I criteri di valutazione/certificazione. Common Criteria e ITSEC

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "I criteri di valutazione/certificazione. Common Criteria e ITSEC"

Transcript

1 Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò a sentire l esigenza di sviluppare criteri di valutazione della sicurezza che, partendo dai vecchi criteri nazionali esistenti, mirassero alla loro armonizzazione. Il risultato di questa iniziativa fu la nascita dei Criteri ITSEC, pubblicati per la prima volta nel maggio del 1990, a cui fece seguito nel 1999 la pubblicazione dei Common Criteria (ISO/IEC 15408). I criteri ITSEC/Common Criteria trattano il tema della sicurezza, per sistemi e prodotti informatici, nelle loro tre componenti fondamentali: Funzionalità (ciò che il sistema deve fare per la sicurezza) Efficacia (in che misura le contromisure contrastano le minacce) Correttezza (come le contromisure sono state implementate) Ogni valutazione offre così la garanzia che le funzioni di sicurezza dell oggetto valutato sono progettate ed implementate correttamente ed efficacemente, in modo tale da soddisfare gli obiettivi di sicurezza e non presentare vulnerabilità sfruttabili. Tale garanzia è definita su diversi livelli di garanzia che rappresentano una fiducia crescente nelle capacità del sistema o del prodotto di soddisfare i suoi obiettivi di sicurezza. La funzionalità suddetta è definita, da chi richiede la valutazione, in un documento formale definito Traguardo di Sicurezza ( Security Target ), che nel caso di valutazioni Common Criteria può essere derivato da un Profilo di Protezione ( Protection Profile ) di riferimento. Tale documento fornisce il legame tra tutti gli aspetti di sicurezza (organizzativi, fisici, tecnico-informatici, procedurali, etc.), comprendendo l esplicitazione non ambigua degli obiettivi da raggiungere, delle minacce, della politica di sicurezza, delle funzioni che implementano la sicurezza e del livello di garanzia richiesto. Sulla base del Traguardo di Sicurezza e della documentazione di progetto necessaria (che dipende dal livello di garanzia richiesto), l attività di valutazione comprende analisi di correttezza e di efficacia che considerano aspetti relativi allo sviluppo e all esercizio dell ODV. La valutazione dell efficacia è completata con prove di intrusione volte a dimostrare la non sfruttabilità delle vulnerabilità residue del sistema/prodotto. In Italia le certificazioni rilasciate dall'ocsi sono riconosciute a livello internazionale. I servizi offerti Valutazioni Formali Servizio dedicato alle organizzazioni che forniscono prodotti e sistemi con la necessità di offrire un adeguato livello di sicurezza ICT. Gli scopi di una valutazione di un prodotto/sistema sono molteplici. Per l'utenza finale, la valutazione consente di avere una base per confrontare le prestazioni, in materia di sicurezza, dei vari prodotti IT. Per il fornitore/sviluppatore, la valutazione stabilisce la volontà di dimostrare che le prestazioni di sicurezza dichiarate sono effettive, in quanto verificate in modo obiettivo e riproducibile, da una terza parte. Assistenza al cliente IMQ/LPS è in grado di supportare le organizzazioni interessate all ottenimento di una certificazione di sicurezza ICT negli schemi nazionali fin dal

2 : VALUTAZIONE FORMALE AI FINI DELLA CERTIFICAZIONE DELLA SICUREZZA DI SISTEMI O PRODOTTI IT momento in cui la certificazione è solo un ipotesi arrivando a coprire tutte le fasi operative di un processo di certificazione, denominate Preparazione, Conduzione e Chiusura e le attività necessarie al mantenimento nel tempo del certificato ottenuto. I servizi forniti sono: supporto alla definizione di cosa certificare (l Oggetto della Valutazione/Certificazione - ODV) tenendo conto dell esigenza di minimizzare tempi e costi; conduzione di un analisi di fattibilità mirata stimare la valutabilità/certificabilità di un sistema/prodotto ICT ad un livello di garanzia stabilito; formalizzazione dei requisiti di sicurezza in un Profilo di Protezione, documento che descrive in modo indipendente dalla tecnologia (technology neutral) i requisiti di sicurezza di una categoria di prodotti informatici che soddisfano particolari esigenze dei potenziali consumatori (ad esempio: firewall, database, dispositivi sicuri per la firma digitale ai sensi della direttiva europea ). Si rammenta che i Protection Profile certificati Common Criteria possono anche essere usati nella definizione dei criteri di selezione di fornitori di prodotti ICT o per la stesura di capitolati tecnici di gara; supporto alla produzione della documentazione richiesta per avviare il processo di certificazione, ovvero del Traguardo di Sicurezza e del Piano di Valutazione dell ODV per lo schema di certificazione nazionale di riferimento; supporto alla produzione della documentazione richiesta al Fornitore nel corso della valutazione/certificazione, ovvero di documenti di correttezza (come il sistema è stato implementato) e di efficacia (in che misura le contromisure contrastano le minacce); supporto alla gestione e al mantenimento della certificazione. Benefici per il cliente La certificazione secondo criteri standard internazionalmente riconosciuti fornisce un unità di misura per la sicurezza informatica presentando una serie di vantaggi, tra i quali: aumento del prestigio dell azienda e riconoscimento a livello internazionale del risultato della valutazione/certificazione; attribuzione di un significato noto e non ambiguo al risultato della valutazione/certificazione; agevolazione del confronto tra il livello di sicurezza di sistemi e prodotti diversi; maggior appeal del prodotto rispetto a prodotti con caratteristiche di sicurezza equivalenti, ma non certificati; riuso della certificazione in caso di integrazione dell ODV in un diverso sistema/prodotto ICT di cui è richiesta la certificazione; possibilità di fornire evidenze oggettive nei contesti contrattuali o legislativi in cui sono richieste. Mod. 476A/1 2010/ Med.

3 Assistenza tecnica e normativa IMQ possiede le competenze necessarie per poter comprendere le esigenze delle direzioni di business e risolverne i problemi di sicurezza e aiutare le aziende interessate ad approfondire i temi e i principali standard di riferimento nel settore della sicurezza ICT o che necessitano di un supporto specialistico nell identificare la migliore soluzione possibile per innalzare il livello di sicurezza dell organizzazione assicurando la migliore coniugazione tra esperienza e competenze per consentire alle aziende di allineare le esigenze di sicurezza ICT con gli obiettivi del business. Esempi di servizi offerti Supporto nelle attività di ICT Risk Assessment & Management; Supporto alla redazione del Documento Programmatico per la Sicurezza (DPS); Supporto alla redazione della Business Impact Analysis; Analisi delle necessità o di eventuali criticità di sicurezza di un Sistema o di una rete IT utile in particolare per le aziende che si accingono a quantificare gli investimenti necessari per ottenere un adeguato livello di protezione; Definizione e formalizzazione dei requisiti di sicurezza all interno di capitolati tecnici per la selezione di fornitori di sistemi IT; Incontri finalizzati ad approfondire i contenuti delle principali norme e standard di riferimento sulla sicurezza ICT (ISO/IEC 27001/27002, BS 25999, ISO/IEC 2000,..) o ad innalzare il livello di consapevolezza del personale preposto alla gestione di informazioni la cui sicurezza è critica per il business dell azienda. Mod. 476B/1 2010/ Med.

4 Audit Dopo anni di esperienza maturata nella valutazione formale della sicurezza dei sistemi informatici utilizzati sia in ambito commerciale che in ambito militare/governativo, IMQ è in grado di fornire un offerta personalizzabile secondo le esigenze del cliente: un servizio vantaggioso sia per coloro che necessitano di verificare i vari aspetti che concorrono alla sicurezza delle informazioni critiche per il business dell organizzazione, sia per le aziende che si accingono a quantificare gli investimenti necessari a gestire in sicurezza le informazioni critiche per il proprio business. I servizi offerti Con metodologia derivata dalle migliori best practice applicabili IMQ effettua, con un approccio modulare che risponde alle effettive esigenze del cliente, audit relativi ai seguenti aspetti: Sicurezza fisica delle sedi dell organizzazione cliente (misure di protezione del perimetro fisico, servizi di vigilanza e monitoraggio); Sicurezza dell infrastruttura di supporto all erogazione dei servizi ICT (connettività, energia, impianti, etc.); Sicurezza organizzativa (ruoli e responsabilità, formazione, policy e procedure di sicurezza ICT, procedure di segnalazione e gestione di incidenti informatici, etc.); Sicurezza logica e di rete (gestione e configurazione di firewall, Router, Access Point, copertura delle principali vulnerabilità tecniche dei sistemi IT, etc. ); Rispetto delle cogenze applicabili nella gestione dei dati e dei sistemi ICT (Privacy e sicurezza dei dati, copyright, log retention, fatturazione elettronica e conservazione elettronica sostitutiva etc.); Continuità operativa dei processi che supportano il business del cliente e checkup dell infrastruttura tecnologica; Verifiche di seconda parte sugli outsourcer di servizi ICT; Verifiche di prima o di seconda pare sul rispetto di Politiche di Sicurezza emanate da una capogruppo o di Capitolati tecnici di gara. Le attività di audit possono avere carattere periodico per rispondere alla necessità del cliente di garantire nel tempo il livello di sicurezza ICT desiderato, assicurando l adeguata copertura dei rischi informatici in uno scenario tecnologico in continua evoluzione. Benefici per il cliente Un organizzazione che si affida ad un ente terzo, quale IMQ, per la conduzione di un audit di sicurezza può gestire in maniera oculata gli investimenti per la sicurezza ICT indirizzandoli solo dove serve ovvero dove si evidenzia la maggiore esposizione a rischi informatici. Inoltre l organizzazione può utilizzare i risultati dell audit per ridurre i costi della non sicurezza dovuti a: danni economici diretti a seguito di perdita o indisponibilità dei dati critici gestiti; danni economici indiretti a causa della perdita di immagine verso i propri clienti; danni economici indiretti a seguito di eventuali problemi legali/contrattuali. Mod. 476C/2 2010/ Med.

5 Attestazioni di conformità In tutti i casi in cui una certificazione di terza parte rispetto ad uno standard non è possibile, IMQ può supportare le aziende per dare valore aggiunto al proprio sistema/prodotto/servizio ICT (Oggetto di Valutazione, nel seguito ODV) mediante un percorso finalizzato al rilascio di un attestazione di conformità: rispetto ad un insieme di requisiti di sicurezza informatica, definiti tenendo conto di tutti gli eventuali obblighi contrattuali e legislativi applicabili all organizzazione richiedente l attestazione e da essa condivisi e validati e a fronte di un attività di verifica secondo una metodologia predisposta ad hoc e definita nel rispetto di logiche di efficienza ed efficacia e tenendo conto di tutti gli standard di riferimento applicabili. Tale metodologia viene preliminarmente condivisa con l organizzazione richiedente l attestazione e da essa approvata e, in taluni contesti, può essere appropriato coinvolgere in questa fase anche altri soggetti che possono considerarsi parti interessate nella valutazione dell ODV. Il servizio offerto Tipicamente le fasi in cui è strutturata un attività di attestazione di conformità sono: analisi delle necessità di sicurezza che l ODV intende soddisfare. In genere infatti non è sempre subito chiaro, parlando di sicurezza delle informazioni, se si desidera attestare la capacità di un ODV di garantire l integrità e/o la confidenzialità e/o la disponibilità dei dati critici gestiti (memorizzati o trasmessi) o del servizio offerto; formalizzazione e approvazione dell insieme dei requisiti di sicurezza che devono essere garantiti dall ODV; formalizzazione della metodologia di conduzione dell audit da parte del laboratorio di valutazione e sua approvazione da parte dell azienda richiedente l attestazione; definizione della checklist di riferimento per la conduzione dell attività di audit; conduzione dell audit, sia sulla base di interviste, sia sulla base di verifiche in campo del corretto funzionamento e della corretta configurazione del sistema/prodotto/servizio ICT oggetto di analisi; redazione del report di audit, in cui è riportato in dettaglio l insieme delle evidenze raccolte durante l audit; rilascio dell attestazione di conformità dell ODV ai requisiti di sicurezza inizialmente formalizzati. Benefici per il cliente Un attestazione di conformità ha una duplice valenza: dal punto di vista di un fornitore essa può servire a valorizzare sul mercato un proprio sistema/prodotto/servizio ICT, mentre, dal punto di vista di un possibile committente, può essere di ausilio alla definizione accurata dei criteri per la selezione dei propri fornitori. Esempi di attestazioni di conformità rilasciate in ambiti specifici Attestazione di conformità Q&S_CS del livello di qualità e sicurezza nella conservazione elettronica sostitutiva Attestazione di conformità alle norme CEI 79-5/1/2/3 dei protocolli di comunicazione per il trasferimento di informazioni di sicurezza (allarmi) tra una Centrale d Allarme (CA) e un Centro di Supervisione e Controllo (CSC) Attestazioni di conformità di un sistema di Business Continuity e Disaster Recovery ai requisiti derivati da una Business Impact Analysis (BIA) Attestazioni di conformità in ambito Privacy Mod. 476D/2 2010/ Med.

6 Gap Analysis Alle organizzazioni interessate ad avere una stima di quanto i propri processi aziendali distano da uno specifico standard di riferimento per i Sistemi di Gestione nel mondo dell IT, IMQ offre un servizio di Gap Analysis condotto mediante interviste mirate, analisi della documentazione in uso e sopralluogo nella sede del cliente. Tale servizio, propedeutico all implementazione di un Sistema di Gestione certificabile e di estremo valore riconosciuto nelle valutazioni eseguite dai team degli organismi di Certificazione incaricati, è mirato alla produzione di un report tecnico che può costituire il punto di riferimento per monitorare, con uno o più interventi di Checkup ad hoc, su richiesta del cliente, lo stato di avanzamento delle attività intraprese per colmare il Gap evidenziato. I servizi offerti Gap analysis rispetto alla norma ISO/IEC Servizio dedicato alle organizzazioni sensibili al tema della sicurezza delle informazioni. La sicurezza delle informazioni è un concetto che supera il puro fatto tecnologico, la sicurezza è un processo che si rivolge alle persone componenti l'organizzazione ed alle modalità in cui le persone utilizzano la tecnologia a loro disposizione. La norma ISO/IEC è lo standard per la gestione della sicurezza delle informazioni che mira a preservare l'informazione, in qualsiasi forma essa sia presente nell'organizzazione, in termini di confidenzialità, integrità e disponibilità. Queste, che sono le tre componenti fondamentali della sicurezza dell'informazione, sono anche le componenti fondamentali da cui dipendono la competitività dell'azienda, i suoi profitti, il suo rispetto di obblighi legislativi e in definitiva la sua immagine commerciale. Gap Analysis rispetto alla norma BS Servizio dedicato alle organizzazioni sensibili al tema della continuità operativa. La Norma BS è la prima norma al mondo sulla gestione della continuità operativa, oggi un requisito fondamentale per qualsiasi organizzazione che opera in realtà economiche nazionali ed internazionali. La continuità nell erogazione di servizi o nella consegna di prodotti costituiscono un bene con associato un valore economico e pertanto devono essere adeguatamente protette da un'ampia gamma di minacce al fine di garantire il regolare svolgimento delle attività aziendali, minimizzare i danni all'azienda (economici e/o d'immagine) e massimizzare i ritorni degli investimenti. Per garantire tale continuità operativa è necessario mettere in atto un opportuno insieme di misure, quali politiche, prassi operative, procedure e strutture organizzative, che consentano all azienda il soddisfacimento dei propri obiettivi di continuità operativa. Gap Analysis rispetto alla norma ISO/IEC Il servizio è dedicato ai fornitori di servizi IT sensibili al tema IT Service management. La norma ISO/IEC è il riferimento a livello mondiale per le organizzazioni, IT Service Provider, che intendono dare evidenza della corretta impostazione, gestione ed erogazione di servizi IT, che possono essere erogati all interno della propria organizzazione, o esternamente verso clienti di qualunque settore merceologico, pubblico o privato. La norma è completata dalla ISO/IEC , una guida di approfondimento di ausilio alle organizzazioni nell implementazione di un Sistema di Gestione dei Servizi IT efficace ed efficiente. Affinché un organizzazione sia certificabile secondo la ISO/IEC devono inoltre essere rispettati alcuni requisiti che hanno carattere obbligatorio ai sensi della ISO/IEC , in particolare: eleggibilità della certificazione ISO/IEC per il Service Provider eleggibilità dei processi che il Service Provider intende far rientrare nello scopo della certificazione della ISO/IEC Mod. 476E/0 2010/ Med.

7 Q&S_CS - valutazione e attestazione di conformità del sistema di conservazione elettronica sostitutiva La conservazione elettronica sostitutiva dei documenti, prerequisito anche per la fatturazione elettronica, è regolamentata da una complessa normativa che impone alle organizzazioni un insieme di misure organizzative, procedurali, fisiche e tecniche atte a garantire la corretta esecuzione delle attività di conservazione e l integrità nel tempo dei documenti conservati. Il servizio offerto Q&S_CS, ovvero Qualità e Sicurezza nella Conservazione Sostitutiva, è il nome dello schema di valutazione e attestazione di IMQ per valorizzare l impegno operato dall organizzazione richiedente per attuare il sistema di conservazione sostitutiva o fatturazione elettronica ed avere evidenza che siano state adottate misure e accorgimenti allo stato dell arte esempio architettura di sicurezza della rete,...); e su un attività di audit in campo, per la ricerca di evidenze di conformità rispetto ai requisiti relativi a: Presenza della documentazione richiesta (nomine, deleghe, attestazioni, procedure, etc); Funzionalità del sistema IT utilizzato; Misure di sicurezza (IT, fisica, procedurale, organizzativa); Corretta applicazione delle procedure documentate; Validità delle firme digitali, dei certificati e delle marche temporali; Verifica della corrispondenza tra le impronte contenute nelle evidenze informatiche e le impronte direttamente ottenibili a partire dai documenti informatici cui si riferiscono; Adempimenti fiscali (comunicazione del luogo di conservazione, pagamento bolli, integrazione fatture, etc.). L attestazione Q&S_CS si basa su una specifica sviluppata da IMQ a partire dalle cogenze applicabili e da best practice derivate dagli standard internazionali di riferimento per quanto riguarda Qualità (ISO 9001) e Sicurezza delle informazioni (ISO/IEC 27001). Lo schema si basa su un attività di analisi documentale che prevede la valutazione dei seguenti aspetti: Analisi del Manuale della Conservazione Sostitutiva; Analisi del DPS, ove applicabile; Analisi delle procedure operative e di sicurezza richieste dalla normativa; Analisi della modulistica per la raccolta/selezione/analisi dei dati relativi alla gestione del processo di conservazione sostitutiva; Analisi di eventuale ulteriore documentazione di supporto consegnata (ad Il processo di conservazione sostitutiva adottato sia esso implementato in-house oppure tutto o in parte in outsourcing sarà riesaminato periodicamente e rivalutato ogni tre anni. A chi è rivolto Alle aziende private e pubbliche che effettuano la Conservazione Sostitutiva dei documenti informatici o cartacei o la Fatturazione Elettronica e che vogliono avere l evidenza di implementare il processo senza trascurare importanti aspetti di sicurezza ICT, normativi e fiscali. Agli outsourcer di Servizi di Conservazione Sostitutiva o di Fatturazione elettronica che vogliono dare ulteriore valore aggiunto alla certificazione secondo la ISO/IEC

8 : Q&S_CS - VALUTAZIONE E ATTESTAZIONE DI CONFORMITÀ DEL SISTEMA DI CONSERVAZIONE ELETTRONICA SOSTITUTIVA del proprio sistema di gestione per la sicurezza delle informazioni (SGSI) e comunicare chiaramente ai propri clienti che nell attuazione del sistema di conservazione sostitutiva o fatturazione elettronica sono adottate misure e accorgimenti allo stato dell arte, al cui adeguatezza è monitorata nel tempo. Gli obiettivi Il servizio di attestazione della Qualità e Sicurezza nella conservazione Sostitutiva sviluppato da IMQ permette alle organizzazioni clienti di ottenere l attestazione di una terza parte indipendente che il processo di conservazione elettronica sostitutiva da loro implementato: soddisfa i requisiti di qualità e sicurezza definiti da IMQ sulla base delle cogenze applicabili; è coerente con best practice di qualità e sicurezza derivate dalle norme internazionali applicabili: (ISO 9001, ISO/IEC 27001). migliorare i propri processi, ovviando ad eventuali lacune individuate, dall altra fornisce evidenza dell impegno operato per adempiere alla complessa normativa e di aver adottato le misure e gli accorgimenti allo stato dell arte. L organizzazione richiedente ottiene inoltre: Garanzia che, con l ausilio delle visite di sorveglianza previste, il processo di conservazione sostitutiva sia mantenuto allineato con la prevedibile evoluzione normativa. Supporto tecnico-specialistico nell effettuazione di audit di seconda parte presso l eventuale outsourcer di conservazione sostitutiva, qualora previsto contrattualmente, come auspicabile e suggerito anche dallo standard di riferimento per la gestione della sicurezza delle informazioni ISO/IEC I vantaggi per i clienti Con l attestazione Q&S_CS, l organizzazione richiedente ottiene il giudizio di una terza parte indipendente sul proprio processo di Conservazione Sostitutiva per quanto concerne aspetti organizzativi, procedurali, di sicurezza ICT e di natura fiscale/tributaria, in particolare sull assenza di gravi inadempienze rispetto a quanto previsto dalla normativa. Tale giudizio, formulato mediante una serie di osservazioni e raccomandazioni, da un lato permette all organizzazione di Mod. 476g/0 2010/ Med.

9 Privacy Il Codice Privacy (D.LGS 196/2003) richiede di ridurre al minimo i rischi di distruzione, perdita o accesso non autorizzato dei dati personali oggetto di trattamento, in relazione al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, mediante l'adozione di idonee e preventive misure di sicurezza. L allegato B al Codice individua puntualmente alcune misure di sicurezza (tecniche, informatiche, organizzative, logistiche e procedurali) che delineano il livello minimo di protezione dei dati che è obbligatorio garantire in caso di trattamento dei dati mediante strumenti elettronici. Tra le misure minime è contemplato l obbligo per chi tratta dati sensibili o giudiziari mediante strumenti elettronici di predisporre e rivedere annualmente il Documento programmatico per la Sicurezza (DPS). Chiunque ometta di adottare le misure minime previste è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro. I servizi offerti IMQ può aiutare le aziende interessate ad avere una ragionevole fiducia che i propri sistemi ICT implementino non solo tutte le misure di sicurezza tecniche minime previste dalla normativa sulla privacy ma che tali misure siano anche adeguate, e quindi allo stato dell arte, e supportate da misure organizzative e procedurali che tengano conto dei provvedimenti emanati dal Garante per la Protezione dei dati personali, offrendo i seguenti servizi: Analisi dei Rischi IMQ può supportare un organizzazione nella conduzione dell analisi dei rischi, contenuto obbligatorio del DPS, e nella selezione e implementazione dell insieme di contromisure idonee che consentono un efficace riduzione dei rischi identificati in relazione al progresso tecnologico. Supporto alla redazione della documentazione richiesta Supporto alla redazione della documentazione richiesta dalla normativa, come ad es., DPS, nomine formali, etc. Audit di Sicurezza sulla Privacy, con eventuale attestazione di conformità Effettuazione di audit di sicurezza su un sistema informativo volto a garantire il rispetto di un insieme di requisiti derivati dall allegato B al D.LGS 196/2003 e dai principali provvedimenti del Garante. In caso di esito positivo dell audit potrà essere rilasciato un attestato di conformità comprovante il rispetto dei requisiti verificati. Audit di seconda parte sugli outsourcer Supporto tecnico-specialistico per l effettuazione di audit di seconda parte presso un eventuale outsourcer a cui sia affidata la gestione di dati personali/sensibili, qualora previsto contrattualmente, come auspicabile e consigliato dagli standard di riferimento per i sistemi di gestione per la sicurezza delle informazioni ISO/IEC e ISO/IEC Assistenza normativa Incontri mirati a chiarire e ad approfondire specifici temi inerenti la normativa relativa alla privacy e protezione dei dati o ad innalzare il livello di consapevolezza dei dipendenti di organizzazioni preposti al trattamento di dati sensibili o giudiziari. Mod. 476F/1 2010/ Med.

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ per le aziende con esigenze di valutazione/ certificazione

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6

IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6 IMQ Funzione Sistemi di Gestione Area Security ICT Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6 1/11 Funzione Sistemi di Gestione - Area Security ICT Settori di competenza dell

Dettagli

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2 Garantire la continuità operativa in caso di interruzioni, siano esse dovute a incidenti gravi o inconvenienti minori, rappresenta oggi un requisito fondamentale per qualsiasi organizzazione che opera

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011 Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo 14 Aprile 2011 LA COMPLIANCE : DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO 1. Il tema della

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

TAURUS INFORMATICA S.R.L. Area Consulenza

TAURUS INFORMATICA S.R.L. Area Consulenza TAURUS INFORMATICA S.R.L. Area Consulenza LA CONSULENZA Consulenza per Taurus è conciliare le esigenze di adeguamento normativo con l organizzazione dei processi aziendali, per aiutare i propri clienti

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M.

S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M. S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M. I C o n s u l e n z a S e t t o r e I T - C o n s u l e n z a

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Allegato 13. Nomina Amministratore di Sistema

Allegato 13. Nomina Amministratore di Sistema Allegato 13 Nomina Amministratore di Sistema Il presente documento rappresenta un contratto che la struttura Titolare del Trattamento stipula con un soggetto esterno (nominato Amministratore di Sistema)

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

IL KIT DELL ORGANISMO DI VIGILANZA PER LA SICUREZZA SUL LAVORO

IL KIT DELL ORGANISMO DI VIGILANZA PER LA SICUREZZA SUL LAVORO I PRODOTTI DI Modelli per la valutazione dei rischi, Kit, Linee guida, Il Kit dell Organismo di Vigilanza per la sicurezza sul lavoro (cod. 300.46) DIMOSTRATIVO IL KIT DELL ORGANISMO DI VIGILANZA PER LA

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza.

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza. Conservazione Sostitutiva Verso l amministrazione digitale, in tutta sicurezza. Paperless office Recenti ricerche hanno stimato che ogni euro investito nella migrazione di sistemi tradizionali verso tecnologie

Dettagli

Allegato 2: Prospetto informativo generale

Allegato 2: Prospetto informativo generale Gara a procedura ristretta accelerata per l affidamento, mediante l utilizzo dell Accordo Quadro di cui all art. 59 del D.Lgs. n. 163/2006, di Servizi di Supporto in ambito ICT a InnovaPuglia S.p.A. Allegato

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

23 - INDICE DELLA MATERIA ARCHIVI E GESTIONE INFORMATIZZATA DEI DOCUMENTI

23 - INDICE DELLA MATERIA ARCHIVI E GESTIONE INFORMATIZZATA DEI DOCUMENTI 23 - INDICE DELLA MATERIA ARCHIVI E GESTIONE INFORMATIZZATA DEI DOCUMENTI E248 Il sistema di protocollo informatico nella gestione degli archivi delle P.A.... pag. 2 E344 Le regole tecniche in materia

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 Tel: 0287186784 Fax: 0287161185 info@conformisinfinance.it pec@pec.conformisinfinance.it www.conformisinfinance.it Obiettivi

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

Esternalizzazione della Funzione Compliance

Esternalizzazione della Funzione Compliance Esternalizzazione della Funzione Compliance Supporto professionale agli intermediari oggetto della normativa di Banca d Italia in materia di rischio di non conformità Maggio 2012 Labet S.r.l. Confidenziale

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

23.12.2014 ORDINE DI SERVIZIO n. 38/14 TUTELA AZIENDALE

23.12.2014 ORDINE DI SERVIZIO n. 38/14 TUTELA AZIENDALE TUTELA AZIENDALE Con riferimento all Ordine di Servizio n 26 del 19.11.2014, si provvede a definire l articolazione della funzione TUTELA AZIENDALE e ad attribuire e/o confermare le seguenti responsabilità:

Dettagli

Via Frà Bartolomeo da Pisa, 1 20144 Milano Tel 02 36 53 29 74 Fax 02 700 59 920 www.carmaconsulting.net www.marcaturace.eu

Via Frà Bartolomeo da Pisa, 1 20144 Milano Tel 02 36 53 29 74 Fax 02 700 59 920 www.carmaconsulting.net www.marcaturace.eu Via Frà Bartolomeo da Pisa, 1 20144 Milano Tel 02 36 53 29 74 Fax 02 700 59 920 www.carmaconsulting.net www.marcaturace.eu CHI SIAMO Carmaconsulting nasce dall intuizione dei soci fondatori di offrire

Dettagli

Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi.

Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi. Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi. BSI vi aiuta a gestire i rischi e ad accrescere il benessere aziendale.

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

Allegato alla Deliberazione n. 256 del 11.10.2013

Allegato alla Deliberazione n. 256 del 11.10.2013 Regolamento dell iter aziendale relativo agli studi osservazionali, alle sperimentazioni cliniche, alle iniziative di ricerca assimilabili, istituzione del Clinical Trial Center (C.T.C.) ed individuazione

Dettagli

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE

PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE PROGETTI DI SERVIZIO CIVILE UNIVERSALE PROVINCIALE Titolo progetto: Ente: ALDEBRA SPA Indirizzo: VIA LINZ, 13 38121 TRENTO Recapito telefonico: 0461/302400 Indirizzo e-mail: info@aldebra.com Indirizzo

Dettagli

CURRICULUM DELLA SOCIETÀ

CURRICULUM DELLA SOCIETÀ CURRICULUM DELLA SOCIETÀ SOMMARIO SOMMARIO... 1 LA SOCIETÀ... 2 I DATI AMMINISTRATIVI... 3 L'ORGANIGRAMMA... 4 I NOSTRI SERVIZI... 5 ACCADIMENTI SOCIETARI... 11 LA SOCIETÀ Framinia S.r.l. è una società

Dettagli

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

E. Struttura e organizzazione del sistema

E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E.1 Sistema di gestione L azienda dovrebbe strutturare il SGSL seguendo i contenuti espressi nel presente documento,

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12. Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA

Dettagli

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura

1. Conoscenza dei dati trattati. 2. Conoscenza degli strumenti utilizzati. 3. Conoscenza del proprio ruolo all interno della struttura Corso 196/03 per i Responsabili e gli Incaricati del Trattamento Dati Percorso Formativo per l Incaricato del Trattamento Dati: Pre-requisiti: 1. Conoscenza dei dati trattati 2. Conoscenza degli strumenti

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

Istituto Nazionale di Previdenza per i Dipendenti dell Amministrazione Pubblica

Istituto Nazionale di Previdenza per i Dipendenti dell Amministrazione Pubblica Istituto Nazionale di Previdenza per i Dipendenti dell Amministrazione Pubblica CAPITOLATO TECNICO PER UN SERVIZIO DI MANUTENZIONE, GESTIONE ED EVOLUZIONE DELLA COMPONENTE AUTOGOVERNO DEL SISTEMA INFORMATIVO

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro. SCHEDA DEL CORSO Titolo: La gestione elettronica e la dematerializzazione dei documenti. Il Responsabile della La normativa, l operatività nelle aziende e negli studi professionali. Come sfruttare queste

Dettagli

Modello dei controlli di secondo e terzo livello

Modello dei controlli di secondo e terzo livello Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI

Dettagli

Fase di offerta. Realizzazione del progetto

Fase di offerta. Realizzazione del progetto Linee guida per un buon progetto Commissione dell informazione e dei Sistemi di Automazione Civili e Industriali CONTENUTI A) Studio di fattibilità B) Progetto di massima della soluzione C) Definizione

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro

Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro In vigore dal 01/04/2012 RINA Via Corsica 12 16128 Genova - Italia tel +39 010 53851 fax +39 010

Dettagli

QUALITA' E AMBIENTE IMPEGNO DELLA DIREZIONE

QUALITA' E AMBIENTE IMPEGNO DELLA DIREZIONE QUALITA' E AMBIENTE IMPEGNO DELLA DIREZIONE La Direzione della PAPPASOLE S.p.A. (di seguito denominata "Struttura turistica") dichiara la sua ferma volontà di rendere operante il Sistema di Gestione Integrata

Dettagli

MANUALE DI RENDICONTAZIONE Criteri di ammissibilità dei costi e modalità di rendicontazione

MANUALE DI RENDICONTAZIONE Criteri di ammissibilità dei costi e modalità di rendicontazione BANDO "DAI DISTRETTI PRODUTTIVI AI DISTRETTI TECNOLOGICI -2" Distretto 9.2 - Elettronica e Meccanica di Precisione MANUALE DI RENDICONTAZIONE Criteri di ammissibilità dei costi e modalità di rendicontazione

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013

Sicurezza ICT e continuità del Business. Igea Marina Rimini - 5 luglio 2013 Sicurezza ICT e continuità del Business Igea Marina Rimini - 5 luglio 2013 Indice L approccio alla Sicurezza ICT La rilevazione della situazione L analisi del rischio Cenni agli Standard di riferimento

Dettagli

Regolamento di Audit ALLEGATO 8 AL MODELLO DI ORGANIZZAZIONE 231/2001

Regolamento di Audit ALLEGATO 8 AL MODELLO DI ORGANIZZAZIONE 231/2001 ALLEGATO 8 AL MODELLO DI ORGANIZZAZIONE 231/2001 Conforme alla Norma UNI EN ISO 9001:2008 Conforme alla Norma UNI EN ISO 14001:2004 Conforme al D.Lgs 231/01 Conforme a: L. 190/12; D.Lgs 33/2013; D.Lgs

Dettagli

Manuale di gestione della Qualità

Manuale di gestione della Qualità SOMMARIO 5.1 Impegno della 5.2 Attenzione focalizzata all utente 5.3 Politica per la qualità 5.4 Pianificazione 5.5.Responsabilità, autorità e comunicazione 5.6. Riesame da parte della direzione 5.7. Attenzione

Dettagli

Claudia Gistri Giancarlo Caputo CERTIQUALITY

Claudia Gistri Giancarlo Caputo CERTIQUALITY I requisiti per la certificazione del sistema di gestione sicurezza Claudia Gistri Giancarlo Caputo CERTIQUALITY Seminario La gestione ed il controllo del Rischio Industriale Bergamo, 20 dicembre 2005

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

Pianificare Sicurezza e Privacy. Dott.ssa Priscilla Dusi Consulente Aziendale

Pianificare Sicurezza e Privacy. Dott.ssa Priscilla Dusi Consulente Aziendale Pianificare Sicurezza e Privacy Dott.ssa Priscilla Dusi Consulente Aziendale La sicurezza è il cardine della tutela dei dati personali. E non è tema su cui è possibile improvvisare. Le implicazioni sono

Dettagli

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Obblighi di sicurezza e relative sanzioni Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy L adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Il nuovo codice in materia di protezione dei dati personali

Il nuovo codice in materia di protezione dei dati personali Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico

Dettagli

ATTESTATO DI QUALIFICA

ATTESTATO DI QUALIFICA PROGETTO COFINANZIATO DALL UNIONE EUROPEA PSS LINEA ECONOMIA DEL MARE PROGETTO IL GOLFO FA RETE NEL BLU AZIONE FORMATIVA: ADDETTO AI SISTEMI DI GESTIONE INTEGRATA CODICE ISTAT: 2.5.1.2.0 Ente realizzatore:

Dettagli

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005

Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Dalle BS 7799-2:2002 e ISO 17799:2005 alle ISO 17799:2005 e 27001:2005 Evoluzione delle normative di riferimento della Information Security ed analisi delle principali novità introdotte di Cesare Gallotti

Dettagli

Documento Programmatico sulla Sicurezza

Documento Programmatico sulla Sicurezza Pagina 1 di 1 Documento Programmatico sulla Sicurezza Decreto Legislativo 196/2003 Indice INDICE Rev 2 Pagina 1 di 1 INDICE 01 PRESENTAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 02 ELENCO DEI TRATTAMENTI

Dettagli

BSI Group Italia. Viviana Rosa Marketing & PR Manager BSI Group Italia

BSI Group Italia. Viviana Rosa Marketing & PR Manager BSI Group Italia BSI Group Italia Viviana Rosa Marketing & PR Manager BSI Group Italia Chi è BSI BSI nasce nel 1901 in Inghilterra come primo ente di normazione al mondo, riconosciuto dalla corona britannica e oggi, a

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida Convegno di studio La biometria entra nell e-government Le attività del CNIPA nel campo della biometria: le Linee guida Alessandro Alessandroni Cnipa alessandroni@cnipa.it Alessandro Alessandroni è Responsabile

Dettagli

UNI EN ISO 19011: 2012. Elementi principali di cambiamento

UNI EN ISO 19011: 2012. Elementi principali di cambiamento UNI EN ISO 19011: 2012 Elementi principali di cambiamento 1 ISO 19011 è normalmente intesa come una guida per Audit interni Audit esterni Audit di 1 parte Audit di 2 parte Audit di 3 parte -Certificazione

Dettagli

Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo

Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo sulla base dell analisi del contesto e della valutazione dell ambiente di Pag. di NUMERO EDIZIONE DATA MOTIVAZIONE 6/09/204 Adozione ALLEGATO Mappa dei rischi ALLEGATO Mappa dei rischi elaborata sulla

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

PICCOLE E MEDIE IMPRESE EFFICIENTI Programma per migliorare l efficienza energetica nelle piccole e medie imprese RELAZIONE TECNICA

PICCOLE E MEDIE IMPRESE EFFICIENTI Programma per migliorare l efficienza energetica nelle piccole e medie imprese RELAZIONE TECNICA ASSESSORATO DELL INDUSTRIA Allegato alla Delib.G.R. n. 63/7 del 15.12.2015 PICCOLE E MEDIE IMPRESE EFFICIENTI Programma per migliorare l efficienza energetica nelle piccole e medie imprese RELAZIONE TECNICA

Dettagli

Francesco Scribano GTS Business Continuity and Resiliency services Leader

Francesco Scribano GTS Business Continuity and Resiliency services Leader Francesco Scribano GTS Business Continuity and Resiliency services Leader Certificazione ISO 27001: l'esperienza IBM Certificazione ISO 27001: l'esperienza IBM Il caso di IBM BCRS Perchè certificarsi Il

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007 Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,

Dettagli

OPENSUE. Sportello Edilizia. Stringi la mano al cittadino

OPENSUE. Sportello Edilizia. Stringi la mano al cittadino OPENSUE Sportello Edilizia Stringi la mano al cittadino 2 OPENSUE Sportello Edilizia Il DPR n. 380/2001 impone a tutte le amministrazioni comunali di provvedere a costituire lo Sportello unico per l edilizia

Dettagli

EasyGov Solutions Srl. Start-up del Politecnico di Milano

EasyGov Solutions Srl. Start-up del Politecnico di Milano EasyGov Solutions Srl Start-up del Politecnico di Milano Continuità Operativa ICT e Disaster Recovery 2 Il contesto - 1 Continuità operativa Generale Persone, Impianti, Infrastrutture, documenti, norme,

Dettagli

Comune di Spoleto QUESITI E RISPOSTE. Quesito n. 1 Per partecipare alla gara è necessario il possesso della certificazione ISO 20000:2005?

Comune di Spoleto QUESITI E RISPOSTE. Quesito n. 1 Per partecipare alla gara è necessario il possesso della certificazione ISO 20000:2005? Procedura aperta per fornitura chiavi in mano di una suite applicativa gestionale Web based completamente integrata e comprensiva dei relativi servizi di assistenza e manutenzione QUESITI E RISPOSTE Quesito

Dettagli

Relazione d Audit/ Assessment

Relazione d Audit/ Assessment Associazione Svizzera per Sistemi di Qualità e di Management (SQS) S Q S I t a l i a n B r a n c h P i a z z a l e B i a n c a m a n o, 2 I T - 2 0 1 2 1 M i l a n o ( M I ) CODICE FISC.: 97571990155 PARTITA

Dettagli

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010

Le certificazioni di sicurezza e la direttiva europea 114/08. Roma, 27 Maggio 2010 Le certificazioni di sicurezza e la direttiva europea 114/08 Roma, 27 Maggio 2010 1 Presentazione Relatore Fabio Guasconi Presidente del SC27 di UNINFO e membro del direttivo Head of Delegation per l Italia,

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Qualità - Privacy - Sicurezza - Ambiente e Mobility Management Soluzioni ICT - Assessment e Formazione - Marketing e Comunicazione

Qualità - Privacy - Sicurezza - Ambiente e Mobility Management Soluzioni ICT - Assessment e Formazione - Marketing e Comunicazione Qualità - Privacy - Sicurezza - Ambiente e Mobility Management Soluzioni ICT - Assessment e Formazione - Marketing e Comunicazione RATE SERVIZI Srl Via Santa Rita da Cascia, 3-20143 Milano Tel 0287382838

Dettagli

REGOLAMENTO DI GESTIONE DEL SITO WEB AZIENDALE

REGOLAMENTO DI GESTIONE DEL SITO WEB AZIENDALE AZIENDA PER I SERVIZI SANITARI N. 6 FRIULI OCCIDENTALE 33170 Pordenone - Via Vecchia Ceramica, 1 - C.P. 232 Tel. 0434/369111 - Fax. 0434/523011 - C.F. / P. Iva 01278420938 PEC: Ass6PN.protgen@certsanita.fvg.it

Dettagli

LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE

LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE Prof. Stefano Pigliapoco LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE ANAI, Cagliari 6 marzo 2006 s.pigliapoco@fastnet.it L Amministrazione Pubblica Digitale Il complesso delle norme di recente

Dettagli