA OPERATIVA NELL ASL 3 GENOVESE 9.. PROGETTO FORMATIVO SVILUPPO DELLE PROCEDURE PER L IMPLEMENTAZIONE DELLA CONTINUITA OPERATIVA (BUSINESS CONTINUITY) Pagina 23 Pagina Metodologia del progetto Pagina Gli aspetti organizzativi più importanti Pagina Principali contenuti metodologici delle fasi dell attività Pagina 29 FASE 0 - Linee di progettazione Pagina 29 FASE 1 - Analisi d impatto Pagina 32 FASE 2 - Soluzioni Pagina 42 FASE 3 - Realizzazione Pagina 46 FASE 4 - Mantenimento - Verifica - Miglioramento Continuo Pagina RESPONSABILITA Pagina ACCESSIBILITA Pagina 57 APPENDICE Pagina 58 Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 3/71

4 2. SCOPO 2.1 APPLICABILITA Ai Referenti aziendali all Emergenza Ai Direttori Distretti Ai Direttori Dipartimenti Al Direttore POU Ai Direttori delle Strutture. Ai Dirigenti del ruolo Sanitario,Amministrativo, Tecnico, Professionale Al Personale del Comparto 2.2 OBIETTIVO Acquisire le competenze necessarie ad allestire il processo di Continuità Operativa (Business Continuity) 2.3 OGGETTO Istruzioni operative per lo sviluppo del Progetto Formativo Sviluppo delle procedure per l implementazione della Continuità Assistenziale (Business Continuity) Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 4/71

5 3. DOCUMENTI DI RIFERIMENTO 3.1 Norme in materia di Continuità Operativa Direttiva 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni G.U. 22 marzo 2002, n. 69 Decreto Legislativo 30 giugno 2003 n. 196 Codice in materia di protezione dei dati personali G.U. 29 luglio 2003, n S.O. n. 123 Decreto Legislativo 7 marzo 2005 n. 82 Codice dell amministrazione digitale G.U.16 maggio 2005, n S. O. n. 93 DPCM 31 maggio 2005 Razionalizzazione in merito all'uso delle applicazioni informatiche e servizi ex articolo 1, commi 92, 193 e 194 della legge n. 311 del 2004 (Finanziaria 2005). G.U. 18 giugno 2005 n. 140 DPCM 6 agosto 1997 n. 452 Regolamento recante approvazione del capitolato di cui all'articolo 12, comma 1, del decreto legislativo 12 febbraio 1993, n. 39, relativo alla locazione e all'acquisto di apparecchiature informatiche, nonché alla licenza d'uso dei programmi. G.U. 30 dicembre 1997 n.302 Decreto Legislativo 30 dicembre 2010 n. 235 Modifiche ed integrazioni al Decreto Legislativo 7 marzo 2005 n. 82, recante Codice dell amministrazione digitale, a norma dell art. 33 della legge 18 giugno 2009, n. 69 G.U.10 gennaio 2011, n Standard internazionali principali in materia di Continuità Operativa BS :2006 Code of Practice for BCM (è l evoluzione dello standard PAS56) BS :2007 A Specification for BCM PAS56 Guide to Business Continuity Management superato da Standard BS :2006 NFPA1600 Standard on Disaster/Emergency Management and Business Continuity Programs 2010 Edition SS507 Singapore Standards for Business Continuity / Disaster Recovery (BC/DR)Service Providers BS 7799 Standard di sicurezza informatica ora ritirato e sostituito dagli Standard ISO 27001: 2005 e ISO 27002:2007 Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 5/71

6 UNI CEI ISO/IEC 27001:2006 Information technology Security techniques techniquesinformation security management systems - Requirements UNI CEI ISO/IEC 27002:2007 Information technology Security techniques Code of practice for information security management UNI CEI ISO/IEC 24762:2008 Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services 3.3. Altri Documenti di riferimento in materia di Continuità Operativa CNIPA Linee guida alla continuità operativa nella Pubblica Amministrazione i Quaderni n. 28, giugno 2006; Supplemento al n. 10/2006 del periodico InnovAzione CNIPA La continuità operativa delle Pubbliche Amministrazioni miniguida 10, 2008; Supplemento al n. 1/2008 del periodico InnovAzione DigitPA Continuità operativa - FAQ Digital &Law Departement-Studio Legale Lisi e FORUM PA, Luigi Foglia: Una breve guida alla continuità operativa nella Pubblica Amministrazione 8 marzo 2011 Consorzio ABI Lab Metodologia per la realizzazione del piano di continuità operativa Versione Base settembre 2004 SwissBanking Raccomandazioni per il Business Continuity Management novembre Atti e Documenti Aziendali Deliberazione n.835 del 21 Luglio Piano per la preparazione e la risposta ad emergenze di sanità pubblica della ASL3 Genovese Codice GEN-DIG-MG-SistemaGestione-03 del 3/12/2007 Manuale del Sistema di Gestione Deliberazione 838 del 27/06/ Manuale del Sistema Aziendale di Gestione della risposta alle emergenze di sanità pubblica (SGE) Codice:GEN-ESP-LG Sistema Gestione Emergenze-00:del 30/06/08 - Linee Guida SGE ASL 3 Genovese Codice:GEN-DS-IL-emergenza influenza A/H1N1-00 del 10/7/ Gestione dell emergenza correlata all infezione da nuovo virus influenzale A/H1N1 nell area metropolitana genovese Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 6/71

7 4. DEFINIZIONI E ABBREVIAZIONI 4.1 Sigle BCM BCP BIA RTO RPO PDCA Business Continuity Management Business Continuity Planning Business Impact Analysis Recovery Time Objective Recovery Point Objective Plan-Do-Check-Act. 4.2 Glossario Attività critiche. quelle attività che devono essere svolte per consegnare i prodotti e servizi fondamentali che consentono alle organizzazioni di soddisfare i suoi più sensibili ai tempi o- biettivi Backlog Processing: trattamento a posteriori di lavori non ancora evasi o accumulati a causa di un interruzione dei processi operativi o l adozione di processi alternativi. Business Continuity Management (BCM) processo di gestione della continuità operativa. Il Business Continuity Management è stato definito dal Business Continuity Institute (Bci- Uk) come Un processo gestionale atto a identificare i potenziali impatti che minacciano un organizzazione e ha l obiettivo di predisporre soluzioni in grado di fornire supporto nella costruzione della resilienza e di dare un efficace risposta che salvaguardi gli interessi dei key stakeholder, l immagine e le attività che creano valore per l organizzazione. Business Continuity Planning (BCP) Piano di continuità di business Piano preventivo circostanziato relativo alle misure atte a garantire la continuazione dell attività operativa o la ripresa tempestiva e ordinata dei processi critici in casi di emergenza. Business Continuity Reporting: reportistica sulle attività nell ambito del BCM e specificatamente sullo stato degli interventi per far fronte alle crisi. Business Continuity Strategy Strategia di continuità del business definizione delle procedure generali per rispondere e gestire la situazione di crisi e per mantenere o ripristinare l attività. Business Continuity Testing: verifica sistematica a intervalli periodici dei Business Continuità Planning, in particolare sotto il profilo della loro implementazione, efficacia e attualità. Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 7/71

8 Business Impact Analysis (BIA) Analisi dell impatto sul business Il processo di analisi delle funzioni aziendali e degli effetti che può subire il business al verificarsi di determinati eventi critici. Business Recovery: ripristino di specifici processi e attività operative dopo un interruzione o misure da adottare in seguito a un evento dannoso. Ciclo di Deming (Ciclo PDCA):. Modello studiato per il miglioramento continuo della qualità dei sistemi di gestione, articolato attraverso le fasi della definizione, realizzazione, esercizio, monitoraggio, revisione, manutenzione e miglioramento continuo dei processi Continuità Assistenziale: insieme delle attività organizzative, gestionali e strategiche che governano nell azienda le attività finalizzate a garantire il soddisfacimento delle necessità sanitarie fondamentali Crisi: situazione di emergenza che richiede decisioni critiche, esula dalle normali competenze direttive e decisionali e non può essere gestita con i mezzi ordinari. Disastro una calamità improvvisa e non pianificata che causa gravi danni o perdite. Emergenza: una situazione reale o una minaccia, che possa causare distruzione, danni e/o interruzione delle normali attività operative di una azienda. Gestione della continuità operativa:: comprende tutte le iniziative volte a ridurre a un livello accettabile i danni conseguenti a incidenti e catastrofi che colpiscono direttamente o indirettamente un azienda. La continuità operativa dell Azienda è garantita dall attività delle Strutture volta ad assicurare i processi operativi delle funzioni essenziali della stessa Interoperabilità: capacità di personale, organizzazioni, sistemi diversi al lavoro insieme senza soluzione di continuità Istruzioni Operative: insieme di indicazioni procedurali, finalizzate ad assistere i Referenti per l Emergenza della ASL 3 Genovese e le Strutture aziendali nello sviluppo del Progetto Formativo Minaccia: pericolo incombente Mission Critical: servizi critici o attività di supporto al business (interne o in outsourcing) senza i quali l organizzazione non può raggiungere i propri obiettivi Mitigazione: attività adottate per ridurre gli impatti derivanti dai pericoli Pericolo: proprietà o qualità intrinseca di un determinato fattore avente il potenziale di causare danni Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 8/71

9 Prodotti/Processi/Servizi Critici: prodotti/processi/servizi che, per la rilevanza dei danni conseguenti alla loro indisponibilità, hanno conseguenze dirette sul cliente e pertanto necessitano di alti livelli di continuità operativa da conseguire mediante misure di emergenza da attivare in caso di incidente Ripristino : Restituzione all integrità e funzionalità originarierischio: probabilità di raggiungimento del livello potenziale di danno nelle condizioni di impiego o di esposizione ad un determinato fattore o agente oppure alle loro combinazioni. Risk assessment valutazione del rischio (e, con riferimento ai lavoratori: valutazione globale e documentata di tutti i rischi per la salute e sicurezza dei lavoratori presenti nell'ambito dell'organizzazione in cui essi prestano la propria attività, finalizzata ad individuare le adeguate misure di prevenzione e di protezione e ad elaborare il programma delle misure atte a garantire il miglioramento nel tempo dei livelli d salute e sicurezza) Risorse critiche: risorse di un azienda (personale, edifici, IT/dati, fornitori esterni ecc.) che, in caso di mancanza, comportano l interruzione o la perdita di processi operativi critici RPO (Recovery Point Objective) Periodo di tempo massimo che può intercorrere tra l ultimo salvataggio dei dati di un processo e il verificarsi dell evento che causa l arresto del processo. RTO (Recovery Time Objective) Massima durata tollerata dall interruzione occorsa Massimo periodo di tempo entro il quale il processo deve essere ripristinato ovvero essere riportato nelle condizioni per poter ripartire Ruoli e responsabilità Definisce la categoria delle funzioni organizzative all interno di un organizzazione che hanno lo scopo di specificare le figure operative che pianificano e gestiscono il sistema di protezione evidenziando le responsabilità e le attività di loro competenza Vulnerabilità : debolezze del processo che, qualora minacciate, potrebbero comportare un danno per l Azienda.. La vulnerabilità quindi non compromette di per sé un sistema, ma in concomitanza di un evento indesiderato definito come minaccia potrebbe comportare un danno per l Azienda. Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 9/71

10 5. PREMESSA Molti degli eventi calamitosi accaduti nell ultimo decennio, hanno determinato conseguenze che hanno accresciuta la sensibilità verso questi avvenimenti e hanno anche messo in luce la vulnerabilità delle imprese, dei sistemi e dei lavoratori. Occorre anche ricordare che al di là degli eventi disastrosi ci sono quelli più normali, dai blackout elettrici, agli allagamenti, alle gelificazioni, agli incendi,. che possono causare una perdita dell operatività che richiede un intervento attivo per essere ripristinata Oggi sempre più le aziende e le amministrazioni sono consapevoli che eventi di crisi potrebbero mettere a rischio persino la loro stessa sopravvivenza e che è pertanto necessario prestare significativa attenzione alla continuità operativa e allo sviluppo della capacità di rispondere in modo adeguato a situazioni di disastro le cui conseguenze,. in caso di eventi estremi, possono mettere fuori gioco un azienda o un amministrazione. La continuità operativa, pertanto, dipende dalla capacità di individuare quanto necessario per ripartire in tempi tali da contenere le perdite. L attenzione va quindi posta più su come rimediare alla perdita di operatività, che sulle singole cause di questa perdita Ovviamente non sarà sempre possibile essere preparati per ogni calamità, ma se il principio della organizzazione preventiva è assunto quale presupposto della routine è chiaro che, nel tempo, i meccanismi generali individuati nelle fasi di pianificazione, comprese le procedure di continuità, non potranno che essere assorbite nelle procedure ordinarie, ed evolvere con queste, determinando un più elevato livello di preparazione e di capacità Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 10/71

11 Per raggiungere questo obiettivo è sempre più diffuso da parte delle imprese lo sviluppo di strategie tali da permettere l individuazione di soluzioni volte al mantenimento della continuità operativa a fronte di eventi di crisi, che potrebbero metterne a rischio persino la sopravvivenza, che si concretizzano nella redazione e manutenzione di piani di gestione della continuità ; coerenti con i possibili scenari e il livello di accettazione del rischio La Commissione Europea nel documento Strategy for Generic Preparedness Planning Technical guidance on generic preparedness planning for public health emergencies pubblicato il 1 dicembre 2009, raccomanda il Business Continuity Planning (BCP) per la gestione della crisi. Il Nuovo Regolamento Sanitario Internazionale, approvato dall Assemblea Mondiale della Sanità il 27 maggio 2005 (Risoluzione WHO ) ed entrato in vigore il 15 giugno 2007 prevede che ogni Stato Parte deve sviluppare, mantenere e rafforzare entro il 15 giugno 2012 la capacità di sorveglianza e di risposta pronta ed efficace ai rischi per la sanità pubblica e alle emergenze sanitarie di interesse internazionale Diverse norme sono state emanate nel nostro Paese negli ultimi anni in materia di continuità operativa, prevalentemente indirizzate al settore dell ICT e per la protezione dei dati. La continuità operativa dei servizi della pubblica amministrazione è disciplinata dal Decreto Legislativo 30/12/2010 n. 235 Modifiche ed integrazioni al Decreto Legislativo 7 marzo 2005 n. 82, recante Codice dell amministrazione digitale, che, entrato in vigore il 25 gennaio 2011, stabilisce che entro 15 mesi (25 aprile 2012) le pubbliche amministrazioni predisporranno appositi piani di emergenza idonei ad assicurare, in caso di eventi disastrosi, la continuità delle operazioni indispensabili a fornire servizi e il ritorno alla normale operatività Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 11/71

12 6. BUSINESS CONTINUITY La capacità strategica e tattica di una azienda o di una amministrazione di continuare ad esercitare il proprio business a fronte di eventi inattesi che possono colpirla è definita business continuity. Devono infatti attuarsi le condizioni per essere pronti ad affrontare, in modo efficiente ed efficace, le situazioni di emergenza e quindi pianificare le possibili soluzioni per consentire di aumentare la resilienza e la capacità di risposta, in maniera da salvaguardare gli interessi dei clienti e dei fornitori, le attività produttive, l'immagine, riducendo i rischi e le conseguenze sul piano organizzativo, gestionale, amministrativo, legale. La business continuity, ai fini di un corretto bilanciamento rischi/costi, richiede una complessa attività di analisi degli impatti, conseguenti a eventuali disastri, e di individuazione delle soluzioni che riescono a ridurne le conseguenze a livelli accettabili dall azienda e coerenti con i costi da sostenere e può essere implementata e mantenuta a costi controllati,: purché sia realizzata dopo una rigorosa ed esaustiva attività di pianificazione ed un elevata attenzione, nella fase attuativa, a tutti i principali fattori, in primis, al fattore umano Il processo di gestione che fornisce una base per la pianificazione volta ad assicurare la capacità strategica e tattica a lungo termine dell azienda/amministrazione di continuare ad esercitare l attività del proprio business a fronte di eventi rovinosi inattesi che possono colpirla è chiamata Business Continuity Management (BCM). Il Business Continuity Management è stato definito dal Business Continuity Institute (Bci- Uk) come Un processo gestionale olistico atto a identificare i potenziali impatti che minacciano un organizzazione e ha l obiettivo di predisporre soluzioni in grado di fornire supporto nella costruzione della resilienza e di dare un efficace risposta che salvaguardi gli interessi dei key stakeholder, l immagine e le attività che creano valore per l organizzazione. Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 12/71

13 L attività BCM che deve garantire la continuità o la ripresa tempestiva dell operosità nelle situazioni di crisi, interessa, in linea di massima, tutti i settori produttivi e organizzativi di un azienda/amministrazione; Le soluzioni organizzative e tecnologiche adottate devono essere funzionali alle politiche dell organizzazione, alla mission e all ambito definito di intervento, all identificazione delle minacce e valutazione dell impatto, alla valutazione della vulnerabilità dell organizzazione, dei punti deboli aziendali e del livello accettabile di rischio; Il BCM deve garantire, nel modo migliore possibile, l osservanza delle disposizioni legali, normative, contrattuali e interne anche in caso di crisi. L obiettivo principale del BCM è di consentire a un organizzazione il funzionamento anche in situazioni critiche, grazie all implementazione di: - Strategie mirate di ripristino delle attività della catena del valore; - Piani di gestione delle emergenze; - Piani di continuità operativa coerenti con il processo aziendale di risk management. Per sviluppare un processo di Business Continuity Management in grado di individuare delle soluzioni utili alla gestione dell emergenza e al ripristino dei processi critici, è opportuno seguire un approccio strutturato che preveda una continua revisione dei risultati ottenuti. Standard di riferimento Nel dicembre 2006 la British Standards Institute ha pubblicato un nuovo standard, BS che si applica a tutte le organizzazioni indipendentemente dal tipo, dimensione e settore di appartenenza, private o pubbliche (prima della sua pubblicazione si faceva riferimento prevalentemente ad una guida PAS56 che descriveva i processi, i principi e la terminologia del BCM e allo standard BS7799 che trattava la continuità operativa solo in modo sommario in funzione esclusivamente della gestione della sicurezza informatica). Fonti diverse riportano che entro il 2011 lo Standard BS25999 potrebbe essere sostituito da uno standard internazionale ISO (che verosimilmente manterrà gli elementi base del BS25999, pur essendo più preciso ed esigente) Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 13/71

14 Che cos è BS 25999? E uno standard, sviluppato da British Standards Institute in Gran Bretagna e successivamente recepito in tutto il mondo, che identifica i processi, i principi e la terminologia per la Gestione della Business Continuity (BCM). ovvero per rispondere agli incidenti che minacciano l interruzione delle quotidiane attività di business Lo standard lavora su obiettivi ampi e per questo motivo non è prescrittivo, in modo da essere applicabile a tutte le organizzazioni, siano esse piccole, medie, grandi, locali, nazionali o globali, pubbliche o private. BS si compone di due parti, complementari e integrabili: BS25999 Parte prima BS :2006 Codice di Pratica: pubblicato nel novembre 2006, definisce i processi, i principi e la terminologia per affrontare progetti di business continuity e propone una sintesi metodologica delle migliori pratiche in tema di gestione della continuità operativa (BCM), fornendo una base per comprendere, sviluppare, e attuare la continuità di business all interno di un organizzazione BS25999 Parte seconda BS :2007 Specifica. pubblicata nel novembre 2007, specifica come un organizzazione può implementare, mantenere e migliorare un sistema di gestione della Business Continuity. I requisiti di cui allo standard sono generici e destinati ad essere applicabili a tutte le organizzazioni (o parti di esse), indipendentemente dal tipo, dimensione e natura del business. Il grado di applicazione dei requisiti dipende dell ambiente operativo, dall organizzazione e dalla sua complessità e sarà influenzato da norme e regolamenti, dalle esigenze dei clienti, dai prodotti e servizi, dai procedimenti impiegati e dalle dimensioni e dalla struttura dell organizzazione Per soddisfare i requisiti della norma, pertanto, un'organizzazione deve progettare un BCM che sia adeguato alle sue esigenze e che soddisfi i bisogni dei propri stakeholder. Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 14/71

15 Lo standard BS adotta come modello il ciclo di Deming - PDCA (PLAN-DO- CHECK-ACT),.familiare agli utenti di altri sistemi di gestione quali ISO 9001, ISO ecc. (con i quali BS ha molti parallelismi), e costituisce un indispensabile guida metodologica per il mantenimento ed il continuo miglioramento del livello di prestazione di un attività ed una solida base dei processi di pianificazione. Ciclo di Deming PLAN PIANIFICARE DO REALIZZARE CHECK VERIFICARE. ACT MANTENERE O MI- GLIORARE Le relazioni tra la norma ISO 9001 ed il BS sottolineano la convergenza e la sinergia dei due approcci e la possibilità di utilizzare il sistema di gestione della qualità come struttura di base per soddisfare i requisiti generali del sistema di Business Continuity Management e di Risk Management. In APPENDICE sono riportate: la Tabella 1 e la Tabella 2 che presentano un analisi di dettaglio da cui si evince una sostanziale corrispondenza dei requisiti e delle definizioni tra lo standard BS /2 e la norma ISO 9001 (gli elementi comuni, da cui derivano le potenziali sinergie, comprendono i processi relativi a: gestione di documenti e registrazioni, formazione del personale, verifiche ispettive interne, riesame della direzione, gestione di azioni correttive e preventive e miglioramento continuo). La Tabella 3 che presenta un confronto tra ISO 9001:2000 e ISO 9001:2008 da cui si evince come la nuova norma ISO 9001:2008, con i chiarimenti l introdotti dal concetto di rischio e di conformità ai requisiti del prodotto metta in luce quanta affinità ci sia fra qualità, business continuity e risk management. Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 15/71

16 6.1 Processo complessivo di Business Continuity Management Il processo di Business Continuity Management dà vita un ciclo continuo Business Continuity Life Cycle, che si sviluppa in una successione di fasi concatenate, ed evolve nel tempo recependo i mutamenti di business, organizzativi e tecnologici delle realtà in cui è applicato. La responsabilità è pertanto della Direzione (per la formalizzazione della strategia e il controllo dell ottemperanza) e delle singole Strutture (per la sua realizzazione). Le fasi del processo BCM, rappresentato nella figura che segue, sono Fase 1 - Definizione del programma di realizzazione del BCM Fase 2 - Diagnosi organizzativa e processo decisionale Fase 3 - Determinazione della strategia per il BCM Fase 4 - Sviluppo e implementaziione, mantenimento e riesame Fase 5 Validazione, mantenimento e riesame Fase 6 -Consolidamento del BCM nella cultura aziendale, svolto durante l intero processo Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 16/71

17 Il processo di Business Continuty Management BCM (Fonte: BS ) Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 17/71

18 Le macrofasi del BCM Per sviluppare un processo di Business Continuity Management in grado di individuare delle soluzioni utili alla gestione dell emergenza e al ripristino dei processi critici, è opportuno, come già detto, seguire un approccio strutturato che preveda una continua revisione dei risultati ottenuti e le cui macrofasi sono presentate nel seguito: 0. Pre-project planning Finalizzato a individuare gli ambiti d intervento e le modalità di gestione del processo Si raccolgono le informazioni preliminari per consolidare il piano operativo del progetto. 1. Business Impact Analysis Si analizzano in dettaglio i processi aziendali, il tempo di fermo accettabile (RTO), le risorse necessarie per il loro funzionamento. 2. Design - Business Continuity Strategy Si identificano le soluzioni alternative di continuità operativa e si imposta il piano per implementarle. 3. Implementation - Business Continuity Planning Si definisce la catena di comando (ruoli e responsabilità) in caso di disastro e si definiscono le procedure operative per la ripresa dei processi vitali. 4. Testing Si verificano le soluzioni implementate 5. Maintaining Si mantengono e migliorano le soluzioni implementate Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 18/71

19 I principali risultati attesi del processo di BCM sono: definizione delle risorse incaricate della gestione del BCM; documento della strategia di continuità operativa destinato alla Direzione Aziendale per l assenso piano degli interventi progettuali; piano di continuità operativa (Business Continuity Plan); risultati delle verifiche periodiche. La figura che segue presenta le macrofasi del processo di Business Continuity Management ANALISI PRELIMINARE DEFINIZIONE SOLUZIONE VERIFICA E UTILIZZO Pre-project planning Business Impact Design Implementation Maintenance Testing Analysis Improvement Definizione del perimetro di ntervento Impostazione e attivazione progetto Individuazione aree critiche prioritarie da ottoporre ad analisi Individuazione e valutazione processi critici per la opravvivenza del business Valutazione mpatti scenari di crisi Individuazione strategie alternative di continuità Definizione strategia di BC di riferimento Impostazione piano di implementazione Sviluppo/ redazione del Business Continuity Plan Identificazione e predisposizione infrastrutture e tecnologie Collaudo Preparazione del personale Realizzazione delle misure di trattamento e trasferimento dei rischi Monitoraggio delle soluzioni implementate Miglioramento delle misure implementate BUSINESS CONTINUITI PLANNING GESTIONE Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 19/71

20 7. ASL 3 GENOVESE: MISSIONE E STRATEGIE E obiettivo dell ASL 3 Genovese assicurare adeguati livelli di assistenza sanitaria, sulla base della normativa nazionale e regionale, attraverso la programmazione, la gestione e l erogazione di prestazioni di prevenzione, cura e riabilitazione rese in maniera appropriata, con la tempestività necessaria e secondo adeguati criteri di qualità. Negli ultimi anni il settore sanitario ha subito profonde modificazioni diventando sempre più vasto, eterogeneo e competitivo e nello stesso interagiscono molteplici fattori, compositi e dinamici, tra i quali, la varietà delle prestazioni, la pluralità delle professioni, l esteso utilizzo di tecnologie, la varietà dei processi e dei risultati da conseguire, che devono coordinarsi e integrarsi per corrispondere ai bisogni di salute. I molteplici fattori, (strutturali tecnologici; organizzativo gestionali; fattori umani, individuali e del team; condizioni di lavoro; caratteristiche dell utenza; fattori esterni). concorrono a definire il grado di rischio del sistema sanitario. Per soddisfare le aspettative del cliente, è stato quindi necessario integrare l organizzazione con discipline e attività complesse, quali il controllo di gestione, la gestione del rischio clinico, la gestione delle risorse umane ecc. con l obiettivo di garantire il miglioramento continuo in ogni processo che caratterizza l attività dell Azienda. L Azienda infatti, in rispetto a quanto stabilito dal DPR 14 gennaio 1997, ha sviluppato, quale requisito organizzativo minimo per l esercizio dell attività sanitaria, le attività di gestione, valutazione e miglioramento della qualità. Nel 2004 ha quindi dato vita ad un Sistema di Gestione della Qualità come strumento organizzativo capace di includere progressivamente nella propria struttura i requisiti di tutte le norme di sistema (qualità, ambiente, sicurezza e salute, sicurezza delle informazioni, sostenibilità sociale) e naturalmente i vincoli provenienti da tutte le leggi e direttive applicabili. Azienda ASL 3 Codice GEN-DS-IL- continuità-00 Rev. 0.0 Data 15/3//2011 pag. 20/71