Business Continuity Plan Linee guida per la stesura e l implementazione delle procedure sostitutive in APSS

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Business Continuity Plan Linee guida per la stesura e l implementazione delle procedure sostitutive in APSS"

Transcript

1 Nucleo P.I.C. Processi, flussi piani di Continuità Business Continuity Plan Linee guida per la stesura e l implementazione delle procedure sostitutive in APSS Redatto da: Giampaolo Franco Collaborazione: Versione: 2.0 Data emissione: 1 novembre 2006 Firma Data Rivisto: Damiano Vozza Approvato: Distribuito a: EVERYONE pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007

2 Nucleo Processi, Flussi pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 2/28

3 Indice Nucleo Processi, Flussi Introduzione...5 Procedure sostitutive come parte del Business Continuity Management...7 Definizione di procedura sostitutiva...9 Che cosa deve prevedere una procedura ordinaria...10 Che cosa deve prevedere una procedura sostitutiva...12 Considerazioni per chi utilizza la procedura sostitutiva...15 Formazione in linea generale...15 Formazione in linea specifica...15 La stesura di procedure sostitutive...17 Studio...17 Creazione...17 Approvazione...17 Collaudo...17 Revisione...17 Validazione...18 Utilizzo di mezzi alternativi al sistema informatico...19 Utilizzo del cartaceo...19 Utilizzo di apparecchi per la telefonia fissa e per la telefonia mobile...19 Utilizzo del fax...20 Utilizzo della posta interna...20 Utilizzo di supporti magnetici...20 Altri supporti informatici...20 Come impostare una procedura sostitutiva a fronte di incidenti...21 Le strategie per il Business Continuity Management...23 Elaborazione del piano di Business Continuity...24 Definizione di obiettivi ed ipotesi...24 Definizione del Business Impact Analysis...24 Progetto e sviluppo del piano...25 Realizzazione del piano...25 Test del piano di BCP...25 Manutenzione del piano...26 Esecuzione in caso di disastro...26 Conclusioni...28 Bibliografia e riferimenti...28 pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 3/28

4 Nucleo Processi, Flussi pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 4/28

5 Nucleo Processi, Flussi Introduzione I Sistemi, nell ambito della propria mission aziendale di gestione e sviluppo del sistema informativo aziendale, hanno l incarico nell ambito della Business Continuity di sviluppare e implementare il BCP (Business Continuity Plan) in ambito informatico e il compito di stimolare e di supportare lo studio e l analisi di procedure alternative a quelle informatiche, per favorirne l integrazione con gli altri processi aziendali, in particolare con le procedure ICT (Information and Communication Technology). Il Servizio intende presentare alcune linee guida quale strumento utile alla stesura delle procedure sostitutive, nell intento di fornire un supporto ed un aiuto pratico a chi tali procedure deve sviluppare, come le direzioni D.O.C., i Servizi e le U.O. che utilizzano procedure informatiche critiche aziendali; le linee guida sono di natura informativa e programmatica e non precettiva, in quanto si è ben consapevoli della complessità e vastità dell organizzazione aziendale, dei diversi assetti e aspetti organizzativi e funzionali delle sue strutture interne, dell eterogeneità delle professioni in essa operanti. Le principali funzioni che il Servizio può svolgere in tale ambito sono: supporta l analisi dei processi da un punto di vista tecnico/informatico; supporta l analisi di procedure informatiche per quanto riguarda la continuità ed in particolare in aree mission critical; indica i requisiti di sicurezza / privacy e continuità che occorre rispettare nelle procedure di routine e alternative e nella fase di analisi, sviluppo, acquisizione di nuove procedure; concorre all individuazione dei processi critici informatici, all identificazione delle criticità delle procedure informatiche e dei principali asset (beni) informatici da salvaguardare; collabora all individuazione di soluzioni informatiche alternative se esistenti e applicabili. In questo documento il nucleo PIC propone alcune indicazioni che possono costituire un filo conduttore anche per cominciare ad identificare la filosofia ed il comportamento nella sicurezza dei servizi ritenuti particolarmente importanti dall Azienda e nell ambito del Business Continuity Management. Ricordiamo che tali servizi vengono menzionati come mission critical e sono i seguenti: WAN rete geografica LAN rete locale e cablaggi strutturati Anagrafe assistiti e sistemi di accettazione SIO, PS, 118 Laboratorio Radiologia Posta elettronica Lo scopo del Business Continuity Management in generale è comunque quello di garantire la continuità dei processi dell Organizzazione in funzione del loro valore e della qualità dei prodotti/servizi erogati tramite il supporto dell infrastruttura di ICT, prevedendo e minimizzando l impatto di incidenti intenzionali o accidentali e dei conseguenti possibili danni. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 5/28

6 Nucleo Processi, Flussi Le terminologie di CNIPA E bene specificare che esiste un conflitto di terminologie tra il significato di critico che utilizza l Azienda in questa catalogazione. L Azienda definisce come Mission Critical i servizi critici o le attività di supporto al Business (interne o in outsourcing) senza i quali l organizzazione non può raggiungere i propri obiettivi. Secondo il CNIPA invece i sistemi critici non possono essere sostituiti da nulla di alternativo (solo da qualcosa di identico). Per definizione quindi i sistemi critici non prevedono nessuna procedura sostitutiva. E qui ricordiamo che il termine critico viene utilizzato dall APSS impropriamente ed in maniera generica, perché la catalogazione dei suddetti sistemi deve essere ancora fatta nell ambito dell analisi dei rischi, come previsto dalla metodologia proposta dallo stesso CNIPA. E chiaro che questi sistemi ritenuti critici, in realtà potranno essere vitali, piuttosto che delicati, non-critici; potrebbero risultare critici o vitali servizi o procedure finora ritenuti poco rilevanti. Si ritiene opportuno al momento, per facilitare la comprensione all interno dell Azienda, mantenere la terminologia di sistemi critici. Si pensa comunque di risolvere i conflitti terminologici attraverso una capillare attività formativa e di sensibilizzazione del personale dei reparti dell Azienda interessati. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 6/28

7 Nucleo Processi, Flussi Procedure sostitutive come parte del Business Continuity Management Lo sviluppo delle procedure ordinarie e delle procedure sostitutive, in generale si collega alla creazione di un sistema di Business Continuity Management. Secondo il CNIPA, tale sistema dovrà tenere in considerazione le seguenti componenti: Crisis and Incident Management: assicura la gestione dello stato di crisi e la risposta ad incidenti nel caso in cui si verifichi un evento in grado di compromettere la continuità dell operatività Continuity Management: assicura la continuità dei processi durante e dopo un emergenza attraverso la predisposizione di processi/procedure alternative (spesso manuali) a quelle normalmente supportate dall infrastruttura di ICT Disaster Recovery Management: assicura il recovery delle infrastrutture tecnologiche a supporto dei processi di Business Business Recovery Management: assicura il recovery dei processi di Business dopo un emergenza e il ritorno alla normalità La pianificazione di un sistema di Business Continuity Management è una misura preventiva nell ambito della gestione dei rischi, con particolare riferimento ai rischi di disponibilità delle informazioni. L esecuzione dei piani e delle procedure previste in caso di eventi in grado di compromettere la continuità operativa deve essere rivolta a ridurre al minimo gli impatti derivanti dal verificarsi di tali eventi. Le procedure sostitutive, in quanto dirette a garantire la continuità operativa e del business aziendale, sono definite e attuate a cura delle singole aree di business, ovvero delle strutture organizzative aziendali (Ospedali/Dipartimenti/Distretti ecc.) e ricadono sotto la loro diretta responsabilità. La responsabilità delle procedure sostitutive deve essere formalizzata e il responsabile deve essere reso consapevole delle incombenze relative stesura, applicazione, aggiornamento che verranno specificate nel seguito. Il ciclo del Business Continuity Management Il ciclo di realizzazione del Sistema di Business Continuity Management deve prevedere le seguenti fasi: Progettazione del BCM: prevede il disegno e la pianificazione dell intero sistema sia negli aspetti organizzativi che tecnologici Implementazione del BCM: prevede l implementazione del sistema progettato con particolare attenzione agli aspetti di comunicazione/sensibilizzazione diffusa e di formazione specifica sulle procedure e sui piani pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 7/28

8 Nucleo Processi, Flussi Monitoraggio del BCM: prevede il monitoraggio dell efficacia del sistema implementato attraverso test e simulazioni dei piani e audit periodici specifici Mantenimento ed ottimizzazione: prevede l evoluzione del sistema in relazione ai feedback derivanti dal monitoraggio ed eventuali ulteriori requisiti interni ed esterni sopraggiunti nel frattempo ed avvia un nuovo ciclo progettuale. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 8/28

9 Nucleo Processi, Flussi Definizione di procedura sostitutiva Per procedura sostitutiva si intende quella procedura automatica o manuale che si va a sostituire alla procedura ordinaria, nel caso in cui quest ultima non sia più attuabile per determinate cause e/o incidenti. Vi possono essere infatti degli eventi che vanno ad ostacolare, fino a bloccare del tutto, la normale operatività svolta dalla procedura ordinaria. Tra gli eventi più importanti che bloccano la normale operatività, possiamo identificare i seguenti: Black-out elettrico Incendio, allagamento, crollo Attacco virale massiccio (disturbo, worm, denial of service) Attacchi logici e di hacker (interfaccia, applicazione, dati, server): attacco di intercettazione e deduzione (alla riservatezza), di intrusione (alla riservatezza ed integrità), di disturbo (alla disponibilità), o spamming Attacchi fisici (furto o danneggiamento) Down di sistema (server, apparati di rete o servizio), di natura hardware o software Altri eventi distruttivi quali terremoti o altre catastrofi naturali Bisogna sempre tenere presente che certi attacchi possono essere fatti appositamente e deliberatamente per depistare o ridurre il grado di sicurezza su altri veri obiettivi di attacco già scelti. Inoltre le minacce di tipo doloso possono anche provenire da operatori/ambienti sia interni sia esterni ad APSS ed in particolare da utenti connessi alla rete internet. Le procedure sostitutive, soprattutto dal punto di vista della sicurezza, dovranno essere in grado di consentire l erogazione dei servizi, specialmente quelli rivolti al pubblico, con un livello di sicurezza adeguato e con un accettabile livello di operatività, fino al ripristino delle normali funzionalità svolte dalla procedura ordinaria. Ogni procedura sostitutiva ha un owner (possessore, es. la struttura DOC) e un responsabile che ne cura la definizione e l applicazione. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 9/28

10 Nucleo Processi, Flussi Che cosa deve prevedere una procedura ordinaria Innanzitutto occorre definire gli aspetti che caratterizzano una procedura ordinaria. Tale procedura innanzitutto dovrebbe essere perfettamente in regola dal punto di vista normativo, dal punto di vista della sicurezza e da quello privacy. Ricordiamo che abbiamo dei requisiti e delle norme legislative da rispettare (in particolare per quanto riguarda il Dlgs196/2003). Inoltre vi è anche il Documento Programmatico sulla Sicurezza che descrive le caratteristiche che deve possedere una procedura ordinaria. Il CNIPA ed il Ministero dell innovazione e delle tecnologie ha fornito apposite linee guida nell ambito della Sicurezza Informatica e della Business Continuity e tali linee guida dovranno essere rispettate dalla procedura ordinaria. Per tutto ciò che è riportato nelle singole normative e nei regolamenti citati, si rimanda ai documenti originali. In aggiunta alle specifiche normative e di sicurezza minime sopra elencate, per poter andare incontro ad un eventuale procedura sostitutiva, una procedura ordinaria dovrà possedere anche i seguenti requisiti: Documentazione completa della procedura E opportuno che una procedura ordinaria sia totalmente documentata, per permettere agli utenti di conoscere in maniera esaustiva le funzionalità che essi sono abilitati a svolgere, per conoscere in ogni momento se la procedura è funzionante secondo le specifiche aziendali o meno. Sarà opportuno documentare nel manuale come è possibile riconoscere un malfunzionamento della procedura, come comportarsi in prima battuta in caso di incidenti e malfunzionamenti. Sarà opportuno definire nel manuale una apposita sezione di troubleshooting, per descrivere come riscontrare il tipo di errore e come comportarsi di conseguenza. Si dovrebbe ulteriormente indicare e descrivere l opportuna procedura sostitutiva da seguire per l incidente riscontrato. Analisi di processo. Un analisi chiave del percorso del processo della procedura, nei suoi aspetti e nelle sue particolarità e criticità, soprattutto dal punto di vista gestionale ed organizzativo. Capire la natura del processo e in ambito B.C. identificare le variabili più importanti da evincere nell analisi, per permettere l ottimizzazione ed il miglioramento di molte fasi del processo stesso. Una procedura informatica dovrebbe sempre prevedere questo tipo di requisito, che spesso non è così ovvio e scontato. Questo approccio può essere fondamentale per coinvolgere tutto il personale sanitario, ottimizzare le risorse, ridurre le tempistiche, e soprattutto imparare a cooperare ed a lavorare in gruppo in ottica multidisciplinare e multiprofessionale. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 10/28

11 Nucleo Processi, Flussi Possibilità di stampa e/o consultazione del manuale operativo La documentazione dovrà essere sempre disponibile, nella forma di un manuale operativo da destinare agli utenti. Dovrà essere previsto un sistema on-line per permettere la consultazione e la stampa delle pagine o dell intero manuale operativo, che contestualmente dovrà essere sempre aggiornato. Possibilità di inserire i dati raccolti dopo eventuali blocchi La procedura ordinaria dovrà prevedere l inserimento in un secondo tempo dei dati raccolti, in forma cartacea o mediante altre procedure o altri supporti informatici, durante eventuali blocchi della stessa e a supporto di eventuali procedure sostitutive. Sarà opportuno specificare in che modo i dati saranno raccolti, anche nel rispetto dei requisiti minimi di integrità, validità e confidenzialità del data entry e nel caso di dati ritenuti particolarmente sensibili. Possibilità di stampa della modulistica in bianco per eventuali modelli cartacei sostitutivi In mancanza dei supporti di memorizzazione informatici forniti dalla procedura, sarà probabilmente d obbligo l utilizzo di materiale cartaceo, per permettere la scrittura dei dati in previsione del futuro reinserimento degli stessi. Sarà quindi opportuno che la procedura ordinaria fornisca la stampa degli appositi moduli cartacei sostitutivi per poter essere utilizzati a tale scopo. Andranno creati in maniera chiara, dovranno essere facilmente compilabili, dovranno poter permettere la lettura e l interpretazione anche da parte di altri operatori che saranno addetti al successivo data entry. Segnalazione dell incidente La procedura ordinaria dovrà prevedere la possibilità di poter segnalare in maniera efficiente e sicura, mediante un apposito modulo elettronico o cartaceo di descrizione, l incidente e le cause che l hanno bloccata. Questa segnalazione sarà sviluppata secondo uno standard da definirsi in dettaglio, con apposite istruzioni e regolamenti da emanare al riguardo. Formazione continua per il personale, soprattutto per i neo-assunti Apposite sessioni formative che riguardano l utilizzo corretto della procedura, la sicurezza e tutti gli aspetti inerenti ad essa e qui sopra citati. Queste sessioni di formazione saranno sviluppate secondo uno standard, e verranno studiate prossimamente nel dettaglio. Verranno quindi date successivamente apposite istruzioni e regolamenti a riguardo. Ogni procedura ordinaria ha un owner (possessore es. la struttura DOC) e un responsabile che ne cura la definizione e l applicazione. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 11/28

12 Nucleo Processi, Flussi Che cosa deve prevedere una procedura sostitutiva Per definizione la procedura sostitutiva può essere di tipo automatico o manuale. Si potranno quindi utilizzare nel caso di memorizzazione dei dati, supporti cartacei oppure altri supporti informatici o elettronici alternativi, ove disponibili, al fine di fornire automatismo all utilizzo della stessa. Ad esempio per le comunicazioni, potranno essere validi mezzi come il fax, il telefono, o l invio tramite posta tradizionale. Tali mezzi si andranno a sostituire alla procedura ordinaria, nel caso in cui quest ultima non sia più attuabile per determinate cause e/o incidenti. In termini generali, la procedura sostituiva è sotto la diretta responsabilità della struttura (Ospedale/Dipartimento/Distretto ecc.) che la redige e la applica; la procedura sarà adeguata all organizzazione e alle finalità della struttura organizzativa che la produce. Ogni procedura sostitutiva dovrà essere conforme alle normative, dal punto di vista della sicurezza e da quello della privacy; i requisiti e le norme legislative da rispettare (in particolare per quanto riguarda il Dlgs 196/2003) sono praticamente le stesse che caratterizzano una procedura ordinaria. Il Documento Programmatico sulla Sicurezza aziendale descrive le caratteristiche che deve possedere una procedura ordinaria in termini di sicurezza; ovviamente tali caratteristiche dovranno essere adottate dalla procedura sostitutiva, ove possibile. Il CNIPA ed il Ministero dell Innovazione e delle Tecnologie hanno fornito apposite linee guida nell ambito della Sicurezza Informatica e della Business Continuity; tali linee guida dovranno essere rispettate dalla procedura sostitutiva, ove possibile. In aggiunta ai requisiti minimi normativi e di sicurezza sopra citati, una procedura sostitutiva dovrà tener conto dei seguenti aspetti: Analisi di processo. Dapprima seguire l analisi chiave del percorso del processo della procedura ordinaria, nei suoi aspetti e nelle sue particolarità e criticità, soprattutto dal punto di vista gestionale ed organizzativo. Cercare di capire la natura del processo e in ambito B.C. identificare le variabili più importanti da evincere nell analisi, per permettere l ottimizzazione ed il miglioramento di molte fasi del processo stesso. A questo punto, progettare un analisi opportuna in chiave di B.C. per la procedura sostitutiva. Cercare di ottimizzare al meglio le risorse e ridurre le tempistiche, sempre in chiave di cooperazione e in ottica multidisciplinare e multiprofessionale. Tenere conto dei rischi. Si parla di sicurezza, quindi andrà posta particolare attenzione all utilizzo dei dati, nel fare in modo che le informazioni non siano accessibili da terzi o da persone non abilitate al trattamento dei dati. Occorre porre attenzione anche agli altri sistemi collegati: una procedura sostitutiva dovrebbe essere costruita in modo tale che non vada a creare ulteriori disservizi o danni ad altri assets, sistemi, procedure o apparati anche non strettamente collegati ad essa. E necessaria una pianificazione delle risorse da utilizzare. Inoltre l utilizzo della procedura sostitutiva non deve provocare un abbassamento del livello di sicurezza garantito dalla procedura ordinaria. Ad esempio l utilizzo della password per proteggere dei dati elettronici, potrebbe essere sostituito da una cassettiera con pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 12/28

13 Nucleo Processi, Flussi chiave per proteggere i dati sensibili presenti su materiale cartaceo; occorre infatti assolutamente evitare di lasciare incustoditi documenti con dati sensibili sulle scrivanie. Identificazione delle strutture di competenza. Deve essere possibile l identificazione delle strutture coinvolte dalla procedura sostitutiva. Questo per una più facile comunicazione nel segnalare eventuali incidenti e per facilitare un eventuale monitoraggio. Le strutture coinvolte andranno elencate nel modulo di segnalazione degli incidenti. Tali informazioni saranno poi comunicate ai responsabili e comunque archiviate. Sarà compito dell organizzazione del reparto coordinare gli attori di questo particolare contesto. Possibilità di utilizzo di mezzi di supporto alternativi al sistema informatico La procedura sostitutiva comprenderà l utilizzo di mezzi per sostituire le principali funzionalità informatiche di memorizzazione dei dati, comunicazione, controllo. Ricordiamo tra questi i modelli cartacei, il telefono, il fax, la posta interna, i supporti magnetici, altri supporti informatici. Per l utilizzo di tali mezzi è in previsione la definizione di apposite linee guida specifiche. Possibilità di errore nell utilizzo della procedura sostitutiva Data la natura saltuaria dell uso delle procedure sostitutive, è normalmente verosimile che gli operatori vadano a commettere degli errori durante il loro utilizzo. Va definita una fase di verifica e di controllo, ad esempio nella ricerca di eventuali errori relativi ai dati trattati con i mezzi di supporto alternativi (identificare eventuali errori di digitazione, cancellazione, integrità dei dati, disponibilità). Tale fase deve essere svolta in anticipo, o anche contestualmente, alla fase di ripristino dei dati stessi, prima del ritorno all utilizzo della procedura ordinaria. Ripristino e aggiornamento dei dati. L operazione di data entry viene vista come ultimo step per poter poi ritornare alla procedura ordinaria. Tale operazione può essere supportata con ausilio di appositi modelli cartacei compilati a mano. I modelli cartacei devono possibilmente essere già creati in precedenza e autonomamente dal personale che utilizza la procedura ordinaria, in numero sufficiente. Vanno compilati in maniera leggibile e chiara per poter permettere una successiva lettura da parte di altri operatori. Tale operazione può essere molto costosa e dipende dall entità dei danni causati dell incidente che ha bloccato la procedura ordinaria. Tale operazione va trattata dal punto di vista della privacy, se svolta da terzi o da una ditta esterna, vanno presi ulteriori accorgimenti. Va chiarito anche come dovranno essere conservati tali modelli compilati, una volta che non saranno più utilizzati. Si suggerisce di conservare tali modelli in appositi archivi cartacei, per permettere innanzitutto dei controlli, la tutela dei dati dal punto di vista della privacy, e anche ulteriori statistiche. Collaudo della procedura sostitutiva e formazione del personale Per evitare errori, monitorare la sicurezza e gestire i mezzi alternativi, per poter controllare l effettiva efficacia della procedura sostitutiva, non solo sarà opportuno collaudare la procedura sostitutiva ma bisognerà programmare delle esercitazioni periodiche che andranno a completare il quadro di quella che può essere la vera e propria formazione del personale addetto. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 13/28

14 Nucleo Processi, Flussi Monitoraggio dell effettivo malfunzionamento o blocco della procedura ordinaria. Segnalare contestualmente al blocco della procedura l incidente informatico mediante apposito iter e compilare il relativo modulo di segnalazione (questo passaggio è importante per avere anche uno storico degli incidenti e degli utilizzi della procedura sostitutiva). Verifica della capacità interna di risolvere il problema. Chiamare il personale competente (tecnico di turno o reperibile dei Sistemi ) secondo le modalità ed i regolamenti, prima di attuare la procedura sostitutiva. Mantenere comunque dei limiti di tempo oltre i quali attuare comunque la procedura sostitutiva. Per quanto riguarda la gestione delle situazioni critiche e all organizzazione per l emergenza che tale gestione sottintende, si ricordano in particolare i documenti CNIPA e l ipotesi organizzativa elaborata nel maggio 2004 (BC-comunicazione-incidenteinformatico.doc). Ogni procedura sostitutiva ha un owner (possessore es. la struttura DOC) e un responsabile che ne cura la definizione e l applicazione. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 14/28

15 Nucleo Processi, Flussi Considerazioni per chi utilizza la procedura sostitutiva In linea teorica tutti gli operatori che svolgono le funzioni di una procedura ordinaria possono essere abilitati ad operare nell ambito della procedura sostitutiva. Comunque la procedura sostitutiva ha bisogno di una particolare organizzazione rispetto alla procedura ordinaria. Durante una procedura sostitutiva possono essere definiti ruoli diversi per il personale coinvolto; inoltre potrebbero essere svolte ulteriori - e diverse - mansioni rispetto all ordinarietà - ad es. su un fattura o ricevuta redatta a mano potrebbe essere necessaria la firma di un operatore mentre sulla procedura automatica la firma è virtuale. Sarà utile archiviare la lista del personale abilitato all utilizzo delle procedure sostitutive. Inoltre la nomina di un referente (con i vari sostituti) per ogni procedura sostitutiva andrà a completare una minima organizzazione di tale servizio. Sarà opportuno far conoscere al personale tutte le regole da seguire mentre si svolge la procedura. Bisognerà formalizzare la procedura sostitutiva per evitare che gli addetti operino in condizioni di scarsa chiarezza dei ruoli e delle responsabilità; bisognerà informare gli addetti e sensibilizzarli al fine di abilitarli ad operare come in una vera e propria procedura operativa ordinaria. Per questo verranno attuate apposite sessioni di formazione, anche periodiche, per aggiornare ed istruire il personale addetto. Di seguito si presentano alcune opzioni. Formazione in linea generale Breve formazione di base, con spiegazione dei concetti di sicurezza a livello aziendale, di come precedere e come comportarsi a fronte dei vari tipi di attacchi e/o incidenti. La formazione dovrebbe chiarire quali sono i comportamenti da tenere in linea generale nell uso di una procedura sostitutiva e su come l Azienda e gli addetti siano tutelati nell operare nell ambito della procedura stessa. Tale formazione potrebbe essere svolta e coordinata dal nucleo che si occupa della Business Continuity o dal. Formazione in linea specifica Sessione di formazione specifica del servizio di riferimento, attuata dal referente o responsabile del servizio stesso, per il reparto in cui lavora il personale e inerente alle problematiche già accadute in precedenza e come poterle superare. L obiettivo di questa fase è anche specificare, informare e chiarire come l Azienda e gli addetti sono tutelati nell operare nell ambito della procedura sostitutiva del servizio. A fronte di tali sessioni formative, sarebbe utile predisporre un test di sviluppo delle conoscenze, per abilitare gli addetti che sono stati formati, a svolgere la procedura sostitutiva (questo anche per i nuovi assunti). pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 15/28

16 Nucleo Processi, Flussi Suggeriamo inoltre di predisporre un database per gestire e monitorare la situazione formativa della procedura sostitutiva, e per avere sotto controllo la situazione della sicurezza e della Business Continuity all interno dell Azienda. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 16/28

17 Nucleo Processi, Flussi La stesura di procedure sostitutive Una procedura sostitutiva dovrà svolgere in linea di massima il seguente iter per essere operativa a tutti gli effetti: Studio E il primo step per studiare ed analizzare la fattibilità della procedura stessa. In tale fase saranno coinvolti i responsabili dei servizi interessati, e possibilmente i referenti e/o parte degli addetti che si occuperanno di operare in tale ambito. E molto importante basarsi sui dati già raccolti dalla fase di rilevazione di procedure sostitutive già esistenti. L obiettivo di tale fase è anche raccogliere tutti gli elementi possibili per poter successivamente implementare la procedura. I Sistemi potranno fornire supporto e consulenza in questa fase. Creazione Fase di creazione della procedura sostitutiva. Tale fase va svolta a tavolino, dopo aver elaborato tutti gli elementi raccolti. La creazione della procedura sostitutiva andrà documentata, dovranno essere indicati gli assets coinvolti, le possibili minacce e rischi, le contromisure adottate, i referenti, gli owner, i responsabili. Analisi dettagliata dei processi. Descrizione e documentazione di tutti gli attori e di tutte le fasi previste. E opportuno che la fase di creazione preveda una comunicazione ai Sistemi. Approvazione L approvazione della procedura sostitutiva da parte del management, è una fase che permette la possibile attuazione della procedura, è una fase che formalizza la procedura e la rende tale. E una fase che dovrà permettere anche di tutelare il personale che andrà ad utilizzare tale procedura. Collaudo E il collaudo ed il test della procedura sostitutiva, che potrà essere svolto nei vari ambiti, anche fuori dall orario lavorativo e/o simulando l accadimento di un incidente informatico grave. Le fasi di tali collaudi dovrebbero essere gestite centralmente (a livello di Ospedale e di Dipartimento) e non dai singoli servizi, anche per controllare che i test vengano effettivamente svolti dagli addetti. I collaudi potranno essere supervisionati, tale attività potrà essere opportunamente documentata e gestita in un database, anch esso molto utile per gestire, controllare ed ottimizzare la Sicurezza Informatica e la Business Continuity aziendale. E opportuno che la fase di collaudo preveda una comunicazione ai Sistemi. Revisione Periodicamente la procedura andrà revisionata per aggiornare la documentazione relativa, eventuali variazioni e/o nuove implementazioni. E una fase fondamentale che permettere di mantenere in vita con efficienza la procedura stessa, soprattutto ai fini della Sicurezza Informatica e della Business Continuity aziendale. E opportuno che la fase di revisione preveda una comunicazione ai Sistemi. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 17/28

18 Nucleo Processi, Flussi Validazione La procedura sostitutiva deve essere confermata dall esame e dall evidenza oggettiva per essere definita idonea a soddisfare le richieste al suo uso specifico. Ciò significa che deve essere dimostrata oggettivamente l adeguatezza. Tutte le fasi dovranno essere totalmente documentate e formalizzate. Inoltre dovrà essere svolta l analisi organizzativa su chi si assume i rischi, le responsabilità e gli oneri durante la procedura sostitutiva. Tutto deve essere documentato ed accettato dai responsabili, contestualmente all accettazione o rifiuto dei rischi associati. L elenco delle procedure ordinarie e delle procedure sostitutive dovrà essere documentato e disponibile per le relative future consultazioni, aggiornamenti o per motivi legali. Si raccomanda quindi di documentare e gestire il tutto centralmente, in modo elettronico e mediante database, anche per evitare di saltare le eventuali fasi sopra citate per ogni singola procedura sostitutiva. Le procedure sostitutive devono essere rese note alle strutture organizzative individuate dall Azienda per garantire la B.C. e ai referenti per la continuità delle strutture organizzative. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 18/28

19 Nucleo Processi, Flussi Utilizzo di mezzi alternativi al sistema informatico In questa sezione vogliamo elencare i principali mezzi alternativi che possono essere utilizzati all interno di una procedura sostitutiva, sia singolarmente o insieme per perseguire uno stesso obiettivo. Ricordiamo che per tali mezzi sarebbe opportuno sviluppare determinate linee guida per caratterizzarne la deontologia e la sicurezza. Utilizzo del cartaceo L utilizzo di modelli cartacei può essere utilizzato sia per memorizzare i dati in mancanza di mezzi informatici, sia come mezzo di comunicazione. Considerati gli aspetti legati alla creazione degli appositi modelli precompilati, possibilmente mediante la stessa procedura ordinaria, va specificato l iter di ogni modello. In particolare, va chiarito come deve essere trattata dal punto di vista delle normative e dei regolamenti interni la giacenza dei modelli stessi, definendo il luogo fisico dove tenere i moduli cartacei in bianco e dove conservare quelli già compilati. Una volta effettuata la scrittura dei modelli, va certificato che siano stati compilati effettivamente dal personale addetto, senza errori, e quindi deve essere messo in evidenza dai responsabili del reparto stesso, in una apposita scheda riassuntiva, la data di utilizzo, il numero totale dei modelli compilati, il numero dei modelli in bianco rimasti in giacenza e/o stampati. A tal fine, sarà opportuno far preparare dai reparti un report standard di rilevazione dei modelli cartacei utilizzati nella procedura sostitutiva. Anche le regole legate al rispetto della sicurezza, alle norme Dlgs 196/2003 e al Documento Programmatico sulla Sicurezza, nonché i regolamenti interni relativi alla gestione della documentazione e dei dati, dovranno essere formalizzate opportunamente. Nel caso di dati ritenuti particolarmente sensibili, sarà quasi d obbligo l utilizzo di armadi ignifughi con chiave e/o combinazione (anche armadi blindati se necessario) al fine di permettere la conservazione dei dati. Utilizzare appositi siti per evitare allagamenti, distruzione, etc Ricordiamo infine che i modelli cartacei andranno conservati anche dopo aver eseguito il data entry a totale ripristino della procedura ordinaria. Anche per questo aspetto, e per quello che riguarda un eventuale futuro smaltimento, dovranno essere definite apposite regole standard da seguire. Utilizzo di apparecchi per la telefonia fissa e per la telefonia mobile Il telefono è un mezzo che permette principalmente la comunicazione, ma anche la memorizzazione di dati nel caso in cui vengono trasmessi a voce da un interlocutore all altro. Tali utilizzi possono essere svolti tramite il telefono fisso aziendale, o tramite il telefono cellulare aziendale. Chiaramente va seriamente preso in considerazione il fatto di fornire tali mezzi ove siano necessari. Un utilizzo più evoluto della telefonia mobile si baserebbe sulle attuali tecnologie wireless WAP disponibili su terminali PDA e cellulari, con cui è pensabile sviluppare applicativi a supporto di procedure sostitutive e ordinarie. Con l utilizzo della telefonia bisognerà comunque definire degli standard legati alle misure di sicurezza da adottare per evitare attacchi di tipo social engineering (per esempio il problema di accertarsi al telefono che l interlocutore che si spaccia per il direttore Mario Rossi sia effettivamente il direttore Mario Rossi). Va impostata una gestione corretta dei log delle telefonate, con appositi moduli cartacei standard, anche ai fini della pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 19/28

20 Nucleo Processi, Flussi documentazione storica della procedura sostitutiva e della sicurezza. L iter delle comunicazioni via telefono va schematizzato e formalizzato a priori. Utilizzo del fax Il modulo cartaceo precompilato può essere inviato via fax verso appositi centri di raccolta per l inserimento nella procedura. E importante tenere traccia dei fax inviati e disporre dell elenco completo dei fax interni ed esterni. Nelle strutture aziendali interessate sarebbe opportuno avere a disposizione più fax, o almeno un apparecchio fax di riserva per permettere sempre la comunicazione. Anche l iter delle comunicazioni via fax va schematizzato e formalizzato a priori. Utilizzo della posta interna Per l utilizzo di tale mezzo sono già definiti regolamenti e disposizioni di servizio da rispettare. E consigliabile che sulle buste sia evidenziata la natura del contenuto come riferito a una procedura sostitutiva, ad esempio con una dicitura del tipo Urgente: invio tramite procedura sostitutiva. Sarà molto importante avere un log delle corrispondenze inviate e ricevute, al fine di documentare storicamente la procedura sostitutiva. A tal proposito dovrà essere compilato dagli utilizzatori un apposito modello cartaceo standard, che verrà sottoscritto sia dal mittente che dal destinatario (o dai destinatari), come ulteriore traccia della corrispondenza e come avviso di ricevuta. Utilizzo di supporti magnetici Sono supporti esterni i floppy disk, Cd-Rom, Dvd-Rom, dischi esterni, unità di memorizzazione tipo pendrive USB. L utilizzo di tali mezzi va definito mediante apposite linee guida che riguardano la conservazione, la spedizione, la custodia e l eventuale distruzione di tali supporti di memorizzazione. Vanno definiti gli aspetti che ne caratterizzano la sicurezza, per evitare il furto dell informazione, come evitare di lasciare i dati incustoditi o in mano ad estranei, come proteggere i dati mediante password e/o crittografia. Il trasporto dei dati può esser fatto dal personale stesso oppure da appositi corrieri. Ad integrazione di questo, l utilizzo di log con appositi moduli cartacei standard da sottoscrivere e controfirmare anche come documentazione storica della procedura sostitutiva nel caso di spedizione, trasporto, ricezione. Le modalità di memorizzazione, spedizione, trasporto, ricezione di tali dati dovranno essere state definite e formalizzate. Altri supporti informatici PC di riserva, PC portatili, PC palmari. Tali risorse hardware potranno essere utilizzate in rete o anche stand-alone come mezzi alternativi. Il loro utilizzo deve essere regolamentato e devono essere emanate specifiche misure di sicurezza, in particolare in applicazioni basate su tecnologie wireless come Wi-Fi (IEEE ) o cellulari (GSM o UMTS) per gli aspetti di autenticazione e autorizzazione. Inoltre va integrata un ulteriore formazione all utilizzo di tali dispositivi da parte di personale competente. L analisi dei rischi risulterà fondamentale per poter investire correttamente nel patrimonio informativo (sia hardware che software) di supporto alle procedure sostitutive. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 20/28

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196) Premessa

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE

CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE CONSIGLIO DELL'ORDINE DEGLI AVVOCATI DI FROSINONE DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEGLI STUDI LEGALI (DPS) Redatto ai sensi e per gli effetti dell art. 34, c. 1, lett. g) del D.Lgs 196/2003 e del

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

MANUALE DELLA QUALITÀ Pag. 1 di 10

MANUALE DELLA QUALITÀ Pag. 1 di 10 MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro

Guida ai Sistemi di Gestione della Salute e della Sicurezza nei Luoghi di Lavoro Alberto Alberto ANDREANI ANDREANI Via Mameli, 72 int. 201/C Via Mameli, 72 int. 201/C 61100 PESARO Tel. 0721.403718 61100 PESARO Tel. 0721.403718 e.mail andreani@pesaro.com e.mail andreani@pesaro.com Guida

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00 Documento Programmatico sulla Sicurezza delle Informazioni Ver. 1.00 20 Ottobre 1998 InfoCamere S.C.p.A. Documento Programmatico sulla Sicurezza delle Informazioni Indice 1. Introduzione...3 2. Principi

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P. BOZZA D.P.S. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.iva Documento Programmatico sulla Sicurezza Indice finalità del documento inventario dei beni in dotazione

Dettagli

Il nuovo codice in materia di protezione dei dati personali

Il nuovo codice in materia di protezione dei dati personali Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico

Dettagli

E. Struttura e organizzazione del sistema

E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E. Struttura e organizzazione del sistema E.1 Sistema di gestione L azienda dovrebbe strutturare il SGSL seguendo i contenuti espressi nel presente documento,

Dettagli

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia

Procedure d emergenza e Business Continuity Plan. Dott. Ing. Alfiero Ortali Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Procedure d emergenza e Business Continuity Plan Dirigente Servizio Sistema Informativo E-Governmant Provincia di Perugia Loreto Ottobre 2011 La business continuity è in sostanza l insieme di attività

Dettagli

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI:

ASSEGNA LE SEGUENTI COMPETENZE ISTITUZIONALI AGLI UFFICI DELLA DIREZIONE GENERALE OSSERVATORIO SERVIZI INFORMATICI E DELLE TELECOMUNICAZIONI: IL PRESIDENTE VISTO il decreto legislativo 12 aprile 2006, n. 163 e successive modifiche ed integrazioni, in particolare l art. 8, comma 2, ai sensi del quale l Autorità stabilisce le norme sulla propria

Dettagli

MANSIONARIO PRIVACY. 1 Generalità 1. 2 Incaricati 3. 3 Incaricato all Amministrazione del Sistema 5. 4 Incaricato alla Custodia della Parole Chiave 6

MANSIONARIO PRIVACY. 1 Generalità 1. 2 Incaricati 3. 3 Incaricato all Amministrazione del Sistema 5. 4 Incaricato alla Custodia della Parole Chiave 6 1 Generalità 1 2 Incaricati 3 3 all Amministrazione del Sistema 5 4 alla Custodia della Parole Chiave 6 5 al Salvataggio dei Dati 7 6 alla Custodia della Sede Operativa 8 A Elenco degli Incaricati 9 B

Dettagli

ICT Information &Communication Technology

ICT Information &Communication Technology ICT Information &Communication Technology www.tilak.it Profile Tilak Srl, azienda specializzata in soluzioni in ambito Communication Technology opera nell ambito dei servizi di consulenza, formazione e

Dettagli

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING Il servizio, fornito attraverso macchine server messe

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Mansionario del trattamento dei dati

Mansionario del trattamento dei dati Allegato 9 Mansionario del trattamento dei dati CRITERI GENERALI DI COMPORTAMENTO E NORME PROCEDURALI In questo documento si forniscono alcune regole sulle modalità più convenienti per l attuazione delle

Dettagli

Continuità operativa - FAQ

Continuità operativa - FAQ Continuità operativa - FAQ Cosa è la Continuità Operativa? La continuità operativa è l insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un

Dettagli

EasyGov Solutions Srl. Start-up del Politecnico di Milano

EasyGov Solutions Srl. Start-up del Politecnico di Milano EasyGov Solutions Srl Start-up del Politecnico di Milano Continuità Operativa ICT e Disaster Recovery 2 Il contesto - 1 Continuità operativa Generale Persone, Impianti, Infrastrutture, documenti, norme,

Dettagli

Video Corso per Fornitori Cedacri. Regnani Chiara Collecchio, Gennaio 2014

Video Corso per Fornitori Cedacri. Regnani Chiara Collecchio, Gennaio 2014 Video Corso per Fornitori Cedacri Regnani Chiara Collecchio, Gennaio 2014 1 Scopo Scopo del presente Corso è fornire informazioni necessarie per rapportarsi con gli standard utilizzati in Azienda 2 Standard

Dettagli

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI

COMUNE DI ROSSANO VENETO DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI COMUNE DI ROSSANO VENETO SERVIZI INFORMATICI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DEI DATI INFORMATICI Allegato A) INDICE 1 INTRODUZIONE 2 ASPETTI GENERALI 2.1 Contenuti 2.2 Responsabilità 2.3 Applicabilità

Dettagli

La gestione documentale informatizzata

La gestione documentale informatizzata La gestione documentale informatizzata La gestione dei documenti su supporto cartaceo ed elettronico Attualmente in molte aziende, soprattutto medio/piccole, la gestione delle informazioni scritte avviene

Dettagli

GESTIONE COMUNICAZIONE E RELAZIONI CON IL PUBBLICO

GESTIONE COMUNICAZIONE E RELAZIONI CON IL PUBBLICO rev. 03 Data: 04-12-2012 pag. 1 11 SOMMARIO 1. PIANIFICAZIONE... 2 1.1. SCOPO DELLA PROCEDURA GESTIONALE... 2 1.2. OBIETTIVI E STANDARD DEL PROCESSO... 2 1.3. RESPONSABILITÀ E RISORSE COINVOLTE... 2 2.

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO/IEC 27001. Sistema di Gestione della Sicurezza delle Informazioni Sistema di Gestione della Sicurezza delle Informazioni 2015 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO 27001 La metodologia Quality Solutions Focus on: «L analisi

Dettagli

Documento Programmatico sulla sicurezza

Documento Programmatico sulla sicurezza SNAMI Sindacato Nazionale Autonomo Medici Italiani Documento Programmatico sulla sicurezza Redatto ai sensi dell articolo 34, comma 1, lettera g) e Allegato B - Disciplinare Tecnico, Regola 19 del Decreto

Dettagli

SISTEMA DI GESTIONE PER LA QUALITA 1. REQUISITI GENERALI...2

SISTEMA DI GESTIONE PER LA QUALITA 1. REQUISITI GENERALI...2 Pagina 1 di 10 INDICE 1. REQUISITI GENERALI...2 2. REQUISITI RELATIVI ALLA DOCUMENTAZIONE...4 2.1. QUALITÀ...4 2.2. TENUTA SOTTO CONTROLLO DEI DOCUMENTI...5 2.3. TENUTA SOTTO CONTROLLO DELLE REGISTRAZIONI...9

Dettagli

GESTIONE NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE

GESTIONE NON CONFORMITÀ, AZIONI CORRETTIVE E PREVENTIVE rev. 0 Data: 01-03-2006 pag. 1 10 SOMMARIO 1. PIANIFICAZIONE... 2 1.1. SCOPO DELLA PROCEDURA GESTIONALE... 2 1.2. OBIETTIVI E STANDARD DEL PROCESSO... 2 1.3. RESPONSABILITÀ E RISORSE COINVOLTE... 2 2.

Dettagli

Preaudit Sicurezza / Ambiente. General Risk Assessment

Preaudit Sicurezza / Ambiente. General Risk Assessment General Risk Assessment Conduzione di un General Risk Assessment in coerenza con i requisiti ISO 9001:2015. nel 2015 verrà pubblicata la nuova UNI EN ISO 9001 che avrà sempre più un orientamento alla gestione

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 5 Marco Fusaro KPMG S.p.A. 1 CobiT: strumento per la comprensione di una

Dettagli

201509241305 Manuale di Gestione MIUR ALLEGATO n. 5 Pag. 1

201509241305 Manuale di Gestione MIUR ALLEGATO n. 5 Pag. 1 Indice dei contenuti GENERALITÀ 1. ASPETTI DI SICUREZZA INERENTI LA FORMAZIONE DEI DOCUMENTI 2. ASPETTI DI SICUREZZA INERENTI LA GESTIONE DEI DOCUMENTI 3. COMPONENTE ORGANIZZATIVA DELLA SICUREZZA 4. COMPONENTE

Dettagli

ALLEGATO N. 4. Premessa

ALLEGATO N. 4. Premessa 1 ALLEGATO N. 4 PIANO DI SICUREZZA RELATIVO ALLA FORMAZIONE, ALLA GESTIONE, ALLA TRASMISSIONE, ALL INTERSCAMBIO, ALL ACCESSO, ALLA CONSERVAZIONE DEI DOCUMENTI INFORMATICI Premessa Il presente piano di

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

I dati : patrimonio aziendale da proteggere

I dati : patrimonio aziendale da proteggere Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza

Dettagli

Istruzioni operative per gli Incaricati del trattamento dei dati personali

Istruzioni operative per gli Incaricati del trattamento dei dati personali Istruzioni operative per gli Incaricati del trattamento dei dati personali Pagina 1 di 5 Introduzione Il presente documento costituisce un manuale con istruzioni operative per il corretto utilizzo dei

Dettagli

Sistema Informatico per l Elaborazione dei Ruoli e la Gestione Integrata degli Avvisi

Sistema Informatico per l Elaborazione dei Ruoli e la Gestione Integrata degli Avvisi S.IN.E.R.G.I.A. Sistema Informatico per l Elaborazione dei Ruoli e la Gestione Integrata degli Avvisi Manuale Operativo SINERGIA Manuale Operativo S.IN.E.R.G.I.A. 2.5 Pagina 1 di 26 SOMMARIO PRESENTAZIONE...

Dettagli

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI DOCUMENTO PROGRAMMATICO SULLA SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI Questo documento illustra il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate per il trattamento dei

Dettagli

Business continuity per la PA, G. Pontevolpe

Business continuity per la PA, G. Pontevolpe Business continuity per la PA Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Programma Generalità sul disaster recovery Disaster recovery e sicurezza Aspetti

Dettagli

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy Obblighi di sicurezza e relative sanzioni Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy L adozione delle Misure Minime di Sicurezza è obbligatorio per tutti coloro che effettuano trattamenti

Dettagli

I dati in cassaforte 1

I dati in cassaforte 1 I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse

Dettagli

L importanza di una corretta impostazione delle politiche di sicurezza

L importanza di una corretta impostazione delle politiche di sicurezza La Gestione della Sicurezza Informatica nelle Aziende L importanza di una corretta impostazione delle politiche di sicurezza Paolo Da Ros Membro del Direttivo CLUSIT Firenze 29 gennaio 2003 L importanza

Dettagli

Audit & Sicurezza Informatica. Linee di servizio

Audit & Sicurezza Informatica. Linee di servizio Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano

Dettagli

TECNICO DELLA PIANIFICAZIONE ECONOMICA E AMBIENTALE DELLE AREE PORTUALI

TECNICO DELLA PIANIFICAZIONE ECONOMICA E AMBIENTALE DELLE AREE PORTUALI TECNICO DELLA PIANIFICAZIONE ECONOMICA E AMBIENTALE DELLE AREE PORTUALI LEZIONE 6/10/05 STATISTICA Antigone Marino LE FASI DI REALIZZAZIONE DI UNA RICERCA 1. Definizione del tipo di informazioni attese

Dettagli

L importanza del salvataggio dei dati Febbraio 2001 I diritti di riproduzione, di memorizzazione elettronica e di adattamento totale o parziale con qualsiasi mezzo, compresi i microfilm e le copie fotostatiche

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

Hanson Brothers. PIANO DI DISASTER RECOVERY delle sale server

Hanson Brothers. PIANO DI DISASTER RECOVERY delle sale server Hanson Brothers PIANO DI DISASTER RECOVERY delle sale server Marzo 2005 Informazioni Documento Nome Documento: Piano di Disaster Recovery Nome File: DRP.doc Ultimo Salvataggio: 16/03/2005 Ultima Data di

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

Nota informativa Verifica di Fase 1 presso gli uffici LRQA Italy

Nota informativa Verifica di Fase 1 presso gli uffici LRQA Italy Nota informativa Verifica di Fase 1 presso gli uffici LRQA Italy Premessa La verifica di Stage 1 deve di norma essere effettuata presso la sede del Cliente. Eccezionalmente, purchè si verifichino e siano

Dettagli

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Ministero dell Ambiente e della Tutela del Territorio e del Mare Ministero dell Ambiente e della Tutela del Territorio e del Mare DIREZIONE GENERALE PER GLI AFFARI GENERALI E DEL PERSONALE Divisione III Sistemi Informativi RDO PER LA FORNITURA DI SERVIZI PER LA GESTIONE

Dettagli

D.B. Service S.r.l Sede legale Via San Martino, 16 20122 - Milano Sede Commerciale - Via Regina Elena, 46 74123 Taranto Tel 099.

D.B. Service S.r.l Sede legale Via San Martino, 16 20122 - Milano Sede Commerciale - Via Regina Elena, 46 74123 Taranto Tel 099. Carta Dei Servizi Indice Fondamenti della Carta dei Servizi Cos è la Carta dei servizi Principi fondamentali generali Principali riferimenti normativi Validità e aggiornamento La Carta dei Servizi : diffusione

Dettagli

DETTAGLIO SERVIZI. OPEN Dot Com Spa via Roma, 54 12100 Cuneo

DETTAGLIO SERVIZI. OPEN Dot Com Spa via Roma, 54 12100 Cuneo DETTAGLIO SERVIZI 1 INDICE SERVIZI... 3 1. TESSERINO D ISCRIZIONE... 3 2. FIRMA DIGITALE CON RUOLO... 3 SMART CARD CON RUOLO... 3 CNS (CARTA NAZIONALE DEI SERVIZI)... 5 BUSINESS KEY... 5 3. POSTA ELETTRONICA

Dettagli

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI

Allegato A. Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI 66 Allegato A Ruolo degli organi aziendali, sistemi informativi e sistema dei controlli interni. 1. RUOLO DEGLI ORGANI AZIENDALI Gli organi aziendali assumono un ruolo fondamentale per la definizione di

Dettagli

Approvato con deliberazione della Giunta comunale n. / in data / /

Approvato con deliberazione della Giunta comunale n. / in data / / REGOLAMENTO PER L UTILIZZO DEGLI STRUMENTI INFORMATICI E TELEMATICI Approvato con deliberazione della Giunta comunale n. / in data / / INDICE CAPO I FINALITA - AMBITO DI APPLICAZIONE - PRINCIPI GENERALI

Dettagli

TECNICO SUPERIORE PER L AMBIENTE, L ENERGIA E LA SICUREZZA IN AZIENDA

TECNICO SUPERIORE PER L AMBIENTE, L ENERGIA E LA SICUREZZA IN AZIENDA ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE INDUSTRIA E ARTIGIANATO TECNICO SUPERIORE PER L AMBIENTE, L ENERGIA E LA SICUREZZA IN AZIENDA STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI DESCRIZIONE

Dettagli

Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo

Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo Continuità operativa e Disaster recovery Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo Alcuni concetti Gestione

Dettagli

PROCEDURA PR03 - Documentazione e Registrazioni del SGQ

PROCEDURA PR03 - Documentazione e Registrazioni del SGQ AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE TO1 - OBITORIO CIVICO PROCEDURA PR03 - Documentazione e Registrazioni del SGQ Edizione 2 Approvata dal Direttore della SC Medicina Legale Emessa dal Referente

Dettagli

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI REGOLAMENTO CONCERNENTE LA NOMINA E LE FUNZIONI DELL AMMINISTRATORE DI SISTEMA E GLI ADEMPIMENTI IN MATERIA DI OSSERVANZA DELLE MISURE DI SICUREZZA PRIVACY 1 ARTICOLO 1 - SCOPO DEL REGOLAMENTO Il presente

Dettagli

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 Per una migliore qualità della vita CERTIQUALITY La certificazione strumento di Business Continuity: gli standard ISO 27001 e ISO 22301 CHI SIAMO Certiquality è una società la cui attività è orientata

Dettagli

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione

Verifica qualità dati contabili Elaborazione e strutturazione dell informazione COMUNE DI TRENTO Servizio Programmazione e Controllo via Belenzani 22 38100 Trento Telefono: 0461-884162; Fax: 0461-884168 e_mail: servizio_programmazione@comune.trento.it Sito internet dell amministrazione:

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

Fase di offerta. Realizzazione del progetto

Fase di offerta. Realizzazione del progetto Linee guida per un buon progetto Commissione dell informazione e dei Sistemi di Automazione Civili e Industriali CONTENUTI A) Studio di fattibilità B) Progetto di massima della soluzione C) Definizione

Dettagli

Le procedure gestionali del SGQ di UTFUS TF GQL

Le procedure gestionali del SGQ di UTFUS TF GQL Le procedure gestionali del SGQ di UTFUS TF GQL Sommario Procedure gestionali obbligatorie secondo ISO 9001:2008; Gestione Documenti; Audit Interni; Non Conformità; Azioni di miglioramento (azioni correttive

Dettagli

PROCEDURA DI SISTEMA GESTIONE E ORGANIZZAZIONE DELLA DOCUMENTAZIONE

PROCEDURA DI SISTEMA GESTIONE E ORGANIZZAZIONE DELLA DOCUMENTAZIONE Pagina 1 di 7 INDICE 1. SCOPO 2. CAMPO DI APPLICAZIONE 3. RESPONSABILITA 4. DESCRIZIONE DELLE ATTIVITÀ 5. INDICATORI DI PROCESSO 6. RIFERIMENTI 7. ARCHIVIAZIONI 8. TERMINOLOGIA ED ABBREVIAZIONI 9. ALLEGATI

Dettagli

Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 UNIMATICA S.p.A.

Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 UNIMATICA S.p.A. Servizio di Conservazione a norma Service Level Agreement Sistema di Gestione per la Qualità - DQ_07.06 pag. 1 di 12 Revisione Data Motivo Revisione Redatto da Approvato da 1.0 03/10/2009 Emissione Andrea

Dettagli

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida Convegno di studio La biometria entra nell e-government Le attività del CNIPA nel campo della biometria: le Linee guida Alessandro Alessandroni Cnipa alessandroni@cnipa.it Alessandro Alessandroni è Responsabile

Dettagli

Piano di Continuità Operativa ICT

Piano di Continuità Operativa ICT LOGO DELL AMMINISTRAZIONE Piano di Continuita Operativa ICT Esempio di modello generale X/XX/201X F I R M E Unità/Ruolo Nominativo Firma PREPARATO DA: CONTROLLATO DA: APPROVATO DA: AUTORIZZATO DA: 2 LISTA

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Comune di Nola Provincia di Napoli Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici Sommario Articolo I. Scopo...2 Articolo II. Riferimenti...2 Articolo III. Definizioni

Dettagli

Sicurezza dei Sistemi Informativi

Sicurezza dei Sistemi Informativi francesco moroncini Sicurezza dei Sistemi Informativi Quanto è importante la sicurezza informatica in azienda? Quanto considerate importante il vostro sistema informativo? Si sono mai verificati incidenti?

Dettagli

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori

UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori UNI CEI EN ISO/IEC 17025 Sez. 4 e requisiti SINAL per l accreditamento dei laboratori Struttura della norma ISO/IEC 17025 1. Scopo 2. Riferimenti normativi 3. Termini e definizioni 4. Requisiti gestionali

Dettagli

Gentile Cliente, Sinergica 3 s.r.l. Pag. 1 di 5

Gentile Cliente, Sinergica 3 s.r.l. Pag. 1 di 5 Gentile Cliente, la presente comunicazione ha lo scopo di illustrare i servizi compresi nel contratto che prevede la fornitura di aggiornamenti e assistenza sui prodotti software distribuiti da Sinergica

Dettagli

ALLEGATO 12. ATTO RICOGNITIVO dei rischi in materia di Amministratori di Sistema e Assimilati

ALLEGATO 12. ATTO RICOGNITIVO dei rischi in materia di Amministratori di Sistema e Assimilati ALLEGATO 12 ATTO RICOGNITIVO dei rischi in materia di Amministratori di Sistema e Assimilati Premessa: Riportiamo qui di seguito, come allegato, l ATTO RICOGNITIVO dei rischi in materia di Amministratori

Dettagli

Concorso Premiamo i risultati DOCUMENTO DI PARTECIPAZIONE

Concorso Premiamo i risultati DOCUMENTO DI PARTECIPAZIONE Ministero per la pubblica amministrazione e l innovazione Concorso Premiamo i risultati DOCUMENTO DI PARTECIPAZIONE - 1 - PREMESSA Il documento di partecipazione ha come oggetto la progettazione esecutiva

Dettagli

Ministero della Pubblica Istruzione

Ministero della Pubblica Istruzione Ministero della Pubblica Istruzione POLITICHE DI UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA PER GLI UTENTI STANDARD DEL DOMINIO istruzione.it 1 INTRODUZIONE La presente politica disciplina l utilizzo del

Dettagli

Continuità operativa e disaster recovery nella pubblica amministrazione

Continuità operativa e disaster recovery nella pubblica amministrazione Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività

Dettagli

REGOLAMENTO SULL ORDINAMENTO GENERALE DEGLI UFFICI E DEI SERVIZI AMMINISTRAZIONE E SICUREZZA DEI SISTEMI INFORMATIVI

REGOLAMENTO SULL ORDINAMENTO GENERALE DEGLI UFFICI E DEI SERVIZI AMMINISTRAZIONE E SICUREZZA DEI SISTEMI INFORMATIVI 84 REGOLAMENTO SULL ORDINAMENTO GENERALE DEGLI UFFICI E DEI SERVIZI AMMINISTRAZIONE E SICUREZZA DEI SISTEMI INFORMATIVI ADOTTATO DALLA GIUNTA COMUNALE CON DELIBERAZIONE N. 310/215 PROP.DEL. NELLA SEDUTA

Dettagli

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere le applicazioni sempre disponibili: dalla gestione quotidiana al ripristino in caso di guasto

Dettagli

BtoWeb QS Caratteristiche e funzionalità: BtoWeb QS

BtoWeb QS Caratteristiche e funzionalità: BtoWeb QS www.btoweb.it L unione tra il know-how gestionale e organizzativo maturato in oltre 12 anni di consulenza e l esperienza nell ambito dell informatizzazione dei processi ha consentito a Sinergest lo sviluppo

Dettagli

SISTEMA INFORMATIVO INPDAP SERVIZI E PROGETTI PER L'INTEGRAZIONE DEL SISTEMA MODALITÀ DI COLLAUDO DEL SOFTWARE

SISTEMA INFORMATIVO INPDAP SERVIZI E PROGETTI PER L'INTEGRAZIONE DEL SISTEMA MODALITÀ DI COLLAUDO DEL SOFTWARE SISTEMA INFORMATIVO INPDAP SERVIZI E PROGETTI PER L'INTEGRAZIONE DEL SISTEMA MODALITÀ DI COLLAUDO DEL SOFTWARE Pag. I INDICE 1. INTRODUZIONE...1 1.1 SCOPO DEL DOCUMENTO...1 1.2 AREA DI APPLICAZIONE...1

Dettagli

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA INDICE DEI DOCUMENTI PRESENTI

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA INDICE DEI DOCUMENTI PRESENTI DPSS DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Documento riassuntivo delle misure di sicurezza per la Privacy attuate dal Titolare, in conformità agli artt. da 33 a 36 ed all'allegato B del D.Lgs. 30 giugno

Dettagli

TECNICO SUPERIORE PER LE TELECOMUNICAZIONI

TECNICO SUPERIORE PER LE TELECOMUNICAZIONI ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER LE TELECOMUNICAZIONI STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI DESCRIZIONE

Dettagli

Le schede operative. La sicurezza dei dati: il salvataggio degli archivi

Le schede operative. La sicurezza dei dati: il salvataggio degli archivi Collegio dei Ragionieri di Brescia Commissione Informatica Le schede operative La sicurezza dei dati: il salvataggio degli archivi di Biagio Notario Indicazioni sulla sicurezza minimale dei dati: il salvataggio.

Dettagli

un rapporto di collaborazione con gli utenti

un rapporto di collaborazione con gli utenti LA CARTA DEI SERVIZI INFORMATICI un rapporto di collaborazione con gli utenti La prima edizione della Carta dei Servizi Informatici vuole affermare l impegno di Informatica Trentina e del Servizio Sistemi

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

PROCEDURA 4.1 Gestione della documentazione e delle registrazioni. Redazione (referente di processo) Responsabile Sistema Qualità (RSG)

PROCEDURA 4.1 Gestione della documentazione e delle registrazioni. Redazione (referente di processo) Responsabile Sistema Qualità (RSG) PROCEDURA 4.1 Gestione della documentazione e delle registrazioni Ed.2 Rev.0 del 22/07/2014 Redazione (referente di processo) Approvazione Andrea Marchesi Responsabile Sistema Qualità (RSG) Silvio Braini

Dettagli

GESTIONE DELLA POSTA ELETTRONICA CERTIFICATA - PEC GEPROT v 3.1

GESTIONE DELLA POSTA ELETTRONICA CERTIFICATA - PEC GEPROT v 3.1 GESTIONE DELLA POSTA ELETTRONICA CERTIFICATA - PEC GEPROT v 3.1 ESPLETAMENTO DI ATTIVITÀ PER L IMPLEMENTAZIONE DELLE COMPONENTI PREVISTE NELLA FASE 3 DEL PROGETTO DI E-GOVERNMENT INTEROPERABILITÀ DEI SISTEMI

Dettagli

SISTEMA DI GESTIONE DELLA SICUREZZA NELLE AZIENDE SANITARIE

SISTEMA DI GESTIONE DELLA SICUREZZA NELLE AZIENDE SANITARIE SISTEMA DI GESTIONE DELLA SICUREZZA NELLE AZIENDE SANITARIE Gestione della comunicazione Stabilisce le regole per l'individuazione, il mantenimento e la disponibilità dei documenti e delle registrazioni

Dettagli

Determinazione dei requisiti relativi al servizio Lo Studio Legale Scuderi - Motta, per ciascun cliente si premura di determinare:

Determinazione dei requisiti relativi al servizio Lo Studio Legale Scuderi - Motta, per ciascun cliente si premura di determinare: ORIENTAMENTO AL CLIENTE PROCESSI RELATIVI AL CLIENTE Il nostro Studio Legale si impegna ad evadere ogni richiesta formulata dalla propria clientela entro i termini di legge, ovvero come concordati contrattualmente

Dettagli

Ministero dell Ambiente e della Tutela del Territorio e del Mare

Ministero dell Ambiente e della Tutela del Territorio e del Mare Ministero dell Ambiente e della Tutela del Territorio e del Mare DIREZIONE GENERALE PER GLI AFFARI GENERALI E DEL PERSONALE Divisione III Sistemi Informativi RDO PER LA FORNITURA DI SERVIZI PER LA CONDUZIONE

Dettagli

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 _ Intervento al Master MTI AlmaWeb 4/2/2002 IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS 7799 - ISO/IEC 17799 Intervento al Master AlmaWeb in Management e Tecnologie dell Informazione

Dettagli

copie di salvaguardia

copie di salvaguardia Sicurezza informatica copie di salvaguardia Facoltà di Lettere e Filosofia anno accademico 2008/2009 secondo semestre Sicurezza informatica Le principali problematiche relative alla sicurezza delle informazioni

Dettagli