I criteri di valutazione/certificazione. Common Criteria e ITSEC

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "I criteri di valutazione/certificazione. Common Criteria e ITSEC"

Transcript

1 Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò a sentire l esigenza di sviluppare criteri di valutazione della sicurezza che, partendo dai vecchi criteri nazionali esistenti, mirassero alla loro armonizzazione. Il risultato di questa iniziativa fu la nascita dei Criteri ITSEC, pubblicati per la prima volta nel maggio del 1990, a cui fece seguito nel 1999 la pubblicazione dei Common Criteria (ISO/IEC 15408). I criteri ITSEC/Common Criteria trattano il tema della sicurezza, per sistemi e prodotti informatici, nelle loro tre componenti fondamentali: Funzionalità (ciò che il sistema deve fare per la sicurezza) Efficacia (in che misura le contromisure contrastano le minacce) Correttezza (come le contromisure sono state implementate) Ogni valutazione offre così la garanzia che le funzioni di sicurezza dell oggetto valutato sono progettate ed implementate correttamente ed efficacemente, in modo tale da soddisfare gli obiettivi di sicurezza e non presentare vulnerabilità sfruttabili. Tale garanzia è definita su diversi livelli di garanzia che rappresentano una fiducia crescente nelle capacità del sistema o del prodotto di soddisfare i suoi obiettivi di sicurezza. La funzionalità suddetta è definita, da chi richiede la valutazione, in un documento formale definito Traguardo di Sicurezza ( Security Target ), che nel caso di valutazioni Common Criteria può essere derivato da un Profilo di Protezione ( Protection Profile ) di riferimento. Tale documento fornisce il legame tra tutti gli aspetti di sicurezza (organizzativi, fisici, tecnico-informatici, procedurali, etc.), comprendendo l esplicitazione non ambigua degli obiettivi da raggiungere, delle minacce, della politica di sicurezza, delle funzioni che implementano la sicurezza e del livello di garanzia richiesto. Sulla base del Traguardo di Sicurezza e della documentazione di progetto necessaria (che dipende dal livello di garanzia richiesto), l attività di valutazione comprende analisi di correttezza e di efficacia che considerano aspetti relativi allo sviluppo e all esercizio dell ODV. La valutazione dell efficacia è completata con prove di intrusione volte a dimostrare la non sfruttabilità delle vulnerabilità residue del sistema/prodotto. In Italia le certificazioni rilasciate dall'ocsi sono riconosciute a livello internazionale. I servizi offerti Valutazioni Formali Servizio dedicato alle organizzazioni che forniscono prodotti e sistemi con la necessità di offrire un adeguato livello di sicurezza ICT. Gli scopi di una valutazione di un prodotto/sistema sono molteplici. Per l'utenza finale, la valutazione consente di avere una base per confrontare le prestazioni, in materia di sicurezza, dei vari prodotti IT. Per il fornitore/sviluppatore, la valutazione stabilisce la volontà di dimostrare che le prestazioni di sicurezza dichiarate sono effettive, in quanto verificate in modo obiettivo e riproducibile, da una terza parte. Assistenza al cliente IMQ/LPS è in grado di supportare le organizzazioni interessate all ottenimento di una certificazione di sicurezza ICT negli schemi nazionali fin dal

2 : VALUTAZIONE FORMALE AI FINI DELLA CERTIFICAZIONE DELLA SICUREZZA DI SISTEMI O PRODOTTI IT momento in cui la certificazione è solo un ipotesi arrivando a coprire tutte le fasi operative di un processo di certificazione, denominate Preparazione, Conduzione e Chiusura e le attività necessarie al mantenimento nel tempo del certificato ottenuto. I servizi forniti sono: supporto alla definizione di cosa certificare (l Oggetto della Valutazione/Certificazione - ODV) tenendo conto dell esigenza di minimizzare tempi e costi; conduzione di un analisi di fattibilità mirata stimare la valutabilità/certificabilità di un sistema/prodotto ICT ad un livello di garanzia stabilito; formalizzazione dei requisiti di sicurezza in un Profilo di Protezione, documento che descrive in modo indipendente dalla tecnologia (technology neutral) i requisiti di sicurezza di una categoria di prodotti informatici che soddisfano particolari esigenze dei potenziali consumatori (ad esempio: firewall, database, dispositivi sicuri per la firma digitale ai sensi della direttiva europea ). Si rammenta che i Protection Profile certificati Common Criteria possono anche essere usati nella definizione dei criteri di selezione di fornitori di prodotti ICT o per la stesura di capitolati tecnici di gara; supporto alla produzione della documentazione richiesta per avviare il processo di certificazione, ovvero del Traguardo di Sicurezza e del Piano di Valutazione dell ODV per lo schema di certificazione nazionale di riferimento; supporto alla produzione della documentazione richiesta al Fornitore nel corso della valutazione/certificazione, ovvero di documenti di correttezza (come il sistema è stato implementato) e di efficacia (in che misura le contromisure contrastano le minacce); supporto alla gestione e al mantenimento della certificazione. Benefici per il cliente La certificazione secondo criteri standard internazionalmente riconosciuti fornisce un unità di misura per la sicurezza informatica presentando una serie di vantaggi, tra i quali: aumento del prestigio dell azienda e riconoscimento a livello internazionale del risultato della valutazione/certificazione; attribuzione di un significato noto e non ambiguo al risultato della valutazione/certificazione; agevolazione del confronto tra il livello di sicurezza di sistemi e prodotti diversi; maggior appeal del prodotto rispetto a prodotti con caratteristiche di sicurezza equivalenti, ma non certificati; riuso della certificazione in caso di integrazione dell ODV in un diverso sistema/prodotto ICT di cui è richiesta la certificazione; possibilità di fornire evidenze oggettive nei contesti contrattuali o legislativi in cui sono richieste. Mod. 476A/1 2010/ Med.

3 Assistenza tecnica e normativa IMQ possiede le competenze necessarie per poter comprendere le esigenze delle direzioni di business e risolverne i problemi di sicurezza e aiutare le aziende interessate ad approfondire i temi e i principali standard di riferimento nel settore della sicurezza ICT o che necessitano di un supporto specialistico nell identificare la migliore soluzione possibile per innalzare il livello di sicurezza dell organizzazione assicurando la migliore coniugazione tra esperienza e competenze per consentire alle aziende di allineare le esigenze di sicurezza ICT con gli obiettivi del business. Esempi di servizi offerti Supporto nelle attività di ICT Risk Assessment & Management; Supporto alla redazione del Documento Programmatico per la Sicurezza (DPS); Supporto alla redazione della Business Impact Analysis; Analisi delle necessità o di eventuali criticità di sicurezza di un Sistema o di una rete IT utile in particolare per le aziende che si accingono a quantificare gli investimenti necessari per ottenere un adeguato livello di protezione; Definizione e formalizzazione dei requisiti di sicurezza all interno di capitolati tecnici per la selezione di fornitori di sistemi IT; Incontri finalizzati ad approfondire i contenuti delle principali norme e standard di riferimento sulla sicurezza ICT (ISO/IEC 27001/27002, BS 25999, ISO/IEC 2000,..) o ad innalzare il livello di consapevolezza del personale preposto alla gestione di informazioni la cui sicurezza è critica per il business dell azienda. Mod. 476B/1 2010/ Med.

4 Audit Dopo anni di esperienza maturata nella valutazione formale della sicurezza dei sistemi informatici utilizzati sia in ambito commerciale che in ambito militare/governativo, IMQ è in grado di fornire un offerta personalizzabile secondo le esigenze del cliente: un servizio vantaggioso sia per coloro che necessitano di verificare i vari aspetti che concorrono alla sicurezza delle informazioni critiche per il business dell organizzazione, sia per le aziende che si accingono a quantificare gli investimenti necessari a gestire in sicurezza le informazioni critiche per il proprio business. I servizi offerti Con metodologia derivata dalle migliori best practice applicabili IMQ effettua, con un approccio modulare che risponde alle effettive esigenze del cliente, audit relativi ai seguenti aspetti: Sicurezza fisica delle sedi dell organizzazione cliente (misure di protezione del perimetro fisico, servizi di vigilanza e monitoraggio); Sicurezza dell infrastruttura di supporto all erogazione dei servizi ICT (connettività, energia, impianti, etc.); Sicurezza organizzativa (ruoli e responsabilità, formazione, policy e procedure di sicurezza ICT, procedure di segnalazione e gestione di incidenti informatici, etc.); Sicurezza logica e di rete (gestione e configurazione di firewall, Router, Access Point, copertura delle principali vulnerabilità tecniche dei sistemi IT, etc. ); Rispetto delle cogenze applicabili nella gestione dei dati e dei sistemi ICT (Privacy e sicurezza dei dati, copyright, log retention, fatturazione elettronica e conservazione elettronica sostitutiva etc.); Continuità operativa dei processi che supportano il business del cliente e checkup dell infrastruttura tecnologica; Verifiche di seconda parte sugli outsourcer di servizi ICT; Verifiche di prima o di seconda pare sul rispetto di Politiche di Sicurezza emanate da una capogruppo o di Capitolati tecnici di gara. Le attività di audit possono avere carattere periodico per rispondere alla necessità del cliente di garantire nel tempo il livello di sicurezza ICT desiderato, assicurando l adeguata copertura dei rischi informatici in uno scenario tecnologico in continua evoluzione. Benefici per il cliente Un organizzazione che si affida ad un ente terzo, quale IMQ, per la conduzione di un audit di sicurezza può gestire in maniera oculata gli investimenti per la sicurezza ICT indirizzandoli solo dove serve ovvero dove si evidenzia la maggiore esposizione a rischi informatici. Inoltre l organizzazione può utilizzare i risultati dell audit per ridurre i costi della non sicurezza dovuti a: danni economici diretti a seguito di perdita o indisponibilità dei dati critici gestiti; danni economici indiretti a causa della perdita di immagine verso i propri clienti; danni economici indiretti a seguito di eventuali problemi legali/contrattuali. Mod. 476C/2 2010/ Med.

5 Attestazioni di conformità In tutti i casi in cui una certificazione di terza parte rispetto ad uno standard non è possibile, IMQ può supportare le aziende per dare valore aggiunto al proprio sistema/prodotto/servizio ICT (Oggetto di Valutazione, nel seguito ODV) mediante un percorso finalizzato al rilascio di un attestazione di conformità: rispetto ad un insieme di requisiti di sicurezza informatica, definiti tenendo conto di tutti gli eventuali obblighi contrattuali e legislativi applicabili all organizzazione richiedente l attestazione e da essa condivisi e validati e a fronte di un attività di verifica secondo una metodologia predisposta ad hoc e definita nel rispetto di logiche di efficienza ed efficacia e tenendo conto di tutti gli standard di riferimento applicabili. Tale metodologia viene preliminarmente condivisa con l organizzazione richiedente l attestazione e da essa approvata e, in taluni contesti, può essere appropriato coinvolgere in questa fase anche altri soggetti che possono considerarsi parti interessate nella valutazione dell ODV. Il servizio offerto Tipicamente le fasi in cui è strutturata un attività di attestazione di conformità sono: analisi delle necessità di sicurezza che l ODV intende soddisfare. In genere infatti non è sempre subito chiaro, parlando di sicurezza delle informazioni, se si desidera attestare la capacità di un ODV di garantire l integrità e/o la confidenzialità e/o la disponibilità dei dati critici gestiti (memorizzati o trasmessi) o del servizio offerto; formalizzazione e approvazione dell insieme dei requisiti di sicurezza che devono essere garantiti dall ODV; formalizzazione della metodologia di conduzione dell audit da parte del laboratorio di valutazione e sua approvazione da parte dell azienda richiedente l attestazione; definizione della checklist di riferimento per la conduzione dell attività di audit; conduzione dell audit, sia sulla base di interviste, sia sulla base di verifiche in campo del corretto funzionamento e della corretta configurazione del sistema/prodotto/servizio ICT oggetto di analisi; redazione del report di audit, in cui è riportato in dettaglio l insieme delle evidenze raccolte durante l audit; rilascio dell attestazione di conformità dell ODV ai requisiti di sicurezza inizialmente formalizzati. Benefici per il cliente Un attestazione di conformità ha una duplice valenza: dal punto di vista di un fornitore essa può servire a valorizzare sul mercato un proprio sistema/prodotto/servizio ICT, mentre, dal punto di vista di un possibile committente, può essere di ausilio alla definizione accurata dei criteri per la selezione dei propri fornitori. Esempi di attestazioni di conformità rilasciate in ambiti specifici Attestazione di conformità Q&S_CS del livello di qualità e sicurezza nella conservazione elettronica sostitutiva Attestazione di conformità alle norme CEI 79-5/1/2/3 dei protocolli di comunicazione per il trasferimento di informazioni di sicurezza (allarmi) tra una Centrale d Allarme (CA) e un Centro di Supervisione e Controllo (CSC) Attestazioni di conformità di un sistema di Business Continuity e Disaster Recovery ai requisiti derivati da una Business Impact Analysis (BIA) Attestazioni di conformità in ambito Privacy Mod. 476D/2 2010/ Med.

6 Gap Analysis Alle organizzazioni interessate ad avere una stima di quanto i propri processi aziendali distano da uno specifico standard di riferimento per i Sistemi di Gestione nel mondo dell IT, IMQ offre un servizio di Gap Analysis condotto mediante interviste mirate, analisi della documentazione in uso e sopralluogo nella sede del cliente. Tale servizio, propedeutico all implementazione di un Sistema di Gestione certificabile e di estremo valore riconosciuto nelle valutazioni eseguite dai team degli organismi di Certificazione incaricati, è mirato alla produzione di un report tecnico che può costituire il punto di riferimento per monitorare, con uno o più interventi di Checkup ad hoc, su richiesta del cliente, lo stato di avanzamento delle attività intraprese per colmare il Gap evidenziato. I servizi offerti Gap analysis rispetto alla norma ISO/IEC Servizio dedicato alle organizzazioni sensibili al tema della sicurezza delle informazioni. La sicurezza delle informazioni è un concetto che supera il puro fatto tecnologico, la sicurezza è un processo che si rivolge alle persone componenti l'organizzazione ed alle modalità in cui le persone utilizzano la tecnologia a loro disposizione. La norma ISO/IEC è lo standard per la gestione della sicurezza delle informazioni che mira a preservare l'informazione, in qualsiasi forma essa sia presente nell'organizzazione, in termini di confidenzialità, integrità e disponibilità. Queste, che sono le tre componenti fondamentali della sicurezza dell'informazione, sono anche le componenti fondamentali da cui dipendono la competitività dell'azienda, i suoi profitti, il suo rispetto di obblighi legislativi e in definitiva la sua immagine commerciale. Gap Analysis rispetto alla norma BS Servizio dedicato alle organizzazioni sensibili al tema della continuità operativa. La Norma BS è la prima norma al mondo sulla gestione della continuità operativa, oggi un requisito fondamentale per qualsiasi organizzazione che opera in realtà economiche nazionali ed internazionali. La continuità nell erogazione di servizi o nella consegna di prodotti costituiscono un bene con associato un valore economico e pertanto devono essere adeguatamente protette da un'ampia gamma di minacce al fine di garantire il regolare svolgimento delle attività aziendali, minimizzare i danni all'azienda (economici e/o d'immagine) e massimizzare i ritorni degli investimenti. Per garantire tale continuità operativa è necessario mettere in atto un opportuno insieme di misure, quali politiche, prassi operative, procedure e strutture organizzative, che consentano all azienda il soddisfacimento dei propri obiettivi di continuità operativa. Gap Analysis rispetto alla norma ISO/IEC Il servizio è dedicato ai fornitori di servizi IT sensibili al tema IT Service management. La norma ISO/IEC è il riferimento a livello mondiale per le organizzazioni, IT Service Provider, che intendono dare evidenza della corretta impostazione, gestione ed erogazione di servizi IT, che possono essere erogati all interno della propria organizzazione, o esternamente verso clienti di qualunque settore merceologico, pubblico o privato. La norma è completata dalla ISO/IEC , una guida di approfondimento di ausilio alle organizzazioni nell implementazione di un Sistema di Gestione dei Servizi IT efficace ed efficiente. Affinché un organizzazione sia certificabile secondo la ISO/IEC devono inoltre essere rispettati alcuni requisiti che hanno carattere obbligatorio ai sensi della ISO/IEC , in particolare: eleggibilità della certificazione ISO/IEC per il Service Provider eleggibilità dei processi che il Service Provider intende far rientrare nello scopo della certificazione della ISO/IEC Mod. 476E/0 2010/ Med.

7 Q&S_CS - valutazione e attestazione di conformità del sistema di conservazione elettronica sostitutiva La conservazione elettronica sostitutiva dei documenti, prerequisito anche per la fatturazione elettronica, è regolamentata da una complessa normativa che impone alle organizzazioni un insieme di misure organizzative, procedurali, fisiche e tecniche atte a garantire la corretta esecuzione delle attività di conservazione e l integrità nel tempo dei documenti conservati. Il servizio offerto Q&S_CS, ovvero Qualità e Sicurezza nella Conservazione Sostitutiva, è il nome dello schema di valutazione e attestazione di IMQ per valorizzare l impegno operato dall organizzazione richiedente per attuare il sistema di conservazione sostitutiva o fatturazione elettronica ed avere evidenza che siano state adottate misure e accorgimenti allo stato dell arte esempio architettura di sicurezza della rete,...); e su un attività di audit in campo, per la ricerca di evidenze di conformità rispetto ai requisiti relativi a: Presenza della documentazione richiesta (nomine, deleghe, attestazioni, procedure, etc); Funzionalità del sistema IT utilizzato; Misure di sicurezza (IT, fisica, procedurale, organizzativa); Corretta applicazione delle procedure documentate; Validità delle firme digitali, dei certificati e delle marche temporali; Verifica della corrispondenza tra le impronte contenute nelle evidenze informatiche e le impronte direttamente ottenibili a partire dai documenti informatici cui si riferiscono; Adempimenti fiscali (comunicazione del luogo di conservazione, pagamento bolli, integrazione fatture, etc.). L attestazione Q&S_CS si basa su una specifica sviluppata da IMQ a partire dalle cogenze applicabili e da best practice derivate dagli standard internazionali di riferimento per quanto riguarda Qualità (ISO 9001) e Sicurezza delle informazioni (ISO/IEC 27001). Lo schema si basa su un attività di analisi documentale che prevede la valutazione dei seguenti aspetti: Analisi del Manuale della Conservazione Sostitutiva; Analisi del DPS, ove applicabile; Analisi delle procedure operative e di sicurezza richieste dalla normativa; Analisi della modulistica per la raccolta/selezione/analisi dei dati relativi alla gestione del processo di conservazione sostitutiva; Analisi di eventuale ulteriore documentazione di supporto consegnata (ad Il processo di conservazione sostitutiva adottato sia esso implementato in-house oppure tutto o in parte in outsourcing sarà riesaminato periodicamente e rivalutato ogni tre anni. A chi è rivolto Alle aziende private e pubbliche che effettuano la Conservazione Sostitutiva dei documenti informatici o cartacei o la Fatturazione Elettronica e che vogliono avere l evidenza di implementare il processo senza trascurare importanti aspetti di sicurezza ICT, normativi e fiscali. Agli outsourcer di Servizi di Conservazione Sostitutiva o di Fatturazione elettronica che vogliono dare ulteriore valore aggiunto alla certificazione secondo la ISO/IEC

8 : Q&S_CS - VALUTAZIONE E ATTESTAZIONE DI CONFORMITÀ DEL SISTEMA DI CONSERVAZIONE ELETTRONICA SOSTITUTIVA del proprio sistema di gestione per la sicurezza delle informazioni (SGSI) e comunicare chiaramente ai propri clienti che nell attuazione del sistema di conservazione sostitutiva o fatturazione elettronica sono adottate misure e accorgimenti allo stato dell arte, al cui adeguatezza è monitorata nel tempo. Gli obiettivi Il servizio di attestazione della Qualità e Sicurezza nella conservazione Sostitutiva sviluppato da IMQ permette alle organizzazioni clienti di ottenere l attestazione di una terza parte indipendente che il processo di conservazione elettronica sostitutiva da loro implementato: soddisfa i requisiti di qualità e sicurezza definiti da IMQ sulla base delle cogenze applicabili; è coerente con best practice di qualità e sicurezza derivate dalle norme internazionali applicabili: (ISO 9001, ISO/IEC 27001). migliorare i propri processi, ovviando ad eventuali lacune individuate, dall altra fornisce evidenza dell impegno operato per adempiere alla complessa normativa e di aver adottato le misure e gli accorgimenti allo stato dell arte. L organizzazione richiedente ottiene inoltre: Garanzia che, con l ausilio delle visite di sorveglianza previste, il processo di conservazione sostitutiva sia mantenuto allineato con la prevedibile evoluzione normativa. Supporto tecnico-specialistico nell effettuazione di audit di seconda parte presso l eventuale outsourcer di conservazione sostitutiva, qualora previsto contrattualmente, come auspicabile e suggerito anche dallo standard di riferimento per la gestione della sicurezza delle informazioni ISO/IEC I vantaggi per i clienti Con l attestazione Q&S_CS, l organizzazione richiedente ottiene il giudizio di una terza parte indipendente sul proprio processo di Conservazione Sostitutiva per quanto concerne aspetti organizzativi, procedurali, di sicurezza ICT e di natura fiscale/tributaria, in particolare sull assenza di gravi inadempienze rispetto a quanto previsto dalla normativa. Tale giudizio, formulato mediante una serie di osservazioni e raccomandazioni, da un lato permette all organizzazione di Mod. 476g/0 2010/ Med.

9 Privacy Il Codice Privacy (D.LGS 196/2003) richiede di ridurre al minimo i rischi di distruzione, perdita o accesso non autorizzato dei dati personali oggetto di trattamento, in relazione al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, mediante l'adozione di idonee e preventive misure di sicurezza. L allegato B al Codice individua puntualmente alcune misure di sicurezza (tecniche, informatiche, organizzative, logistiche e procedurali) che delineano il livello minimo di protezione dei dati che è obbligatorio garantire in caso di trattamento dei dati mediante strumenti elettronici. Tra le misure minime è contemplato l obbligo per chi tratta dati sensibili o giudiziari mediante strumenti elettronici di predisporre e rivedere annualmente il Documento programmatico per la Sicurezza (DPS). Chiunque ometta di adottare le misure minime previste è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro. I servizi offerti IMQ può aiutare le aziende interessate ad avere una ragionevole fiducia che i propri sistemi ICT implementino non solo tutte le misure di sicurezza tecniche minime previste dalla normativa sulla privacy ma che tali misure siano anche adeguate, e quindi allo stato dell arte, e supportate da misure organizzative e procedurali che tengano conto dei provvedimenti emanati dal Garante per la Protezione dei dati personali, offrendo i seguenti servizi: Analisi dei Rischi IMQ può supportare un organizzazione nella conduzione dell analisi dei rischi, contenuto obbligatorio del DPS, e nella selezione e implementazione dell insieme di contromisure idonee che consentono un efficace riduzione dei rischi identificati in relazione al progresso tecnologico. Supporto alla redazione della documentazione richiesta Supporto alla redazione della documentazione richiesta dalla normativa, come ad es., DPS, nomine formali, etc. Audit di Sicurezza sulla Privacy, con eventuale attestazione di conformità Effettuazione di audit di sicurezza su un sistema informativo volto a garantire il rispetto di un insieme di requisiti derivati dall allegato B al D.LGS 196/2003 e dai principali provvedimenti del Garante. In caso di esito positivo dell audit potrà essere rilasciato un attestato di conformità comprovante il rispetto dei requisiti verificati. Audit di seconda parte sugli outsourcer Supporto tecnico-specialistico per l effettuazione di audit di seconda parte presso un eventuale outsourcer a cui sia affidata la gestione di dati personali/sensibili, qualora previsto contrattualmente, come auspicabile e consigliato dagli standard di riferimento per i sistemi di gestione per la sicurezza delle informazioni ISO/IEC e ISO/IEC Assistenza normativa Incontri mirati a chiarire e ad approfondire specifici temi inerenti la normativa relativa alla privacy e protezione dei dati o ad innalzare il livello di consapevolezza dei dipendenti di organizzazioni preposti al trattamento di dati sensibili o giudiziari. Mod. 476F/1 2010/ Med.

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ per le aziende con esigenze di valutazione/ certificazione

Dettagli

IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6

IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6 IMQ Funzione Sistemi di Gestione Area Security ICT Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6 1/11 Funzione Sistemi di Gestione - Area Security ICT Settori di competenza dell

Dettagli

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2 Garantire la continuità operativa in caso di interruzioni, siano esse dovute a incidenti gravi o inconvenienti minori, rappresenta oggi un requisito fondamentale per qualsiasi organizzazione che opera

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M.

S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M. S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M. I C o n s u l e n z a S e t t o r e I T - C o n s u l e n z a

Dettagli

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Il Nuovo Codice dell Amministrazione Digitale: opportunità per i cittadini, adempimenti per le amministrazioni Napoli, 28 aprile 2011 LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Introduzione alla

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale.

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. BE.iT sa organizziamo L eccellenza Uno dei presupposti fondamentali

Dettagli

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Nuove disposizioni di vigilanza prudenziale per le banche: principali novità FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

CATALOGO CORSI 2015. In.Co.S srl International Consultant Service Via Guastalla 6 10124 Torino Italy info@incos-consulting.com Mob: +39 349 2577085

CATALOGO CORSI 2015. In.Co.S srl International Consultant Service Via Guastalla 6 10124 Torino Italy info@incos-consulting.com Mob: +39 349 2577085 CATALOGO CORSI 2015 INDICE CORSI APPROVATI DA ENTE DI CERTIFICAZIONE DELLE COMPETENZE ACCREDITATO ISO/IEC 17024... 3 ISO 9001:08 SISTEMI DI GESTIONE QUALITÀ... 4 ISO 22000:05 SISTEMI DI GESTIONE DELLA

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

LA BUSINESS UNIT SECURITY

LA BUSINESS UNIT SECURITY Security LA BUSINESS UNIT SECURITY FABARIS È UN AZIENDA LEADER NEL CAMPO DELL INNOVATION SECURITY TECHNOLOGY. ATTINGIAMO A RISORSE CON COMPETENZE SPECIALISTICHE E SUPPORTIAMO I NOSTRI CLIENTI AD IMPLEMENTARE

Dettagli

Convegno APB. Business Continuity: perchè un grande gruppo bancario italiano ha deciso di usare una soluzione informatica innovativa?

Convegno APB. Business Continuity: perchè un grande gruppo bancario italiano ha deciso di usare una soluzione informatica innovativa? Convegno APB Business Continuity: perchè un grande gruppo bancario italiano ha deciso di usare una soluzione informatica innovativa? Milano, 4 Aprile 2006 Roberto Perego Partner - esolutions Europe Agenda

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione Company Management System SIA - Processi e Sistemi di Gestione Codice Documento Classificazione Dominio di Applicazione Pubblica SIA SOMMARIO SOMMARIO... 2 1 OBIETTIVO DEL DOCUMENTO... 4 2 PRESENTAZIONE

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

Direzione Generale Servizio IT. Allegato A CAPITOLATO TECNICO

Direzione Generale Servizio IT. Allegato A CAPITOLATO TECNICO Allegato A CAPITOLATO TECNICO PROCEDURA APERTA PER L AFFIDAMENTO DI SERVIZI PROFESSIONALI PER L ANALISI E LA REDAZIONE DI DOCUMENTAZIONE INERENTE LA GESTIONE DELLA SICUREZZA INFORMATICA. DETERMINA A CONTRARRE

Dettagli

Certificazione Sistemi di Gestione della Sicurezza delle Informazioni. Norma ISO 27001

Certificazione Sistemi di Gestione della Sicurezza delle Informazioni. Norma ISO 27001 Certificazione Sistemi di Gestione della Sicurezza delle Informazioni Norma ISO 27001 Certificazione Sistemi di Gestione della Sicurezza Il CSQ, grazie alla vasta esperienza maturata nei maggiori contesti

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro

Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro In vigore dal 01/04/2012 RINA Via Corsica 12 16128 Genova - Italia tel +39 010 53851 fax +39 010

Dettagli

Edizione 2010. www.sovedi.it

Edizione 2010. www.sovedi.it Edizione 2010 www.sovedi.it SOVEDI s.r.l. Via Antica, 3-25080 Padenghe sul Garda (BS) email: info@sovedi.it tel: +39 0302076341 CAP.SOC. 51.480,00 - C.F. p.iva 00632180246 SOVEDI nasce nel 1978 a Vicenza.

Dettagli

LA SICUREZZA INFORMATICA

LA SICUREZZA INFORMATICA LA SICUREZZA INFORMATICA Ing. Gianfranco Pontevolpe CNIPA e-mail: pontevolpe@cnipa.it Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

BSI Group Italia. Viviana Rosa Marketing & PR Manager BSI Group Italia

BSI Group Italia. Viviana Rosa Marketing & PR Manager BSI Group Italia BSI Group Italia Viviana Rosa Marketing & PR Manager BSI Group Italia Chi è BSI BSI nasce nel 1901 in Inghilterra come primo ente di normazione al mondo, riconosciuto dalla corona britannica e oggi, a

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica

Estratto dell'agenda dell'innovazione e del Trade Roma 2011. Speciale: I casi. Introduzione dell'area tematica Estratto dell'agenda dell'innovazione e del Trade Roma 2011 Speciale: I casi Introduzione dell'area tematica IL CASO ALLIANCE MEDICAL Innovare e competere con le ICT: casi di successo - PARTE II Cap.11

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1

Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it. 2002-2014 Business Security 1 Organizzare la sicurezza, ovvero come legare il cane al palo Pierluigi D Ambrosio p.dambrosio@businesssecurity.it 2002-2014 Business Security 1 Problema: Possiedo un cane, un palo, della corda, della catena

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site

SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site SU MISURA PER IL TUO TEAM, PRESSO IL TUO UFFICIO Training On-site La Tecnologia evolve velocemente ed anche gli esperti IT più competenti hanno bisogno di una formazione costante per tenere il passo Come

Dettagli

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 Tel: 0287186784 Fax: 0287161185 info@conformisinfinance.it pec@pec.conformisinfinance.it www.conformisinfinance.it Obiettivi

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

2 PRINCIPI E VALORI CAP. 2.0 PRINCIPI E VALORI 2.1 SCOPO 2.2 PRINCIPI. 2.2.1 Inclusività

2 PRINCIPI E VALORI CAP. 2.0 PRINCIPI E VALORI 2.1 SCOPO 2.2 PRINCIPI. 2.2.1 Inclusività Pag. 24 / 69 2 2.1 SCOPO Formalizzare e rendere noti a tutte le parti interessate, i valori ed i principi che ispirano il modello EcoFesta Puglia a partire dalla sua ideazione. 2.2 PRINCIPI Il sistema

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa La gestione della Sicurezza nel Gruppo CRIF La struttura organizzativa INFOSECURITY Milano 16/03/2010 Agenda Presentazione Gruppo CRIF Struttura organizzativa Security nel Gruppo CRIF 2 CRIF al servizio

Dettagli

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300)

Sinottico. Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Sinottico Cobit 4.0 ISO 27001 (AS/NZS 4360 NIST 800-300) Indice generale Cobit 4.0...2 Pianificazione...2 Organizzazione...2 Acquisizione...3 Implementazione...3 Rilascio...4 Supporto...4 Monitoraggio/Valutazione...5

Dettagli

IT Value. Referenze di Progetto. Settembre 2013

IT Value. Referenze di Progetto. Settembre 2013 IT Value Referenze di Progetto Settembre 2013 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione di Applicativi per il Credit

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

Il Ruolo del Dottore Commercialista nell implementazione del modello

Il Ruolo del Dottore Commercialista nell implementazione del modello S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO SISTEMI DI COMPLIANCE E DECRETO LEGISLATIVO 231 DEL 2001 Il Ruolo del Dottore Commercialista nell implementazione del modello Dott. Michele Milano 1 29 novembre

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Esercizi per la redazione del Business Plan

Esercizi per la redazione del Business Plan Esercizi per la redazione del Business Plan Una società intende iniziare la sua attività l 1/1/2010 con un apporto in denaro di 20.000 euro. Dopo aver redatto lo Stato Patrimoniale iniziale all 1/1/2010

Dettagli

La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria

La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria La Sicurezza Informatica:dal risk analysis al risk management, standard di sicurezza internazionali ISO/IEC 27001:2005, ITSEC, Common Criteria Catania 22 Settembre 2006 Presentazione Relatore Nome: Ombretta

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi.

Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi. Salute e sicurezza: una priorità per tutte le organizzazioni. Lo standard OHSAS 18001 può aiutarvi a gestire al meglio i rischi. BSI vi aiuta a gestire i rischi e ad accrescere il benessere aziendale.

Dettagli

Regolamento Q.C.B. Italia di certificazione dei Sistemi di Gestione

Regolamento Q.C.B. Italia di certificazione dei Sistemi di Gestione Regolamento Q.C.B. Italia di certificazione dei Sistemi di Gestione Revisione ITA4 Settembre 2010 Regolamento Q.C.B. Italia SG ITA4 Set 10- pag. 1/15 Contenuti ll presente regolamento si applica per la

Dettagli

La sicurezza ICT nelle PMI: quale approccio?

La sicurezza ICT nelle PMI: quale approccio? La sicurezza ICT nelle PMI: quale approccio? Marco Bozzetti Presidente ClickICT Srl David Bramini Senior Consultant - Visionest S.p.A. > Il ruolo crescente dell ICT nelle PMI Con il termine ICT, Information

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Le fattispecie di riuso

Le fattispecie di riuso Le fattispecie di riuso Indice 1. PREMESSA...3 2. RIUSO IN CESSIONE SEMPLICE...4 3. RIUSO CON GESTIONE A CARICO DEL CEDENTE...5 4. RIUSO IN FACILITY MANAGEMENT...6 5. RIUSO IN ASP...7 1. Premessa Poiché

Dettagli

gestione documentale dalla dematerializzazione dei documenti alla digitalizzazione dei processi fino all azienda digitale

gestione documentale dalla dematerializzazione dei documenti alla digitalizzazione dei processi fino all azienda digitale gestione documentale dalla dematerializzazione dei documenti alla digitalizzazione dei processi fino all azienda digitale Gestione documentale Gestione documentale Dalla dematerializzazione dei documenti

Dettagli

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting Symantec / ZeroUno Executive lunch IT Security & Risk Management Riccardo Zanchi - Partner NetConsulting 25 settembre 2008 Agenda Il contesto del mercato della security I principali risultati della survey

Dettagli

Il Programma di razionalizzazione della spesa per beni e servizi della P.A.

Il Programma di razionalizzazione della spesa per beni e servizi della P.A. Il Programma di razionalizzazione della spesa per beni e servizi della P.A. Seminario sulle Convenzioni CONSIP in ambito ICT 28 Novembre 2003 Palazzo del Consiglio Regionale Sala Sinni Agenda 1. Apertura

Dettagli

EasyGov Solutions Srl. Start-up del Politecnico di Milano

EasyGov Solutions Srl. Start-up del Politecnico di Milano EasyGov Solutions Srl Start-up del Politecnico di Milano Continuità Operativa ICT e Disaster Recovery 2 Il contesto - 1 Continuità operativa Generale Persone, Impianti, Infrastrutture, documenti, norme,

Dettagli

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l.

Balance GRC. Referenze di Progetto. Settembre 2013. Pag 1 di 18 Vers. 1.0. BALANCE GRC S.r.l. Balance GRC Referenze di Progetto Settembre 2013 Pag 1 di 18 Vers. 1.0 Project Management Anno: 2012 Cliente: ACEA SpA Roma Durata: 1 anno Intervento: Gestione dei progetti riguardanti l implementazione

Dettagli

CAPOGRUPPO BANCARIA Direttive e Manuali di Gruppo Direttive di Gruppo

CAPOGRUPPO BANCARIA Direttive e Manuali di Gruppo Direttive di Gruppo AZIENDA: BANCA MONTE DEI PASCHI DI SIENA SPA STRUTTURA EMANANTE: (6974) SERV.ORG. OPERATIVA CODICE TESTO: D 00992 002 DATA PUBBLICAZIONE: 12/10/2006 OGGETTO: Direttiva di Gruppo in materia di Business

Dettagli

(CAI) e ISO/IEC 17799: un metodo di verifica

(CAI) e ISO/IEC 17799: un metodo di verifica 1/50 Centrale d Allarme d Interbancaria (CAI) e ISO/IEC 17799: un metodo di verifica Roma, 25 novembre 2003 Agatino Grillo, CISA, CISSP EUROS Consulting 2/50 Sommario CAI - Centrale d Allarme Interbancaria

Dettagli

nova systems roma Services Business & Values

nova systems roma Services Business & Values nova systems roma Services Business & Values Indice 1. SCM: Security Compliance Management... 3 2. ESM: Enterprise Security Management... 4 3. IAM: Identity & Access Management... 4 4. IIM: Information

Dettagli

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Procedure d emergenza e Business Continuity Plan Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Loreto Ottobre 2011 La business continuity è in sostanza l insieme di attività

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Occupational Health and Safety Assessment Series OHSAS 18001: 1999

Occupational Health and Safety Assessment Series OHSAS 18001: 1999 OHSAS 18001:1999 Sistemi di Gestione della tutela della salute e della sicurezza sul posto di lavoro Specifiche Traduzione in lingua italiana dei principali riferimenti,per esclusivo uso interno. Il presente

Dettagli

Disaster Recovery: Aspetti tecnico-organizzativi

Disaster Recovery: Aspetti tecnico-organizzativi Disaster Recovery: Aspetti tecnico-organizzativi Business Continuity and Recovery Services IBM Italia 2002 IBM Corporation 2005 IBM Corporation LA CONTINUITÀ OPERATIVA La continuità operativa ha un perimetro

Dettagli

BUSINESS CONTINUITY. Newsletter n. 8 2014. Know how in pillole: Dicembre 2014. Che cosa si intende per Business Continuity?

BUSINESS CONTINUITY. Newsletter n. 8 2014. Know how in pillole: Dicembre 2014. Che cosa si intende per Business Continuity? Care Colleghe, Cari Colleghi, prosegue la serie delle Newsletter legate agli Schemi di Certificazione di AICQ SICEV esistenti o in fase di costituzione. Questa volta la pillola formativa si riferisce alla

Dettagli

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007 Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,

Dettagli

LINEE GUIDA PER L APPLICAZIONE DELLA NORMA UNI EN ISO 9001:2008 IN ORGANIZZAZIONI CHE EROGANO SERVIZI E OPERANO PER PROGETTI, PRATICHE O COMMESSE

LINEE GUIDA PER L APPLICAZIONE DELLA NORMA UNI EN ISO 9001:2008 IN ORGANIZZAZIONI CHE EROGANO SERVIZI E OPERANO PER PROGETTI, PRATICHE O COMMESSE LINEE GUIDA PER L APPLICAZIONE DELLA NORMA UNI EN ISO 9001:2008 IN ORGANIZZAZIONI CHE EROGANO SERVIZI E OPERANO PER PROGETTI, PRATICHE O COMMESSE ottobre 2010 SCOPO E CAMPO DI APPLICAZIONE Scopo delle

Dettagli

Standard per la Certificazione della Sicurezza dell Informazione

Standard per la Certificazione della Sicurezza dell Informazione Standard per la Certificazione della Sicurezza dell Informazione Ing. Emilio Montolivo Amtec-Securteam emilio.montolivo@elsagdatamat.it Roma, 17 aprile 2007 Parte 1 Concetti Introduttivi Che cos è la certificazione?

Dettagli

1- Corso di IT Strategy

1- Corso di IT Strategy Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso

Dettagli

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007)

La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) La risk analisys tra metodologie standard e tecniche proprietarie (ICT Security - giugno 2007) Con questo articolo intendiamo porre a confronto seppure in maniera non esaustiva le tecniche di analisi dei

Dettagli

SOMMARIO. Mission del libro e ringraziamenti

SOMMARIO. Mission del libro e ringraziamenti L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO

Dettagli

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni

Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni Come rappresentare l azienda ai fini della gestione della sicurezza delle informazioni (a cura di M Cecioni CISA - Securteam) 19 dicembre 2006 Pag. 1 INDICE DELLA PRESENTAZIONE : 1. L'esigenza 2. Perchè

Dettagli

Eugenio Orlandi AMA S.p.A. Roma www.amaroma.it

Eugenio Orlandi AMA S.p.A. Roma www.amaroma.it Sicurezza informatica, pianificazione e gestione delle emergenze informatiche in una Public Utility: l esperienza di AMA Eugenio Orlandi AMA S.p.A. Roma www.amaroma.it AMA S.p.A. : Mission raccolta, trasporto,

Dettagli

I livelli di Sicurezza

I livelli di Sicurezza Appendice Allegato D Allegato Tecnico I livelli di Sicurezza TC.Marketing ICT Appendice Allegato Tecnico 1 Indice del documento 1 La sicurezza dei Data Center di Telecom Italia... 3 1.1 Sicurezza dei processi

Dettagli