Business Continuity Plan Linee guida per la stesura e l implementazione delle procedure sostitutive in APSS
|
|
- Gianleone Carella
- 8 anni fa
- Visualizzazioni
Transcript
1 Nucleo P.I.C. Processi, flussi piani di Continuità Business Continuity Plan Linee guida per la stesura e l implementazione delle procedure sostitutive in APSS Redatto da: Giampaolo Franco Collaborazione: Versione: 2.0 Data emissione: 1 novembre 2006 Firma Data Rivisto: Damiano Vozza Approvato: Distribuito a: EVERYONE pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007
2 Nucleo Processi, Flussi pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 2/28
3 Indice Nucleo Processi, Flussi Introduzione...5 Procedure sostitutive come parte del Business Continuity Management...7 Definizione di procedura sostitutiva...9 Che cosa deve prevedere una procedura ordinaria...10 Che cosa deve prevedere una procedura sostitutiva...12 Considerazioni per chi utilizza la procedura sostitutiva...15 Formazione in linea generale...15 Formazione in linea specifica...15 La stesura di procedure sostitutive...17 Studio...17 Creazione...17 Approvazione...17 Collaudo...17 Revisione...17 Validazione...18 Utilizzo di mezzi alternativi al sistema informatico...19 Utilizzo del cartaceo...19 Utilizzo di apparecchi per la telefonia fissa e per la telefonia mobile...19 Utilizzo del fax...20 Utilizzo della posta interna...20 Utilizzo di supporti magnetici...20 Altri supporti informatici...20 Come impostare una procedura sostitutiva a fronte di incidenti...21 Le strategie per il Business Continuity Management...23 Elaborazione del piano di Business Continuity...24 Definizione di obiettivi ed ipotesi...24 Definizione del Business Impact Analysis...24 Progetto e sviluppo del piano...25 Realizzazione del piano...25 Test del piano di BCP...25 Manutenzione del piano...26 Esecuzione in caso di disastro...26 Conclusioni...28 Bibliografia e riferimenti...28 pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 3/28
4 Nucleo Processi, Flussi pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 4/28
5 Nucleo Processi, Flussi Introduzione I Sistemi, nell ambito della propria mission aziendale di gestione e sviluppo del sistema informativo aziendale, hanno l incarico nell ambito della Business Continuity di sviluppare e implementare il BCP (Business Continuity Plan) in ambito informatico e il compito di stimolare e di supportare lo studio e l analisi di procedure alternative a quelle informatiche, per favorirne l integrazione con gli altri processi aziendali, in particolare con le procedure ICT (Information and Communication Technology). Il Servizio intende presentare alcune linee guida quale strumento utile alla stesura delle procedure sostitutive, nell intento di fornire un supporto ed un aiuto pratico a chi tali procedure deve sviluppare, come le direzioni D.O.C., i Servizi e le U.O. che utilizzano procedure informatiche critiche aziendali; le linee guida sono di natura informativa e programmatica e non precettiva, in quanto si è ben consapevoli della complessità e vastità dell organizzazione aziendale, dei diversi assetti e aspetti organizzativi e funzionali delle sue strutture interne, dell eterogeneità delle professioni in essa operanti. Le principali funzioni che il Servizio può svolgere in tale ambito sono: supporta l analisi dei processi da un punto di vista tecnico/informatico; supporta l analisi di procedure informatiche per quanto riguarda la continuità ed in particolare in aree mission critical; indica i requisiti di sicurezza / privacy e continuità che occorre rispettare nelle procedure di routine e alternative e nella fase di analisi, sviluppo, acquisizione di nuove procedure; concorre all individuazione dei processi critici informatici, all identificazione delle criticità delle procedure informatiche e dei principali asset (beni) informatici da salvaguardare; collabora all individuazione di soluzioni informatiche alternative se esistenti e applicabili. In questo documento il nucleo PIC propone alcune indicazioni che possono costituire un filo conduttore anche per cominciare ad identificare la filosofia ed il comportamento nella sicurezza dei servizi ritenuti particolarmente importanti dall Azienda e nell ambito del Business Continuity Management. Ricordiamo che tali servizi vengono menzionati come mission critical e sono i seguenti: WAN rete geografica LAN rete locale e cablaggi strutturati Anagrafe assistiti e sistemi di accettazione SIO, PS, 118 Laboratorio Radiologia Posta elettronica Lo scopo del Business Continuity Management in generale è comunque quello di garantire la continuità dei processi dell Organizzazione in funzione del loro valore e della qualità dei prodotti/servizi erogati tramite il supporto dell infrastruttura di ICT, prevedendo e minimizzando l impatto di incidenti intenzionali o accidentali e dei conseguenti possibili danni. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 5/28
6 Nucleo Processi, Flussi Le terminologie di CNIPA E bene specificare che esiste un conflitto di terminologie tra il significato di critico che utilizza l Azienda in questa catalogazione. L Azienda definisce come Mission Critical i servizi critici o le attività di supporto al Business (interne o in outsourcing) senza i quali l organizzazione non può raggiungere i propri obiettivi. Secondo il CNIPA invece i sistemi critici non possono essere sostituiti da nulla di alternativo (solo da qualcosa di identico). Per definizione quindi i sistemi critici non prevedono nessuna procedura sostitutiva. E qui ricordiamo che il termine critico viene utilizzato dall APSS impropriamente ed in maniera generica, perché la catalogazione dei suddetti sistemi deve essere ancora fatta nell ambito dell analisi dei rischi, come previsto dalla metodologia proposta dallo stesso CNIPA. E chiaro che questi sistemi ritenuti critici, in realtà potranno essere vitali, piuttosto che delicati, non-critici; potrebbero risultare critici o vitali servizi o procedure finora ritenuti poco rilevanti. Si ritiene opportuno al momento, per facilitare la comprensione all interno dell Azienda, mantenere la terminologia di sistemi critici. Si pensa comunque di risolvere i conflitti terminologici attraverso una capillare attività formativa e di sensibilizzazione del personale dei reparti dell Azienda interessati. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 6/28
7 Nucleo Processi, Flussi Procedure sostitutive come parte del Business Continuity Management Lo sviluppo delle procedure ordinarie e delle procedure sostitutive, in generale si collega alla creazione di un sistema di Business Continuity Management. Secondo il CNIPA, tale sistema dovrà tenere in considerazione le seguenti componenti: Crisis and Incident Management: assicura la gestione dello stato di crisi e la risposta ad incidenti nel caso in cui si verifichi un evento in grado di compromettere la continuità dell operatività Continuity Management: assicura la continuità dei processi durante e dopo un emergenza attraverso la predisposizione di processi/procedure alternative (spesso manuali) a quelle normalmente supportate dall infrastruttura di ICT Disaster Recovery Management: assicura il recovery delle infrastrutture tecnologiche a supporto dei processi di Business Business Recovery Management: assicura il recovery dei processi di Business dopo un emergenza e il ritorno alla normalità La pianificazione di un sistema di Business Continuity Management è una misura preventiva nell ambito della gestione dei rischi, con particolare riferimento ai rischi di disponibilità delle informazioni. L esecuzione dei piani e delle procedure previste in caso di eventi in grado di compromettere la continuità operativa deve essere rivolta a ridurre al minimo gli impatti derivanti dal verificarsi di tali eventi. Le procedure sostitutive, in quanto dirette a garantire la continuità operativa e del business aziendale, sono definite e attuate a cura delle singole aree di business, ovvero delle strutture organizzative aziendali (Ospedali/Dipartimenti/Distretti ecc.) e ricadono sotto la loro diretta responsabilità. La responsabilità delle procedure sostitutive deve essere formalizzata e il responsabile deve essere reso consapevole delle incombenze relative stesura, applicazione, aggiornamento che verranno specificate nel seguito. Il ciclo del Business Continuity Management Il ciclo di realizzazione del Sistema di Business Continuity Management deve prevedere le seguenti fasi: Progettazione del BCM: prevede il disegno e la pianificazione dell intero sistema sia negli aspetti organizzativi che tecnologici Implementazione del BCM: prevede l implementazione del sistema progettato con particolare attenzione agli aspetti di comunicazione/sensibilizzazione diffusa e di formazione specifica sulle procedure e sui piani pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 7/28
8 Nucleo Processi, Flussi Monitoraggio del BCM: prevede il monitoraggio dell efficacia del sistema implementato attraverso test e simulazioni dei piani e audit periodici specifici Mantenimento ed ottimizzazione: prevede l evoluzione del sistema in relazione ai feedback derivanti dal monitoraggio ed eventuali ulteriori requisiti interni ed esterni sopraggiunti nel frattempo ed avvia un nuovo ciclo progettuale. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 8/28
9 Nucleo Processi, Flussi Definizione di procedura sostitutiva Per procedura sostitutiva si intende quella procedura automatica o manuale che si va a sostituire alla procedura ordinaria, nel caso in cui quest ultima non sia più attuabile per determinate cause e/o incidenti. Vi possono essere infatti degli eventi che vanno ad ostacolare, fino a bloccare del tutto, la normale operatività svolta dalla procedura ordinaria. Tra gli eventi più importanti che bloccano la normale operatività, possiamo identificare i seguenti: Black-out elettrico Incendio, allagamento, crollo Attacco virale massiccio (disturbo, worm, denial of service) Attacchi logici e di hacker (interfaccia, applicazione, dati, server): attacco di intercettazione e deduzione (alla riservatezza), di intrusione (alla riservatezza ed integrità), di disturbo (alla disponibilità), o spamming Attacchi fisici (furto o danneggiamento) Down di sistema (server, apparati di rete o servizio), di natura hardware o software Altri eventi distruttivi quali terremoti o altre catastrofi naturali Bisogna sempre tenere presente che certi attacchi possono essere fatti appositamente e deliberatamente per depistare o ridurre il grado di sicurezza su altri veri obiettivi di attacco già scelti. Inoltre le minacce di tipo doloso possono anche provenire da operatori/ambienti sia interni sia esterni ad APSS ed in particolare da utenti connessi alla rete internet. Le procedure sostitutive, soprattutto dal punto di vista della sicurezza, dovranno essere in grado di consentire l erogazione dei servizi, specialmente quelli rivolti al pubblico, con un livello di sicurezza adeguato e con un accettabile livello di operatività, fino al ripristino delle normali funzionalità svolte dalla procedura ordinaria. Ogni procedura sostitutiva ha un owner (possessore, es. la struttura DOC) e un responsabile che ne cura la definizione e l applicazione. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 9/28
10 Nucleo Processi, Flussi Che cosa deve prevedere una procedura ordinaria Innanzitutto occorre definire gli aspetti che caratterizzano una procedura ordinaria. Tale procedura innanzitutto dovrebbe essere perfettamente in regola dal punto di vista normativo, dal punto di vista della sicurezza e da quello privacy. Ricordiamo che abbiamo dei requisiti e delle norme legislative da rispettare (in particolare per quanto riguarda il Dlgs196/2003). Inoltre vi è anche il Documento Programmatico sulla Sicurezza che descrive le caratteristiche che deve possedere una procedura ordinaria. Il CNIPA ed il Ministero dell innovazione e delle tecnologie ha fornito apposite linee guida nell ambito della Sicurezza Informatica e della Business Continuity e tali linee guida dovranno essere rispettate dalla procedura ordinaria. Per tutto ciò che è riportato nelle singole normative e nei regolamenti citati, si rimanda ai documenti originali. In aggiunta alle specifiche normative e di sicurezza minime sopra elencate, per poter andare incontro ad un eventuale procedura sostitutiva, una procedura ordinaria dovrà possedere anche i seguenti requisiti: Documentazione completa della procedura E opportuno che una procedura ordinaria sia totalmente documentata, per permettere agli utenti di conoscere in maniera esaustiva le funzionalità che essi sono abilitati a svolgere, per conoscere in ogni momento se la procedura è funzionante secondo le specifiche aziendali o meno. Sarà opportuno documentare nel manuale come è possibile riconoscere un malfunzionamento della procedura, come comportarsi in prima battuta in caso di incidenti e malfunzionamenti. Sarà opportuno definire nel manuale una apposita sezione di troubleshooting, per descrivere come riscontrare il tipo di errore e come comportarsi di conseguenza. Si dovrebbe ulteriormente indicare e descrivere l opportuna procedura sostitutiva da seguire per l incidente riscontrato. Analisi di processo. Un analisi chiave del percorso del processo della procedura, nei suoi aspetti e nelle sue particolarità e criticità, soprattutto dal punto di vista gestionale ed organizzativo. Capire la natura del processo e in ambito B.C. identificare le variabili più importanti da evincere nell analisi, per permettere l ottimizzazione ed il miglioramento di molte fasi del processo stesso. Una procedura informatica dovrebbe sempre prevedere questo tipo di requisito, che spesso non è così ovvio e scontato. Questo approccio può essere fondamentale per coinvolgere tutto il personale sanitario, ottimizzare le risorse, ridurre le tempistiche, e soprattutto imparare a cooperare ed a lavorare in gruppo in ottica multidisciplinare e multiprofessionale. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 10/28
11 Nucleo Processi, Flussi Possibilità di stampa e/o consultazione del manuale operativo La documentazione dovrà essere sempre disponibile, nella forma di un manuale operativo da destinare agli utenti. Dovrà essere previsto un sistema on-line per permettere la consultazione e la stampa delle pagine o dell intero manuale operativo, che contestualmente dovrà essere sempre aggiornato. Possibilità di inserire i dati raccolti dopo eventuali blocchi La procedura ordinaria dovrà prevedere l inserimento in un secondo tempo dei dati raccolti, in forma cartacea o mediante altre procedure o altri supporti informatici, durante eventuali blocchi della stessa e a supporto di eventuali procedure sostitutive. Sarà opportuno specificare in che modo i dati saranno raccolti, anche nel rispetto dei requisiti minimi di integrità, validità e confidenzialità del data entry e nel caso di dati ritenuti particolarmente sensibili. Possibilità di stampa della modulistica in bianco per eventuali modelli cartacei sostitutivi In mancanza dei supporti di memorizzazione informatici forniti dalla procedura, sarà probabilmente d obbligo l utilizzo di materiale cartaceo, per permettere la scrittura dei dati in previsione del futuro reinserimento degli stessi. Sarà quindi opportuno che la procedura ordinaria fornisca la stampa degli appositi moduli cartacei sostitutivi per poter essere utilizzati a tale scopo. Andranno creati in maniera chiara, dovranno essere facilmente compilabili, dovranno poter permettere la lettura e l interpretazione anche da parte di altri operatori che saranno addetti al successivo data entry. Segnalazione dell incidente La procedura ordinaria dovrà prevedere la possibilità di poter segnalare in maniera efficiente e sicura, mediante un apposito modulo elettronico o cartaceo di descrizione, l incidente e le cause che l hanno bloccata. Questa segnalazione sarà sviluppata secondo uno standard da definirsi in dettaglio, con apposite istruzioni e regolamenti da emanare al riguardo. Formazione continua per il personale, soprattutto per i neo-assunti Apposite sessioni formative che riguardano l utilizzo corretto della procedura, la sicurezza e tutti gli aspetti inerenti ad essa e qui sopra citati. Queste sessioni di formazione saranno sviluppate secondo uno standard, e verranno studiate prossimamente nel dettaglio. Verranno quindi date successivamente apposite istruzioni e regolamenti a riguardo. Ogni procedura ordinaria ha un owner (possessore es. la struttura DOC) e un responsabile che ne cura la definizione e l applicazione. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 11/28
12 Nucleo Processi, Flussi Che cosa deve prevedere una procedura sostitutiva Per definizione la procedura sostitutiva può essere di tipo automatico o manuale. Si potranno quindi utilizzare nel caso di memorizzazione dei dati, supporti cartacei oppure altri supporti informatici o elettronici alternativi, ove disponibili, al fine di fornire automatismo all utilizzo della stessa. Ad esempio per le comunicazioni, potranno essere validi mezzi come il fax, il telefono, o l invio tramite posta tradizionale. Tali mezzi si andranno a sostituire alla procedura ordinaria, nel caso in cui quest ultima non sia più attuabile per determinate cause e/o incidenti. In termini generali, la procedura sostituiva è sotto la diretta responsabilità della struttura (Ospedale/Dipartimento/Distretto ecc.) che la redige e la applica; la procedura sarà adeguata all organizzazione e alle finalità della struttura organizzativa che la produce. Ogni procedura sostitutiva dovrà essere conforme alle normative, dal punto di vista della sicurezza e da quello della privacy; i requisiti e le norme legislative da rispettare (in particolare per quanto riguarda il Dlgs 196/2003) sono praticamente le stesse che caratterizzano una procedura ordinaria. Il Documento Programmatico sulla Sicurezza aziendale descrive le caratteristiche che deve possedere una procedura ordinaria in termini di sicurezza; ovviamente tali caratteristiche dovranno essere adottate dalla procedura sostitutiva, ove possibile. Il CNIPA ed il Ministero dell Innovazione e delle Tecnologie hanno fornito apposite linee guida nell ambito della Sicurezza Informatica e della Business Continuity; tali linee guida dovranno essere rispettate dalla procedura sostitutiva, ove possibile. In aggiunta ai requisiti minimi normativi e di sicurezza sopra citati, una procedura sostitutiva dovrà tener conto dei seguenti aspetti: Analisi di processo. Dapprima seguire l analisi chiave del percorso del processo della procedura ordinaria, nei suoi aspetti e nelle sue particolarità e criticità, soprattutto dal punto di vista gestionale ed organizzativo. Cercare di capire la natura del processo e in ambito B.C. identificare le variabili più importanti da evincere nell analisi, per permettere l ottimizzazione ed il miglioramento di molte fasi del processo stesso. A questo punto, progettare un analisi opportuna in chiave di B.C. per la procedura sostitutiva. Cercare di ottimizzare al meglio le risorse e ridurre le tempistiche, sempre in chiave di cooperazione e in ottica multidisciplinare e multiprofessionale. Tenere conto dei rischi. Si parla di sicurezza, quindi andrà posta particolare attenzione all utilizzo dei dati, nel fare in modo che le informazioni non siano accessibili da terzi o da persone non abilitate al trattamento dei dati. Occorre porre attenzione anche agli altri sistemi collegati: una procedura sostitutiva dovrebbe essere costruita in modo tale che non vada a creare ulteriori disservizi o danni ad altri assets, sistemi, procedure o apparati anche non strettamente collegati ad essa. E necessaria una pianificazione delle risorse da utilizzare. Inoltre l utilizzo della procedura sostitutiva non deve provocare un abbassamento del livello di sicurezza garantito dalla procedura ordinaria. Ad esempio l utilizzo della password per proteggere dei dati elettronici, potrebbe essere sostituito da una cassettiera con pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 12/28
13 Nucleo Processi, Flussi chiave per proteggere i dati sensibili presenti su materiale cartaceo; occorre infatti assolutamente evitare di lasciare incustoditi documenti con dati sensibili sulle scrivanie. Identificazione delle strutture di competenza. Deve essere possibile l identificazione delle strutture coinvolte dalla procedura sostitutiva. Questo per una più facile comunicazione nel segnalare eventuali incidenti e per facilitare un eventuale monitoraggio. Le strutture coinvolte andranno elencate nel modulo di segnalazione degli incidenti. Tali informazioni saranno poi comunicate ai responsabili e comunque archiviate. Sarà compito dell organizzazione del reparto coordinare gli attori di questo particolare contesto. Possibilità di utilizzo di mezzi di supporto alternativi al sistema informatico La procedura sostitutiva comprenderà l utilizzo di mezzi per sostituire le principali funzionalità informatiche di memorizzazione dei dati, comunicazione, controllo. Ricordiamo tra questi i modelli cartacei, il telefono, il fax, la posta interna, i supporti magnetici, altri supporti informatici. Per l utilizzo di tali mezzi è in previsione la definizione di apposite linee guida specifiche. Possibilità di errore nell utilizzo della procedura sostitutiva Data la natura saltuaria dell uso delle procedure sostitutive, è normalmente verosimile che gli operatori vadano a commettere degli errori durante il loro utilizzo. Va definita una fase di verifica e di controllo, ad esempio nella ricerca di eventuali errori relativi ai dati trattati con i mezzi di supporto alternativi (identificare eventuali errori di digitazione, cancellazione, integrità dei dati, disponibilità). Tale fase deve essere svolta in anticipo, o anche contestualmente, alla fase di ripristino dei dati stessi, prima del ritorno all utilizzo della procedura ordinaria. Ripristino e aggiornamento dei dati. L operazione di data entry viene vista come ultimo step per poter poi ritornare alla procedura ordinaria. Tale operazione può essere supportata con ausilio di appositi modelli cartacei compilati a mano. I modelli cartacei devono possibilmente essere già creati in precedenza e autonomamente dal personale che utilizza la procedura ordinaria, in numero sufficiente. Vanno compilati in maniera leggibile e chiara per poter permettere una successiva lettura da parte di altri operatori. Tale operazione può essere molto costosa e dipende dall entità dei danni causati dell incidente che ha bloccato la procedura ordinaria. Tale operazione va trattata dal punto di vista della privacy, se svolta da terzi o da una ditta esterna, vanno presi ulteriori accorgimenti. Va chiarito anche come dovranno essere conservati tali modelli compilati, una volta che non saranno più utilizzati. Si suggerisce di conservare tali modelli in appositi archivi cartacei, per permettere innanzitutto dei controlli, la tutela dei dati dal punto di vista della privacy, e anche ulteriori statistiche. Collaudo della procedura sostitutiva e formazione del personale Per evitare errori, monitorare la sicurezza e gestire i mezzi alternativi, per poter controllare l effettiva efficacia della procedura sostitutiva, non solo sarà opportuno collaudare la procedura sostitutiva ma bisognerà programmare delle esercitazioni periodiche che andranno a completare il quadro di quella che può essere la vera e propria formazione del personale addetto. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 13/28
14 Nucleo Processi, Flussi Monitoraggio dell effettivo malfunzionamento o blocco della procedura ordinaria. Segnalare contestualmente al blocco della procedura l incidente informatico mediante apposito iter e compilare il relativo modulo di segnalazione (questo passaggio è importante per avere anche uno storico degli incidenti e degli utilizzi della procedura sostitutiva). Verifica della capacità interna di risolvere il problema. Chiamare il personale competente (tecnico di turno o reperibile dei Sistemi ) secondo le modalità ed i regolamenti, prima di attuare la procedura sostitutiva. Mantenere comunque dei limiti di tempo oltre i quali attuare comunque la procedura sostitutiva. Per quanto riguarda la gestione delle situazioni critiche e all organizzazione per l emergenza che tale gestione sottintende, si ricordano in particolare i documenti CNIPA e l ipotesi organizzativa elaborata nel maggio 2004 (BC-comunicazione-incidenteinformatico.doc). Ogni procedura sostitutiva ha un owner (possessore es. la struttura DOC) e un responsabile che ne cura la definizione e l applicazione. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 14/28
15 Nucleo Processi, Flussi Considerazioni per chi utilizza la procedura sostitutiva In linea teorica tutti gli operatori che svolgono le funzioni di una procedura ordinaria possono essere abilitati ad operare nell ambito della procedura sostitutiva. Comunque la procedura sostitutiva ha bisogno di una particolare organizzazione rispetto alla procedura ordinaria. Durante una procedura sostitutiva possono essere definiti ruoli diversi per il personale coinvolto; inoltre potrebbero essere svolte ulteriori - e diverse - mansioni rispetto all ordinarietà - ad es. su un fattura o ricevuta redatta a mano potrebbe essere necessaria la firma di un operatore mentre sulla procedura automatica la firma è virtuale. Sarà utile archiviare la lista del personale abilitato all utilizzo delle procedure sostitutive. Inoltre la nomina di un referente (con i vari sostituti) per ogni procedura sostitutiva andrà a completare una minima organizzazione di tale servizio. Sarà opportuno far conoscere al personale tutte le regole da seguire mentre si svolge la procedura. Bisognerà formalizzare la procedura sostitutiva per evitare che gli addetti operino in condizioni di scarsa chiarezza dei ruoli e delle responsabilità; bisognerà informare gli addetti e sensibilizzarli al fine di abilitarli ad operare come in una vera e propria procedura operativa ordinaria. Per questo verranno attuate apposite sessioni di formazione, anche periodiche, per aggiornare ed istruire il personale addetto. Di seguito si presentano alcune opzioni. Formazione in linea generale Breve formazione di base, con spiegazione dei concetti di sicurezza a livello aziendale, di come precedere e come comportarsi a fronte dei vari tipi di attacchi e/o incidenti. La formazione dovrebbe chiarire quali sono i comportamenti da tenere in linea generale nell uso di una procedura sostitutiva e su come l Azienda e gli addetti siano tutelati nell operare nell ambito della procedura stessa. Tale formazione potrebbe essere svolta e coordinata dal nucleo che si occupa della Business Continuity o dal. Formazione in linea specifica Sessione di formazione specifica del servizio di riferimento, attuata dal referente o responsabile del servizio stesso, per il reparto in cui lavora il personale e inerente alle problematiche già accadute in precedenza e come poterle superare. L obiettivo di questa fase è anche specificare, informare e chiarire come l Azienda e gli addetti sono tutelati nell operare nell ambito della procedura sostitutiva del servizio. A fronte di tali sessioni formative, sarebbe utile predisporre un test di sviluppo delle conoscenze, per abilitare gli addetti che sono stati formati, a svolgere la procedura sostitutiva (questo anche per i nuovi assunti). pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 15/28
16 Nucleo Processi, Flussi Suggeriamo inoltre di predisporre un database per gestire e monitorare la situazione formativa della procedura sostitutiva, e per avere sotto controllo la situazione della sicurezza e della Business Continuity all interno dell Azienda. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 16/28
17 Nucleo Processi, Flussi La stesura di procedure sostitutive Una procedura sostitutiva dovrà svolgere in linea di massima il seguente iter per essere operativa a tutti gli effetti: Studio E il primo step per studiare ed analizzare la fattibilità della procedura stessa. In tale fase saranno coinvolti i responsabili dei servizi interessati, e possibilmente i referenti e/o parte degli addetti che si occuperanno di operare in tale ambito. E molto importante basarsi sui dati già raccolti dalla fase di rilevazione di procedure sostitutive già esistenti. L obiettivo di tale fase è anche raccogliere tutti gli elementi possibili per poter successivamente implementare la procedura. I Sistemi potranno fornire supporto e consulenza in questa fase. Creazione Fase di creazione della procedura sostitutiva. Tale fase va svolta a tavolino, dopo aver elaborato tutti gli elementi raccolti. La creazione della procedura sostitutiva andrà documentata, dovranno essere indicati gli assets coinvolti, le possibili minacce e rischi, le contromisure adottate, i referenti, gli owner, i responsabili. Analisi dettagliata dei processi. Descrizione e documentazione di tutti gli attori e di tutte le fasi previste. E opportuno che la fase di creazione preveda una comunicazione ai Sistemi. Approvazione L approvazione della procedura sostitutiva da parte del management, è una fase che permette la possibile attuazione della procedura, è una fase che formalizza la procedura e la rende tale. E una fase che dovrà permettere anche di tutelare il personale che andrà ad utilizzare tale procedura. Collaudo E il collaudo ed il test della procedura sostitutiva, che potrà essere svolto nei vari ambiti, anche fuori dall orario lavorativo e/o simulando l accadimento di un incidente informatico grave. Le fasi di tali collaudi dovrebbero essere gestite centralmente (a livello di Ospedale e di Dipartimento) e non dai singoli servizi, anche per controllare che i test vengano effettivamente svolti dagli addetti. I collaudi potranno essere supervisionati, tale attività potrà essere opportunamente documentata e gestita in un database, anch esso molto utile per gestire, controllare ed ottimizzare la Sicurezza Informatica e la Business Continuity aziendale. E opportuno che la fase di collaudo preveda una comunicazione ai Sistemi. Revisione Periodicamente la procedura andrà revisionata per aggiornare la documentazione relativa, eventuali variazioni e/o nuove implementazioni. E una fase fondamentale che permettere di mantenere in vita con efficienza la procedura stessa, soprattutto ai fini della Sicurezza Informatica e della Business Continuity aziendale. E opportuno che la fase di revisione preveda una comunicazione ai Sistemi. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 17/28
18 Nucleo Processi, Flussi Validazione La procedura sostitutiva deve essere confermata dall esame e dall evidenza oggettiva per essere definita idonea a soddisfare le richieste al suo uso specifico. Ciò significa che deve essere dimostrata oggettivamente l adeguatezza. Tutte le fasi dovranno essere totalmente documentate e formalizzate. Inoltre dovrà essere svolta l analisi organizzativa su chi si assume i rischi, le responsabilità e gli oneri durante la procedura sostitutiva. Tutto deve essere documentato ed accettato dai responsabili, contestualmente all accettazione o rifiuto dei rischi associati. L elenco delle procedure ordinarie e delle procedure sostitutive dovrà essere documentato e disponibile per le relative future consultazioni, aggiornamenti o per motivi legali. Si raccomanda quindi di documentare e gestire il tutto centralmente, in modo elettronico e mediante database, anche per evitare di saltare le eventuali fasi sopra citate per ogni singola procedura sostitutiva. Le procedure sostitutive devono essere rese note alle strutture organizzative individuate dall Azienda per garantire la B.C. e ai referenti per la continuità delle strutture organizzative. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 18/28
19 Nucleo Processi, Flussi Utilizzo di mezzi alternativi al sistema informatico In questa sezione vogliamo elencare i principali mezzi alternativi che possono essere utilizzati all interno di una procedura sostitutiva, sia singolarmente o insieme per perseguire uno stesso obiettivo. Ricordiamo che per tali mezzi sarebbe opportuno sviluppare determinate linee guida per caratterizzarne la deontologia e la sicurezza. Utilizzo del cartaceo L utilizzo di modelli cartacei può essere utilizzato sia per memorizzare i dati in mancanza di mezzi informatici, sia come mezzo di comunicazione. Considerati gli aspetti legati alla creazione degli appositi modelli precompilati, possibilmente mediante la stessa procedura ordinaria, va specificato l iter di ogni modello. In particolare, va chiarito come deve essere trattata dal punto di vista delle normative e dei regolamenti interni la giacenza dei modelli stessi, definendo il luogo fisico dove tenere i moduli cartacei in bianco e dove conservare quelli già compilati. Una volta effettuata la scrittura dei modelli, va certificato che siano stati compilati effettivamente dal personale addetto, senza errori, e quindi deve essere messo in evidenza dai responsabili del reparto stesso, in una apposita scheda riassuntiva, la data di utilizzo, il numero totale dei modelli compilati, il numero dei modelli in bianco rimasti in giacenza e/o stampati. A tal fine, sarà opportuno far preparare dai reparti un report standard di rilevazione dei modelli cartacei utilizzati nella procedura sostitutiva. Anche le regole legate al rispetto della sicurezza, alle norme Dlgs 196/2003 e al Documento Programmatico sulla Sicurezza, nonché i regolamenti interni relativi alla gestione della documentazione e dei dati, dovranno essere formalizzate opportunamente. Nel caso di dati ritenuti particolarmente sensibili, sarà quasi d obbligo l utilizzo di armadi ignifughi con chiave e/o combinazione (anche armadi blindati se necessario) al fine di permettere la conservazione dei dati. Utilizzare appositi siti per evitare allagamenti, distruzione, etc Ricordiamo infine che i modelli cartacei andranno conservati anche dopo aver eseguito il data entry a totale ripristino della procedura ordinaria. Anche per questo aspetto, e per quello che riguarda un eventuale futuro smaltimento, dovranno essere definite apposite regole standard da seguire. Utilizzo di apparecchi per la telefonia fissa e per la telefonia mobile Il telefono è un mezzo che permette principalmente la comunicazione, ma anche la memorizzazione di dati nel caso in cui vengono trasmessi a voce da un interlocutore all altro. Tali utilizzi possono essere svolti tramite il telefono fisso aziendale, o tramite il telefono cellulare aziendale. Chiaramente va seriamente preso in considerazione il fatto di fornire tali mezzi ove siano necessari. Un utilizzo più evoluto della telefonia mobile si baserebbe sulle attuali tecnologie wireless WAP disponibili su terminali PDA e cellulari, con cui è pensabile sviluppare applicativi a supporto di procedure sostitutive e ordinarie. Con l utilizzo della telefonia bisognerà comunque definire degli standard legati alle misure di sicurezza da adottare per evitare attacchi di tipo social engineering (per esempio il problema di accertarsi al telefono che l interlocutore che si spaccia per il direttore Mario Rossi sia effettivamente il direttore Mario Rossi). Va impostata una gestione corretta dei log delle telefonate, con appositi moduli cartacei standard, anche ai fini della pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 19/28
20 Nucleo Processi, Flussi documentazione storica della procedura sostitutiva e della sicurezza. L iter delle comunicazioni via telefono va schematizzato e formalizzato a priori. Utilizzo del fax Il modulo cartaceo precompilato può essere inviato via fax verso appositi centri di raccolta per l inserimento nella procedura. E importante tenere traccia dei fax inviati e disporre dell elenco completo dei fax interni ed esterni. Nelle strutture aziendali interessate sarebbe opportuno avere a disposizione più fax, o almeno un apparecchio fax di riserva per permettere sempre la comunicazione. Anche l iter delle comunicazioni via fax va schematizzato e formalizzato a priori. Utilizzo della posta interna Per l utilizzo di tale mezzo sono già definiti regolamenti e disposizioni di servizio da rispettare. E consigliabile che sulle buste sia evidenziata la natura del contenuto come riferito a una procedura sostitutiva, ad esempio con una dicitura del tipo Urgente: invio tramite procedura sostitutiva. Sarà molto importante avere un log delle corrispondenze inviate e ricevute, al fine di documentare storicamente la procedura sostitutiva. A tal proposito dovrà essere compilato dagli utilizzatori un apposito modello cartaceo standard, che verrà sottoscritto sia dal mittente che dal destinatario (o dai destinatari), come ulteriore traccia della corrispondenza e come avviso di ricevuta. Utilizzo di supporti magnetici Sono supporti esterni i floppy disk, Cd-Rom, Dvd-Rom, dischi esterni, unità di memorizzazione tipo pendrive USB. L utilizzo di tali mezzi va definito mediante apposite linee guida che riguardano la conservazione, la spedizione, la custodia e l eventuale distruzione di tali supporti di memorizzazione. Vanno definiti gli aspetti che ne caratterizzano la sicurezza, per evitare il furto dell informazione, come evitare di lasciare i dati incustoditi o in mano ad estranei, come proteggere i dati mediante password e/o crittografia. Il trasporto dei dati può esser fatto dal personale stesso oppure da appositi corrieri. Ad integrazione di questo, l utilizzo di log con appositi moduli cartacei standard da sottoscrivere e controfirmare anche come documentazione storica della procedura sostitutiva nel caso di spedizione, trasporto, ricezione. Le modalità di memorizzazione, spedizione, trasporto, ricezione di tali dati dovranno essere state definite e formalizzate. Altri supporti informatici PC di riserva, PC portatili, PC palmari. Tali risorse hardware potranno essere utilizzate in rete o anche stand-alone come mezzi alternativi. Il loro utilizzo deve essere regolamentato e devono essere emanate specifiche misure di sicurezza, in particolare in applicazioni basate su tecnologie wireless come Wi-Fi (IEEE ) o cellulari (GSM o UMTS) per gli aspetti di autenticazione e autorizzazione. Inoltre va integrata un ulteriore formazione all utilizzo di tali dispositivi da parte di personale competente. L analisi dei rischi risulterà fondamentale per poter investire correttamente nel patrimonio informativo (sia hardware che software) di supporto alle procedure sostitutive. pic-linee guida generali procedure sostitutive v.2.doc 20 giugno 2007 Pag. 20/28
MANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
Dettagli4.5 CONTROLLO DEI DOCUMENTI E DEI DATI
Unione Industriale 35 di 94 4.5 CONTROLLO DEI DOCUMENTI E DEI DATI 4.5.1 Generalità La documentazione, per una filatura conto terzi che opera nell ambito di un Sistema qualità, rappresenta l evidenza oggettiva
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliSISTEMA DI GESTIONE PER LA QUALITA Capitolo 4
1. REQUISITI GENERALI L Azienda DSU Toscana si è dotata di un Sistema di gestione per la qualità disegnato in accordo con la normativa UNI EN ISO 9001:2008. Tutto il personale del DSU Toscana è impegnato
Dettagli5.1.1 Politica per la sicurezza delle informazioni
Norma di riferimento: ISO/IEC 27001:2014 5.1.1 Politica per la sicurezza delle informazioni pag. 1 di 5 Motivazione Real Comm è una società che opera nel campo dell Information and Communication Technology.
DettagliMODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.
ALLEGATO A MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO. il sistema organizzativo che governa le modalità di erogazione delle cure non è ancora rivolto al controllo in modo sistemico
DettagliIl glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.
Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC. Avviso di mancata consegna L avviso, emesso dal sistema, per indicare l anomalia
DettagliAllegato A al CCNL 2006/2009 comparto Ministeri
Allegato A al CCNL 2006/2009 comparto Ministeri AREA FUNZIONALE PRIMA ( ex A1 e A1S ) Appartengono a questa Area funzionale i lavoratori che svolgono attività ausiliarie, ovvero lavoratori che svolgono
DettagliGESTIONE DELLA FORMAZIONE E
08/02/2011 Pag. 1 di 7 GESTIONE DELLA FORMAZIONE E DELL ADDESTRAMENTO DEL PERSONALE 1. SCOPO... 2 2. APPLICABILITÀ... 2 3. DOCUMENTI DI RIFERIMENTO... 2 3.1. Norme... 2 3.2. Moduli / Istruzioni... 2 4.
DettagliUNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso
SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali
Dettaglidella manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.
L 320/8 Gazzetta ufficiale dell Unione europea IT 17.11.2012 REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per il monitoraggio che devono
DettagliVALUTAZIONE DEL LIVELLO DI SICUREZZA
La Sicurezza Informatica e delle Telecomunicazioni (ICT Security) VALUTAZIONE DEL LIVELLO DI SICUREZZA Auto Valutazione Allegato 1 gennaio 2002 Allegato 1 Valutazione del livello di Sicurezza - Auto Valutazione
DettagliCapitolato per la selezione di una cooperativa sociale di tipo b per la realizzazione di attività relative all ambito disabilità e protezione civile
Capitolato per la selezione di una cooperativa sociale di tipo b per la realizzazione di attività relative all ambito disabilità e protezione civile Obiettivi specifici Per il generale, si individuano
DettagliContinuità operativa e disaster recovery nella pubblica amministrazione
Continuità operativa e disaster recovery nella pubblica amministrazione DEFINIZIONI Linee Guida per il DR delle PA, DigitPA 2011 Continuità Operativa (CO) Continuità Operativa: l insieme delle attività
DettagliI dati : patrimonio aziendale da proteggere
Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza
DettagliSVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007
Progettazione ed erogazione di servizi di consulenza e formazione M&IT Consulting s.r.l. Via Longhi 14/a 40128 Bologna tel. 051 6313773 - fax. 051 4154298 www.mitconsulting.it info@mitconsulting.it SVILUPPO,
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliSISTEMA DI GESTIONE INTEGRATO. Audit
Rev. 00 del 11.11.08 1. DISTRIBUZIONE A tutti i membri dell organizzazione ING. TOMMASO 2. SCOPO Gestione degli audit interni ambientali e di salute e sicurezza sul lavoro 3. APPLICABILITÀ La presente
DettagliMANDATO DI AUDIT DI GRUPPO
MANDATO DI AUDIT DI GRUPPO Data: Ottobre, 2013 UniCredit Group - Public MISSION E AMBITO DI COMPETENZA L Internal Audit è una funzione indipendente nominata dagli Organi di Governo della Società ed è parte
DettagliCLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.
CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente
DettagliAZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO
AZIENDA SANITARIA LOCALE TO1 - SC MEDICINA LEGALE - OBITORIO CIVICO PROCEDURA PR02 - Audit Interni Edizione 1 Approvata dal Direttore della SC Medicina Legale Emessa dal Referente Aziendale per la Qualità
DettagliManuale della qualità. Procedure. Istruzioni operative
Unione Industriale 19 di 94 4.2 SISTEMA QUALITÀ 4.2.1 Generalità Un Sistema qualità è costituito dalla struttura organizzata, dalle responsabilità definite, dalle procedure, dai procedimenti di lavoro
DettagliI SISTEMI DI GESTIONE DELLA SICUREZZA
I SISTEMI DI GESTIONE DELLA SICUREZZA ing. Davide Musiani Modena- Mercoledì 8 Ottobre 2008 L art. 30 del D.Lgs 81/08 suggerisce due modelli organizzativi e di controllo considerati idonei ad avere efficacia
DettagliPASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION
PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION PIETRO REMONTI 1 2 APPROCCIO BASATO SUI PROCESSI UN RISULTATO DESIDERATO È OTTENUTO IN MODO PIÙ EFFICACE SE RISORSE E ATTIVITÀ
DettagliDM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI
DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI Articolo 1 (Campo di applicazione) Il presente decreto si
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 10
MANUALE DELLA QUALITÀ Pag. 1 di 10 INDICE IL SISTEMA DI GESTIONE DELLA QUALITÀ Requisiti generali Responsabilità Struttura del sistema documentale e requisiti relativi alla documentazione Struttura dei
DettagliPROCEDURE ISTITUTO COMPRENSIVO STATALE Leonardo da Vinci OLEVANO SUL TUSCIANO. Processo: TENUTA SOTTO CONTROLLO DELLA DOCUMENTAZIONE
Pag. 1 di 5 ISTITUTO COMPRENSIVO STATALE LEONARDO DA VINCI Processo: TENUTA SOTTO CONTROLLO DELLA DOCUMENTAZIONE Procedura Revisione: 3 5 4 3 04/06/2015 Aggiornamento 2 04/06/2014 Aggiornamento 1 25/02/2013
DettagliL importanza di una corretta impostazione delle politiche di sicurezza
La Gestione della Sicurezza Informatica nelle Aziende L importanza di una corretta impostazione delle politiche di sicurezza Paolo Da Ros Membro del Direttivo CLUSIT Firenze 29 gennaio 2003 L importanza
Dettagli1- Corso di IT Strategy
Descrizione dei Corsi del Master Universitario di 1 livello in IT Governance & Compliance INPDAP Certificated III Edizione A. A. 2011/12 1- Corso di IT Strategy Gli analisti di settore riportano spesso
DettagliEffettuare gli audit interni
Scopo Definire le modalità per la gestione delle verifiche ispettive interne Fornitore del Processo Input Cliente del Processo Qualità (centrale) e Referenti Qualità delle sedi territoriali Direzione Qualità
DettagliPROCEDURA DI SISTEMA GESTIONE E ORGANIZZAZIONE DELLA DOCUMENTAZIONE
Pagina 1 di 7 INDICE 1. SCOPO 2. CAMPO DI APPLICAZIONE 3. RESPONSABILITA 4. DESCRIZIONE DELLE ATTIVITÀ 5. INDICATORI DI PROCESSO 6. RIFERIMENTI 7. ARCHIVIAZIONI 8. TERMINOLOGIA ED ABBREVIAZIONI 9. ALLEGATI
DettagliIl nuovo codice in materia di protezione dei dati personali
Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico
DettagliAppendice III. Competenza e definizione della competenza
Appendice III. Competenza e definizione della competenza Competenze degli psicologi Lo scopo complessivo dell esercizio della professione di psicologo è di sviluppare e applicare i principi, le conoscenze,
DettagliGESTIONE DELLE NON CONFORMITÀ E RECLAMI
Pagina 1 di 6 Procedura Rev. Data Descrizione modifica Approvazione 3 27.04.2003 Revisione generale (unificate NC e Reclami) C.V. 4 03.09.2007 Specificazione NC a carattere ambientale C.V. 5 07.03.2008
DettagliIstruzione Operativa Richiesta di Offerta on-line in busta chiusa digitale
Istruzione Operativa Richiesta di Offerta on-line in busta chiusa digitale ATAF avvierà la gara on-line secondo le modalità di seguito descritte, in particolare utilizzando lo strumento RDO on-line disponibile
DettagliUTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI
UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI Un utilizzatore a valle di sostanze chimiche dovrebbe informare i propri fornitori riguardo al suo utilizzo delle sostanze (come tali o all
DettagliDIPARTIMENTO INFORMATIVO e TECNOLOGICO
DIPARTIMENTO INFORMATIVO e TECNOLOGICO ARTICOLAZIONE DEL DIPARTIMENTO Il Dipartimento Informativo e Tecnologico è composto dalle seguenti Strutture Complesse, Settori ed Uffici : Struttura Complessa Sistema
DettagliGESTIONE DELLE RISORSE UMANE
Titolo del pag. 1 di 6 Titolo del I N D I C E 1. SCOPO 2. GENERALITÀ 3. CAMPO DI APPLICAZIONE 4. LISTA DI DISTRIBUZIONE 5. DETERMINAZIONE DEL FABBISOGNO 6. SELEZIONE DEL PERSONALE 7. ITER DI INSERIMENTO
DettagliProcedura per la tenuta sotto controllo delle registrazioni PA.AQ.02. Copia in distribuzione controllata. Copia in distribuzione non controllata
Pag.: 1 di 7 Copia in distribuzione controllata Copia in distribuzione non controllata Referente del documento: Referente Sistema Qualità (Dott. I. Cerretini) Indice delle revisioni Codice Documento Revisione
DettagliComune di San Martino Buon Albergo
Comune di San Martino Buon Albergo Provincia di Verona - C.A.P. 37036 SISTEMA DI VALUTAZIONE DELLE POSIZIONI DIRIGENZIALI Approvato dalla Giunta Comunale il 31.07.2012 INDICE PREMESSA A) LA VALUTAZIONE
DettagliINFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it
INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it redatto ai sensi del decreto legislativo n 196/2003 2 GENNAIO 2014 documento pubblico 1 PREMESSA 3 SEZIONE
DettagliGuida operativa per redigere il Documento programmatico sulla sicurezza (DPS)
Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196) Premessa
DettagliINDICE. Istituto Tecnico F. Viganò PROCEDURA PR 01. Rev. 2 Data 20 Maggio 2009. Pagina 1 di 9 TENUTA SOTTO CONTROLLO DEI DOCUMENTI
INDICE 1 di 9 1. SCOPO 2. CAMPO DI APPLICAZIONE 3. TERMINOLOGIA E ABBREVIAZIONI 4. RESPONSABILITÀ 5. MODALITÀ OPERATIVE 5.1. Redazione e identificazione 5.2. Controllo e verifica 5.3. Approvazione 5.4.
DettagliSISTEMI DI MISURAZIONE DELLA PERFORMANCE
SISTEMI DI MISURAZIONE DELLA PERFORMANCE Dicembre, 2014 Il Sistema di misurazione e valutazione della performance... 3 Il Ciclo di gestione della performance... 5 Il Sistema di misurazione e valutazione
DettagliCORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES
1 CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT Il corso è finalizzato a illustrare in dettaglio le competenze richieste al Business Continuity Manager per guidare un progetto BCM e/o gestire
DettagliStrategie e Operatività nei processi di backup e restore
Strategie e Operatività nei processi di backup e restore ver. 3.0-2014 Linee Guida + Do You Backup Your Invaluable Data? Now You Can with DuBackup! NSC s.r.l. Tutti i diritti riservati. Tutti i materiali
DettagliDisciplinare sulla gestione dei reclami, suggerimenti e segnalazioni dei cittadini nei confronti dell Amministrazione Comunale di Ancona
Disciplinare sulla gestione dei reclami, suggerimenti e segnalazioni dei cittadini nei confronti dell Amministrazione Comunale di Ancona Approvato con Delibera di Giunta n 372 del 9 ottobre 2012 Art. 1
DettagliAudit & Sicurezza Informatica. Linee di servizio
Audit & Sicurezza Informatica Linee di servizio Application Control Consulting Molte organizzazioni hanno implementato applicazioni client/server integrate, come SAP e Oracle Queste applicazioni aumentano
DettagliBASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza
BASILE PETROLI S.p.A. Dichiarazione Politica qualità, ambiente e sicurezza Rev. 03 del 27 maggio 2008 La BASILE PETROLI S.p.A., nell ambito delle proprie attività di stoccaggio e commercializzazione di
DettagliCOMUNE DI PERUGIA AREA DEL PERSONALE DEL COMPARTO DELLE POSIZIONI ORGANIZZATIVE E DELLE ALTE PROFESSIONALITA
COMUNE DI PERUGIA AREA DEL PERSONALE DEL COMPARTO DELLE POSIZIONI ORGANIZZATIVE E DELLE ALTE PROFESSIONALITA METODOLOGIA DI VALUTAZIONE DELLA PERFORMANCE Approvato con atto G.C. n. 492 del 07.12.2011 1
DettagliA.O. MELLINO MELLINI CHIARI (BS) GESTIONE DELLE RISORSE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 3. INFRASTRUTTURE...
Pagina 1 di 6 INDICE 1. MESSA A DISPOSIZIONE DELLE RISORSE...2 2. RISORSE UMANE...2 2.1. GENERALITÀ... 2 2.2. COMPETENZA, CONSAPEVOLEZZA E ADDESTRAMENTO... 2 3. INFRASTRUTTURE...3 4. AMBIENTE DI LAVORO...6
DettagliSoftware Servizi Web UOGA
Manuale Operativo Utente Software Servizi Web UOGA S.p.A. Informatica e Servizi Interbancari Sammarinesi Strada Caiese, 3 47891 Dogana Tel. 0549 979611 Fax 0549 979699 e-mail: info@isis.sm Identificatore
DettagliFIDEURO MEDIAZIONE CREDITIZIA S.R.L.
1 FIDEURO MEDIAZIONE CREDITIZIA S.R.L. MANUALE DELLE PROCEDURE INTERNE PARTE GENERALE 2 INDICE 1. Informazioni sulla Società ed attività autorizzate 3 2. Autore del manuale delle procedure interne 3 3.
DettagliOtto Principi sulla Gestione per la Qualità previsti dalla ISO 9000:2005
Questionario di Autovalutazione di un Sistema di Gestione per la Qualità verso: Otto Principi sulla Gestione per la Qualità previsti dalla ISO 9000:2005 newsletter TECSE N. 02- Febbraio 2012 (Allegato
DettagliCittà di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE
Città di Montalto Uffugo (Provincia di Cosenza) SISTEMA DI MISURAZIONE E VALUTAZIONE DELLA PERFORMANCE Allegato Delibera Giunta Comunale n. 110 del 19 maggio 2014 1) Caratteristiche generali del sistema
DettagliLa manutenzione come elemento di garanzia della sicurezza di macchine e impianti
La manutenzione come elemento di garanzia della sicurezza di macchine e impianti Alessandro Mazzeranghi, Rossano Rossetti MECQ S.r.l. Quanto è importante la manutenzione negli ambienti di lavoro? E cosa
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliCOMUNE DI RENATE Provincia di Monza e Brianza
REGOLAMENTO COMUNALE PER L INSTALLAZIONE E LA TENUTA DEGLI IMPIANTI DI VIDEOSORVEGLIANZA Approvato dal Consiglio Comunale con delibera n. 50 del 25/11/2009 versione 3 03/11/2009 REGOLAMENTO PER L INSTALLAZIONE
DettagliMANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO
INDICE 8.1 Generalità 8.2 Monitoraggi e Misurazione 8.2.1 Soddisfazione del cliente 8.2.2 Verifiche Ispettive Interne 8.2.3 Monitoraggio e misurazione dei processi 8.2.4 Monitoraggio e misurazione dei
DettagliQUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE
QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE Step 1 - Decidere come organizzare e pianificare l autovalutazione (AV) 1.1. Assicurare l impegno e il governo del management per avviare il processo. 1.2. Assicurare
DettagliGestione dei documenti e delle registrazioni Rev. 00 del 11.11.08
1. DISTRIBUZIONE A tutti i membri dell organizzazione ING. TOMMASO 2. SCOPO Descrivere la gestione della documentazione e delle registrazioni del sistema di gestione 3. APPLICABILITÀ La presente procedura
DettagliMODALITÀ ORGANIZZATIVE E PIANIFICAZIONE DELLE VERIFICHE SUGLI IMPIANTI
Pagina:1 di 6 MODALITÀ ORGANIZZATIVE E PIANIFICAZIONE DELLE VERIFICHE SUGLI IMPIANTI INDICE 1. INTRODUZIONE...1 2. ATTIVITÀ PRELIMINARI ALL INIZIO DELLE VERIFICHE...2 3. PIANO OPERATIVO DELLE ATTIVITÀ...2
DettagliAttività relative al primo anno
PIANO OPERATIVO L obiettivo delle attività oggetto di convenzione è il perfezionamento dei sistemi software, l allineamento dei dati pregressi e il costante aggiornamento dei report delle partecipazioni
Dettagli3. APPLICABILITÀ La presente procedura si applica nell organizzazione dell attività di Alac SpA.
Acquedotto Langhe e Alpi Cuneesi SpA Sede legale in Cuneo, Corso Nizza 9 acquedotto.langhe@acquambiente.it www.acquambiente.it SGSL Audit P11 Rev 00 del 16/09/09 1. DISTRIBUZIONE Direzione RSPP 2. SCOPO
DettagliREGOLAMENTO INTERNO DEL CONTROLLO DI GESTIONE
COMUNE DI CORMANO PROVINCIA DI MILANO REGOLAMENTO INTERNO DEL CONTROLLO DI GESTIONE (approvato con deliberazione C.C. n. 58 del 01/12/2003) 1 INDICE ART. 1 ART. 2 ART. 3 ART. 4 ART. 5 ART. 6 AMBITO DI
DettagliINTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.
Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA
DettagliQualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)
La Qualità secondo ISO Qualità è l insieme delle proprietà e delle caratteristiche di un prodotto o di un servizio che conferiscono ad esso la capacità di soddisfare esigenze espresse o implicite (UNI
DettagliGovernare il processo della sicurezza
Governare il processo della sicurezza Michele Marchini PIACENZA 20 febbraio 2014 SOMMARIO Argomenti trattati Governo del processo gestione della sicurezza I processi aziendali Il processo della sicurezza
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliGuida Compilazione Piani di Studio on-line
Guida Compilazione Piani di Studio on-line SIA (Sistemi Informativi d Ateneo) Visualizzazione e presentazione piani di studio ordinamento 509 e 270 Università della Calabria (Unità organizzativa complessa-
DettagliSistema di gestione della Responsabilità Sociale
PGSA 05 Sistema di Gestione la Responsabilità PROCEDURA PGSA 05 Sistema di gestione la Responsabilità Rev. Data Oggetto Redatto da Approvato da 01 2 Prima emissione Resp. RSGSA Direzione 1 PGSA 05 Sistema
DettagliMANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ
MANUALE GESTIONE QUALITÀ SEZ. 5.1 REV. 02 pagina 1/5 MANUALE DELLA QUALITÀ Rif.to: UNI EN ISO 9001:2008 PARTE 5: RESPONSABILITÀ DELLA DIREZIONE SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA
DettagliSISTEMA INFORMATIVO INPDAP SERVIZI E PROGETTI PER L'INTEGRAZIONE DEL SISTEMA STANDARD DI PRODOTTO PIANO DI QUALITA' DI PROGETTO
SISTEMA INFORMATIVO INPDAP SERVIZI E PROGETTI PER L'INTEGRAZIONE DEL SISTEMA STANDARD DI PRODOTTO PIANO DI QUALITA' DI PROGETTO Pag. I INDICE pag. 1. INTRODUZIONE...1 1.1 PREMESSA...1 1.2 SCOPO DEL DOCUMENTO...1
DettagliCEPAS Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: scrivi_a@cepas.it Sito internet: www.cepas.it
Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: scrivi_a@cepas.it Sito internet: www.cepas.it Pag. 1 di 5 0 12.07.2007 1ª Emissione Presidente Comitato di Certificazione Presidente
DettagliSCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.
SCHEDA DEL CORSO Titolo: La gestione elettronica e la dematerializzazione dei documenti. Il Responsabile della La normativa, l operatività nelle aziende e negli studi professionali. Come sfruttare queste
DettagliS.A.C. Società Aeroporto Catania S.p.A.
S.A.C. Società Aeroporto Catania S.p.A. Capitolato tecnico per Affidamento del servizio di consulenza per la progettazione, implementazione e certificazione di un Sistema di Gestione Integrato per la Qualità
DettagliPO 01 Rev. 0. Azienda S.p.A.
INDICE 1 GENERALITA... 2 2 RESPONSABILITA... 2 3 MODALITA DI GESTIONE DELLA... 2 3.1 DEI NEOASSUNTI... 3 3.2 MANSIONI SPECIFICHE... 4 3.3 PREPOSTI... 4 3.4 ALTRI INTERVENTI FORMATIVI... 4 3.5 DOCUMENTAZIONE
DettagliPROGRAMMA CORSI PRIVACY 2013
PROGRAMMA CORSI PRIVACY 2013 1) Modulo per Titolari/Responsabili del Trattamento Obiettivo del corso: fornire una conoscenza approfondita della normativa vigente, al fine di compiere scelte consapevoli
DettagliPIANO DI CONSERVAZIONE DEI DOCUMENTI
PIANO DI CONSERVAZIONE DEI DOCUMENTI Documento n. 8 - Allegato al manuale di gestione PIANO DI CONSERVAZIONE DEI DOCUMENTI 1. Composizione del piano Il piano di conservazione oltre che dai seguenti articoli
DettagliMANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ
REV. 00 pagina 1/4 MANUALE DELLA QUALITÀ Rif.to: UNI EN ISO 9001:2008 PARTE 5: RESPONSABILITÀ DELLA DIREZIONE SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ SOMMARIO A Impegno della
DettagliRegione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente
Pag. 1 di 15 VERS V01 REDAZIONE VERIFICHE E APPROVAZIONI CONTROLLO APPROVAZIONE AUTORIZZAZIONE EMISSIONE NOME DATA NOME DATA NOME DATA A. Marchisio C. Pernumian 29/12/2014 M. Molino 27/02/2015 M. Molino
DettagliREGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI
COMUNE DI VIANO PROVINCIA DI REGGIO EMILIA REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI Approvato con deliberazione di G.C. n. 73 del 28.11.2000 INDICE TITOLO 1 ART. 1 ART. 2 ART. 3 ART. 4 ART. 5 ART.
DettagliPolicy sulla Gestione delle Informazioni
Policy sulla Gestione delle Informazioni Policy Globale di Novartis 1 settembre 2012 Versione IGM 001.V01.IT 1. Introduzione 1.1 Finalità Nel mondo degli affari, avere le corrette informazioni nel momento
DettagliLa Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci
La Posta Certificata per la trasmissione dei documenti informatici renzo ullucci Contesto Il completamento dell apparato normativo e la concreta implementazione delle nuove tecnologie rendono più reale
DettagliGestire le NC, le Azioni Correttive e Preventive, il Miglioramento
Scopo Responsabile Fornitore del Processo Input Cliente del Processo Output Indicatori Riferimenti Normativi Processi Correlati Sistemi Informatici Definire le modalità e le responsabilità per la gestione
DettagliLA SOLUZIONE PROPOSTA E L ATTIVAZIONE DEL SERVIZIO Luisa Semolic Insiel S.p.A.
LA SOLUZIONE PROPOSTA E L ATTIVAZIONE DEL SERVIZIO Luisa Semolic Insiel S.p.A. Udine, 11 giugno 2013 Il processo Sistemi documentali Sistema di conservazione Documenti archiviati Presa in carico e controllo
DettagliLA CERTIFICAZIONE. Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona
LA CERTIFICAZIONE Dr.ssa Eletta Cavedoni Responsabile Qualità Cosmolab srl Tortona Qualità Grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000/00) Requisito Esigenza
DettagliI modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza
1 I modelli di gestione per la qualità I modelli normativi I modelli per l eccellenza Entrambi i modelli si basano sull applicazione degli otto principi del TQM 2 I modelli normativi I modelli normativi
DettagliSCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR / RESPONSABILE GRUPPO DI AUDIT DI SISTEMI DI GESTIONE FORESTALE
Viale di Val Fiorita, 90-00144 Roma Tel. 065915373 - Fax: 065915374 E-mail: corsi@cepas.it Sito internet: www.cepas.it sigla: SH131 Pag. 1 di 5 SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER AUDITOR
DettagliQUESTIONARIO 3: MATURITA ORGANIZZATIVA
QUESTIONARIO 3: MATURITA ORGANIZZATIVA Caratteristiche generali 0 I R M 1 Leadership e coerenza degli obiettivi 2. Orientamento ai risultati I manager elaborano e formulano una chiara mission. Es.: I manager
DettagliSistema di Gestione per la Qualità
Pagina 1 di 8 Manuale Qualità Sistema di Gestione per la Qualità INDICE DELLE EDIZIONI.REVISIONI N DATA DESCRIZIONE Paragraf i variati Pagine variate 1.0 14.03.2003 Prima emissione Tutti Tutte ELABORAZIONE
DettagliALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare
1 Premessa e quadro normativo Il Contratto sottoscritto da Equitalia S.p.A. e ha ad oggetto l affidamento dei servizi di implementazione e manutenzione del nuovo Sistema Informativo Corporate - Sistema
DettagliISO 9001:2000: COME UTILIZZARE LA NORMA PER GESTIRE I FORNITORI
Attenzione: la Guida che state stampando è aggiornata al 14/06/2007. I file allegati con estensione.doc,.xls,.pdf,.rtf, etc. non verranno stampati automaticamente; per averne copia cartacea è necessario
DettagliAPPROVVIGIONARE APPROVVIGIONARE. Rev. Data Causale Redazione Verifica Approvazione. 00 xx/xx/xxxx Prima emissione
APPROVVIGIONARE Rev. Data Causale Redazione Verifica Approvazione 00 xx/xx/xxxx Prima emissione INDICE SCOPO DELLA PROCEDURA RESPONSABILITÀ CAMPO DI APPLICAZIONE MODALITÀ OPERATIVE MONITORAGGIO E MISURAZIONE
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
DettagliLe Raccomandazioni ministeriali per la prevenzione dei rischi in chirurgia: linee di indirizzo regionali di implementazione a livello aziendale
Le Raccomandazioni ministeriali per la prevenzione dei rischi in chirurgia: linee di indirizzo regionali di implementazione a livello aziendale PREMESSA Il Ministero del Lavoro, della Salute e delle Politiche
DettagliSICUREZZA INFORMATICA
SICUREZZA INFORMATICA IL CRESCENTE RICORSO ALLE TECNOLOGIE DELL'INFORMAZIONE E DELLA COMUNICAZIONE INTRAPRESO DALLA P.A. PER LO SNELLIMENTO L'OTTIMIZZAZIONE UNA MAGGIORE EFFICIENZA DEI PROCEDIMENTI AMMINISTRATIVI
Dettagli