I criteri di valutazione/certificazione. Common Criteria e ITSEC

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "I criteri di valutazione/certificazione. Common Criteria e ITSEC"

Transcript

1 Valutazione formale ai fini della certificazione della sicurezza di sistemi o prodotti IT I criteri di valutazione/certificazione Common Criteria e ITSEC Alla fine degli anni ottanta in Europa si cominciò a sentire l esigenza di sviluppare criteri di valutazione della sicurezza che, partendo dai vecchi criteri nazionali esistenti, mirassero alla loro armonizzazione. Il risultato di questa iniziativa fu la nascita dei Criteri ITSEC, pubblicati per la prima volta nel maggio del 1990, a cui fece seguito nel 1999 la pubblicazione dei Common Criteria (ISO/IEC 15408). I criteri ITSEC/Common Criteria trattano il tema della sicurezza, per sistemi e prodotti informatici, nelle loro tre componenti fondamentali: Funzionalità (ciò che il sistema deve fare per la sicurezza) Efficacia (in che misura le contromisure contrastano le minacce) Correttezza (come le contromisure sono state implementate) Ogni valutazione offre così la garanzia che le funzioni di sicurezza dell oggetto valutato sono progettate ed implementate correttamente ed efficacemente, in modo tale da soddisfare gli obiettivi di sicurezza e non presentare vulnerabilità sfruttabili. Tale garanzia è definita su diversi livelli di garanzia che rappresentano una fiducia crescente nelle capacità del sistema o del prodotto di soddisfare i suoi obiettivi di sicurezza. La funzionalità suddetta è definita, da chi richiede la valutazione, in un documento formale definito Traguardo di Sicurezza ( Security Target ), che nel caso di valutazioni Common Criteria può essere derivato da un Profilo di Protezione ( Protection Profile ) di riferimento. Tale documento fornisce il legame tra tutti gli aspetti di sicurezza (organizzativi, fisici, tecnico-informatici, procedurali, etc.), comprendendo l esplicitazione non ambigua degli obiettivi da raggiungere, delle minacce, della politica di sicurezza, delle funzioni che implementano la sicurezza e del livello di garanzia richiesto. Sulla base del Traguardo di Sicurezza e della documentazione di progetto necessaria (che dipende dal livello di garanzia richiesto), l attività di valutazione comprende analisi di correttezza e di efficacia che considerano aspetti relativi allo sviluppo e all esercizio dell ODV. La valutazione dell efficacia è completata con prove di intrusione volte a dimostrare la non sfruttabilità delle vulnerabilità residue del sistema/prodotto. In Italia le certificazioni rilasciate dall'ocsi sono riconosciute a livello internazionale. I servizi offerti Valutazioni Formali Servizio dedicato alle organizzazioni che forniscono prodotti e sistemi con la necessità di offrire un adeguato livello di sicurezza ICT. Gli scopi di una valutazione di un prodotto/sistema sono molteplici. Per l'utenza finale, la valutazione consente di avere una base per confrontare le prestazioni, in materia di sicurezza, dei vari prodotti IT. Per il fornitore/sviluppatore, la valutazione stabilisce la volontà di dimostrare che le prestazioni di sicurezza dichiarate sono effettive, in quanto verificate in modo obiettivo e riproducibile, da una terza parte. Assistenza al cliente IMQ/LPS è in grado di supportare le organizzazioni interessate all ottenimento di una certificazione di sicurezza ICT negli schemi nazionali fin dal

2 : VALUTAZIONE FORMALE AI FINI DELLA CERTIFICAZIONE DELLA SICUREZZA DI SISTEMI O PRODOTTI IT momento in cui la certificazione è solo un ipotesi arrivando a coprire tutte le fasi operative di un processo di certificazione, denominate Preparazione, Conduzione e Chiusura e le attività necessarie al mantenimento nel tempo del certificato ottenuto. I servizi forniti sono: supporto alla definizione di cosa certificare (l Oggetto della Valutazione/Certificazione - ODV) tenendo conto dell esigenza di minimizzare tempi e costi; conduzione di un analisi di fattibilità mirata stimare la valutabilità/certificabilità di un sistema/prodotto ICT ad un livello di garanzia stabilito; formalizzazione dei requisiti di sicurezza in un Profilo di Protezione, documento che descrive in modo indipendente dalla tecnologia (technology neutral) i requisiti di sicurezza di una categoria di prodotti informatici che soddisfano particolari esigenze dei potenziali consumatori (ad esempio: firewall, database, dispositivi sicuri per la firma digitale ai sensi della direttiva europea ). Si rammenta che i Protection Profile certificati Common Criteria possono anche essere usati nella definizione dei criteri di selezione di fornitori di prodotti ICT o per la stesura di capitolati tecnici di gara; supporto alla produzione della documentazione richiesta per avviare il processo di certificazione, ovvero del Traguardo di Sicurezza e del Piano di Valutazione dell ODV per lo schema di certificazione nazionale di riferimento; supporto alla produzione della documentazione richiesta al Fornitore nel corso della valutazione/certificazione, ovvero di documenti di correttezza (come il sistema è stato implementato) e di efficacia (in che misura le contromisure contrastano le minacce); supporto alla gestione e al mantenimento della certificazione. Benefici per il cliente La certificazione secondo criteri standard internazionalmente riconosciuti fornisce un unità di misura per la sicurezza informatica presentando una serie di vantaggi, tra i quali: aumento del prestigio dell azienda e riconoscimento a livello internazionale del risultato della valutazione/certificazione; attribuzione di un significato noto e non ambiguo al risultato della valutazione/certificazione; agevolazione del confronto tra il livello di sicurezza di sistemi e prodotti diversi; maggior appeal del prodotto rispetto a prodotti con caratteristiche di sicurezza equivalenti, ma non certificati; riuso della certificazione in caso di integrazione dell ODV in un diverso sistema/prodotto ICT di cui è richiesta la certificazione; possibilità di fornire evidenze oggettive nei contesti contrattuali o legislativi in cui sono richieste. Mod. 476A/1 2010/ Med.

3 Assistenza tecnica e normativa IMQ possiede le competenze necessarie per poter comprendere le esigenze delle direzioni di business e risolverne i problemi di sicurezza e aiutare le aziende interessate ad approfondire i temi e i principali standard di riferimento nel settore della sicurezza ICT o che necessitano di un supporto specialistico nell identificare la migliore soluzione possibile per innalzare il livello di sicurezza dell organizzazione assicurando la migliore coniugazione tra esperienza e competenze per consentire alle aziende di allineare le esigenze di sicurezza ICT con gli obiettivi del business. Esempi di servizi offerti Supporto nelle attività di ICT Risk Assessment & Management; Supporto alla redazione del Documento Programmatico per la Sicurezza (DPS); Supporto alla redazione della Business Impact Analysis; Analisi delle necessità o di eventuali criticità di sicurezza di un Sistema o di una rete IT utile in particolare per le aziende che si accingono a quantificare gli investimenti necessari per ottenere un adeguato livello di protezione; Definizione e formalizzazione dei requisiti di sicurezza all interno di capitolati tecnici per la selezione di fornitori di sistemi IT; Incontri finalizzati ad approfondire i contenuti delle principali norme e standard di riferimento sulla sicurezza ICT (ISO/IEC 27001/27002, BS 25999, ISO/IEC 2000,..) o ad innalzare il livello di consapevolezza del personale preposto alla gestione di informazioni la cui sicurezza è critica per il business dell azienda. Mod. 476B/1 2010/ Med.

4 Audit Dopo anni di esperienza maturata nella valutazione formale della sicurezza dei sistemi informatici utilizzati sia in ambito commerciale che in ambito militare/governativo, IMQ è in grado di fornire un offerta personalizzabile secondo le esigenze del cliente: un servizio vantaggioso sia per coloro che necessitano di verificare i vari aspetti che concorrono alla sicurezza delle informazioni critiche per il business dell organizzazione, sia per le aziende che si accingono a quantificare gli investimenti necessari a gestire in sicurezza le informazioni critiche per il proprio business. I servizi offerti Con metodologia derivata dalle migliori best practice applicabili IMQ effettua, con un approccio modulare che risponde alle effettive esigenze del cliente, audit relativi ai seguenti aspetti: Sicurezza fisica delle sedi dell organizzazione cliente (misure di protezione del perimetro fisico, servizi di vigilanza e monitoraggio); Sicurezza dell infrastruttura di supporto all erogazione dei servizi ICT (connettività, energia, impianti, etc.); Sicurezza organizzativa (ruoli e responsabilità, formazione, policy e procedure di sicurezza ICT, procedure di segnalazione e gestione di incidenti informatici, etc.); Sicurezza logica e di rete (gestione e configurazione di firewall, Router, Access Point, copertura delle principali vulnerabilità tecniche dei sistemi IT, etc. ); Rispetto delle cogenze applicabili nella gestione dei dati e dei sistemi ICT (Privacy e sicurezza dei dati, copyright, log retention, fatturazione elettronica e conservazione elettronica sostitutiva etc.); Continuità operativa dei processi che supportano il business del cliente e checkup dell infrastruttura tecnologica; Verifiche di seconda parte sugli outsourcer di servizi ICT; Verifiche di prima o di seconda pare sul rispetto di Politiche di Sicurezza emanate da una capogruppo o di Capitolati tecnici di gara. Le attività di audit possono avere carattere periodico per rispondere alla necessità del cliente di garantire nel tempo il livello di sicurezza ICT desiderato, assicurando l adeguata copertura dei rischi informatici in uno scenario tecnologico in continua evoluzione. Benefici per il cliente Un organizzazione che si affida ad un ente terzo, quale IMQ, per la conduzione di un audit di sicurezza può gestire in maniera oculata gli investimenti per la sicurezza ICT indirizzandoli solo dove serve ovvero dove si evidenzia la maggiore esposizione a rischi informatici. Inoltre l organizzazione può utilizzare i risultati dell audit per ridurre i costi della non sicurezza dovuti a: danni economici diretti a seguito di perdita o indisponibilità dei dati critici gestiti; danni economici indiretti a causa della perdita di immagine verso i propri clienti; danni economici indiretti a seguito di eventuali problemi legali/contrattuali. Mod. 476C/2 2010/ Med.

5 Attestazioni di conformità In tutti i casi in cui una certificazione di terza parte rispetto ad uno standard non è possibile, IMQ può supportare le aziende per dare valore aggiunto al proprio sistema/prodotto/servizio ICT (Oggetto di Valutazione, nel seguito ODV) mediante un percorso finalizzato al rilascio di un attestazione di conformità: rispetto ad un insieme di requisiti di sicurezza informatica, definiti tenendo conto di tutti gli eventuali obblighi contrattuali e legislativi applicabili all organizzazione richiedente l attestazione e da essa condivisi e validati e a fronte di un attività di verifica secondo una metodologia predisposta ad hoc e definita nel rispetto di logiche di efficienza ed efficacia e tenendo conto di tutti gli standard di riferimento applicabili. Tale metodologia viene preliminarmente condivisa con l organizzazione richiedente l attestazione e da essa approvata e, in taluni contesti, può essere appropriato coinvolgere in questa fase anche altri soggetti che possono considerarsi parti interessate nella valutazione dell ODV. Il servizio offerto Tipicamente le fasi in cui è strutturata un attività di attestazione di conformità sono: analisi delle necessità di sicurezza che l ODV intende soddisfare. In genere infatti non è sempre subito chiaro, parlando di sicurezza delle informazioni, se si desidera attestare la capacità di un ODV di garantire l integrità e/o la confidenzialità e/o la disponibilità dei dati critici gestiti (memorizzati o trasmessi) o del servizio offerto; formalizzazione e approvazione dell insieme dei requisiti di sicurezza che devono essere garantiti dall ODV; formalizzazione della metodologia di conduzione dell audit da parte del laboratorio di valutazione e sua approvazione da parte dell azienda richiedente l attestazione; definizione della checklist di riferimento per la conduzione dell attività di audit; conduzione dell audit, sia sulla base di interviste, sia sulla base di verifiche in campo del corretto funzionamento e della corretta configurazione del sistema/prodotto/servizio ICT oggetto di analisi; redazione del report di audit, in cui è riportato in dettaglio l insieme delle evidenze raccolte durante l audit; rilascio dell attestazione di conformità dell ODV ai requisiti di sicurezza inizialmente formalizzati. Benefici per il cliente Un attestazione di conformità ha una duplice valenza: dal punto di vista di un fornitore essa può servire a valorizzare sul mercato un proprio sistema/prodotto/servizio ICT, mentre, dal punto di vista di un possibile committente, può essere di ausilio alla definizione accurata dei criteri per la selezione dei propri fornitori. Esempi di attestazioni di conformità rilasciate in ambiti specifici Attestazione di conformità Q&S_CS del livello di qualità e sicurezza nella conservazione elettronica sostitutiva Attestazione di conformità alle norme CEI 79-5/1/2/3 dei protocolli di comunicazione per il trasferimento di informazioni di sicurezza (allarmi) tra una Centrale d Allarme (CA) e un Centro di Supervisione e Controllo (CSC) Attestazioni di conformità di un sistema di Business Continuity e Disaster Recovery ai requisiti derivati da una Business Impact Analysis (BIA) Attestazioni di conformità in ambito Privacy Mod. 476D/2 2010/ Med.

6 Gap Analysis Alle organizzazioni interessate ad avere una stima di quanto i propri processi aziendali distano da uno specifico standard di riferimento per i Sistemi di Gestione nel mondo dell IT, IMQ offre un servizio di Gap Analysis condotto mediante interviste mirate, analisi della documentazione in uso e sopralluogo nella sede del cliente. Tale servizio, propedeutico all implementazione di un Sistema di Gestione certificabile e di estremo valore riconosciuto nelle valutazioni eseguite dai team degli organismi di Certificazione incaricati, è mirato alla produzione di un report tecnico che può costituire il punto di riferimento per monitorare, con uno o più interventi di Checkup ad hoc, su richiesta del cliente, lo stato di avanzamento delle attività intraprese per colmare il Gap evidenziato. I servizi offerti Gap analysis rispetto alla norma ISO/IEC Servizio dedicato alle organizzazioni sensibili al tema della sicurezza delle informazioni. La sicurezza delle informazioni è un concetto che supera il puro fatto tecnologico, la sicurezza è un processo che si rivolge alle persone componenti l'organizzazione ed alle modalità in cui le persone utilizzano la tecnologia a loro disposizione. La norma ISO/IEC è lo standard per la gestione della sicurezza delle informazioni che mira a preservare l'informazione, in qualsiasi forma essa sia presente nell'organizzazione, in termini di confidenzialità, integrità e disponibilità. Queste, che sono le tre componenti fondamentali della sicurezza dell'informazione, sono anche le componenti fondamentali da cui dipendono la competitività dell'azienda, i suoi profitti, il suo rispetto di obblighi legislativi e in definitiva la sua immagine commerciale. Gap Analysis rispetto alla norma BS Servizio dedicato alle organizzazioni sensibili al tema della continuità operativa. La Norma BS è la prima norma al mondo sulla gestione della continuità operativa, oggi un requisito fondamentale per qualsiasi organizzazione che opera in realtà economiche nazionali ed internazionali. La continuità nell erogazione di servizi o nella consegna di prodotti costituiscono un bene con associato un valore economico e pertanto devono essere adeguatamente protette da un'ampia gamma di minacce al fine di garantire il regolare svolgimento delle attività aziendali, minimizzare i danni all'azienda (economici e/o d'immagine) e massimizzare i ritorni degli investimenti. Per garantire tale continuità operativa è necessario mettere in atto un opportuno insieme di misure, quali politiche, prassi operative, procedure e strutture organizzative, che consentano all azienda il soddisfacimento dei propri obiettivi di continuità operativa. Gap Analysis rispetto alla norma ISO/IEC Il servizio è dedicato ai fornitori di servizi IT sensibili al tema IT Service management. La norma ISO/IEC è il riferimento a livello mondiale per le organizzazioni, IT Service Provider, che intendono dare evidenza della corretta impostazione, gestione ed erogazione di servizi IT, che possono essere erogati all interno della propria organizzazione, o esternamente verso clienti di qualunque settore merceologico, pubblico o privato. La norma è completata dalla ISO/IEC , una guida di approfondimento di ausilio alle organizzazioni nell implementazione di un Sistema di Gestione dei Servizi IT efficace ed efficiente. Affinché un organizzazione sia certificabile secondo la ISO/IEC devono inoltre essere rispettati alcuni requisiti che hanno carattere obbligatorio ai sensi della ISO/IEC , in particolare: eleggibilità della certificazione ISO/IEC per il Service Provider eleggibilità dei processi che il Service Provider intende far rientrare nello scopo della certificazione della ISO/IEC Mod. 476E/0 2010/ Med.

7 Q&S_CS - valutazione e attestazione di conformità del sistema di conservazione elettronica sostitutiva La conservazione elettronica sostitutiva dei documenti, prerequisito anche per la fatturazione elettronica, è regolamentata da una complessa normativa che impone alle organizzazioni un insieme di misure organizzative, procedurali, fisiche e tecniche atte a garantire la corretta esecuzione delle attività di conservazione e l integrità nel tempo dei documenti conservati. Il servizio offerto Q&S_CS, ovvero Qualità e Sicurezza nella Conservazione Sostitutiva, è il nome dello schema di valutazione e attestazione di IMQ per valorizzare l impegno operato dall organizzazione richiedente per attuare il sistema di conservazione sostitutiva o fatturazione elettronica ed avere evidenza che siano state adottate misure e accorgimenti allo stato dell arte esempio architettura di sicurezza della rete,...); e su un attività di audit in campo, per la ricerca di evidenze di conformità rispetto ai requisiti relativi a: Presenza della documentazione richiesta (nomine, deleghe, attestazioni, procedure, etc); Funzionalità del sistema IT utilizzato; Misure di sicurezza (IT, fisica, procedurale, organizzativa); Corretta applicazione delle procedure documentate; Validità delle firme digitali, dei certificati e delle marche temporali; Verifica della corrispondenza tra le impronte contenute nelle evidenze informatiche e le impronte direttamente ottenibili a partire dai documenti informatici cui si riferiscono; Adempimenti fiscali (comunicazione del luogo di conservazione, pagamento bolli, integrazione fatture, etc.). L attestazione Q&S_CS si basa su una specifica sviluppata da IMQ a partire dalle cogenze applicabili e da best practice derivate dagli standard internazionali di riferimento per quanto riguarda Qualità (ISO 9001) e Sicurezza delle informazioni (ISO/IEC 27001). Lo schema si basa su un attività di analisi documentale che prevede la valutazione dei seguenti aspetti: Analisi del Manuale della Conservazione Sostitutiva; Analisi del DPS, ove applicabile; Analisi delle procedure operative e di sicurezza richieste dalla normativa; Analisi della modulistica per la raccolta/selezione/analisi dei dati relativi alla gestione del processo di conservazione sostitutiva; Analisi di eventuale ulteriore documentazione di supporto consegnata (ad Il processo di conservazione sostitutiva adottato sia esso implementato in-house oppure tutto o in parte in outsourcing sarà riesaminato periodicamente e rivalutato ogni tre anni. A chi è rivolto Alle aziende private e pubbliche che effettuano la Conservazione Sostitutiva dei documenti informatici o cartacei o la Fatturazione Elettronica e che vogliono avere l evidenza di implementare il processo senza trascurare importanti aspetti di sicurezza ICT, normativi e fiscali. Agli outsourcer di Servizi di Conservazione Sostitutiva o di Fatturazione elettronica che vogliono dare ulteriore valore aggiunto alla certificazione secondo la ISO/IEC

8 : Q&S_CS - VALUTAZIONE E ATTESTAZIONE DI CONFORMITÀ DEL SISTEMA DI CONSERVAZIONE ELETTRONICA SOSTITUTIVA del proprio sistema di gestione per la sicurezza delle informazioni (SGSI) e comunicare chiaramente ai propri clienti che nell attuazione del sistema di conservazione sostitutiva o fatturazione elettronica sono adottate misure e accorgimenti allo stato dell arte, al cui adeguatezza è monitorata nel tempo. Gli obiettivi Il servizio di attestazione della Qualità e Sicurezza nella conservazione Sostitutiva sviluppato da IMQ permette alle organizzazioni clienti di ottenere l attestazione di una terza parte indipendente che il processo di conservazione elettronica sostitutiva da loro implementato: soddisfa i requisiti di qualità e sicurezza definiti da IMQ sulla base delle cogenze applicabili; è coerente con best practice di qualità e sicurezza derivate dalle norme internazionali applicabili: (ISO 9001, ISO/IEC 27001). migliorare i propri processi, ovviando ad eventuali lacune individuate, dall altra fornisce evidenza dell impegno operato per adempiere alla complessa normativa e di aver adottato le misure e gli accorgimenti allo stato dell arte. L organizzazione richiedente ottiene inoltre: Garanzia che, con l ausilio delle visite di sorveglianza previste, il processo di conservazione sostitutiva sia mantenuto allineato con la prevedibile evoluzione normativa. Supporto tecnico-specialistico nell effettuazione di audit di seconda parte presso l eventuale outsourcer di conservazione sostitutiva, qualora previsto contrattualmente, come auspicabile e suggerito anche dallo standard di riferimento per la gestione della sicurezza delle informazioni ISO/IEC I vantaggi per i clienti Con l attestazione Q&S_CS, l organizzazione richiedente ottiene il giudizio di una terza parte indipendente sul proprio processo di Conservazione Sostitutiva per quanto concerne aspetti organizzativi, procedurali, di sicurezza ICT e di natura fiscale/tributaria, in particolare sull assenza di gravi inadempienze rispetto a quanto previsto dalla normativa. Tale giudizio, formulato mediante una serie di osservazioni e raccomandazioni, da un lato permette all organizzazione di Mod. 476g/0 2010/ Med.

9 Privacy Il Codice Privacy (D.LGS 196/2003) richiede di ridurre al minimo i rischi di distruzione, perdita o accesso non autorizzato dei dati personali oggetto di trattamento, in relazione al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, mediante l'adozione di idonee e preventive misure di sicurezza. L allegato B al Codice individua puntualmente alcune misure di sicurezza (tecniche, informatiche, organizzative, logistiche e procedurali) che delineano il livello minimo di protezione dei dati che è obbligatorio garantire in caso di trattamento dei dati mediante strumenti elettronici. Tra le misure minime è contemplato l obbligo per chi tratta dati sensibili o giudiziari mediante strumenti elettronici di predisporre e rivedere annualmente il Documento programmatico per la Sicurezza (DPS). Chiunque ometta di adottare le misure minime previste è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro. I servizi offerti IMQ può aiutare le aziende interessate ad avere una ragionevole fiducia che i propri sistemi ICT implementino non solo tutte le misure di sicurezza tecniche minime previste dalla normativa sulla privacy ma che tali misure siano anche adeguate, e quindi allo stato dell arte, e supportate da misure organizzative e procedurali che tengano conto dei provvedimenti emanati dal Garante per la Protezione dei dati personali, offrendo i seguenti servizi: Analisi dei Rischi IMQ può supportare un organizzazione nella conduzione dell analisi dei rischi, contenuto obbligatorio del DPS, e nella selezione e implementazione dell insieme di contromisure idonee che consentono un efficace riduzione dei rischi identificati in relazione al progresso tecnologico. Supporto alla redazione della documentazione richiesta Supporto alla redazione della documentazione richiesta dalla normativa, come ad es., DPS, nomine formali, etc. Audit di Sicurezza sulla Privacy, con eventuale attestazione di conformità Effettuazione di audit di sicurezza su un sistema informativo volto a garantire il rispetto di un insieme di requisiti derivati dall allegato B al D.LGS 196/2003 e dai principali provvedimenti del Garante. In caso di esito positivo dell audit potrà essere rilasciato un attestato di conformità comprovante il rispetto dei requisiti verificati. Audit di seconda parte sugli outsourcer Supporto tecnico-specialistico per l effettuazione di audit di seconda parte presso un eventuale outsourcer a cui sia affidata la gestione di dati personali/sensibili, qualora previsto contrattualmente, come auspicabile e consigliato dagli standard di riferimento per i sistemi di gestione per la sicurezza delle informazioni ISO/IEC e ISO/IEC Assistenza normativa Incontri mirati a chiarire e ad approfondire specifici temi inerenti la normativa relativa alla privacy e protezione dei dati o ad innalzare il livello di consapevolezza dei dipendenti di organizzazioni preposti al trattamento di dati sensibili o giudiziari. Mod. 476F/1 2010/ Med.

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT

IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ PER LE AZIENDE CON ESIGENZE DI VALUTAZIONE/CERTIFICAZIONE FORMALE DELLE CARATTERISTICHE DI SICUREZZA DEI PROPRI SISTEMI O PRODOTTI IT IMQ per le aziende con esigenze di valutazione/ certificazione

Dettagli

IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6

IMQ Funzione Sistemi di Gestione Area Security ICT. Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6 IMQ Funzione Sistemi di Gestione Area Security ICT Servizio di Valutazione della conformità ai protocolli CEI 79-5 e 79-6 1/11 Funzione Sistemi di Gestione - Area Security ICT Settori di competenza dell

Dettagli

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2

Certificazione Sistemi di Gestione per la Continuità Operativa. (BCM - Business Continuity Management) - Norma BS 25999-2 Garantire la continuità operativa in caso di interruzioni, siano esse dovute a incidenti gravi o inconvenienti minori, rappresenta oggi un requisito fondamentale per qualsiasi organizzazione che opera

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Gli standard e la certificazione di sicurezza ICT

Gli standard e la certificazione di sicurezza ICT Gli standard e la certificazione di sicurezza ICT Ing. Gianfranco Pontevolpe Responsabile Ufficio Tecnologie per la sicurezza Centro Nazionale per l Informatica nella Pubblica Amministrazione Definizione

Dettagli

5.1.1 Politica per la sicurezza delle informazioni

5.1.1 Politica per la sicurezza delle informazioni Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011

Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo. 14 Aprile 2011 Un approccio integrato e innovativo alla compliance aziendale: da obbligo normativo a vantaggio competitivo 14 Aprile 2011 LA COMPLIANCE : DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO 1. Il tema della

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

Sicurezza le competenze

Sicurezza le competenze Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche

Dettagli

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi

Sessione di Studio AIEA-ATED. La gestione del rischio informatico nel framework dei rischi operativi Sessione di Studio AIEA-ATED La gestione del rischio informatico nel framework dei rischi operativi 24 Novembre 2014 Agenda La gestione del rischio operativo nel Gruppo ISP La gestione degli eventi operativi

Dettagli

La valutazione della sicurezza

La valutazione della sicurezza La valutazione della sicurezza Bernardo Palazzi con il contributo di Maurizio Pizzonia Valutazione della sicurezza valutazione: processo in cui si verificano requisiti di sicurezza in maniera quanto più

Dettagli

Nota informativa ISO/IEC 27001 Il processo di valutazione

Nota informativa ISO/IEC 27001 Il processo di valutazione Nota informativa ISO/IEC 27001 Il processo di valutazione Introduzione Questa nota informativa ha lo scopo di introdurre le fasi principali del processo di valutazione LRQA riferito al Sistema di Gestione

Dettagli

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu

CEPAS srl Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.eu Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER ISMS OR / RESPONSABILI

Dettagli

Documento Programmatico sulla Sicurezza

Documento Programmatico sulla Sicurezza Pagina 1 di 1 Documento Programmatico sulla Sicurezza Decreto Legislativo 196/2003 Indice INDICE Rev 2 Pagina 1 di 1 INDICE 01 PRESENTAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 02 ELENCO DEI TRATTAMENTI

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M.

S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M. S o c i e t à s p e c i a l i z z a t a i n s e r v i z i d i c o n s u l e n z a e d i S y s t e m I n t e g r a t o r p e r P. A e P. M. I C o n s u l e n z a S e t t o r e I T - C o n s u l e n z a

Dettagli

STT e BS7799: traguardo ed evoluzione in azienda

STT e BS7799: traguardo ed evoluzione in azienda STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS GETSOLUTION Via Ippolito Rosellini 12 I 20124 Milano Tel: + 39 (0)2 39661701 Fax: + 39 (0)2 39661800 info@getsolution.it www.getsolution.it AGENDA Overview

Dettagli

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB Codice documento: Classificazione: 1-CMS-2010-005-01 Società Progetto/Servizio Anno N. Doc Versione Pubblico

Dettagli

IL KIT DELL ORGANISMO DI VIGILANZA PER LA SICUREZZA SUL LAVORO

IL KIT DELL ORGANISMO DI VIGILANZA PER LA SICUREZZA SUL LAVORO I PRODOTTI DI Modelli per la valutazione dei rischi, Kit, Linee guida, Il Kit dell Organismo di Vigilanza per la sicurezza sul lavoro (cod. 300.46) DIMOSTRATIVO IL KIT DELL ORGANISMO DI VIGILANZA PER LA

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

VALUTAZIONE DEL LIVELLO DI SICUREZZA

VALUTAZIONE DEL LIVELLO DI SICUREZZA La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Information technology e sicurezza aziendale. Como, 22 Novembre 2013 Information technology e sicurezza aziendale Como, 22 Novembre 2013 Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1 D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste

Dettagli

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004)

IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dott. Marco SALVIA IMPLEMENTAZIONE di un SISTEMA di GESTIONE AMBIENTALE (secondo la norma UNI EN ISO 14001-2004) Dr. Marco SALVIA 1 Perché gestire la variabile ambientale in azienda? 1. Perché rappresenta

Dettagli

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: esami@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 SCHEDA REQUISITI PER LA CERTIFICAZIONE DEGLI ISMS MANAGER/SENIOR MANAGER

Dettagli

ICT RISK MANAGEMENT. Società KAPPA. Introduzione

ICT RISK MANAGEMENT. Società KAPPA. Introduzione ICT RISK MANAGEMENT Società KAPPA Introduzione Carlo Guastone, Convegno AIEA Analisi dei rischi, Verona 26 maggio 2006 APPROCCIO ALLA GESTIONE DEL RISCHIO Definizioni Metodologie per il Risk Management

Dettagli

Sistemi di Gestione Salute e Sicurezza sui luoghi di Lavoro - SGSL

Sistemi di Gestione Salute e Sicurezza sui luoghi di Lavoro - SGSL Sistemi di Gestione Salute e Sicurezza sui luoghi di Lavoro - SGSL 1 Responsabilità Amministrativa L applicazione dell art. 30 del D.Lgs. 81/08 e s.m.i. rende esimente le aziende, in presenza di un modello

Dettagli

Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro

Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro Regolamento per la certificazione di Sistemi di Gestione per la Salute e la Sicurezza nei Luoghi di Lavoro In vigore dal 01/04/2012 RINA Via Corsica 12 16128 Genova - Italia tel +39 010 53851 fax +39 010

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità Il Sistema di Gestione della Qualità 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione La gestione del progetto Le interfacce La Certificazione 9001:2008 Referenze 2 Chi siamo

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it

BSI Group Italia Via Fara, 35 20124 Milano. +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it BSI Group Italia Via Fara, 35 20124 Milano +39 02 6679091 marketing.italy@bsigroup.com bsigroup.it The trademarks in this material (for example the BSI logo or the word KITEMARK ) are registered and unregistered

Dettagli

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI

REGOLAMENTO PARTICOLARE PER LA CERTIFICAZIONE DI SISTEMI DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI 1 OGGETTO E CAMPO DI APPLICAZIONE... 1 2 TERMINI E DEFINIZIONI... 2 3 DOCUMENTI DI RIFERIMENTO... 2 4 REGOLE PARTICOLARI CERTIFICAZIONE IN ACCORDO ALLE NORME DI RiFERIMENTO... 2 4.1 Referente per DNV GL...

Dettagli

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008

AEO e sicurezza dei sistemi informativi. Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 AEO e sicurezza dei sistemi informativi Luca Boselli, Senior Manager, KPMG Advisory S.p.A. Milano, 26 giugno 2008 Agenda La sicurezza delle informazioni: introduzione e scenario di riferimento La sicurezza

Dettagli

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni. I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE Best Practices di Organizzazione per la Sicurezza delle Informazioni Roberto Gattoli Sicurezza delle Informazioni Informatica La sicurezza delle

Dettagli

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI DI GESTIONE DELLA SECURITY Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it Pag. 1 di 7 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEI CORSI PER CONSULENTI DI SISTEMI

Dettagli

La 231 e i reati in materia di sicurezza e ambiente. Vittorio Campione Studio ARES

La 231 e i reati in materia di sicurezza e ambiente. Vittorio Campione Studio ARES La 231 e i reati in materia di sicurezza e ambiente Vittorio Campione Studio ARES Lecco, 16 settembre 2014 Programma I reati per la sicurezza e l ambiente previsti dal D. Lgs. 231 Il modello esimente ex

Dettagli

Il Programma di razionalizzazione della spesa per beni e servizi della P.A.

Il Programma di razionalizzazione della spesa per beni e servizi della P.A. Il Programma di razionalizzazione della spesa per beni e servizi della P.A. Seminario sulle Convenzioni CONSIP in ambito ICT 28 Novembre 2003 Palazzo del Consiglio Regionale Sala Sinni Agenda 1. Apertura

Dettagli

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP) SERVIZI PMI Project management outsourcing La vita (dell IT) è quella cosa che succede mentre siamo impegnati a fare tutt altro e quindi spesso capita di dover implementare una nuova piattaforma applicativa,

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

La certificazione ISO/IEC 20000-1:2005: casi pratici

La certificazione ISO/IEC 20000-1:2005: casi pratici La certificazione ISO/IEC 20000-1:2005: casi pratici L esperienza DNV come Ente di Certificazione ISO 20000 di Cesare Gallotti e Fabrizio Monteleone La ISO/IEC 20000-1:2005 (che recepisce la BS 15000-1:2002

Dettagli

Proteggere il proprio business. ISO 22301: continuità operativa.

Proteggere il proprio business. ISO 22301: continuità operativa. Proteggere il proprio business. ISO 22301: continuità operativa. Perché BSI? Grazie allo standard ISO 22301 l azienda può restare sempre operativa. La competenza di BSI in quest ambito può trasformare

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Security & Compliance Governance

Security & Compliance Governance Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del

Dettagli

La Rete Unitaria delle P.A.:

La Rete Unitaria delle P.A.: Centro Tecnico Presidenza del Consiglio dei Ministri La Rete Unitaria delle P.A.:.: Organizzazione e Gestione della Sicurezza Massimiliano Pucciarelli segreteria tecnica direzione m.pucciarelli@ct.rupa.it

Dettagli

Direzione Generale Servizio IT. Allegato A CAPITOLATO TECNICO

Direzione Generale Servizio IT. Allegato A CAPITOLATO TECNICO Allegato A CAPITOLATO TECNICO PROCEDURA APERTA PER L AFFIDAMENTO DI SERVIZI PROFESSIONALI PER L ANALISI E LA REDAZIONE DI DOCUMENTAZIONE INERENTE LA GESTIONE DELLA SICUREZZA INFORMATICA. DETERMINA A CONTRARRE

Dettagli

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza.

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza. Conservazione Sostitutiva Verso l amministrazione digitale, in tutta sicurezza. Paperless office Recenti ricerche hanno stimato che ogni euro investito nella migrazione di sistemi tradizionali verso tecnologie

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione

Company Management System SIA - Processi e Sistemi di Gestione. Dominio di Applicazione Company Management System SIA - Processi e Sistemi di Gestione Codice Documento Classificazione Dominio di Applicazione Pubblica SIA SOMMARIO SOMMARIO... 2 1 OBIETTIVO DEL DOCUMENTO... 4 2 PRESENTAZIONE

Dettagli

LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI DEL GRUPPO TOD S S.P.A.

LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI DEL GRUPPO TOD S S.P.A. LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI DEL GRUPPO TOD S S.P.A. (APPROVATE DAL CONSIGLIO DI AMMINISTRAZIONE DELLA SOCIETÀ NELLA RIUNIONE DEL 10 MAGGIO 2012) TOD S S.P.A.

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A.

IL BS7799 ALCUNI CONCETTI FONDAMENTALI. Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it BS 7799. Sistemi Informativi S.p.A. IL BS7799 Relatore: Ing. Marcello Mistre, CISA marcello.mistre@sistinf.it Sistemi Informativi S.p.A. ALCUNI CONCETTI FONDAMENTALI Sistemi Informativi S.p.A. 2 ATTIVITA DELLA SECURITY STUDIO, SVILUPPO ED

Dettagli

Entro il 31 marzo 2007 dovrà essere effettuato il rinnovo del DPS (Documento Programmatico sulla Sicurezza) aggiornandone i contenuti.

Entro il 31 marzo 2007 dovrà essere effettuato il rinnovo del DPS (Documento Programmatico sulla Sicurezza) aggiornandone i contenuti. INFORMAZIONI DI MASSIMA PER IL RINNOVO DEL DPS ANNO 2007 Entro il 31 marzo 2007 dovrà essere effettuato il rinnovo del DPS (Documento Programmatico sulla Sicurezza) aggiornandone i contenuti. Quello di

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Allegato 2: Prospetto informativo generale

Allegato 2: Prospetto informativo generale Gara a procedura ristretta accelerata per l affidamento, mediante l utilizzo dell Accordo Quadro di cui all art. 59 del D.Lgs. n. 163/2006, di Servizi di Supporto in ambito ICT a InnovaPuglia S.p.A. Allegato

Dettagli

Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B

Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B Pagina 1 di 18 Documento Programmatico sulla Sicurezza (D.P.S.) adottato ai sensi dell art. 31 del d. lgs. 196/2003 e dell allegato B Pagina 2 di 18 SCOPO DEL (DPS) GR Elettronica S.r.l. (di seguito azienda),

Dettagli

L esperienza d integrazione in SSC

L esperienza d integrazione in SSC Roma, 10 dicembre 2010 Centro Congressi Cavour L esperienza d integrazione in SSC Approcci multimodello nelle pratiche aziendali Il presente documento contiene informazioni e dati di S.S.C. s.r.l., pertanto

Dettagli

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966

CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 CONFORMIS IN FINANCE S.R.L Via Carroccio, 16 20123 Milano P.IVA/C.F. 07620150966 Tel: 0287186784 Fax: 0287161185 info@conformisinfinance.it pec@pec.conformisinfinance.it www.conformisinfinance.it Obiettivi

Dettagli

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale.

il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. il presupposto del successo di ogni azienda è il livello di sicurezza del proprio patrimonio informativo e del proprio know-how imprenditoriale. BE.iT sa organizziamo L eccellenza Uno dei presupposti fondamentali

Dettagli

CATALOGO CORSI 2015. In.Co.S srl International Consultant Service Via Guastalla 6 10124 Torino Italy info@incos-consulting.com Mob: +39 349 2577085

CATALOGO CORSI 2015. In.Co.S srl International Consultant Service Via Guastalla 6 10124 Torino Italy info@incos-consulting.com Mob: +39 349 2577085 CATALOGO CORSI 2015 INDICE CORSI APPROVATI DA ENTE DI CERTIFICAZIONE DELLE COMPETENZE ACCREDITATO ISO/IEC 17024... 3 ISO 9001:08 SISTEMI DI GESTIONE QUALITÀ... 4 ISO 22000:05 SISTEMI DI GESTIONE DELLA

Dettagli

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001

Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Lo standard ISO/IEC 15408: le modalità applicative a tutela degli utilizzatori dei sistemi ICT e la complementarità con lo standard ISO/IEC 27001 Sessione di studio comune AIEA-ISCOM Roma, Ministero delle

Dettagli

La Politica Integrata del Gruppo Terna

La Politica Integrata del Gruppo Terna La Politica Integrata del Gruppo Terna Il Gruppo Terna ritiene indispensabili per lo sviluppo delle proprie attività, la qualità dei propri processi, la tutela dell ambiente, la salute e la sicurezza dei

Dettagli

Pianificare Sicurezza e Privacy. Dott.ssa Priscilla Dusi Consulente Aziendale

Pianificare Sicurezza e Privacy. Dott.ssa Priscilla Dusi Consulente Aziendale Pianificare Sicurezza e Privacy Dott.ssa Priscilla Dusi Consulente Aziendale La sicurezza è il cardine della tutela dei dati personali. E non è tema su cui è possibile improvvisare. Le implicazioni sono

Dettagli

Data Privacy Policy. Novembre 2013. Pagina 1 di 10

Data Privacy Policy. Novembre 2013. Pagina 1 di 10 Data Privacy Policy Novembre 2013 Pagina 1 di 10 INDICE I) PRINCIPI... 3 1 Obiettivi... 3 2 Requisiti e Standards minimi... 3 3 Ruoli e Responsabilità... 4 4 Consapevolezza e formazione... 5 5 Processi

Dettagli

LA BUSINESS UNIT SECURITY

LA BUSINESS UNIT SECURITY Security LA BUSINESS UNIT SECURITY FABARIS È UN AZIENDA LEADER NEL CAMPO DELL INNOVATION SECURITY TECHNOLOGY. ATTINGIAMO A RISORSE CON COMPETENZE SPECIALISTICHE E SUPPORTIAMO I NOSTRI CLIENTI AD IMPLEMENTARE

Dettagli

ATTESTATO DI QUALIFICA

ATTESTATO DI QUALIFICA PROGETTO COFINANZIATO DALL UNIONE EUROPEA PSS LINEA ECONOMIA DEL MARE PROGETTO IL GOLFO FA RETE NEL BLU AZIONE FORMATIVA: ADDETTO AI SISTEMI DI GESTIONE INTEGRATA CODICE ISTAT: 2.5.1.2.0 Ente realizzatore:

Dettagli

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto

attività indipendente obiettiva assurance consulenza miglioramento approccio professionale sistematico valore aggiunto MASTER AMLP 1 DEFINIZIONE L Internal Auditing è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell efficienza dell'organizzazione. Assiste

Dettagli

STS. Profilo della società

STS. Profilo della società STS Profilo della società STS, Your ICT Partner Con un solido background accademico, regolari confronti con il mondo della ricerca ed esperienza sia nel settore pubblico che privato, STS è da oltre 20

Dettagli

BSI Group Italia. Viviana Rosa Marketing & PR Manager BSI Group Italia

BSI Group Italia. Viviana Rosa Marketing & PR Manager BSI Group Italia BSI Group Italia Viviana Rosa Marketing & PR Manager BSI Group Italia Chi è BSI BSI nasce nel 1901 in Inghilterra come primo ente di normazione al mondo, riconosciuto dalla corona britannica e oggi, a

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY. BUSINESS RISK CONSULTING PROCESS OPTIMIZATION Mappatura as is dei processi, definizione dello stato to be, gap analysis, definizione ed implementazione

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 RISK MANAGEMENT & BUSINESS CONTINUITY Il Risk Management a supporto dell O.d.V. Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231 PER L ORGANISMO DI VIGILANZA

Dettagli

Company Management System SIA - Processi e Sistemi di Gestione

Company Management System SIA - Processi e Sistemi di Gestione Company Management System SIA - Processi e Sistemi di Gestione Redatto da: Verificato da: Approvato da: Stefano Canetta RGO Lorenzo Verducci HRO Alessandra Carazzina RGO David Neumarker HRO Marco Ornito

Dettagli

CURRICULUM DELLA SOCIETÀ

CURRICULUM DELLA SOCIETÀ CURRICULUM DELLA SOCIETÀ SOMMARIO SOMMARIO... 1 LA SOCIETÀ... 2 I DATI AMMINISTRATIVI... 3 L'ORGANIGRAMMA... 4 I NOSTRI SERVIZI... 5 ACCADIMENTI SOCIETARI... 11 LA SOCIETÀ Framinia S.r.l. è una società

Dettagli

Edizione 2010. www.sovedi.it

Edizione 2010. www.sovedi.it Edizione 2010 www.sovedi.it SOVEDI s.r.l. Via Antica, 3-25080 Padenghe sul Garda (BS) email: info@sovedi.it tel: +39 0302076341 CAP.SOC. 51.480,00 - C.F. p.iva 00632180246 SOVEDI nasce nel 1978 a Vicenza.

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

REGOLAMENTO PER LA VERIFICA DELLE ASSERZIONI RELATIVE AI GAS GHG (GAS AD EFFETTO SERRA), IN ACCORDO ALLE NORME UNI ISO

REGOLAMENTO PER LA VERIFICA DELLE ASSERZIONI RELATIVE AI GAS GHG (GAS AD EFFETTO SERRA), IN ACCORDO ALLE NORME UNI ISO REG 14064 REGOLAMENTO PER LA VERIFICA DELLE ASSERZIONI RELATIVE AI GAS GHG (GAS AD EFFETTO SERRA), IN ACCORDO ALLE NORME UNI ISO 14064-1 2006 e 14064-3 1. DESCRIZIONE DELL'ISTITUTO CERTIQUALITY S.r.l.

Dettagli

Regolamento di Audit ALLEGATO 8 AL MODELLO DI ORGANIZZAZIONE 231/2001

Regolamento di Audit ALLEGATO 8 AL MODELLO DI ORGANIZZAZIONE 231/2001 ALLEGATO 8 AL MODELLO DI ORGANIZZAZIONE 231/2001 Conforme alla Norma UNI EN ISO 9001:2008 Conforme alla Norma UNI EN ISO 14001:2004 Conforme al D.Lgs 231/01 Conforme a: L. 190/12; D.Lgs 33/2013; D.Lgs

Dettagli

CODICE ETICO. Emissione 01 : G2008-050R01E01-JAC/MAZ/rc Milano, 3 Giugno 2008. Emissione 02 : G2015-032R01E01-JAC/MAZ/sc Milano, 30 Aprile 2015

CODICE ETICO. Emissione 01 : G2008-050R01E01-JAC/MAZ/rc Milano, 3 Giugno 2008. Emissione 02 : G2015-032R01E01-JAC/MAZ/sc Milano, 30 Aprile 2015 CODICE ETICO Emissione 01 : G2008-050R01E01-JAC/MAZ/rc Milano, 3 Giugno 2008 Emissione 02 : G2015-032R01E01-JAC/MAZ/sc Milano, 30 Aprile 2015 (revisione approvata con delibera del Consiglio di Amministrazione

Dettagli

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT Security Verification Standard Framework BANCOMAT Veronica Borgogna Consorzio BANCOMAT 0 L assioma della sicurezza Le perdite derivano da eventi dannosi, ossia fenomeni indesiderati accidentali o volontari

Dettagli

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo

IX Convention ABI. L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo IX Convention ABI L affidabilità dei processi interni come fattore critico di riduzione del Rischio Operativo BPR e BCM: due linee di azione per uno stesso obiettivo Ing. Alessandro Pinzauti Direttore

Dettagli

Per un governo dei contratti efficace: le regole tecniche su come chiedere, valutare, utilizzare la certificazione in ambito contrattuale

Per un governo dei contratti efficace: le regole tecniche su come chiedere, valutare, utilizzare la certificazione in ambito contrattuale CAPITOLO 7 Marco Gentili Autorità per l Informatica nella Pubblica Amministrazione Per un governo dei contratti efficace: le regole tecniche su come chiedere, valutare, utilizzare la certificazione in

Dettagli

Cyber Security Architecture in Sogei

Cyber Security Architecture in Sogei Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n. 2015 99-00143 Roma 1 SOGEI, infrastruttura IT critica

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

Istituto Nazionale di Previdenza per i Dipendenti dell Amministrazione Pubblica

Istituto Nazionale di Previdenza per i Dipendenti dell Amministrazione Pubblica Istituto Nazionale di Previdenza per i Dipendenti dell Amministrazione Pubblica CAPITOLATO TECNICO PER UN SERVIZIO DI MANUTENZIONE, GESTIONE ED EVOLUZIONE DELLA COMPONENTE AUTOGOVERNO DEL SISTEMA INFORMATIVO

Dettagli

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less Environment, Safety & Enterprise Risk Management more or less Company profile Nihil difficile volenti Nulla è arduo per colui che vuole Business Consultant S.r.l. Via La Cittadella, 102/G 93100 Caltanissetta

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz

LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Il Nuovo Codice dell Amministrazione Digitale: opportunità per i cittadini, adempimenti per le amministrazioni Napoli, 28 aprile 2011 LA CONTINUITA OPERATIVA Dott. Giovanni Rellini Lerz Introduzione alla

Dettagli

Certificazione Sistemi di Gestione della Sicurezza delle Informazioni. Norma ISO 27001

Certificazione Sistemi di Gestione della Sicurezza delle Informazioni. Norma ISO 27001 Certificazione Sistemi di Gestione della Sicurezza delle Informazioni Norma ISO 27001 Certificazione Sistemi di Gestione della Sicurezza Il CSQ, grazie alla vasta esperienza maturata nei maggiori contesti

Dettagli

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009

Insight. Gestire e comunicare la crisi: un caso di successo. N. 24 Maggio 2009 Insight N. 24 Maggio 2009 Gestire e comunicare la crisi: un caso di successo Il termine crisi suggerisce istintivamente un momento, nella vita di una persona o di un azienda, dalle conseguenze non prevedibili

Dettagli

Modello dei controlli di secondo e terzo livello

Modello dei controlli di secondo e terzo livello Modello dei controlli di secondo e terzo livello Vers def 24/4/2012_CLEN INDICE PREMESSA... 2 STRUTTURA DEL DOCUMENTO... 3 DEFINIZIONE DEI LIVELLI DI CONTROLLO... 3 RUOLI E RESPONSABILITA DELLE FUNZIONI

Dettagli

LA SICUREZZA DEI SISTEMI INFORMATIVI AUTOMATIZZATI NELLA PUBBLICA AMMINISTRAZIONE

LA SICUREZZA DEI SISTEMI INFORMATIVI AUTOMATIZZATI NELLA PUBBLICA AMMINISTRAZIONE LA SICUREZZA DEI SISTEMI INFORMATIVI AUTOMATIZZATI NELLA PUBBLICA AMMINISTRAZIONE PREMESSA Il tema della Sicurezza dei Sistemi Informativi Automatizzati è un tema di fondamentale importanza e la recente

Dettagli